Panoramica di Crittografia unità BitLocker

Crittografia unità BitLocker di Windows è una nuova funzionalità di protezione che consente una maggiore protezione dei dati del computer attraverso la crittografia di tutti i dati archiviati nel volume del sistema operativo Windows. In questa versione di Windows un volume è costituito da una o più partizioni o da uno o più dischi rigidi. BitLocker utilizza volumi semplici, in cui singolo volume è rappresentato da una partizione. A ogni volume viene in genere assegnata una lettera di unità, ad esempio "C".

Un TPM (Trusted Platform Module) è un microchip incorporato in un computer che viene utilizzato per archiviare informazioni crittografate, ad esempio chiavi di crittografia. Le informazioni archiviate nel TPM sono in tal modo più protette da attacchi software esterni e furto fisico.

BitLocker utilizza il TPM per facilitare la protezione del sistema operativo Windows e dei dati utente, nonché per garantire che il computer non venga manomesso, anche nel caso in cui venga smarrito, rubato o lasciato incustodito.

È inoltre possibile utilizzare BitLocker senza un TPM. Per utilizzare BitLocker su un computer senza un TPM, è necessario modificare il comportamento predefinito dell'Installazione guidata di BitLocker utilizzando Criteri di gruppo o configurare BitLocker utilizzando uno script. Quando BitLocker viene utilizzato senza un TPM, le chiavi di crittografia necessarie vengono archiviate in un'unità memoria flash USB che deve essere presentata affinché i dati archiviati in un volume vengano sbloccati.

Come funziona Crittografia unità BitLocker

La protezione dei dati viene realizzata mediante la crittografia dell'intero volume del sistema operativo Windows.

Se il computer è dotato di un TPM compatibile, BitLocker utilizza il TPM per bloccare la chiave di crittografia che protegge i dati. Non è pertanto possibile accedere alle chiavi fino a quando il TPM non ha verificato lo stato del computer. La crittografia del volume intero consente di proteggere tutti i dati, inclusi il sistema operativo stesso e il Registro di sistema di Windows, i file temporanei e il file di sospensione. Poiché le chiavi che consentono di decrittografare i dati rimangono bloccate nel TPM, un utente non autorizzato non può leggere i dati semplicemente rimuovendo il disco rigido del computer e installandolo in un altro computer.

Durante il processo di avvio, il TPM rilascia la chiave per il blocco della partizione cifrata solo dopo il confronto di un hash di valori di configurazione importanti del sistema operativo con un'istantanea presa in precedenza. In questo modo viene verificata l'integrità del processo di avvio di Windows. La chiave non viene rilasciata se il TPM rileva la manomissione dell'installazione di Windows.

Per impostazione predefinita, l'Installazione guidata di BitLocker viene configurata per funzionare correttamente con il TPM. Un amministratore può utilizzare i Criteri di gruppo o uno script per consentire funzionalità e opzioni aggiuntive.

Per migliorare la protezione, è possibile combinare l'utilizzo di un TPM con un PIN immesso dall'utente o con una chiave di avvio archiviata in un'unità memoria flash USB.

Nei computer che non dispongono di un TPM compatibile, BitLocker può offrire la crittografia ma non la protezione aggiuntiva di blocco delle chiavi con il TPM. In questo caso, è necessario che l'utente crei una chiave di avvio da archiviare in un'unità memoria flash USB.

Che cos'è un TPM

Un TPM è un microchip progettato per fornire funzioni di base relative alla protezione che prevedono principalmente l'utilizzo di chiavi di crittografia. Il TPM viene in genere installato sulla scheda madre di un computer desktop o portatile e comunica con il resto del sistema attraverso un bus hardware.

Nei computer in cui è incorporato un TPM è possibile creare chiavi di crittografia e crittografarle in modo che possano essere decrittografate solo dal TPM. Questo processo, spesso chiamato di wrapping della chiave, contribuisce a proteggere la chiave da un'eventuale diffusione. All'interno di ogni TPM viene archiviata una chiave master di wrapping, detta chiave radice di archiviazione (SRK). La parte privata della chiave creata in un TPM non viene mai esposta ad altri componenti, software, processi o utenti.

Nei computer in cui è incorporato un TPM è inoltre possibile creare una chiave sulla quale non viene solo eseguito il processo di wrapping, ma che viene inoltre legata a condizioni hardware o software specifiche. Questo processo è noto come esecuzione del sealing di una chiave. Quando si crea inizialmente la chiave sealed, il TPM registra un'istantanea dei valori di configurazione e degli hash dei file. Il sealing della chiave sealed viene rimosso o rilasciato solo quando tali valori di sistema correnti corrispondono a quelli presenti nell'istantanea. BitLocker utilizza le chiavi sealed per rilevare attacchi all'integrità del sistema operativo Windows.

Quando si utilizza un TPM, le parti private di coppie di chiavi vengono mantenute separate dalla memoria controllata dal sistema operativo. Poiché il TPM utilizza firmware e circuiti logici interni propri per l'elaborazione delle istruzioni, esso non si basa sul sistema operativo e non è esposto alle vulnerabilità software esterne.

Ulteriori riferimenti