¨====== BitLocker Drive Encryption ====== **BitLocker** je proprietární technologie pro šifrování celých diskových oddílů (Full Disk Encryption – FDE), kterou vyvinula společnost Microsoft. Je integrována do profesionálních verzí systému Windows (Pro, Enterprise, Education). Hlavním účelem BitLockeru je zabránit neoprávněnému přístupu k datům v případě, že je počítač ztracen, odcizen nebo neodborně vyřazen. Chrání data tím, že celý obsah disku transformuje do nečitelné podoby, kterou lze dešifrovat pouze pomocí správného klíče. ---- ====== Jak BitLocker funguje? ====== BitLocker používá šifrovací algoritmus **AES** (Advanced Encryption Standard) s délkou klíče 128 nebo 256 bitů. ===== Role čipu TPM ===== Většina moderních instalací BitLockeru spoléhá na hardware zvaný **[[tpm|TPM]] (Trusted Platform Module)**. * TPM je specializovaný čip na základní desce, který bezpečně uchovává šifrovací klíče. * Při startu počítače TPM zkontroluje, zda nebyl hardware nebo spouštěcí soubory systému změněny (např. útokem typu [[bootkit|bootkit]]). * Pokud je vše v pořádku, čip uvolní klíč a systém se automaticky dešifruje a spustí. ---- ====== Režimy autentizace ====== BitLocker lze nakonfigurovat několika způsoby podle požadované úrovně zabezpečení: * **Transparentní režim (Pouze TPM):** Uživatel si ničeho nevšimne. Počítač nastartuje přímo k přihlašovací obrazovce Windows. Data jsou chráněna proti vyjmutí disku a čtení v jiném PC. * **Uživatelský PIN:** Při každém startu PC musí uživatel zadat číselný PIN předtím, než se začne načítat Windows. Toto je nejbezpečnější metoda (dvoufaktorová ochrana: "mám hardware" + "znám PIN"). * **USB klíč:** Šifrovací klíč je uložen na flash disku, který musí být připojen k PC během startu. ---- ====== BitLocker To Go ====== Tato funkce umožňuje šifrovat přenosná média, jako jsou **externí pevné disky** a **USB flash disky**. * Na rozdíl od systémového disku se zde k dešifrování používá heslo. * Takto zašifrovaný disk lze číst i na jiných počítačích se systémem Windows po zadání správného hesla. ---- ====== Obnovovací klíč (Recovery Key) ====== Při aktivaci BitLockeru je vygenerován 48místný **klíč pro obnovení**. Je to kriticky důležitý údaj pro případ, že: * Dojde k poruše čipu TPM. * Zapomenete PIN. * Dojde k významné změně hardwaru (např. výměna základní desky). Bez tohoto klíče jsou data na disku trvale a nenávratně ztracena. Microsoft umožňuje uložení tohoto klíče do uživatelského účtu Microsoft v cloudu. ---- ====== Výhody a nevýhody ====== ^ Výhody ^ Nevýhody ^ | **Vysoká bezpečnost:** Data jsou nečitelná bez klíče. | **Výkon:** Mírné zpomalení diskových operací (u moderních SSD téměř neznatelné). | | **Integrace:** Je součástí OS, není třeba instalovat software třetích stran. | **Riziko ztráty:** Ztráta obnovovacího klíče znamená definitivní ztrátu dat. | | **Ochrana integrity:** Detekuje pokusy o manipulaci s bootloaderem. | **Dostupnost:** Není součástí základní verze Windows Home. | ---- //Související pojmy: TPM, AES, Encryption, SSD, Bootkit, Windows Pro, UEFI.//