BitLocker To Go – nowa funkcjonalność w Windows 7!
Microsoft w Windows 7 wprowadził rozszerzony mechanizm szyfrowania BitLocker, dołączając do niego funkcjonalność BitLockerTo Go. Windows 7 Ultimate wspiera dodatkowo przenośne nośniki danych np. klucze USB, czy karty SDHC. Wraz ze standardowymi dyskami (partycjami) możliwymi do zaszyfrowania widoczne są również inne nośniki danych - zwane dalej, dla wygody „kluczami USB" (BitLocker To Go):
.
Rysunek 1. Dyski możliwe do zaszyfrowania.
Dostęp do zakodowanych kluczy USB możliwy jest przez hasło, które użytkownik podaje przed zaszyfrowaniem. Z GUI możliwe jest także podanie następujących metod: karty inteligentnej, 48 cyfrowego BitLocker Recovery Key (do używania klucza USB w systemie Windows Vista bez SP2, czy Windows Server 2008) oraz External Key (o tym tajemniczym kluczu na końcu). BitLocker włącza się poprzez kliknięcie Turn On BitLocker lub poprzez polecenie manage-bde.exe (w Windows Vista polecenie to było skryptem manage-bde.wsf uruchamianym przez cscript). Polecenie to może być z powodzeniem uznane, za jedyną słuszną metodą dostępu do BitLocker'a. W efekcie dla każdego użytkownika końcowego sprowadza się to do jednego: zaszyfrować dysk/partycję/klucz.
Szyfrowanie trwa dosyć długo. Z Paulą przeprowadzaliśmy testy ile szyfrowanie, deszyfrowanie trwa, włączając w to wszelkie próby zepsucia BitLocker'a („A co będzie jak usunę ten plik..."). Przy kluczu USB o rozmiarze 4 029 612 032 bajtów, każdy 1% szyfrowania trwał ok. 10 sekund. To daje ok. 3,8 Megabajty /s. Przy kluczu USB o rozmiarze 256 Megabajtów szyfrowanie trwało ok. 2 minut.
Szyfrowanie można „przerwać" na chwilę przekładając klucz USB do innego komputera z BitLocker'em dla zewnętrznych dysków np. Windows Server 2008 R2, szyfrowanie będzie kontynuowane bezstratnie!
Można zaszyfrować klucze USB zarówno z systemem plików FAT32, jak i NTFS (BitLocker w Windows Vista wymagał NTFS), są jednak pewne różnice. Z punktu widzenia użytkownika Windows 7 różnic funkcjonalnych nie ma, natomiast gdy ten sam użytkownik zabierze swój klucz USB i będzie próbował uruchomić go na innych systemach, różnice te zaraz zobaczy. Warto wiedzieć, że klucz USB z BitLocker To Go zadziała na następujących systemach operacyjnych:
- Windows Vista SP1
- Windows XP SP3
Wszelkie próby uruchomienia klucza USB pod innymi systemami (Windows 2000, Windows XP SP2) kończyły się pytaniem o sformatowanie klucza („Do you want to format it now?").
Rysunek 2. Windows XP SP3 i BitLocker To Go.
Rysunek 3. Windows Vista SP1 i BitLocker To Go.
Uzyskanie dostępu do klucza USB powoduje uruchomienie programu(BitLocker To Go Reader), z którego można wybrane pliki: przenieść do wybranego folderu, przenieść na pulpit, skopiować. Są to jedyne opcje, które oferuje ten program.
.
Rysunek 4. BitLocker To Go Reader.
Szyfrowanie klucza USB z systemem plików FAT32 powoduje utworzenie wielu plików (w tym przypadku 1017):
Rysunek 5. Pliki powstałe po zaszyfrowaniu klucza USB z systemem plików FAT32
UWAGA: Przy systemie plików NTFS na kluczu USB pliki te nie tworzą się, nie można zatem korzystać z klucza w ww. systemach, oprócz Windows 7 oczywiście.
Pliki te to m.in.:
- autorun.inf (do uruchomienia pliku *.EXE),
- BitLockerToGo.exe (program uruchamiany na komputerze klienckim)
- enUSBltLockerToGo.exe.mui - język angielski
- plik *.ER - o rozmiarze takim jak klucz USB, przypuszczalnie działa na zasadzie VHD
- plik *.BL - 32 bajty, zapisane jest tylko kilka pierwszych bitów
- plik *.PD - o zerowej długości
- pliki *.NG - o zerowej długości
Pierwsza próba zepsucia:
Usunięcie z klucza USB podłączonego do systemu Windows Vista SP1 wszystkich plików znajdujących się na kluczu USB nie spowodowało uszkodzenia BitLocker'a pod Windows 7. Wrzucenie dodatkowych danych o wielkości całego klucza USB spowodowało uszkodzenie BitLocker'a. Klucz USB nie prosił się nawet o formatowanie. W Disk Management USB widoczny był jako partycja RAW!
Rysunek 6. Klucz USB widziany, jako partycja RAW.
Przy próbie formatowania otrzymuje się komunikat:
Rysunek 7. Komunikat o braku możliwości sformatowania klucza USB.
Dopiero przełożenie klucza USB do Windows Vista SP1 (widać tam było wszystkie nowo wrzucone dane) pozwoliło na sformatowanie.
Druga próba zepsucia:
W drugiej próbie, wrzucenie niewielkiej ilości danych nie zaszkodziło BitLocker'owi - dane były nadal dostępne. Dokopiowywanie danych porcjami sprawiło, że klucz USB posiadał NIEOKREŚLONY typ plików (diskmgmt.msc nie podał żadnej informacji), dało się go sformatować z poziomu Windows 7.
Trzecia próba zepsucia:
Zagłębiając się w strukturę klucza USB z BitLocker'em, można zauważyć, że w BootRecord'zie dysk zaszyfrowany przyjmuje sygnaturę MSWIN4.1, niezaszyfrowany przyjmuje natomiast MSDOS5.0.
System plików FAT. Podmieniony został zaszyfrowany BootRecord na BootRecord niezaszyfrowany (między Offset 4000, a 41F0). W efekcie na kluczu USB, teraz już na każdym systemie operacyjnym - widoczne jest 512 plików o różnych rozmiarach, stanowiących Root Directory entries.
Rysunek 8. Odpowiedniki Root Directory Entries.
Ponowna zmiana z bieżącego (niezaszyfrowanego) BootRecord'u na zaszyfrowany spowodował wyświetlenie tego co jest widoczne na systemach Windows Vista SP1 i XP SP3, a co nie jest widoczne w Windows 7!
Rysunek 9. Pliki widoczne pod Windows Vista stały się widoczne pod Windows 7.
Wnioski nasunęły się następujące:
Rysunek 10. Podsumowanie testów.
Proszę nie traktować tego, jako informację absolutną - są to tylko przypuszczenia potwierdzone testami!
Po zaszyfrowaniu klucza USB, istnieje wiele opcji do zarządzania kluczem USB (nie wspomnając o możliwościach konsoli, które są nieporównywalnie większe):
- Change the password
- Remove the password
- Add a smart card
- Save or print the recovery key again
- Automatically unlock the drive on this computer (only for fixed disks)
Ostatnia opcja jest właśnie tym tajemniczym "External Key" pozwalającym na uzyskanie dostępu do klucza USB bez konieczności podawania hasła.
To be continued.
ps. wszystkie informacje dotyczą wersji Windows 7 build 7ooo wersja server (w2k8 r2) oraz client.
