?
?
Microsoft’un Windows Vista ile sundu?u yeni sürücü sifreleme sistemi sayesinde kullanicilar bütün verilerini tek bir konsoldan sifreleyebilecekler.
Vista’n?n HAYATIm?za derinlemesine girdi?i ?u a?amada yeni bir güvenlik ve koruma stratejisinden bahsedece?iz. Hard diskin tamam?n?n sifrelendi?i ve yüksek güvenlik ile korundu?u BitLocker mant???n? BitLocker™ Drive Encryption olarak bilinen koruma ve güvenlik sistemi sayesinde istemci ve server sistemlerin kuvvetli bir mant?kla korundu?undan söz edebiliriz.
EFS’den farkl? olarak dosyalar? de?il sürücünün tamam?n? sifrelemesi ile gerçekten köklü bir de?i?im sergiliyor. BitLocker™ Drive Encryption sistemi Windows Vista’n?n yaln?zca Enterprise ve Ultimate sürümlerinde kullan?l?yor. Server taraf?nda ise Longhornda yine BitLocker’i görebilece?iz. Sistemin temel amac?; herhangi bir sebeple verilerinizin çal?nmas? ya da kaybedilmesi durumunda bile verilerinizin güvenli?ini sonsuza dek sa?lamak.
Bu sistem büyük oranda olarak TPM (Trusted Platform Module) 1.2 teknolojisine dayanmaktad?r. Bu teknolojiyi de birazdan yak?ndan tan?yaca??z. ?imdi sürücü sifreleme mant???yla ba?layal?m…
SÜRÜCÜ ??FRELEME (DRIVE ENCRYPTION) : Windows’un önceki sürümlerinde görmedi?imiz sürücü sifreleme özelli?i sayesinde bütün diskin belirli bir algoritma ile sifrelenmesini öngören sistemdir.. Bütün sistem dosyalar?, kullanici verileri, page file, temporary files ve hibernation dosyalar?n? da sifreleyebilmesi sürücü sifreleme tekni?inin çok tercih edilece?ini gösteriyor.
BitLocker, Vista içerisine entegre edilmi? bir veri koruma platformu olmas?n?n yan? s?ra ayn? zamanda Boot i?lemi üzerine yapm?? oldugu eklenti ve koruma stratejileriyle de tan?nmaya ba?lad?. Bunu yaparken, PIN numaras? , ATM kart? ya da USB bellek içerisine yerle?tirilmi? bir anahtar kullan?yor olmas? da göz dolduruyor diyebiliriz. Tüm bu özellikleri ile boot process güçlü bir noktaya ta??nm??t?r. Bununla birlikte bir önceki boot i?leminden farkl? olarak de?i?en dosyalar? tespit etmek mümkün olabilmektedir. Bu da boot sector ve bunun gibi boot a?amas?nda zarar veren güvenlik s?k?nt?lar?n?n en aza indirgenmesi manas?na gelmektedir.Günümüzde de örneklerini gördü?ümüz ve önümüzdeki sene içerisinde yayg?n olarak görece?imiz anakartlar, üzerinde bulunacak bir çip ya da kart okuyucu sayesinde bilgisayar?n?z?n boot kontrolünü çok ciddi ve yüksek güvenlik ile yapabilmeyi imkanl? k?lacakt?r. Ayr?ca sistemden kald?r?lan bir dosyan?n kolayca geri getirilebilmesin de önüne geçmek ad?na oldukça basit bir ?ekilde bitlocker’?n kulland??? anahtarlar? silmek yeterli olabilmektedir.
TPM (Trusted Platform Module): Anakart üzerinde bulunan ve içinde bilgilerin sifrelenmesini sa?layan anahtarlar? bar?nd?ran mikroçip mekanizmas?.
Microsoft, Windows Vista ile birçok yenili?e imza att?. Bunlar?n en etkileyicilerinden biri de ?üphesiz TPM (Trusted Platform Module) oldu.
Güvenlik stratejilerinin gün geçtikçe önem kazand??? günümüzde vaat etti?i yüksek güvenlik düzeyi ile dikkat çeken TPM’in çok k?sa bir süre içerisinde HAYATIm?za girece?ine ?üphe yok diyebilirim.
?imdi TPM’in ekipmanlar?n? ve onu olu?turan güvenlik ö?elerine bir göz atal?m;
TPM, veri bütünlü?ün ü ve güvenli?ini korumak maksad?yla ortaya konmu? olan bir çe?it güvenlik çipidir . Anakart üzerine yerle?tirilmi? olup yaz?l?m-donan?m bütünlü?üyle yüksek sifreleme olana?? sunmaktad?r. Dolay?s?yla veri güvenli?i konusunda at?lm?? önemli bir ad?md?r.
TPM; RSA, SHA-1, RNG gibi kripto servisleri kullan?r. Bu sayede yüksek sifreleme gerçekle?tirebilir. sifrelemede ve çözümlemede kullan?lan anahtarlar?n yarat?lmas?, de?i?tirilmesi ve yönetilmesi i?levlerini de yönetir.
Hangi anahtar nerede?
· SRK (Storage Root Key) TPM çipinin içinde bulunur.
· SRK anahtar?; TPM/PIN/USB Storage Device ekipmanlar?ndan biriyle FVEK’i (Full Volume Encryption Key) sifreler.
· FVEK (encrypted by SRK) hard diskin isletim Sistemi bölümünde bulunur.
Yukar?daki görünümde “Turn TPM On” seçene?iyle TPM aktif hale getirilir. Konsolun sa? taraf?ndaki menünün gözüküyor olmas? bilgissayar?n?zda TPM çipinin oldugunu ifade etmektedir.
TPM çipi bulunmayan bir bilgisayarda yukar?da hata görüntülenecek ve blgisayar?m?zda TPM çipinin bulunmad???n? ya da BIOS içerisinden aktif hale getirilmedi?ini belirtecektir.
BIT LOCKER & TPM ?L??K?LER?
BitLocker sifreleme teknolojisi (Resim:Microsoft Technet)
BitLocker Drive encryption sistemi kendi ba??na kullan?labilece?i gibi TPM ile de kullan?labilmektedir. TPM ile kullan?ld???nda yüksek güvenlik çözümleri sunmaktad?r.
?imdi Bit Locker ve TPM aras?nda olu?abilecek olas? güvenlik senaryolar? tan?yal?m.
· Yaln?zca TPM
· TPM+PIN
· TPM+Startup Key
· Startup Key
· Recovery Key
· Recovery Password
BITLOCKER ICIN SISTEM VE DONANIM GEREKSINIMLERI
· Sistemde TPM 1.2 bulunmal?d?r. Bu sayede sistem boot a?amas?n?, ölçüm ve planlamas?n? yapabilecektir.
· v1.2 TCG-uyumlu (Trusted Computing Group) BIOS. Boot öncesindeki güvenlik dengesini ve güvenilirli?i sa?lamak amac?yla kullan?lan bir güvenlik zinciridir. Bu sayede isletim sistemi ile donan?msal strateji güvenlik bak?m?ndan birbirlerine köprülenmi? olmaktad?r. Bunun yan?nda sistem, TCG için Static Root Trust Measurement (SRTM) deste?i sunmal?d?r.
· BIOS kesinlikle USB Mass Storage Device Class deste?i sunmal?d?r. USB içerisindeki küçük dosyalar?n okunabilmesi ve sifrelemeyi destekleyebilmesi için boot öncesi a?amada bu özelli?in kullan?lmas? gerekmektedir.
· Sistemde en az 2 tane volume bulunmal?d?r. Bunlardan birine “isletim sistemi bölümü” Digerine ise “sistem bölümü” ad? verilmektedir. “Sistem” bölümü sayesinde boot a?amas? sonras?nda güvenli bir ?ekilde Windows’un aç?lmas?n? sa?lamaktad?r. “Sistem” bölümünün i?levini yerine getirebilmesi için bu bölümün encrypt edilmemesi gerekmektedir. Ayr?ca bu bölümün NTFS ile formatlanmas? ve en az 1,5 GB boyutunda olmas? gerekmektedir.
?
??FRELEME (Encryption):
BitLocker güvenlik mant???n?n en önemli k?sm? parmak izi olarak bilece?imiz bir ölçüm ortaya ç?karmas?d?r. Bu parmak izi sayesinde boot sisteminin son durumunu ya da de?i?ikli?e u?ray?p u?ramad??? tespit edilebilmektedir. Boot sürecindeki bütünlük do?ruland?ktan sonra TPM devreye girmekte ve var olan sanal kilidi açarak system boot i?lemini devam ettirmektedir. Böylece güvenlik korumas? bu andan itibaren isletim sistemine devredilecektir. Zaten buradaki amaç isletim sistemi ve yaz?l?msal güvenli?e geçi?e kadarki süreçte bilgisayar?n her türlü ata?a kar?? korunmas? ve isletim sistemine güvenlikli bir ?ekilde teslim edilmesidir.
Hard diskin bölümleri sifrelenirken FVEK (Full Volume Encryption Key) ad? verilen anahtar kullan?l?r. Bu anahtar da Volume Master Key (VMK) ad? verilen bir anahtar ile sifrelenmektedir. Asl?nda VMK’n?n güvenilir olmas? sonuç olarak kullanici verilerinin de güvenilir olmas? manas?n? ta??maktad?r. VMK ayn? zamanda anahtarlar?n kaybolmas? ya da çal?nmas? durumunda resetlenmesi durumunda da kullan?lmaktad?r. Bu özelli?iyle en önemli konumda bulunan anahtard?r.
AUTHENTICATION METHODS
KULLANICI KATILIMI GEREKTIRMEYEN KIMLIK DO?RULAMA (AUTHENTICATION)
TPM ve Ba?lang?ç Anahtar? (Startup Key) sayesinde kullanici herhangi bir girdi vermeksizin korumadan fayadalancakt?r. Önce TPM devreye girecek ve ilk boot a?amas?n? sa?layacakt?r. Ard?ndan içerisine startup key yerle?tirilmi? olan USB flash bellek tak?larak sisteme giri? yap?l?r.
KULLANICI KATILIMI GEREKTIREN KIMLIK DO?RULAMA (AUTHENTICATION)
TPM ve PIN sayesinde boot i?lemi gerçekle?ir. Ard?ndan Recovery Key / Startup Key istenir. Bu durumda yine USB flash bellek sisteme dahil edilir. Son olarak kullanici Recovery Password girmek ko?uluyla sürücüyü unlock ederek isletim sistemine ve verilerine ula?abilir. Bu yolun daha uzun ama daha güvenli oldugu dü?ünülmektedir.
Bitlocker Key Chain
Bit Locker Key chain sayesinde 256-bit AES sifrelemesine sahip External Wrapping Key (EWK) ile halihaz?rda boot edilmi? bölümün VMK’s? sifrelenmektedir. Bildi?imiz üzere VMK , FVEK anahtar?n? sifrelemek için kullan?lmaktad?r. Bu da Vistada çok kuvvetli bir sifreleme zinciri oldugunu göstermektedir.
ARTIK BIT LOCKER DRIVE ENCRYPTION’I AKTIF EDELIM!
BitLocker Drive Encryption, Control Panel içerisinde bulunur.
Yukar?daki görünümde TPM (Trusted Platform Module) donan?m?na sahip olmayan bir bilgisayar?n durumu görüntüleniyor.. Bunun yan?nda hard diskin Bitlocker Drive Encryption için uygun ?ekilde yap?land?r?lmad???n? da görüyoruz.
?imdi Hard disk yap?land?r?lmas? haz?r bir sistemde BitLocker Drive Encryption teknolojisinin ad?m ad?m nas?l sisteminize entegre edilece?ini görelim..
Control Panelden BitLocker Drive Encryption seçildi?inde hard diskiniz encrypt edilmeye haz?r durumdaysa a?a??daki gibi bir görüntüyle kar??la??r?z.
“Turn On BitLocker” seçene?inin t?klayarak i?imize ba?l?yoruz.
Sistemde çal???r durumda olan TPM çipi bulunmad???ndan dolay? encryption için kullan?lan anahtar? TPM’de saklayamayaca??z. Bunun için bu anahtar? ya disk içerisine ya da USB sürücü içerisine kaydetmemiz gerekmektedir. Startup Key ad? verilen anahtar sayesinde ba?lang?ç a?amas?nda bu sifre girilmeden kullanici isletim sistemine ula?amayacakt?r.
Bu noktada anahtar? hangi konuma kaydetmek istedi?imize karar vermeliyiz.
E?er BitLocker; sistem boot esnas?nda startup engellemesi yapacak olursa bu durumda bizim bir kurtarma sifresine (recovery password) ihtiyac?m?z olacakt?r. ??te bu sifreyi de olu?turaca??m?z nokta buras?.
Bu k?s?mda Kurtarma sifresini görebilir, bir klasör içerisine tutabilir. USB sürücünüz içerisine kaydedebilir ya da basit bir ?ekilde yazd?rabilirsiniz. En güvenli yol ?üphesiz sistemden ba??ms?z bir sürücü olan USB sürücü içerisine bunu kaydetmektir.
Son olarak “Encrypt” butonu ile sifreleme gerçekle?tirilir.
BitLocker iptal edilmek istendi?inde ise çok basit bir biçimde bu i?lemi gerçekle?tirebilirsiniz.
Disable BitLocker Drive Encryption seçene?i ile sürücü sifreleme özelli?i devre d??? b?rak?labilir. Bu seçenek ile sifreleme anahtar? hala geçerlili?ini sürdürmektedir. Lakin Decrypt the Volume seçene?i sayesinde sürücü desifre edilecek ve dolay?s?yla bütün verileriniz sifresiz konuma gelecektir. Takdir edilece?i üzere uzun zaman alacakt?r. 🙂
Evet dostlar?m; Bir makalenin daha sonuna geldik. Umar?m çok yak?nda Vista’n?n yeni özellikleriyle beraber olaca??z.
?
Tesekkür Ederim.
?
Baki Onur OKUTUCU
?