Сможет ли Bitlocker уберечь нас от самих себя?

Microsoft сообщает о новой технологии Bitlocker, обеспечивающей безопасность ПК под управлением Vista и последующих ОС. Bitlocker – по словам производителя, является основным преимуществом грядущей Vista которая на сегодняшний день находится на стадии Beta 2 и планируется к массовому производству в ноябре. Bitlocker будет представлена только в редакциях Enterprise и Ultimate...

Смысл технологии заключается в шифровании данных на жестком диске. Жесткий диск шифруется целиком и это, по планам разработчика, должно сделать кражу или умышленное повреждение данных на жестком диске практически невозможным.

В Microsoft надеятся, что Bitlocker поможет компаниям значительно сократить число инциндентов, связанных с потерей данных – не суть важно на ПК или на сервере. В бизнес-сфере компьютер с некогда важными данными, уничтожеными без возможности восстановления – просто железяка. Такие случаи происходят либо по незнанию сотрудников, имеющих доступ к важным данным, либо злоумышленниками, которые каки-то образом заинтересованы в получении данных. IT-cпециалисты считают, что идея совместить утилиту шифрования диска с Active Directory с целью автоматического резервного копирования – на корпоративном может вызвать бум технологий шифрования данных.

«На самом деле одно из самых значительных нововведений в Vista, на мой взгляд, это Bitlocker. Почему? Да потому, что он предоставляет огромные возможности с сфере защиты информации. Даже в случае физической кражи вашего ПК или ноутбука, никто не сможет получить данные, сокрытые на вашем жестком диске технологией Bitlocker» - заявил на конференции WinHEC Уилл Пул – старший вице-президент маркетингового отдела Microsoft. «Я лично убил лучшую часть субботы всего пару недель назад, выслушивая объяснения от моей финансовой компании, о том, что из их офиса в Нью-Йорке был украден компьютер с важной информацией, включая информацию о моем счете в банке и номер страхового свидетельства».

«Возможность Bitlocker надежно законсервировать данные сделает невозможным доступ к информации кому-либо, кроме владельца этой информации» - говорит Пул.
И хотя Bitlocker пока не подвергся жесткому и повсеместному тестированию, наблюдатели из IT-сферы отмечают, что приложения такого типа обязательно найдут своего клиента и для корпоративного рынка – это вообще шаг вперед.

Но специалист в области безопасности Брюс Шнайер, главный специалист компании Counterpane Internet Security, выражает сомнение в том, что Bitlocker – это панацея. По его словам, это просто необходимый шаг, который необходимо было уже давно сделать в целях сохранения информации. «В IT-сфере много подводных камней» - говорит Шнайер – «но на том уровне, на котором я знаю Bitlocker, он кажется хорошо продуманным приложением.» «Как и в любом другом программном обеспечение, в Bitlocker время от времени будут появляться баги, которые надо будет своевремнно исправлять».

Bitlocker, как говорят представители Microsoft, способен работать как вместе, так и без TPM-чипа (Trusted Platform Module). Но также они заявляют, что Bitlocker наиболее ярко проявит свои возможности в связке TPM-чипом версии 1.2 and a защищенной BIOS.

«Вместе с TPM, Bitlocker генерирует криптографические ключи, основываясь на сканировании системных файлов – таких как MBR (основная загрузочная запись) — в дополнение к ключю, имеющемуся на самом жестком диске. Все данные, расположеные на жестком диске, включая системные файлы, файл подкачки, временные файлы, файлы данных и пустое место, шифруются Bitlocker» - сообщает Шон Эйзенхофер, программный менеджер Microsoft, в ходе презентации 24 мая на конференции WinHEC.

«Если в процессе работы какой-либо из системных файлов изменен или замещен – явный признак того, что системе пытаются нанести вред или жесткий диск украден с целью доступа к данным – Bitlocker скрывает шифровальные ключи еще до загрузки ОС и данные на жестком диске остаются зашифрованными» - говорит Эйзенхофер.

«Каждый раз после того, как включается ПК, Bitlocker сверяет контрольные суммы системных файлов, и если кто-то пытается захватить систему с помощью BIOS или внешнего устройства хранения данных, то TPM-чип замечает эту попытку и блокирует доступ к данным».

Установка Bitlocker довольно-таки проста и не требует больших усилий со стороны пользователя – необходимо всего пару нажатий клавиш в панели управления настройками безопасности в Vista. Bitlocker позволяет входить систему несколькими способами, например, используя USB-ключ, создав PIN-код или используя только TPM.

Использование TPM в паре с USB-ключом – наиболее безопасный способ, но и тут имеется недостаток – можно потерять этот ключ или его могут украсть. PIN также могут украсть, его можно потерять. Самое простое – это отдельное использование TPM, хотя и самое небезопасное, т.к. нужно только взломать пароль системы, чтобы получить доступ к данным.

«TPM-чип имеет одно неоспоримое преимущество – пользователям не нужно задумываться, как это работает, и прилагать какие-либо усилия при использовании этого решения» - говорит Эйзенхофер. "Пользователь может и не знать о его существовании, в то время, как чип обеспечивает надежную защиту информации пользователя. "
Чтобы снизить число проблем, связанных с потерей или кражей ключа, существует возможность создания ключа восстановления, который может быть сохранен в файл или на удаленный сервер, распечатан или размещен на сервере Active Directory.

Но несмотря на все преимущества шифрования всего жесткого диска, которые дарит Bitlocker, среди экспертов в секьюрити-сфере существуют разные мнения касательно применения этой технологии.

«Основная проблема заключается в том, что эта технология повлечен за собой новые более жесткие ограничения на использование авторских прав - DRM (digital rights management]» - считает Шнайер. «Мы должны быть уверены, что Microsoft не будет навязывать эту технологию всем и каждому».

Также есть мнение, что Bitlocker может не соответствовать стандартам IT-индустрии.
"У меня волосы становятся дыбом, когда я вижу, что IT-индустрия, пытаясь разработать одно и тоже, тянет воз в диаметрально противоположных направлениях" - говорит Роджер Кэй, президент EndPoint Technologies Associates в Вейленде, Массучусетс. "Microsoft знает свое дело. Сейчас корпорация демонстрирует соответствие индустриальным стандартам, но когда дойдет дело до производства, то Microsoft приподнесет очередной сюрприз".

"Конечно же не только одна Microsoft виновата в этой ситуации. Также поражает бездействие TCG (Trusted Computing Group), которая должна создавать стандарты в области шифрования данных».

Источник: http://www.eweek.com/
Переовд: deeper2k