BitLocker e Diagnostics and Recovery Toolset – Discussão sobre criptografia

  • Article

Recentemente um cliente fez o seguinte questionamento: "Por que usar BitLocker se ferramentas como DaRT da própria Microsoft pode facilmente decriptografar?"

Primeiro vamos definir o que é o BitLocker e em seguida discutir se DaRT (Diagnostics and Recovery Toolset – Ferramenta do pacote MDOP) compromete a sua intenção.

BitLocker basicamente é focado em duas coisas. A primeira é a criptografia completa de volume (Full Volume Encription - FVE) o que significa dizer que seus dados são criptografados e você pode usar TPM, PIN, USB key, etc para fornecer acesso ás chaves de recuperação/decriptografia do volume. Consulte o artigo do TechNet para obter mais informações.

A segunda parte do BitLocker é a integridade do sistema. No momento que o sistema operacional é carregado, a integridade da seqüência de inicialização é verificada e se a mesma diferir daquilo que esperamos, nós podemos cancelar a sua inicialização... como é explicado pelo artigo TechNet:

".. .BitLocker utiliza o TPM para verificar a integridade dos componentes de inicialização e dados de configuração de startup. Isso ajuda a garantir que o BitLocker torna o volume criptografado, acessível somente se esses componentes não foram adulterados e a unidade criptografada está localizada no computador original.

BitLocker ajuda a garantir a integridade do processo de inicialização por:

· Fornecer um método para verificar antecipadamente se a integridade do arquivo de inicialização foi mantida e ajudar a garantir que não houve alteração contraditória desses arquivos, como por vírus do setor de boot ou outras ferramentas.

· Reforçar a proteção para atenuar ataques baseados em software offline. Qualquer software alternativo que poderia iniciar o sistema, não tem acesso às chaves de criptografia para o volume do sistema operacional.

· Bloqueio do sistema quando o mesmo for adulterado. Se quaisquer arquivos monitorados foram adulterados, o sistema não será iniciado. O usuário recebe um alerta sobre a violação, uma vez que o sistema Falha ao iniciar. No caso desse bloqueio de sistema ocorrer, o BitLocker oferece um processo de recuperação simples...."

Agora que compreendemos como as chaves podem ser acessadas para decriptografar o volume, podemos prosseguir. Evidentemente se você não fornecer qualquer proteção para essas chaves (digamos por meio de um PIN) alguém mal intencionado poderá ter acesso para descriptografar o volume. Caso contrário, você precisará usar a chave de recuperação, que é gerada no momento que o volume está sendo criptografado....

Para os administradores de sistema, é possível que esta chave seja armazenada no Active Directory.

Voltamos então á pergunta inicial, Por que usar BitLocker se as ferramentas do DaRT podem violá-lo?

Isso nos faz pensar que o DaRT é uma backdoor para o BitLocker, mas esta afirmação não é correta!

Realmente o DaRT permite o boot/inicialização do computador de modo offline e acesso os dados que se encontram armazenados no disco. No caso deste disco estar criptografado com Bitlocker, apenas a pessoa que possuir a chave de recuperação para decriptografar o volume irá conseguir acessar os dados, caso contrario o volume NÃO será acessado!

Portanto, não há como o DaRT comprometer a configuração do BitLocker, a menos que se tenha em mãos a chave de recuperação.

Abraços,

Eduardo Zarpelão