Microsoft?un Windows Vista ile sunduğu yeni sürücü şifreleme sistemi
sayesinde kullanıcılar bütün verilerini tek bir konsoldan
şifreleyebilecekler. |
|
Vista?nın hayatımıza derinlemesine girdiği şu aşamada yeni bir güvenlik
ve koruma stratejisinden bahsedeceğiz. Hard diskin tamamının
şifrelendiği ve yüksek güvenlik ile korunduğu BitLocker mantığını
BitLocker? Drive Encryption olarak bilinen koruma ve güvenlik sistemi
sayesinde istemci ve server sistemlerin kuvvetli bir mantıkla
korunduğundan söz edebiliriz. EFS?den farklı olarak dosyaları değil
sürücünün tamamını şifrelemesi ile gerçekten köklü bir değişim
sergiliyor. BitLocker? Drive Encryption sistemi Windows Vista?nın
yalnızca Enterprise ve Ultimate sürümlerinde kullanılıyor. Server
tarafında ise Longhornda yine BitLocker?i görebileceğiz. Sistemin temel
amacı; herhangi bir sebeple verilerinizin çalınması ya da kaybedilmesi
durumunda bile verilerinizin güvenliğini sonsuza dek sağlamak. |
Bu sistem büyük oranda TPM (Trusted Platform Module) 1.2 teknolojisine
dayanmaktadır. Bu teknolojiyi de birazdan yakından tanıyacağız. Şimdi
sürücü şifreleme mantığıyla başlayalım?
SÜRÜCÜ ŞİFRELEME (DRIVE ENCRYPTION) : Windows?un önceki
sürümlerinde görmediğimiz sürücü şifreleme özelliği sayesinde bütün
diskin belirli bir algoritma ile şifrelenmesini öngören sistemdir.
Bütün sistem dosyaları, kullanıcı verileri, page file, temporary files
ve hibernation dosyalarını da şifreleyebilmesi, sürücü şifreleme
tekniğinin çok tercih edileceğini gösteriyor.
BitLocker, Vista içerisine entegre edilmiş bir veri koruma platformu
olmasının yanı sıra aynı zamanda Boot işlemi üzerine yapmış olduğu
eklenti ve koruma stratejileriyle de tanınmaya başladı. Bunu yaparken,
PIN numarası , ATM kartı ya da USB bellek içerisine yerleştirilmiş bir
anahtar kullanıyor olması da göz dolduruyor diyebiliriz. Tüm bu
özellikleri ile boot process güçlü bir noktaya taşınıyor. Bununla
birlikte bir önceki boot işleminden farklı olarak değişen dosyaları
tespit etmek mümkün olabilmektedir. Bu da boot sector ve bunun gibi
boot aşamasında zarar veren güvenlik sıkıntılarının en aza indirgenmesi
manasına gelmektedir. Günümüzde de örneklerini gördüğümüz ve önümüzdeki
sene içerisinde yaygın olarak göreceğimiz anakartlar, üzerinde
bulunacak bir çip ya da kart okuyucu sayesinde bilgisayarınızın boot
kontrolünü çok ciddi ve yüksek güvenlik ile yapabilmeyi imkanlı
kılacaktır. Ayrıca sistemden kaldırılan bir dosyanın kolayca geri
getirilebilmesin de önüne geçmek adına oldukça basit bir şekilde
bitlocker?ın kullandığı anahtarları silmek yeterli olabilmektedir.
TPM (TRUSTED PLATFORM MODULE)
|
TPM (Trusted Platform Module): Anakart üzerinde bulunan ve içinde
bilgilerin şifrelenmesini sağlayan anahtarları barındıran mikroçip
mekanizması. |
|
Microsoft, Windows Vista ile birçok yeniliğe imza attı. Bunların en
etkileyicilerinden biri de şüphesiz TPM (Trusted Platform Module) oldu.
Güvenlik stratejilerinin gün geçtikçe önem kazandığı günümüzde vaat
ettiği yüksek güvenlik düzeyi ile dikkat çeken TPM?in çok kısa bir süre
içerisinde hayatımıza gireceğine şüphe yok diyebilirim.
Şimdi TPM?in ekipmanlarını ve onu oluşturan güvenlik öğelerine bir göz
atalım;
TPM, veri bütünlüğün ü ve güvenliğini korumak maksadıyla ortaya konmuş
olan bir çeşit güvenlik çipidir . Anakart üzerine yerleştirilmiş olup
yazılım-donanım bütünlüğüyle yüksek şifreleme olanağı sunmaktadır.
Dolayısıyla veri güvenliği konusunda atılmış önemli bir adımdır.
TPM; RSA, SHA-1, RNG gibi kripto servisleri kullanır. Bu sayede yüksek
şifreleme gerçekleştirebilir. Şifrelemede ve çözümlemede kullanılan
anahtarların yaratılması, değiştirilmesi ve yönetilmesi işlevlerini de
yönetir. |
Hangi anahtar nerede?
· SRK (Storage Root Key) TPM çipinin içinde bulunur.
· SRK anahtarı; TPM/PIN/USB Storage Device ekipmanlarından biriyle FVEK?i (Full Volume Encryption Key) şifreler.
· FVEK (encrypted by SRK) hard diskin İşletim Sistemi bölümünde bulunur.
BIT LOCKER & TPM İLİŞKİLERİ
BitLocker şifreleme teknolojisi (Resim:Microsoft Technet)
BitLocker Drive encryption sistemi kendi başına kullanılabileceği gibi
TPM ile de kullanılabilmektedir. TPM ile kullanıldığında yüksek
güvenlik çözümleri sunmaktadır.
Şimdi Bit Locker ve TPM arasında oluşabilecek olası güvenlik
senaryoları tanıyalım.
· Yalnızca TPM
· TPM+PIN · TPM+Startup Key · Startup Key · Recovery Key
· Recovery Password
BITLOCKER ICIN SISTEM VE DONANIM GEREKSINIMLERI
·
Sistemde TPM 1.2 bulunmalıdır. Bu sayede sistem boot aşamasını, ölçüm
ve planlamasını yapabilecektir.
· v1.2 TCG-uyumlu (Trusted Computing Group) BIOS. Boot öncesindeki
güvenlik dengesini ve güvenilirliği sağlamak amacıyla kullanılan bir
güvenlik zinciridir. Bu sayede işletim sistemi ile donanımsal strateji
güvenlik bakımından birbirlerine köprülenmiş olmaktadır. Bunun yanında
sistem, TCG için Static Root Trust Measurement (SRTM) desteği
sunmalıdır.
· BIOS kesinlikle USB Mass Storage Device Class desteği sunmalıdır. USB
içerisindeki küçük dosyaların okunabilmesi ve şifrelemeyi
destekleyebilmesi için boot öncesi aşamada bu özelliğin kullanılması
gerekmektedir.
· Sistemde en az 2 tane volume bulunmalıdır. Bunlardan birine ?işletim
sistemi bölümü? diğerine ise ?sistem bölümü? adı verilmektedir.
?Sistem? bölümü sayesinde boot aşaması sonrasında güvenli bir şekilde
Windows?un açılmasını sağlamaktadır. ?Sistem? bölümünün işlevini yerine
getirebilmesi için bu bölümün encrypt edilmemesi gerekmektedir. Ayrıca
bu bölümün NTFS ile formatlanması ve en az 1,5 GB boyutunda olması
gerekmektedir.
ŞİFRELEME (Encryption):BitLocker güvenlik mantığının en önemli
kısmı parmak izi olarak bileceğimiz bir ölçüm ortaya çıkarmasıdır. Bu
parmak izi sayesinde boot sisteminin son durumunu ya da değişikliğe
uğrayıp uğramadığı tespit edilebilmektedir. Boot sürecindeki bütünlük
doğrulandıktan sonra TPM devreye girmekte ve var olan sanal kilidi
açarak system boot işlemini devam ettirmektedir. Böylece güvenlik
koruması bu andan itibaren işletim sistemine devredilecektir. Zaten
buradaki amaç işletim sistemi ve yazılımsal güvenliğe geçişe kadarki
süreçte bilgisayarın her türlü atağa karşı korunması ve işletim
sistemine güvenlikli bir şekilde teslim edilmesidir.
Hard diskin bölümleri şifrelenirken FVEK (Full Volume Encryption Key)
adı verilen anahtar kullanılır. Bu anahtar da Volume Master Key (VMK)
adı verilen bir anahtar ile şifrelenmektedir. Aslında VMK?nın güvenilir
olması sonuç olarak kullanıcı verilerinin de güvenilir olması manasını
taşımaktadır. VMK aynı zamanda anahtarların kaybolması ya da çalınması
durumunda resetlenmesi durumunda da kullanılmaktadır. Bu özelliğiyle en
önemli konumda bulunan anahtardır.
AUTHENTICATION METHODS
KULLANICI KATILIMI GEREKTIRMEYEN KIMLIK DOĞRULAMA (AUTHENTICATION)TPM
ve Başlangıç Anahtarı (Startup Key) sayesinde kullanıcı herhangi bir
girdi vermeksizin korumadan fayadalancaktır. Önce TPM devreye girecek
ve ilk boot aşamasını sağlayacaktır. Ardından içerisine startup key
yerleştirilmiş olan USB flash bellek takılarak sisteme giriş yapılır.
KULLANICI KATILIMI GEREKTIREN KIMLIK DOĞRULAMA (AUTHENTICATION)TPM
ve PIN sayesinde boot işlemi gerçekleşir. Ardından Recovery Key /
Startup Key istenir. Bu durumda yine USB flash bellek sisteme dahil
edilir. Son olarak Kullanıcı Recovery Password girmek koşuluyla
sürücüyü unlock ederek işletim sistemine ve verilerine ulaşabilir. Bu
yolun daha uzun ama daha güvenli olduğu düşünülmektedir.
Bitlocker Key Chain
Bit Locker Key chain sayesinde 256-bit AES şifrelemesine sahip External
Wrapping Key (EWK) ile halihazırda boot edilmiş bölümün VMK?sı
şifrelenmektedir. Bildiğimiz üzere VMK , FVEK anahtarını şifrelemek
için kullanılmaktadır. Bu da Vistada çok kuvvetli bir şifreleme zinciri
olduğunu göstermektedir.
ARTIK BIT LOCKER DRIVE ENCRYPTION?I AKTIF EDELIM!
BitLocker Drive Encryption, Control Panel içerisinde bulunur.
Yukarıdaki görünümde TPM (Trusted Platform Module) donanımına sahip
olmayan bir bilgisayarın durumu görüntüleniyor.. Bunun yanında hard
diskin Bitlocker Drive Encryption için uygun şekilde
yapılandırılmadığını da görüyoruz. Şimdi Hard disk yapılandırılması
hazır bir sistemde BitLocker Drive Encryption teknolojisinin adım adım
nasıl sisteminize entegre edileceğini görelim..
Control Panelden
BitLocker Drive Encryption seçildiğinde hard diskiniz encrypt edilmeye
hazır durumdaysa aşağıdaki gibi bir görüntüyle karşılaşırız.
?Turn On BitLocker? seçeneğinin tıklayarak işimize başlıyoruz.
Sistemde çalışır durumda olan TPM çipi bulunmadığından dolayı
encryption için kullanılan anahtarı TPM?de saklayamayacağız. Bunun için
bu anahtarı ya disk içerisine ya da USB sürücü içerisine kaydetmemiz
gerekmektedir. Startup Key adı verilen anahtar sayesinde başlangıç
aşamasında bu şifre girilmeden kullanıcı işletim sistemine
ulaşamayacaktır.
Bu noktada anahtarı hangi konuma kaydetmek istediğimize karar vermeliyiz.
Eğer
BitLocker; sistem boot esnasında startup engellemesi yapacak olursa bu
durumda bizim bir kurtarma şifresine (recovery password) ihtiyacımız
olacaktır. İşte bu şifreyi de oluşturacağımız nokta burası.
Bu kısımda Kurtarma Şifresini görebilir, bir klasör içerisine
tutabilir. USB sürücünüz içerisine kaydedebilir ya da basit bir şekilde
yazdırabilirsiniz. En güvenli yol şüphesiz sistemden bağımsız bir
sürücü olan USB sürücü içerisine bunu kaydetmektir.
Son olarak ?Encrypt? butonu ile şifreleme gerçekleştirilir.
BitLocker iptal edilmek istendiğinde ise çok basit bir biçimde bu işlemi gerçekleştirebilirsiniz.
Disable BitLocker Drive Encryption seçeneği ile sürücü şifreleme
özelliği devre dışı bırakılabilir. Bu seçenek ile şifreleme anahtarı
hala geçerliliğini sürdürmektedir. Lakin Decrypt the Volume seçeneği
sayesinde sürücü deşifre edilecek ve dolayısıyla bütün verileriniz
şifresiz konuma gelecektir. Takdir edileceği üzere uzun zaman
alacaktır. :)
Evet dostlarım; Bir makalenin daha sonuna geldik. Umarım çok yakında
Vista?nın yeni özellikleriyle beraber olacağız. Teşekkür Ederim