Introducción al Cifrado de unidad BitLocker
El Cifrado de unidad de BitLocker de Windows es una nueva característica de seguridad que permite obtener mejor protección de los datos de su equipo, al cifrar todos los datos guardados en el volumen del sistema operativo Windows. (En esta versión de Windows, un volumen se compone de una o más particiones en uno o más discos duros. BitLocker funciona con volúmenes simples, donde un volumen es una partición. Un volumen normalmente tiene una letra de unidad asignada, como "C").
Un Módulo de plataforma segura (TPM) es un microchip incorporado en un equipo. Se usa para guardar información de cifrado, como las claves de cifrado. La información guardada en el TPM puede estar más protegida contra los ataques de software externos y el robo físico.
BitLocker usa el TPM para proteger el sistema operativo Windows y los datos del usuario y para impedir que se altere un equipo, incluso si se lo deja sin supervisión, si se pierde o si lo roban.
BitLocker también puede usarse sin un TPM. Para usar BitLocker en un equipo sin un TPM, debe cambiar el comportamiento predeterminado del Asistente para la instalación de BitLocker mediante Directiva de grupo o configurar BitLocker con un script. Si se usa BitLocker sin un TPM, las claves de cifrado necesarias se guardan en una unidad flash USB que debe estar presente para desbloquear los datos almacenados en un volumen.
¿Cómo funciona el Cifrado de unidad BitLocker?
Los datos se protegen mediante el cifrado del volumen completo del sistema operativo Windows.
Si el equipo se encuentra equipado con un TPM compatible, BitLocker usa el TPM para bloquear las claves de cifrado que protegen los datos. Por lo tanto, no se puede tener acceso a las claves hasta que TPM haya comprobado el estado del equipo. Al cifrar todo el volumen se protegen todos los datos, incluso el propio sistema operativo, el registro de Windows, los archivos temporales y el archivo de hibernación. Dado que las claves necesarias para descifrar los datos se conservan protegidas en el TPM, un atacante no podrá leer los datos si se lleva el disco duro y lo instala en otro equipo.
Durante el proceso de inicio, el TPM sólo libera la clave que desbloquea la partición cifrada después de comparar un hash de valores importantes de configuración del sistema operativo con una instantánea obtenida con anterioridad. Esto verifica la integridad del proceso de inicio de Windows. La clave no se libera si el TPM detecta alteraciones en la instalación de Windows.
De forma predeterminada, el Asistente para la instalación de BitLocker se configura para que trabaje perfectamente con el TPM. Un administrador puede usar Directiva de grupo o un script para habilitar opciones y características adicionales.
Para mayor seguridad, puede combinar el uso de un TPM con un NIP que debe escribir el usuario o una clave de inicio que se guarda en una unidad flash USB.
En los equipos que no tienen un TPM compatible, BitLocker puede ofrecer el cifrado, pero no proporciona la seguridad adicional de bloqueo de claves con un TPM. En este caso, el usuario debe crear una clave de inicio que se guarda en una unidad flash USB.
¿Qué es un TPM?
Un TPM es un microchip diseñado para proporcionar funciones básicas de seguridad, que incluyen principalmente el uso de claves de cifrado. Normalmente, el TPM se instala en la placa base de un equipo de escritorio o portátil, y se comunica con el resto del sistema mediante un bus de hardware.
Los equipos con un TPM incorporado tienen la capacidad de crear claves criptográficas y cifrarlas para que sólo el TPM pueda descifrarlas. Este proceso, a menudo denominado "encapsular" o "enlazar" una clave, puede ayudar a impedir que se revele una clave. Cada TPM tiene una clave maestra de encapsulado, llamada Clave raíz de almacenamiento (SRK), que se guarda dentro del propio TPM. La parte privada de una clave creada en un TPM nunca se expone a otro componente, software, proceso o persona.
Los equipos que incluyen un TPM también pueden crear una clave que no sólo se haya encapsulado, sino también vinculado a condiciones específicas de hardware o software. Esta característica se denomina "sellar" una clave. Cuando se crea por primera vez una clave sellada, el TPM registra una instantánea de los valores de configuración y los hash de archivo. A una clave sellada sólo se le "quita el sello" o se libera cuando sus valores de sistema actuales coinciden con los de la instantánea. BitLocker usa claves selladas para detectar los ataques contra la integridad del sistema operativo Windows.
Con un TPM, las partes privadas de los pares de claves se mantienen separados de la memoria controlada por el sistema operativo. Dado que el TPM usa su propio firmware y circuitos de lógica internos para procesar las instrucciones, no depende del sistema operativo y no está expuesto a las vulnerabilidades del software externo.
Referencias adicionales
