Microsoft’un Windows Vista ile sunduğu yeni sürücü şifreleme sistemi sayesinde kullanıcılar bütün verilerini tek bir konsoldan şifreleyebilecekler.
| |
Vista’nın hayatımıza derinlemesine girdiği şu aşamada yeni bir güvenlik ve koruma stratejisinden bahsedeceğiz. Hard diskin tamamının şifrelendiği ve yüksek güvenlik ile korunduğu BitLocker mantığını BitLocker™ Drive Encryption olarak bilinen koruma ve güvenlik sistemi sayesinde istemci ve server sistemlerin kuvvetli bir mantıkla korunduğundan söz edebiliriz.
EFS’den farklı olarak dosyaları değil sürücünün tamamını şifrelemesi ile gerçekten köklü bir değişim sergiliyor. BitLocker™ Drive Encryption sistemi Windows Vista’nın yalnızca Enterprise ve Ultimate sürümlerinde kullanılıyor. Server tarafında ise Longhornda yine BitLocker’i görebileceğiz. Sistemin temel amacı; herhangi bir sebeple verilerinizin çalınması ya da kaybedilmesi durumunda bile verilerinizin güvenliğini sonsuza dek sağlamak.
|
Bu sistem büyük oranda TPM (Trusted Platform Module) 1.2 teknolojisine dayanmaktadır. Bu teknolojiyi de birazdan yakından tanıyacağız. Şimdi sürücü şifreleme mantığıyla başlayalım…
SÜRÜCÜ ŞİFRELEME (DRIVE ENCRYPTION) : Windows’un önceki sürümlerinde görmediğimiz sürücü şifreleme özelliği sayesinde bütün diskin belirli bir algoritma ile şifrelenmesini öngören sistemdir. Bütün sistem dosyaları, kullanıcı verileri, page file, temporary files ve hibernation dosyalarını da şifreleyebilmesi, sürücü şifreleme tekniğinin çok tercih edileceğini gösteriyor.
BitLocker, Vista içerisine entegre edilmiş bir veri koruma platformu olmasının yanı sıra aynı zamanda Boot işlemi üzerine yapmış olduğu eklenti ve koruma stratejileriyle de tanınmaya başladı. Bunu yaparken, PIN numarası , ATM kartı ya da USB bellek içerisine yerleştirilmiş bir anahtar kullanıyor olması da göz dolduruyor diyebiliriz. Tüm bu özellikleri ile boot process güçlü bir noktaya taşınıyor. Bununla birlikte bir önceki boot işleminden farklı olarak değişen dosyaları tespit etmek mümkün olabilmektedir. Bu da boot sector ve bunun gibi boot aşamasında zarar veren güvenlik sıkıntılarının en aza indirgenmesi manasına gelmektedir. Günümüzde de örneklerini gördüğümüz ve önümüzdeki sene içerisinde yaygın olarak göreceğimiz anakartlar, üzerinde bulunacak bir çip ya da kart okuyucu sayesinde bilgisayarınızın boot kontrolünü çok ciddi ve yüksek güvenlik ile yapabilmeyi imkanlı kılacaktır. Ayrıca sistemden kaldırılan bir dosyanın kolayca geri getirilebilmesin de önüne geçmek adına oldukça basit bir şekilde bitlocker’ın kullandığı anahtarları silmek yeterli olabilmektedir.
TPM (TRUSTED PLATFORM MODULE)
|
TPM (Trusted Platform Module): Anakart üzerinde bulunan ve içinde bilgilerin şifrelenmesini sağlayan anahtarları barındıran mikroçip mekanizması.
| |
Microsoft, Windows Vista ile birçok yeniliğe imza attı. Bunların en etkileyicilerinden biri de şüphesiz TPM (Trusted Platform Module) oldu.
Güvenlik stratejilerinin gün geçtikçe önem kazandığı günümüzde vaat ettiği yüksek güvenlik düzeyi ile dikkat çeken TPM’in çok kısa bir süre içerisinde hayatımıza gireceğine şüphe yok diyebilirim.
Şimdi TPM’in ekipmanlarını ve onu oluşturan güvenlik öğelerine bir göz atalım;
TPM, veri bütünlüğün ü ve güvenliğini korumak maksadıyla ortaya konmuş olan bir çeşit güvenlik çipidir . Anakart üzerine yerleştirilmiş olup yazılım-donanım bütünlüğüyle yüksek şifreleme olanağı sunmaktadır. Dolayısıyla veri güvenliği konusunda atılmış önemli bir adımdır.
TPM; RSA, SHA-1, RNG gibi kripto servisleri kullanır. Bu sayede yüksek şifreleme gerçekleştirebilir. Şifrelemede ve çözümlemede kullanılan anahtarların yaratılması, değiştirilmesi ve yönetilmesi işlevlerini de yönetir.
|
Hangi anahtar nerede?
· SRK (Storage Root Key) TPM çipinin içinde bulunur.
· SRK anahtarı; TPM/PIN/USB Storage Device ekipmanlarından biriyle FVEK’i (Full Volume Encryption Key) şifreler.
· FVEK (encrypted by SRK) hard diskin İşletim Sistemi bölümünde bulunur.
BIT LOCKER & TPM İLİŞKİLERİ
BitLocker şifreleme teknolojisi (Resim:Microsoft Technet)
BitLocker Drive encryption sistemi kendi başına kullanılabileceği gibi TPM ile de kullanılabilmektedir. TPM ile kullanıldığında yüksek güvenlik çözümleri sunmaktadır.
Şimdi Bit Locker ve TPM arasında oluşabilecek olası güvenlik senaryoları tanıyalım.
· Yalnızca TPM
· TPM+PIN
· TPM+Startup Key
· Startup Key
· Recovery Key
· Recovery Password
BITLOCKER ICIN SISTEM VE DONANIM GEREKSINIMLERI
· Sistemde TPM 1.2 bulunmalıdır. Bu sayede sistem boot aşamasını, ölçüm ve planlamasını yapabilecektir.
· v1.2 TCG-uyumlu (Trusted Computing Group) BIOS. Boot öncesindeki güvenlik dengesini ve güvenilirliği sağlamak amacıyla kullanılan bir güvenlik zinciridir. Bu sayede işletim sistemi ile donanımsal strateji güvenlik bakımından birbirlerine köprülenmiş olmaktadır. Bunun yanında sistem, TCG için Static Root Trust Measurement (SRTM) desteği sunmalıdır.
· BIOS kesinlikle USB Mass Storage Device Class desteği sunmalıdır. USB içerisindeki küçük dosyaların okunabilmesi ve şifrelemeyi destekleyebilmesi için boot öncesi aşamada bu özelliğin kullanılması gerekmektedir.
· Sistemde en az 2 tane volume bulunmalıdır. Bunlardan birine “işletim sistemi bölümü” diğerine ise “sistem bölümü” adı verilmektedir. “Sistem” bölümü sayesinde boot aşaması sonrasında güvenli bir şekilde Windows’un açılmasını sağlamaktadır. “Sistem” bölümünün işlevini yerine getirebilmesi için bu bölümün encrypt edilmemesi gerekmektedir. Ayrıca bu bölümün NTFS ile formatlanması ve en az 1,5 GB boyutunda olması gerekmektedir.
ŞİFRELEME (Encryption):
BitLocker güvenlik mantığının en önemli kısmı parmak izi olarak bileceğimiz bir ölçüm ortaya çıkarmasıdır. Bu parmak izi sayesinde boot sisteminin son durumunu ya da değişikliğe uğrayıp uğramadığı tespit edilebilmektedir. Boot sürecindeki bütünlük doğrulandıktan sonra TPM devreye girmekte ve var olan sanal kilidi açarak system boot işlemini devam ettirmektedir. Böylece güvenlik koruması bu andan itibaren işletim sistemine devredilecektir. Zaten buradaki amaç işletim sistemi ve yazılımsal güvenliğe geçişe kadarki süreçte bilgisayarın her türlü atağa karşı korunması ve işletim sistemine güvenlikli bir şekilde teslim edilmesidir.
Hard diskin bölümleri şifrelenirken FVEK (Full Volume Encryption Key) adı verilen anahtar kullanılır. Bu anahtar da Volume Master Key (VMK) adı verilen bir anahtar ile şifrelenmektedir. Aslında VMK’nın güvenilir olması sonuç olarak kullanıcı verilerinin de güvenilir olması manasını taşımaktadır. VMK aynı zamanda anahtarların kaybolması ya da çalınması durumunda resetlenmesi durumunda da kullanılmaktadır. Bu özelliğiyle en önemli konumda bulunan anahtardır.
AUTHENTICATION METHODS
KULLANICI KATILIMI GEREKTIRMEYEN KIMLIK DOĞRULAMA (AUTHENTICATION)
TPM ve Başlangıç Anahtarı (Startup Key) sayesinde kullanıcı herhangi bir girdi vermeksizin korumadan fayadalancaktır. Önce TPM devreye girecek ve ilk boot aşamasını sağlayacaktır. Ardından içerisine startup key yerleştirilmiş olan USB flash bellek takılarak sisteme giriş yapılır.
KULLANICI KATILIMI GEREKTIREN KIMLIK DOĞRULAMA (AUTHENTICATION)
TPM ve PIN sayesinde boot işlemi gerçekleşir. Ardından Recovery Key / Startup Key istenir. Bu durumda yine USB flash bellek sisteme dahil edilir. Son olarak Kullanıcı Recovery Password girmek koşuluyla sürücüyü unlock ederek işletim sistemine ve verilerine ulaşabilir. Bu yolun daha uzun ama daha güvenli olduğu düşünülmektedir.
Bitlocker Key Chain
Bit Locker Key chain sayesinde 256-bit AES şifrelemesine sahip External Wrapping Key (EWK) ile halihazırda boot edilmiş bölümün VMK’sı şifrelenmektedir. Bildiğimiz üzere VMK , FVEK anahtarını şifrelemek için kullanılmaktadır. Bu da Vistada çok kuvvetli bir şifreleme zinciri olduğunu göstermektedir.
ARTIK BIT LOCKER DRIVE ENCRYPTION’I AKTIF EDELIM!
BitLocker Drive Encryption, Control Panel içerisinde bulunur.
Yukarıdaki görünümde TPM (Trusted Platform Module) donanımına sahip olmayan bir bilgisayarın durumu görüntüleniyor.. Bunun yanında hard diskin Bitlocker Drive Encryption için uygun şekilde yapılandırılmadığını da görüyoruz.
Şimdi Hard disk yapılandırılması hazır bir sistemde BitLocker Drive Encryption teknolojisinin adım adım nasıl sisteminize entegre edileceğini görelim..
Control Panelden BitLocker Drive Encryption seçildiğinde hard diskiniz encrypt edilmeye hazır durumdaysa aşağıdaki gibi bir görüntüyle karşılaşırız.
“Turn On BitLocker” seçeneğinin tıklayarak işimize başlıyoruz.
Sistemde çalışır durumda olan TPM çipi bulunmadığından dolayı encryption için kullanılan anahtarı TPM’de saklayamayacağız. Bunun için bu anahtarı ya disk içerisine ya da USB sürücü içerisine kaydetmemiz gerekmektedir. Startup Key adı verilen anahtar sayesinde başlangıç aşamasında bu şifre girilmeden kullanıcı işletim sistemine ulaşamayacaktır.
Bu noktada anahtarı hangi konuma kaydetmek istediğimize karar vermeliyiz.
Eğer BitLocker; sistem boot esnasında startup engellemesi yapacak olursa bu durumda bizim bir kurtarma şifresine (recovery password) ihtiyacımız olacaktır. İşte bu şifreyi de oluşturacağımız nokta burası.
Bu kısımda Kurtarma Şifresini görebilir, bir klasör içerisine tutabilir. USB sürücünüz içerisine kaydedebilir ya da basit bir şekilde yazdırabilirsiniz. En güvenli yol şüphesiz sistemden bağımsız bir sürücü olan USB sürücü içerisine bunu kaydetmektir.
Son olarak “Encrypt” butonu ile şifreleme gerçekleştirilir.
BitLocker iptal edilmek istendiğinde ise çok basit bir biçimde bu işlemi gerçekleştirebilirsiniz.
Disable BitLocker Drive Encryption seçeneği ile sürücü şifreleme özelliği devre dışı bırakılabilir. Bu seçenek ile şifreleme anahtarı hala geçerliliğini sürdürmektedir. Lakin Decrypt the Volume seçeneği sayesinde sürücü deşifre edilecek ve dolayısıyla bütün verileriniz şifresiz konuma gelecektir. Takdir edileceği üzere uzun zaman alacaktır. :)
Evet dostlarım; Bir makalenin daha sonuna geldik. Umarım çok yakında Vista’nın yeni özellikleriyle beraber olacağız. Teşekkür Ederim.