Bitlocker Sürücü Şifreleme Sistemi

Eyl 07, 2013

BitLocker™ Sürücü Şifreleme Sistemi Windows Vista Enterprise, Windows Vista Ultimate ve Windows Server 2008 (Longhorn) sürümleri için geçerlidir. Bilgisayar kaybolur veya çalınırsa, önemli verilerin istenmeyen kişiler tarafından okunmasını tüm sürücüyü şifreli hale getirerek engeller. Windows BitLocker, bu önemli verilerin çok güvenli bir şekilde korunmasını sağlayan donanım tabanlı veri şifreleme teknolojisidir. 

          

Bitlocker, EFS’den farklı olarak sadece dosyaları değil sürücünün tamamını şifrelemektedir. Böylece EFS’den daha güvenli bir yapı sunmaktadır. Windows’un önceki sürümlerinde mevcut olmayan sürücü şifreleme özelliği sayesinde bütün diskin belirli bir algoritma ile şifrelenmesini sağlayan bir sistemdir. Bütün sistem dosyaları, kullanıcı verileri, "page file", "temporary files" ve "hibernation" dosyalarını da şifreleyebilmesi sürücün tamamını şifreleyebilmesinden ileri gelmektedir. Oldukça kullanışlı ve güvenli bir yöntemdir.

Sabit diskin tümü Windows BitLocker tarafından şifreli bir hale getirildiğinden Vista haricindeki işletim sistemleri tarafından da bu sabit diskin içindeki verilere ulaşılamaz. Bu durum aşağıdaki ekran görüntüsünde Windows XP ve  ayrıca Windows Vista için örneklenmiştir.

Bitlocker sabit disk sürücüsünün bütünü şifrelemesiyle oldukça avantajlı olan bir güvenlik aracının yanı sıra açılış dosyalarına uyguladığı şifreleme yöntemleriyle öne çıkmaktadır. Aynı zamanda açılış işlemi için Smart Kart, PIN numarası, USB bellek içerisine yerleştirilmiş bir anahtar şekillerindeki kullanım çeşitlerini desteklemektedir. Ayrıca bu kullanım şekilleri birbirleri ile beraber de kullanılabilir. Bununla birlikte bir önceki açılış işleminden farklı olarak değişen dosyaları tespit etmek mümkün olabilmektedir. Bu da "boot sector" ve bunun gibi açılış aşamasında zarar veren güvenlik sıkıntılarının en aza indirgenmesi anlamına gelmektedir. Ayrıca sistemden kaldırılan bir dosyanın kolayca geri getirilebilmesin de önüne geçmek adına oldukça basit bir şekilde Bitlocker’ın kullandığı anahtarları silmek yeterli olabilmektedir. Bahsedilen bu anahtarların çeşitleri aşağıda açıklanmıştır.

Bitlocker Anahtarları

  • SRK (Storage Root Key) TPM çipinin içinde bulunur.
  • SRK anahtarı, TPM/PIN/USB Storage Device ekipmanlarından bir tanesiyle FVEK’i (Full Volume Encryption Key) şifreler.
  • FVEK (encrypted by SRK) sabit diskin işletim sistemi bölümünde bulunur.

Bitlocker'ın Çalışma Mekanizması

Bitlocker'ın çalışma mekanizmasını tam olarak anlamak için Bitlocker uygulaması ile TPM (Trusted Platform Module) denilen donanımsal mekanizmayı anlamak gerekir. Bitlocker'ın şifreleme mantığının temel aşaması TPM'dir. TPM ile beraber en üst seviyede veri güvenliği sağlar. Bitlocker uygulaması TPM olmadan USB flashdisk ile çalıştırılabilir. Bu şekilde çalışması için bazı adımlar izlenmelidir. Makalenin devamında bu adımlar anlatılmaktadır.

TPM

    

Anahtar depolanması için anakart üzerinde bulunan v1.2 TPM yongası kullanır. Microsoft Windows Vista uyumlu bu anakartlar destekledikleri Trusted Platform Module (TPM) sayesinde gelişmiş veri koruma, yüksek seviye şifreleme üzerinden güvenlik ve platform bütünlüğü sağlamaktadırlar. TPM, Windows Vista BitLocker Drive Encryption donanım gereksinimi de karşılayarak daha güvenli çalışma ortamı sağlar. TPM modülü anakartın desteklediği ölçüde bütünleşebildiği gibi ayrı olarak da temin edilebilir.
TPM, veri bütünlüğünü ve güvenliğini korumak maksadıyla ortaya konmuş olan bir çeşit güvenlik çipidir. Anakart üzerine yerleştirilmiş olup yazılım donanım bütünlüğüyle yüksek şifreleme olanağı sunmaktadır. Dolayısıyla veri güvenliği konusunda atılmış önemli bir adımdır. TPM; RSA, SHA-1, RNG gibi kripto servisleri kullanır. Bu sayede yüksek şifreleme gerçekleştirebilir. Şifrelemede ve çözümlemede kullanılan anahtarların yaratılması, değiştirilmesi ve yönetilmesi işlevlerini de yönetir. TPM'in kullanım mimarisi için aşağıdaki şemadan yararlanılabilir:

  

BitLocker güvenlik mantığının en önemli kısmı parmak izi olarak bilinecek bir ölçüm ortaya çıkarmasıdır. Bu parmak izi sayesinde açılış sisteminin son durumunu ya da değişikliğe uğrayıp uğramadığı tespit edilebilmektedir. Açılış sürecindeki bütünlük doğrulandıktan sonra TPM devreye girmekte ve var olan sanal kilidi açarak sistem açılış işlemini devam ettirmektedir. Böylece güvenlik koruması bu andan itibaren işletim sistemine devredilecektir. Zaten buradaki amaç, işletim sistemi ve yazılımsal güvenliğe geçişe kadarki süreçte bilgisayarın her türlü atağa karşı korunması ve işletim sistemine güvenlikli bir şekilde teslim edilmesidir. Bitlocker'ın TPM ile birlikte kullanım senaryoları için aşağıdaki şemadan yararlanılabilir.

Bitlocker Key Chain
"Bitlocker Key Chain" sayesinde 256-bit AES şifrelemesine sahip External Wrapping Key (EWK) ile halihazırda açılmış bölümün VMK’sı şifrelenmektedir. Bilindiği gibi VMK, FVEK anahtarını şifrelemek için kullanılmaktadır. Bu da Vista'da çok kuvvetli bir şifreleme zinciri olduğunu göstermektedir.

Sabit diskin bölümleri şifrelenirken FVEK (Full Volume Encryption Key) adı verilen anahtar kullanılır. Bu anahtar da Volume Master Key (VMK) adı verilen bir anahtar ile şifrelenmektedir. Aslında VMK’nın güvenilir olması sonuç olarak kullanıcı verilerinin de güvenilir olması manasını taşımaktadır. VMK aynı zamanda anahtarların kaybolması ya da çalınması halinde sıfırlanması için de kullanılmaktadır. Bu özelliğiyle en önemli konumda bulunan anahtardır. Bu yapılandırma aşağıda grafiksel olarak ifade edilmiştir.

Bitlocker'a yönelik kimlik doğrulama (authentication) metodları iki ana başlık altında toplanabilir:

Kullanıcı Katılımı Gerektirmeyen Kimlik Doğrulama
TPM ve Başlangıç Anahtarı (Startup Key) sayesinde kullanıcı herhangi bir girdi vermeksizin korumadan faydalanacaktır. Önce TPM devreye girecek ve ilk açılış aşamasını sağlayacaktır. Ardından içerisine başlangıç anahtarı yerleştirilmiş olan USB flash bellek takılarak sisteme giriş yapılır.

Kullanıcı Katılımı Gerektiren Kimlik Doğrulama
TPM ve PIN sayesinde açılış işlemi gerçekleşir. Ardından "Recovery Key" / "Startup Key" istenir. Bu durumda yine USB flash bellek sisteme dahil edilir. Son olarak kullanıcı "Recovery Password" girmek koşuluyla sürücünün kilidini kaldırarak işletim sistemine ve verilerine ulaşabilir. Bu yolun daha uzun; ama daha güvenli olduğu düşünülmektedir.

Aşağıdaki grafikte Bitlocker'ın çalışma mantığı ve kullanımı genel hatlarıyla anlatılmıştır:

Bitlocker için Sistem ve Donanım Gereksinimleri

  • Sistemde TPM 1.2 bulunmalıdır. Bu sayede sistem açılış aşamasını, ölçüm ve planlamasını yapabilecektir.
  • v1.2 TCG-uyumlu (Trusted Computing Group) BIOS. Açılış öncesindeki güvenlik dengesini ve güvenilirliği sağlamak amacıyla kullanılan bir güvenlik zinciridir. Bu sayede işletim sistemi ile donanımsal strateji güvenlik bakımından birbirlerine köprülenmiş olmaktadır. Bunun yanında sistem, TCG için Static Root Trust Measurement (SRTM) desteği sunmalıdır.
  • BIOS kesinlikle USB Mass Storage Device Class desteği sunmalıdır. USB içerisindeki küçük dosyaların okunabilmesi ve şifrelemeyi destekleyebilmesi için açılış öncesi aşamada bu özelliğin kullanılması gerekmektedir.
  • Sistemde en az 2 tane bölüm bulunmalıdır. Bunlardan birine “işletim sistemi bölümü” diğerine ise “sistem bölümü” adı verilmektedir. “Sistem bölümü" sayesinde açılış aşaması sonrasında güvenli bir şekilde Windows’un açılmasını sağlamaktadır. “Sistem bölümü"'nün işlevini yerine getirebilmesi için bu bölümün şifrelenmemesi gerekmektedir. Ayrıca bu bölümün NTFS ile biçimlenmesi ve en az 1,5 GB boyutunda olması gerekmektedir.

Bitlocker Sürücü Şifreleme Sistemini TPM Olmadan Yapılandırmak

Daha önce bahsedildiği gibi TPM çipine yazılması gereken anahtar USB flash belleğe yazılarak şifreleme gerçekleştirilebilir. Bu durumda, USB ile Bitlocker uygulaması yapılmışsa bilgisayarın açılış anında USB diskin bilgisayara takılı olması gerekmektedir. TPM olmadan USB flash bellek ile BitLocker sürücü şifreleme işleminin yapılandırılması aşağıda anlatılmıştır:

  1. İlk olarak BitLocker için işletim sistemini hazırlamak gerekmektedir. Diğer türlü BitLocker aktif hale getirilmek istendiğinde geçerli TPM çipine sahip olunmadığını belirten bir uyarı alınmaktadır. Bu, Group Policy’den yapılacak bir değişiklikle önlenebilmektedir.



    Bu yapılandırmayla BitLocker’ın TPM ile değil, USB disk ile gerçekleştirilmek istendiği belirtilmiş olacaktır. Group Policy Editor yardımı ile (gpedit.msc) Computer Configuration -> Administrative Template -> Windows Components -> Bitlocker Drive Enctryption yolu izlenerek “Control Panel Setup: Enable advanced startup options” sözleşmesine izin verilir. Burada dikkat edilmesi gereken,  “Allow BitLocker without a compatible TPM” onay kutusunun işaretli olmasıdır. Grup sözleşme yapılandırması uygulandıktan sonra ikinci adıma geçilir. 


     

  2. Bu adımda Windows Güncelleme ile birlikte gelen Ekstra’lardan BitLocker Drive Encryption Preparation Tool’un indirilip kurulması yeterli olacaktır. Bu araç sadece Windows Güncelleme arayüzünden indirilebildiği için Microsoft’un yükleme sitesinde bulunmamaktadır.




  3. Kurulumu başlatmak için başlangıç menüsünde bulunan "Araştır" alanına Bitlocker yazılarak programa ulaşılabilir. BitLocker Preparation Tool çalıştırıldığında hazırlık işlemi başlamış demektir.


     

  4. Anlaşma kabul edildikten sonra gelen uyarı kutusunda, C sürücüsü üzerinde yeni bir bölüm oluşturacağını, işleme başlamadan önce bilgilerin yedeklenmesini, yapılacak işlemin birleştirme gerektirebileceğinden dolayı uzayabileceğini ve oluşturulacak yeni bölüme verilerin kaydedilmemesi gerektiği belirtilmektedir. Yeni oluşturulacak olan bölüm S harfini alacak ve işletim sisteminin başlayabilmesi için gerekli dosyaları içerecektir. Yani S sürücüsü BitLocker ile şifrelenmeyecektir. Gerekli uyarıları dikkate aldıktan sonra Continue butonuna tıklanarak devam edilir.

     

  5. İşlem bittikten sonra Disk Yönetimi arayüzünden diskin yukarıdaki gibi bölündüğü görülür. Dikkat edilirse C bölümünün BitLocker için hazır olduğunu belirten ibare ve S bölümünün sistem bölümü olduğu görülür. Hazırlık aşaması bittikten sonra BitLocker ile disk şifreleme işlemine başlanabilir.


     

  6. Bunun için Denetim Masası’nda bulunan BitLocker Drive Encryption simgesine tıklanır. Ekrana BitLocker’ın henüz aktif edilmediği çıkar. Turn On BitLocker bağlantısı tıklanarak Bitlocker'ın aktif hale getirildiği arayüz açılır. Bağlantı tıklanarak işlem başlatılır.


     

  7. İlk adımda TPM çipine sahip olunmadığı, başlatma anahtarının bir USB diske yazılması gerektiği ve bu diskin her açılışta bilgisayara takılı olmasını belirten bir mesaj görülür. Tek seçilebilir durumda olan Require Startup USB key at every startup seçeneği tıklanır.


     

  8. Sonraki adımda başlatma anahtarının saklandığı USB flash disk gösterilip Save düğmesi tıklanır.


     

  9. Bu adımda “Flash disk bozulur veya kaybolursa bilgisayarımı başlatamayacak mıyım?” sorusuna yanıt vermek amacı ile kurtarma parolasını bir başka taşınabilir diske veya yazıcıdan çıktı almak suretiyle bir kağıda yazdırmak için gerekli seçimin yapılması istenir. Veriler önemli ise kurtarma parolası hem kağıda hem de başka bir diske yazdırılır. “Save the password in a folder” seçeneğini tıklanarak parolanın saklanacağı bir başka yer gösterilip parolanın kaydedildiğine dair çıkan uyarı penceresi onaylanarak sonraki adıma geçilir.

     

  10. Bu adımda ise BitLocker’ın USB diske yazdığı başlangıç anahtarının okunup okunmayacağını test etmek amacı ile bilgisayar yeniden başlatılır. Continue düğmesine tıklanır.


     

  11. BitLocker başlangıç anında USB flash diskteki başlangıç anahtarını okuyabilirse “ BitLocker Drive Encyription key loaded, Please remove media” şeklinde bir mesaj görüntülenip, bilgisayar normal bir şekilde açıldıktan hemen sonra disk şifreleme işlemi başlar. Yapılan denemede BitLocker’ın sabit diski yaklaşık olarak bir saatte şifrelediği gözönünde tutularak, bu işlem uygun bir zamanda gerçekleştirilmesi gerekir.


     

  12. Bilgisayar USB disk olmadan başlatılırsa diske yazdığı anahtarı okuyamayacağından, açılış ekranında yukarıdaki görüntü çıkar. Burada, BitLocker’in anahtara ihtiyacı olduğu, anahtarı barındıran diskin takılması ve yeniden başlatmak için ESC tuşuna basılması gerektiği belirtilmektedir. Bu durumda USB disk takılırsa ESC tuşu ile sistem yeniden başlatılır ve anahtarın okunması sağlanır.


     

  13. USB disk arızalanmış ya da kaybolmuşsa önceden tanımlanmış olan kurtarma parolası girilerek Enter tuşuna basılır ve yukarıda görülen boşluklara bu parola yazılır. Parola giriş işlemi tamamlandıktan sonra sistem normal açılış seyrine devam edecektir. Sistem açıldıktan sonra BitLocker arayüzü kullanılarak yeni bir başlangıç anahtarı oluşturulabilir, bu anahtarın kopyaları yedeklenebilir.