Vista Bitlocker Drive Encryption Mimarisi

Hepinize merhaba,Vista ile alakalı bu makalemde,güvenlik konusunda ödün vermeyen Microsoft’un Vista işletim sistemi üzerinde bizlere sunmuş olduğu  Bitlocker Drive Encryption özelliğinin mimarisini açıklayacağım.Makalenin 2. bölümünde ise adım adım Bitlocker’ı uygulayacağız.

Windows Vista ile gelen yeni özelliklerden bir tanesi de Bitlocker Sürücü Şifreleyicisi (Bitlocker Drive Encryption-BDE)’dir. BDE, bilgisayarımızın hard disk sürücüsünü koruma amaçlı olarak geliştirilmiş bir ürün olup, Windows volume yani dinamik disk bölümünün tamamını şifreleyerek yetkisiz kullanıcıların Windows dosya ve sistem koruyucularını kırmasına ya da offline olarak güvenli sürücü üzerinde bilgi görüntülemesine engel olmayı sağlamaktadır. Bu konuda Bitlocker ile veri güvenliği, sistem bütünlüğü ve Bitlocker kullanan bilgisayarlarda problem çözümü anlatılacaktır.

Bitlocker Mimarisi

Bitlocker Vista’nın Enterprise ve Ultimate sürümlerinde kullanılabilecek bir özellik olup kaybedilmiş, çalınmış ya da uygun bir biçimde devre dışı bırakılmamış bilgisayarlardan bilgiyi açığa çıkarıp çalmayı engellemek amacıyla geliştirilmiştir. Ancak Bitlocker’ın uygun bir biçimde yönetilememesi sorun ve help desk’e sık aramalar getireceğinden, bu yapının mimarisini anlamak önemlidir.

Bitlocker TPM (Trusted Platform Module) çipinin 1.2 versiyonlu modelini kullanmaktadır. Bu çip anakart üzerinde bulunup şifre, anahtar (key) ve sertifika gibi güvenlik nesnelerini saklamaktadır. Bitlocker, normal önyükleme (boot) işlemini, kullanıcı bir PIN (Personal Identification Number) ya da uygun şifre çözücü anahtarları içinde bulunduran bir USB Flash bellek temin edene kadar, kilitleyebilir. Bitlocker’ın kullanılabilmesi için, BIOS’un USB Mass Storage Device sınıfını desteklemesi gerekmektedir. TPM çipi yoksa, ancak başlangıç anahtarını içeren bir USB aygıtı kullanmayla limitli bir BitLocker işlevselliği söz konusu olacaktır.

BitLocker şifreleme Mimarisi(Microsoft Technet)

TPM ile Bitlocker üç şekilde (mod) kullanılabilir:

●Transparent Operation Mode (TPM only-Yalnızca TPM):Bu modda Bitlocker, boot sektör, BIOS ya da MBR (Master Boot Record) gibi bileşenlerde değişiklik tespit ederse, veriye erişim için bizim daha önceden belirlemiş olduğumuz bir kurtarıcı şifre (recovery password) ister.

●TPM with PIN (PIN gerektiren TPM):Bu modda, TPM güvenliğine ilaveten, Bitlocker kullanıcının önyükleme işlemi sırasında bir PIN girmesini gerektirir.

●TPM with Startup Key (Başlangıç anahtarı gerektiren TPM):Bu modda, şifreleyici anahtarın (encryption key) bir bölümü bir USB aygıtı üzerinde bulunduğundan dolayı bu aygıtı kullanmadan şifrelenmiş volume üzerindeki veriye ulaşılamaz. En güvenli ve de tavsiye edilen yoldur.

TPM ile Bitlocker üç şekilde (mod) kullanılabilir:

●Transparent Operation Mode (TPM only-Yalnızca TPM):Bu modda Bitlocker, boot sektör, BIOS ya da MBR (Master Boot Record) gibi bileşenlerde değişiklik tespit ederse, veriye erişim için bizim daha önceden belirlemiş olduğumuz bir kurtarıcı şifre (recovery password) ister.

●TPM with PIN (PIN gerektiren TPM):Bu modda, TPM güvenliğine ilaveten, Bitlocker kullanıcının önyükleme işlemi sırasında bir PIN girmesini gerektirir.

BitLocker Gereksinimleri

Daha önce de belirtildiği üzere BitLocker ancak Windows Vista Enterprise ve Windows Vista Ultimate sürümlü işletim sistemli bilgisayarlarda çalışabilir. BitLocker için en güvenli konfigürasyon ise yine daha önce belirtildiği gibi 1.2 versiyonlu TPM çipi ve uyumlu BIOS kullanılması konumunda elde edilir. BitLocker için iki NTFS bölmesi gereklidir: İşletim sistemi yani ilk ntfs bölmesi ve, normalde en az 1.5 GB’lık ancak Windows Vista güncelleme ve kurtarma özellikleri kullanılmayacaksa en az 50 MB’lık, ikinci bir bölüm. Eğer TPM yoksa, bilgisayar önyükleme (First Boot) aşamasında USB aygıt tanımayı (başlangıç anahtarı için) destekleyecek biçimde olmalıdır.

Bunların yanında, domaindeki bütün DC’ler Windows Server 2003 Service Pack 1 ya da sonrası sürümlü işletim sistemlerine sahip olmalıdır. Windows Server 2003’ün desteklemesi için ise Active Directory şemanın (schema) BitLocker kurtarma bilgisini dizinde (directory) saklayacak biçimde genişletilmesi gerekmektedir.

BitLocker Veri Kurtarma İşlemi

BitLocker’da veri kurtarma basit ve etkili bir işlem dizisiyle gerçekleştirilebilir. Ancak unutulmuş ya da kaybedilmiş anahtarların verilerimizi kullanılmaz hale getirebileceğini göz önünde bulundurarak kurtarma işlemini anlamak önemlidir.

Kurtarma, Windows Vista’nın işletim sistemi bölümü kilitlenmişse gerekecektir. Kilitlenme, şu gibi sebeplerden kaynaklanabilir:

●BitLocker korumalı sürücüyü başka bir Windows Vista işletim sistemli bilgisayara bağlamak.

●Anakart’ta değişiklik ya da güncelleme yaparken yanlışlıkla TPM çipinin yerini değiştirme.

●TPM çipinin etkisizleştirilmesi, kapatılması veya içeriğinin silinmesi.

●PIN ile kimlik doğrulama (authentication) gerektiğinde PIN’in unutulması.

●Başlangıç anahtarını içeren USB aygıtının bozulması.

●Boot bileşenlerinin değiştirilmesi (kasıtlı veya kaza eseri) sonucu TPM’in hata vermesi.

Kurtarma için TPM gerekmez, yani TPM anakarttan çıkarılsa ya da hata verse bile kurtarma işlemi gerçekleştirilebilir.Kurtarma işleminde kurtarma anahtarı kullanarak şifrelenmiş olan VMK’i elde etmek esastır. Kurtarma anahtarı bir USB Flash sürücüsünde tutulan bir 256 bitlik bir anahtar ya da 48 haneli rastgele üretilmiş bir sayıdan elde edilen bir kriptografik şifredir. Kurtarma işleminin nasıl gelişeceği ise, kurtarma şifresinin nasıl yedeklendiğine (backup) ve ona olan erişimimize bağlı olmaktadır.

BitLocker Korumalı Bilgisayarlarda Problem Çözümü için Göz Önünde Bulundurulması Gereken Hususlar:

BitLocker veriler için güçlü bir güvenlik sağlamasına rağmen, bu güvenlik doğrultusunda gerekli olan kurtarma anahtarı veya şifresinin kaybedilmesi durumundaki risk göz önüne alındığında, BitLocker korumalı bilgisayarların yönetiminin de ne kadar önem taşıdığı ortaya çıkmaktadır. Group Policy sayesinde, BitLocker’ı etkinleştiren kullanıcılar için kurtarma metotlarına izin verilebilir veya verilmeyebilir, ya da bunlar opsiyonel yapılabilir.

Evet arkadaşlar,bu makalemde Vista Bitlocker Drive Encryption mimarisi hakkında bilgi verdim.makalenin diğer serisinde ise Bitlocker’ı uygulayacağız.Tekrar görüşmek üzere,

Hoşçakalın…