Интервью с BitLocker Team

Проект WindowsConnected.com имел недавно возможность задать ряд вопросов команде разработчиков BitLocker. Перевод мы представляем вам. (Так как перевод делался быстро, возможны небольшие орфографические ошибки. Приносим свои извинения.)

В: Можете в двух словах рассказать, что такое BitLocker и как он работает?
О: BitLocker это система шифрования, одна из основных новых функций безопасности Vista, позволяющая шифровать любые данные на вашем компьютере.
BitLocker – ответ Microsoft на один из основных запросов наших клиентов – обеспечение безопасности в случае физического воровства машины или потери компьютера.
BitLocker мешает вору, загружающему другую ОС или пытающемуся получить доступ с жесткого диска файлы защищенные Windows Vista. Он также защитит ваш компьютер при автономном просмотре файлов. Это – расширенная аппаратно-программная система шифрования.
Использовать ее рекомендуется с аппаратным TPM 1.2 модулем, который поможет защитить пользовательские данные и гарантировать, что ПК, работающий на Windows Vista, не потеряет информации во время автономной работы системы. BitLocker обеспечивает и ряд других функций, таких как препятствие передачи информации с компьютера на мобильные устройства.

В: Какие формы шифрования могут использоваться? Действительно ли BitLocker удобен?
О: BitLocker силен за счет алгоритма AES и поддержки 128 и 256-битному шифрованиям. А удобство обеспечивает подвижная конфигурация групп использования.

В: Действительно ли BitLocker может предотвратить взлом?
О: Взломы против 128-битного и 256-битного шифрования под AES бесполезны.
Также в BitLocker имеются средства контроля USB и PIN в связке с TPM.

В: К каким другим типам нападений BitLocker также восприимчив? И каковы его слабости?
О: Это зависит от настройки BitLocker пользователем.
Использование PIN и USB в связке с TPM обеспечивает более высокую безопасность, хотя это также требует, что бы USB или PIN с ключом пользователь на забыл в компьютере. Различные аппаратные конфигурации могут помочь бороться с конкретными опасностями.
Кроме того, BitLocker все еще полагается на пользователя в выборе паролей; слабые пароли все еще взломать легче, чем сложные.

В: Как BitLocker будет взаимодействовать с Windows Vista, сильно ли из-за него будет изменена работа с ОС? И что с быстродействием?
О: Слишком рано говорить о взаимодействии между ними; но мы ожидаем, что BitLocker не сильно изменит повседневную работу и быстродействие.

В: Сможем ли мы зашифровать больше, чем раздел с Windows Vista?
О: Когда BitLocker будет выпущен, он сможет шифровать по-умолчанию раздел с ОС и файл спящего режима. Если вы захотите зашифровать другие разделы, вы сможете это сделать посредством EFS; файл конфигурации EFS хранится на системном разделе, так, если у вас зашифрован раздел с Vista, вы сможете без проблем осуществить шифрование всей другой информации.

В: В чем самый безопасный метод использования BitLocker?
О: Использование его вместе с TPM 1.2, Trusted Computing Group через BIOS и стартовым паролем. Стартовый пароль предусматривает дополнительные фактор установление подлинности, требуя дополнительного ключа (записанного на USB или PIN) установленного пользователем. Использование пароля для акаунта пользователя также не помешает.

В: Каковы способы хранения ключа восстановления?
О: Ключ восстановления может быть сохранен в папке, в USB-брелке или просто отослан на принтер. Администратор может организовать работу ключа восстановления с группами, и экспорт ключа в Active Directory.

В: Как могут администраторы загружать ключи восстановления?
О: Администраторы могут использовать их как угодно, как принято на их предприятии. В крупных предприятиях будет пользоваться популярностью экспорт в Active Directory. Это можно организовать через управление группами или WMI. К ним (ключам) можно обращаться в любой момент, когда нужно получить доступ к информации, или через скрипт или через простую команду LDAP. Другой способ хранения это USB. Устройства USB могут хранить ключи, а когда нужно заблокировать машину, можно просто отключить носитель.

В: Если я потеряю ключ восстановления к моим данным, они не могут быть восстановлены?
О: Да. Пользователь нуждается в ключе восстановления для получения доступа к данным. Он может храниться в Active Directory или в другом безопасном месте. Однако это нужно хранить. Мы проведем некоторые способы получения доступа к диску в случае повторного развертывания или перепродажи машины, но речь идет только об утилизации диска, а не о прочтении его данных.

В: А что если будет неполадки с машиной? Что делать тогда?
О: Тогда пользователю придется войти в режим восстановления, отпереть машину и затем отладить работу.

В: Сегодня чтобы работать с BitLocker, вам необходимо при установке Vista создать два раздела. Будет ли возможно в будущем активировать BitLocker при одном разделе?
О: Мы слушаем пожелания наших клиентов, и, естественно, мы будем стремиться упростить работу с BitLocker, максимально облегчить его настройку. Однако я не могу ничего сказать о способах управления BitLocker в будущем.

В: Будут ли в BitLocker свидетельства безопасности, такие как Common Criteria или FIPS?
О: Microsoft в настоящее время работает с FIPS 140-2. Мы также вносим в BitLocker спецификации Common Criteria.

В: На данный момент для работы BitLocker необходима спецификация TPM 1.2; будет ли возможность задействовать шифрование TPM на более старых моделях?
О: BitLocker написан для поддержки 1.2 и маловероятно, что он будет портирован для работы на старых спецификациях, так как только 1.2 обеспечивает должный уровень безопасности и стандартов.

В: Сегодня в BitLocker поддерживается проверка ключа через PIN в момент запуска машины; будут ли введены другие способы проверки, такие как Smartcard или биометрические данные?
О: Да, на данный момент поддерживается проверка через PIN и USB-устройства. Пользователь может увеличить безопасность через TPM, или через использование других устройств USB.
Но мы исследуем всевозможные дополнительные варианты проверки подлинности пользователя, и будет вводить нововведения по требованию наших клиентов.

В: А что приложениями, требующими проверки во время запуска? Скажем, Credential Providers, Password Filters, Credential Managers. Смогу ли я их установить?
О: Да, сможете. Все эти приложения получают доступ к диску после того, как произведена проверка BitLocker.
А вот неправомерные изменения в BIOS, MBR, загрузочном секторе и др., загружающиеся перед BitLocker, будут вызывать проблемы. Это и есть задумка – все эти изменения могут оказаться атаками и нападениями. И, конечно, BitLocker будет проводить способы обновления этих компонентов администраторам.

В: Почему для ввода 48-числового кода восстановления, мы можем пользоваться только клавишами F1 по F10, а не обычной цифровой клавиатурой?
О: Только F1-F10 работают правильно во время загрузки системы. Однако уже вы можете использовать и обычную клавиатуру.

В: Почему Microsoft думает, что BitLocker столь важная технология?
О: Воровство данных или физическое воровство ПК – одна из основных угроз для предприятий; также считают эксперты. Потеря информации может быть крахом для компании, она может ослабить предприятие и уменьшить веру в него клиентов.
Недавние указания от правительство указывают на важность защиты данных. Законодательство имеет сильное воздействие на организации. Особенно когда речь идет о небольших устройствах, которые могут быть легко потеряны или украдены.
BitLocker обеспечивает колоссальную защиту в Vista, даже когда машина находится в не тех руках. Эта система охраняет всю информацию на компьютере. Также она помогает отразить атаки.

В: Каковы потенциальные пользователи BitLocker?
О: Потенциальные пользователи – это любая организация имеющая ценные данные необходимые быть в сохранности; когда потеря этих данных могла бы нанести крупный ущерб на организации, на ее клиентов, акционеров или персонал.
Шифрование BitLocker разработано для обеспечения защиты этой информации и безопасности организации, также предусматривая прозрачную пользовательскую работу и простоту развертывания.

В: Какие другие наборы для BitLocker помимо различных продуктов шифрования доступны сегодня?
О: BitLocker становится намного сильнее при работе с TPM 1.2, и спецификациями Trusted Computing Group (TCG) для обеспечения высокого уровня препятствия к изменениям во время загрузки системы. Это, вместе с интегрированным шифрованием диска, предоставляет самую эластичную систему безопасности, когда либо предлагаемую для Windows.
Дополнительно, BitLocker сильно интегрирован с Vista и обеспечивает безопасное с легкое управление защитой вашего предприятия, такое, как поддержка Active Directory.

Команда WindowsConnected.com благодарит команду разработчиков BitLocker за ответы на эти вопросы.

Источник: http://windowsconnected.com/