BitLocker is schijfencryptie-software ontwikkeld door Microsoft. Met BitLocker is het mogelijk om gegevens op een schijf te beschermen door middel van encryptie. Zonder schijfencryptie kan de (privacygevoelige)data op een schijf bij verlies of diefstal van een systeem benaderd worden door derden. Bitlocker zorgt ervoor dat de gehele schijf versleuteld wordt. Hierdoor wordt data onleesbaar tenzij er een succesvolle authenticatie heeft plaatsgevonden
Hoe werkt het?
Standaard maakt BitLocker gebruik van het NTFS-bestandssysteem en een susteempartitie. Deze systeempartitie wordt niet versleuteld en zal gebruikt orden om Windows in te laden, versleutelde bestanden te ontgrendelen en een ‘pre-startup’-authenticatie en systeemintegriteit-verificatie uit te voeren. Daarnaast maakt BitLocker voor de authenticatie ook gebruik van een Trusted Platform Module (TPM) chip versie 1.2 of hoger. Verder biedt BitLocker de mogelijkheid om de authenticatie in combinatie met een PIN-Code en/of sleutel in de vorm van een USB-stick (start-up key) in te stellen.
Een versleutelde BitLocker schijf wordt niet telkens ontsleuteld/versleuteld wanneer er lees/schrijf acties worden uitgevoerd. In plaats daarvan worden de versleutelde sectors in een BitLocker-beschermde schijf pas ontgrendeld, zodra het systeem een leesverzoek indient. Data welke voor het eerst wordt weggeschreven naar de schijf wordt eerst versleuteld, voordat het systeem het fysiek wegschrijft naar de schijf. Door deze handeling wordt er gen niet-versleutelde data opgeslagen op een versleutelde schijf.
BitLocker biedt twee mogelijkheden aan voor het versleutelen van data en het versleutelen van de gebruikte schijfruimte. Het versleutelen van de volledige schijf wordt gezien als de meest veilige manier, zeker als de schijf voorheen confidentiële data had die nu verplaatst f verwijderd is. De schijf kan namelijk op delen van de schijf sporen van deze data bevatten welke gemarkeerd staan als ‘ongebruikt’. Het versleutelen van data op een schijf kan veel tijd in beslag nemen. Om tijd te besparen is er ook de mogelijkheid om alleen nieuwe data op de schijf te versleutelen. Dit biedt geen bescherming voor data en sporen van data die niet voorheen versleuteld waren opgeslagen. Deze optie wordt vaak gebruikt wanneer een systeem voor het eerst wordt uitgerold, omdat alle nieuwe data versleuteld zal worden zodra het geschreven wordt naar de schijf.
Sterke punten van BitLocker
- Geen additionele software of kosten vereist. BitLocker is gratis beschikbaar binnen Windows 10 Pro en Enterprise.
- Single-Sign-On aanwezig, waardoor de gebruiker maar één keer hoeft in te loggen.
- Automatische encryptie mogelijk op sustemen die lid zijn van een Azure Active Directory domein.
- Geheugendumpbestanden van errors en “Bluescreens” worden ook versleuteld.
Zwakke punten van BitLocker
- Het is niet open source, hierdoor kunnen derden de broncode niet inzien en controleren op mogelijke kwetsbaarheden/backdoors.
- Alleen beschikbaar op Windows 10 Pro en Enterprise
- Biedt alleen bescherming op de harde schijf of eventuele SB sticks.
De methodiek van BitLocker
BitLocker maakt gebruik van Advanced Encryption Standard (AES) voor het versleutelen van data. AES maakt gebruik van blokvercijfering, dit zorgt ervoor dat platte tekst wordt onderverdeeld in blokken met dezelfde grootte. De grootte van deze blokken hebben een vaste lengte van 128 bits. De versleuteling/ontsleuteling van deze blokken wordt gedaan door een Full Volume Encryption Key (FVEK). Deze sleutel heeft een lengte van 128 of 256-bits en versleuteld de data wanneer het niet gebruikt wordt. De FVEK wordt weer versleuteld door een 256-bit Volume Master Key (VMK) en kan alleen door deze sleutel worden ontsleuteld. De TPM chip zorgt ervoor dat de VMK versleuteld op de schijf wordt opgeslagen. Wanneer de VMK gebruikt wordt dan wordt deze veilig opgeslagen in het werkgeheugen, door een combinatie van hardware en Windows-mogelijkheden.
Binnen BitLocker heeft AES twee verschillende modi: CBC en XTS. Het doel van deze modi is om patronen bij versleutelde blokken te maskeren. Dit voorkomt de mogelijkheid om versleutelde blokken in kaart te brengen. Cipher Block Chaining (CBC) zorgt bij het versleutelen van platte tekst dat elk versleuteld blok afhankelijk wordt van het vorige blok. Hierdoor kan een korte onderbreking in de datastroom worden gedetecteerd. XTS biedt extra bescherming tegen aanvallen die gefocust zijn op het manipuleren van versleutelde data. Vanaf Windows 10 build 1511 maakt BitLocker gebruik van de AES-XTS 128 bist. Deze modus hoeft additionele integriteit toe, maar is niet compatible met oudere versies van Windows. Voor oudere versies van Windows en wisselbare schijven wordt het aangeraden om CBC te gebruiken.
Wanneer BitLocker onderbroken wordt, dat wordt de Volume Master Key versleuteld door een 256-bit Clear Key. Deze cryptografische sleutel wordt onbeschermd en onversleuteld opgeslagen op de schijf. Dir zorgt er voor dat veranderingen of upgrades uitgevoerd kunnen worden aan het systeem, zonder dat het noodzakelijk is om alles te decoderen/coderen. Dit opslagproces zorgt ervoor dat de Volume Master Key beschermd en versleuteld blijft terwijl bitLocker uitgeschakeld is. Zodra BitLocker weer geactiveerd wordt, dan zorgt dit proces ervoor dat de encryptie sleutels worden bijgewerkt. De Clear Key zal daarna worden verwijderd van de schijf.
Aanbevelingen
- Maak gebruik van de TPMv2.0 chip in combinatie met integratie van het gebruikers account. Hierdoor hoeft de gebruiker zich maar één keer te authenticeren.
- Versleutel systemen standaard met AES-XTS 128-bits. Schakel AES-XTS 265-bits in combinatie met een PIN alleen in op sustemen waar het hardwarematig weinig impact heeft en waar informatie voor een veel langere tijd vertrouwelijk moet worden opgeslagen.
- Gebruik de optie “Encrypt Used Space Only” voor nieuw geïnstaleerde systemen.
- Gebruik de optie “Encrypt Entire Disk” voor systemen die al reeds in gebruik zijn.
- Maak gebruik van “BitLocker to Go” voor verwisselbare schijven.
Conclusie
Windows maakt gebruik van verschillende technologieën zoals: TPM, Secure Boot en Measured boot om de veiligheid van BitLocker verder te bevorderen. Verder maakt BitLocker gebruik van AES, een encryptie algoritme dat gebruikt wordt door Amerikaanse overheidsinstanties. De meeste oorzaken van datalekken komen door een kwetsbaarheid in de software welke gebruikt maakt van het algoritme, sleutel opslag en/of authennticatie.
Het verschil in moeilijkheid tussen het kraken van AES-128 en AES-256 is minimaal. Wanneer er een ontdekking wordt gedaan waarmee 128-bits gekraakt kan worden dan zal het waarschijnlijk ook op 256-bits van toepassing kunnen zijn. Het verschil tussen AES-128 en AES256 zit vooral in de performance. Omdat de AES 256-bits sleutel langer is, duurt het ook langer om te versleutelen en ontsleutelen. De NIST en AIVD raden aan om gebruik te maken van de 256-bit versie van AES om voorbereid te zijn op de komst van de quantumcomputers. De huidige quantumcomputers zijn nog niet in staat om 128-bits AES te kraken. Wel s de NIST bezig met het standaardiseren van een quantum beveiligde oplossing. De AIVD geeft alvast het advies om een migratieplan op te stellen voor data dat langere tijd vertrouwelijk moet worden opgeslagen, zodat het over kan gaan tot een quantum beveiligde cryptografische oplossing.
BitLocker heeft vergeleken met andere Full Disk Encryptie tools minder configuratie opties, daardoor wordt het proces om een schijf te versleutelen gemakkelijker voor een gebruiker. Het mag misschien minder opties hebben, maar dat betekent niet dat het ook minder veilig is. BitLocker is veilig (genoeg) dankzij de integraties met Windows, Azure en het gebruik van het AES-algoritme.
Aanbevelingen
- Zog ervoor dat herstelsleutels en start-up keys veilig en redundant worden opgeslagen.
- Versleutel bestanden voordat ze gedeeld worden met derden. Dat kan door middel van Azure Information Protection (AIP);
- Maak gebruik van OneDrive of SharePoint voor het centraal opslaan van data. Op deze diensten wordt data namelijk versleuteld opgeslagen. Daarnaast kunnen bestanden vanuit deze diensten rechtstreeks gedeeld worden met derden.
