تکنولوژی رمزگذاری BitLocker که مایکروسافت در ویندوز پیش‌بینی کرده، یکی از روش‌های ساده و سریع برای حفظ امنیت فایل‌ها و حریم خصوصی است. اما بررسی‌های اخیر نشان می‌دهد که راه‌هایی برای دور زدن این روش وجود دارد، مثل برداشتن تراشه‌ی TPM و استخراج کلید رمزگذاری که در آن ذخیره شده است. حتی برخی درایوهای SSD نیز رمزگذاری بیت‌لاکر ویندوز را عملاً غیرفعال می‌کنند!

در این مقاله به ملاحظات امنیتی که می‌بایست در استفاده از BitLocker ویندوز در نظر گرفت، می‌پردازیم.

قبلاً در مقاله‌ای به روش استفاده از BitLocker در ویندوز به منظور رمزگذاری یا encryption فایل‌های شخصی، فایل‌های کاری و امنیتی اشاره کردیم:

با وجود نرم‌افزارهای رایگان برای رمزگذاری کردن فایل و فولدر، شاید برخی کاربران از BitLocker استفاده نکنند اما به هر حال بیت‌لاکر در ویندوز مجتمع شده و استفاده از آن بسیار ساده و سریع است. اما توجه کنید که استفاده‌ی غیراصولی از بیت‌لاکر، ممکن است مشکلاتی مثل سوء استفاده از فایل‌های شخصی شما را به دنبال داشته باشد. البته اغلب روش‌های دور زدن بیت‌لاکر بر دسترسی فیزیکی استوار است و در واقع اگر کسی به هارددیسک و SSD یا قطعات داخلی کامپیوتر شما دسترسی نداشته باشد، روش‌های معمولی برای دور زدن این قابلیت مفید ویندوز پاسخ‌گو نیست.

بنابراین پیش از استفاده از BitLocker به نکاتی که در ادامه بررسی می‌کنیم، توجه فرمایید.

نسخه‌ی خانگی یا Home از BitLocker استاندارد پشتیبانی نمی‌کند

اولین نکته در استفاده از قابلیت امنیتی بیت‌لاکر این است که به نسخه‌ی ویندوز توجه کنید. نسخه‌ی خانگی یا Home ویندوز ۱۰ از این قابلیت جالب پشتیبانی نمی‌کند! مایکروسافت این قابلیت را در نسخه‌های کامل‌تر و حرفه‌ای‌تر گنجانده است.

در برخی کامپیوترها می‌توان از تکنولوژی رمزگذاری خاصی که مایکروسافت نام آن را Device Encryption گذاشته استفاده کرد. نام دیگر این قابلیت، BitLocker device encryption است که شاید کاربران را به اشتباه بیاندازد اما توجه کنید که این روش رمزگذاری، محدودتر از BitLocker استاندارد ویندوز است.

 هکر یا بهتر است بگوییم یک کاربر نیمه‌حرفه‌ای می‌تواند هارددیسک سیستم شما را به سیستم دیگری متصل کند و تمام فایل‌هایی که روی آن ذخیره شده را کپی کند! حتی بدون خروج هارددیسک هم این کار امکان‌پذیر است و می‌توان با بوت کردن یک ویندوز پرتابل یا توزیعات مختلف لینوکس، بدون آنکه چیزی روی سیستم نصب شود، این کار را انجام داد.

لذا اگر روی سیستمی فایل‌های مهم و شخصی موجود است، از نصب کردن نسخه‌ی Home ویندوز ۱۰ خودداری کنید و نسخه‌ی Pro یا Enterprise را روی آن نصب کنید. اگر فایل‌های شخصی و امنیتی کم‌تعداد و کم‌حجم است، می‌توانید از روش دیگری برای رمزگذاری استفاده کنید. بنابراین می‌توانید نسخه‌ی خانگی ویندوز ۱۰ نیز استفاده کنید اما برای رمزگذاری می‌بایست از نرم‌افزارهای جانبی خاصی مثل VeraCrypt که جایگزین TrueCrypt قدیمی شده و البته رایگان است، استفاده کنید. قبلاً به معرفی برخی نرم‌افزارهای محبوب در این عرصه پرداختیم:

بیت‌لاکر و آپلود کلید رمزگذاری روی سرورهای مایکروسافت

بسیاری از کامپیوترهای امروزی قابلیت رمزگذاری کردن درایوها را دارند که به آن device encryption گفته می‌شود و همان‌طور که اشاره کردیم محدودتر از BitLocker عمل می‌کند. اگر کامپیوتری از این روش رمزگذاری پشتیبانی کند، به صورت خودکار با ورود به حساب کاربری مایکروسافت، رمزگذاری انجام می‌شود. کلید رمزگذاری نیز به صورت خودکار روی سرورهای مایکروسافت آپلود می‌شود!

آپلود کلید رمزگذاری روی سرورهای مایکروسافت از این جهت که کلید ریکاوری از بین نمی‌رود، روش خوبی است. حتی اگر رمز عبور حساب مایکروسافت را فراموش کنید هم راهی برای ریست کردن رمز عبور و دانلود کردن کلید رمزگذاری فایل‌ها وجود دارد. اما از این جهت که مایکروسافت به کلید رمزگذاری فایل‌های شما دسترسی دارد، روش خوبی محسوب نمی‌شود. به هر حال کمپانی‌های بزرگ عرصه‌ی نرم‌افزار، کم و بیش اطلاعات کاربران را به صورت مخفیانه در اختیار سازمان‌های جاسوسی قرار می‌دهند. از طرفی ممکن است شخص غیرمجازی که به هارددیسک کامپیوتر شما دسترسی دارد و در عین حال پسورد حساب شما در وب‌سایت مایکروسافت را مخفیانه رویت کرده، می‌تواند فایل‌ها را رمزگشایی کند. بنابراین این روش رمزگذاری بهتر از دسترسی آزاد به فایل‌ها است اما روش کاملاً امن و حافظ حریم خصوصی محسوب نمی‌شود.

برای امنیت بیشتر می‌توانید در مراحل رمزگذاری کردن فایل‌ها، گزینه‌ی آپلود روی سرورهای مایکروسافت را انتخاب نکنید بلکه آپلود روی فلش‌درایو USB شخصی یا ذخیره کردن به صورت فایل را انتخاب کنید و در ادامه فایل کلید رمزگذاری را در محل امنی نگهداری کنید.

چگونه امنیت فایل‌های شخصی که با BitLocker رمزگذاری شده را افزایش دهیم؟

بسیاری از درایوهای SSD رمزگذاری BitLocker را از بین می‌برند!

درایوهای SSD امروزی، اغلب از تکنولوژی رمزگذاری سخت‌افزاری یا Hardware Encryption بهره می‌برند که سریع‌تر از روش‌های نرم‌افزاری عمل می‌کند. اما اگر در سیستمی مجهز به این نوع SSDها، از بیت‌لاکر ویندوز برای رمزگذاری استفاده کنید، ویندوز کاری خاصی انجام نمی‌دهد و به امنیت روش رمزگذاری درایو SSD اعتماد می‌کند.

چگونه امنیت فایل‌های شخصی که با BitLocker رمزگذاری شده را افزایش دهیم؟

اما بررسی‌های متخصصین حوزه‌ی امنیت نشان می‌دهد که بسیاری از درایوهای SSD این کار را به درستی انجام نمی‌دهند. به عنوان مثال درایوهای سری MX300 کمپانی Crucial، کلید رمزگذاری را با پسورد خالی ذخیره می‌کند! لذا شاید بهتر باشد که از بیت‌لاکر در این شرایط استفاده نکنید.

البته این اشکال متوجه ویندوز ۷ نیست چرا که در ویندوز ۷ زمانی که از بیت‌لاکر استفاده می‌کنید، توجهی به قابلیت‌های درایو SSD نمی‌شود و ویندوز این کار را انجام می‌دهد.

برای حل کردن این مشکل و در واقع غیرفعال کردن رمزگذاری سخت‌افزاری درایوهای SSD، می‌توانید از Group Policy Editor استفاده کنید و Configure use of hardware-based encryption for fixed data drives را روی حالت Disabled تنظیم کنید. پس از این تغییر، فراموش نکنید که فایل‌های رمزگذاری شده را رمزگشایی و مجدداً رمزگذاری کنید تا ویندوز مقوله‌ی رمزگذاری با تکنولوژی BitLocker را از نو انجام دهد.

خطر جدا کردن تراشه‌ی TPM

محققین هک و امنیت اخیراً روش دیگری برای دور زدن رمزگذاری با بیت‌لاکر را پیاده‌سازی کرده‌اند. کلید رمزگذاری در تراشه‌ای به اسم TPM یا Trusted Platform Module ذخیره می‌شود. با استفاده از یک برد FPGA که تنها ۲۷ دلار قیمت دارد و برخی کدهای متن باز، می‌توان کلید رمزگذاری را به سادگی استخراج کرد! البته با این روش سخت‌افزار از بین می‌رود اما کلید رمزگذاری در اختیار هکر قرار می‌گیرد و دسترسی به فایل‌ها امکان‌پذیر می‌شود.

چگونه امنیت فایل‌های شخصی که با BitLocker رمزگذاری شده را افزایش دهیم؟

برای حل کردن این مشکل، می‌توانید قابلیت درخواست PIN قبل از بوت شدن را در گروپ پالسی یا به عبارت دیگر آپشنی به اسم Require startup PIN with TPM را فعال کنید. در این صورت ویندوز برای آنلاک کردن TPM در فرآیند بوت، نیاز به پین کد دارد. البته وارد کردن پین کد قبل از شروع به کار ویندوز ۱۰ شاید یک مرحله‌ی اضافی و وقت‌گیر به نظر برسد اما به هر حال برای حفظ امنیت، می‌بایست این ویژگی را فعال کنید تا آنچه در TPM ذخیره شده، به راحتی در دسترس هکر قرار نگیرد.

کامپیوتر Sleep شده امنیت ضعیف‌تری دارد!

مایکروسافت توصیه کرده که در صورت فعال کردن رمزگذاری بیت‌لاکر، قابلیت Sleep کردن سیستم را استفاده نکنید و آن را به کلی غیرفعال کنید. البته حالت Hibernate مشکل خاصی ندارد و در صورت استفاده از این حالت، بهتر است روش قبلی را پیاده‌سازی کنید تا قبل از ورود به ویندوز، پین کد سوال شود.

حالت Sleep از این نظر امن نیست که کلید رمزگذاری روی حافظه‌ی RAM ذخیره می‌شود. لذا هکر در صورت دسترسی به سیستم شما، می‌تواند از DMA برای کپی کردن محتویات حافظه‌ی رم استفاده کند و کلید فعالسازی را با صبر و حوصله، کشف کند.

چگونه امنیت فایل‌های شخصی که با BitLocker رمزگذاری شده را افزایش دهیم؟

برای فعال کردن نمایش گزینه‌ی هایبرنیت و بررسی تفاوت این حالت با اسلیپ، به مقاله‌ی زیر مراجعه فرمایید:

برای بیشتر شدن امنیت می‌توانید یکی از تنظیمات یعنی disable new DMA devices when this computer is locked را از طریق گروپ پالسی ادیتور ویندوز، فعال کنید.