Bit Locker
-
Upload
josefermanga17644 -
Category
Documents
-
view
116 -
download
2
Transcript of Bit Locker
BITLOCKER
Salazar Cristian- Fernando Vásquez- Bogotá Orlando- Calderón Luis- Villalobos Walter
UNIVERSIDAD PILOTO DE COLOMBIA
Especialización en Seguridad Informática
Cohorte XII
Abstract- En la realización de este
documento se busca entender la
funcionalidad, la importancia de la
seguridad en el volumen de los discos
duros y sobre todo la confiabilidad de
los usuario al saber que su información
esta segura en el momentos que ocurra
un inconveniente que altere la
tranquilidad de los usuarios
I. INTRODUCCIÓN
El desarrollo e implementación del BitLocke
conlleva a el análisis de la importancia de la
información que este contenida en los discos
duros y la relevancia de los acontecimientos
cuando nuestra unidad de almacenamiento esta
expuesta a un ataque. Por esta razón Microsoft
desarrollo esta nueva herramienta que nos
garantiza la integridad de los datos, aunque
este proceso se trabaja desde hace tiempo por
otras organizaciones privadas o libres.
II. ¿Qué es BitLocker?
Es un nuevo sistema de Microsoft que fue
implementado como una herramienta de
seguridad; cuya finalidad primordial es
proteger los datos de los usuarios contra
perdida o robo de equipos de cómputo.
BitLocker se ubica en la tarjeta madre
denominada Trusted Platform Module o TPM
por sus siglas en ingles. Que es la que se
encarga de almacenar las claves de cifrado.
Microsoft desarrollo e implemento esta
herramienta de seguridad en Windows Vista,
Windows Seven y Windows Server 2008 en
sus versiones más completas; esta
implementación no cobija a las versiones
anteriores de Windows. Además se implementa
tanto en arquitectura x86 como x64.
A. Implementación de BitLoker.
Procesador Corei3 o Corei5. Con velocidad
mínima de 800 MHz.
Tarjeta grafica capas de soportar DirectX9,
controladores Windows Driver Display Model
(WDDM).
Chip TMP Versión 1.2. El Chip es opcional ya
que se puede utilizar sin este o se puede
utilizar una USB para almacenar la llave del cifrado o en su defecto digitar una clave
numérica de 8 cifras de 6 dígitos de longitud
cada una, la cual tiene que ser proporcionada al
configurar BitLocker también puede ser
impresa por el usuario.
Fig. 1. Esquema general de BitLocker
Dos particiones NTFS.
- Una partición almacena el volumen
del sistema Operativo, el sistema de
arranque. Debe tener el sistema de
archivos NTFS; es lo único que se
protege con BitLocker.
- Una partición contiene los archivos
que especifican el hardware. Para que
BitLocker funciones correctamente el
volumen del sistema no debe estar
cifrado. Debe ser de al menos de 1.5
Gigabites. En donde los datos estarán
protegidos por BitLocker.
Configuración de la BIOS para iniciar
desde el disco Duro y no de cualquier otro
dispositivo.
Fig. 2 Diseño del disco duro
III. ¿Cómo Funciona BitLocker?
BitLocker realiza un cifrado completo del
volumen del sistema operativo usando el
algoritmo de cifrado AES. En donde se puede
configurar con una clave de 128 o 256 bits
mediante las políticas de grupo. El
procedimiento de cifrado y descifrado es
transparente para el usuario, se tiene como
evidencia que solo afecta un 10 por ciento el
rendimiento del equipo cuando realiza el
descifrado de los datos. El cifrado generado es
independiente a Encrypted File System (EFS)
pues este realiza un cifrado por archivo, el EFs
puede funcionar como protección adicional a
nuestros archivos. BitLocker no afecta
directamente las aplicaciones del sistema, en
donde permite al usuario compartir recursos en
la red, usar aplicaciones de manera normal.
Como se indico BitLocker puede ejecutar el
cifrado únicamente sobre el volumen del
sistema operativo. Este Cifrado protege al
equipo contra posibles herramientas que traten
de obtener información y el System Key ò
Syskey. Si el disco es removido y puesto en
otro computador el volumen (contenido) no
podrá ser accedido como sucedía en versiones
anteriores, lo que proporciona mas seguridad.
BitLocker no depende de la robustez del
cifrado sino además de una contraseña fuerte
para aumentar la seguridad y asi lograr evitar
ataques de fuerza bruta.
En el momento de reinicio de la maquina
acontecen otros sucesos para la seguridad.
- Se inicializa el chip TPM (si el
usuario dispone de él).
- Al utilizar el chip TPM, BitLocker lo
utiliza para almacenar medidas de
múltiples fuentes como la BIOS,
MBR, BootSector (sector de
arranque), el BootBlock (bloque de
arranque). Y se crea una pequeña
huella digital en el sistema, donde
permanece inmutable, al menos que el
sistema de arranque sea alterado. Una
ves el sistema arranque, BitLocker
utiliza TPM para descifrar el resto de
los datos, en donde restringe el acceso
a la colección de medidas que
contiene.
- Cuando se llega al BootManager
(manejador de cargado) anteriormente
el boot.ini, se tiene la posibilidad de
no arrancar donde se debe pedir una
contraseña de arranque o utilizar la
clave para descifrar el volumen.
- Este proceso continua con la carga del
sistema y la protección del sistema se
vuelve responsabilidad del sistema
operativo.
Fig. 3 Proceso de carga del sistema
operativo.
A continuación se ilustra en la siguiente figura
cómo es el cifrado del contenido del volumen a
través de una FVEK (Full Volume Encryption
Key), el cual cifra simultáneamente con un
VMK (Volume Master Key). Una VMK es un
método indirecto para proteger los datos del
volumen del disco
La adición de la VMK, permite al sistema
restaurarse fácilmente cuando las claves
previas en la cadena de confianza son pérdidas
o comprometidas, esto ayuda a evitar el
desgaste del descifrado y volver a cifrar el
volumen completo.
Fig. 4 Relaciones entre las diferentes claves
en BitLocker.
Al momento de que se realiza la autenticación
al acceso al volumen del Sistema Operativo
protegido, un controlador de dispositivos en la
pila del sistema de archivos de Windows cifra
y descifra de manera transparente los sectores
del disco cuando cuando los datos son escritos
o leídos.
En el momento en que el computador este
hibernando, el archivo de hibernación se
almacena en el volumen cifrado. Al momento
que regresa de hibernación, el sistema procesa
casi exactamente el mismo proceso de
arranque. El archivo generado por la
hibernación es descifrado al regreso de ésta. El
consumo de los recursos por el cifrado y
descifrado debe ser mínimo, y el proceso debe
ser transparente en la mayoría de los casos para
el usuario.
Los administradores de los servicios pueden
configurar remotamente BitLocker de forma
local, por medio de un asistente o con una
interfaz WMI en Windows Vista. Esto incluye
una funcionalidad administrativa para iniciar,
pausar y continuar con el cifrado del volumen
del disco, y para configurar como la FVEK es
protegida.
El script administrativo manage-bde.wsf,
disponible en Windows Vista y Windows
Server Longhorn, permite a los
administradores verificar, analizar y gestionar
de manera sencilla el estado del disco, además
de realizar una recuperación de los datos en los
momentos que se presente una falla del
hardware. Por medio de este script se puede
controlar, desbloquear, deshabilitar y descifrar
el volumen proporcionando de las credenciales
de recuperación.
IV. Facilidad de Uso y Seguridad.
El proceso de BitLocker garantiza la seguridad
de los datos del usuario cuando este sea
afectado por robo o perdida del computador.
La capacidad que tiene BitLocker es que los
usuarios pueden implementar de acuerdo a sus
necesidades dos aspectos: la facilidad de uso
vs seguridad.
Fig. 5 Espectro de protección.
El uso de TPM genera un papel crucial en la
seguridad; pero no es la mas segura debido a
que podría sufrir ataques de manera de
hardware al TPM, el proceso para que sea mas
seguro es TPM + Dispositivo, pera lograr esto
no es fácil.
Lo que hay que tener en cuenta a la hora de
implementar cualquier e3scenario de seguridad
es el valor de la información y que se adapte a
las necesidades.
Si la información es valiosa, pero se dificulta
almacenar en un lugar seguro o molesta
recordar la contraseña (PIN), es indudable que
la mejor opción es usar únicamente un chip
TPM.
Si la información es importante y no es fácil
recordar la contraseña (PIN), además se
dificulta almacenar en un lugar seguro. Lo
importante y la mejor opción sería un chip
TPM + PIN.
En el momento que se desee implementar una
opción donde es requerido el uso del PIN o
dispositivo para validar, es indispensable una
persona este en el computador para digitar el
PIN o para verificar si el equipo es reiniciado.
En un computador personal o de trabajo este
proceso no seria complicado, pero en el caso
de que se implemente BitLocker en un servidor
con Windows Server Longhorn es necesario
proporcionarle a una persona de confianza los
medios necesarios para reiniciar el sistema en
caso de ausencia del administrador.
V. Ventajas y Desventajas de
BitLocker
Con BitLoquer se pueden encontrar ventajas o
desventajas de su funcionamiento que se
describen a continuación.
Ventajas.
- Protege los datos del volumen del
sistema Operativo de ataque de fuera
de línea. Esto quiere decir, en montar
el disco en otro computador y utilizar
herramientas con el propósito obtener
información.
- Asegura la integridad del proceso de
arranque, permitido que el equipo este
protegido contra virus o rootkits.
- Bloquea el sistema cuando este sea
alterado, esto quiere decir que si
alguno de los archivos es alterado el
sistema no arrancara. Esto permite al
usuario detectar alertas del sistema.
- Permite fácilmente el reciclaje de
equipos, lo que reduce el tiempo de
eliminación de datos del disco para
evitar que sean recuperados por
software de terceros. Sólo debe
eliminarse la clave de acceso
requerida para ingresar al disco.
Desventajas.
- Solo se realiza o puede hacer el
cifrado del volumen del Sistema
Operativo. No a otros volúmenes,
discos duros o dispositivos
removibles.
- Es primordial instalarlo desde
Windows Vista, en donde es
obligatorio dos particiones del disco
duro.
- Presenta en ocasiones problemas en su
implementación, desde la partición del
disco hasta errores al usar algunos
comandos o al no realizar
correctamente la verificación de
errores del volumen.
- Carece de un método para
implementar BitLocker en un sistema
de producción con Windows Vista
instalado en una sola partición.
- Dificulta el multi-boot (mantener
instalados varios sistemas operativos
en un sólo disco).
- BitLocker no funciona adecuadamente
en todos los idiomas, debido a que las
pruebas realizadas en la versión de
Vista Ultimate Build en Español no
se realizaron de manera adecuada al
ser requisito indispensable con el chip
TPM.
VI. Bitlocker requisitos de cifrado de
Algoritmo.
Los siguientes requisitos principales para el
algoritmo de cifrado de BitLocker.
- Cifra y descifra los sectores del disco
de tamaño 512, 1024, 2048, 4096,
8192 o bytes.
- Se necesita el número de sector como
un parámetro adicional e implementa
diferente encriptación / desencriptación
de algoritmos para cada sector.
- Protege confidencialidad de texto
plano.
- Es lo suficientemente rápido que la
desaceleración de la computadora
portátil es aceptable para la mayoría de
los usuarios. La mejor estimación es
que una velocidad de 40 ciclos / byte o
más rápido será aceptable.
- Ha sido validado por el escrutinio
público, y generalmente se considera
seguro.
- Un atacante no puede controlar o
predecir cualquier aspecto de los
cambios de texto plano si mod-yofies
o sustituye el texto cifrado de un
sector.
VII. Algoritmo.
A- AES-CBC
La versión actual de BitLocker implementa
una opción que permite a los clientes utilizar
AES- CBC para la encriptación de disco y así
evitar un ataque.
Si un atacante introduce un cambio Δ del texto
cifrado en el bloque i, entonces el bloque de
texto plano es modificado de manera aleatoria,
pero el bloque de texto plano realiza la
siguiente función i+1 donde se cambia por Δ.
En otras palabras, el atacante puede voltear los
bits arbitrarios en un bloque en el costo de la
aleatorización de la secuencia anterior. Esto
puede ser utilizado para atacar ejecutables.
Puede cambiar las instrucciones en el inicio de
una función en el costo de dañar todos los
datos que se almacena justo antes de la
función. Con miles de funciones en el código,
que debería ser relativamente fácil de montar
un ataque.
El componente de AES-CBC es sencillo. La
clave AES KAES es cualquiera de 128 bits o
256 bits, dependiendo de la versión
seleccionada. El tamaño del bloque es siempre
un múltiplo de 16 bytes, así que el relleno no
es necesario. La IV para sector se calcula
como:
IVs: = E (KAES , E (s))
Donde E () es la función de encriptación AES,
y e () es una función de codificación que
asigna cada sector del número en un único
valor de 16 bytes. Se debe tener en cuenta que
IVs depende de la clave y el número de sector,
pero no en los datos.
El texto completo se cifra con AES-CBC y la
IV para el sector. El descifrado es la función
inversa.
El resultado de e () está el truco valor de esta
parte de la cifra. La elección de los e () no
tiene implicaciones de seguridad (el tiempo
que es una inyección) y pueden variar con la
aplicación.
Para BitLocker la función de codificación es la
más sencilla para la aplicación. Los primeros 8
bytes del resultado son el byte offset conjunto
de este sector en el volumen. Este entero es
codificado al menos es - importante – para la
primera codificación de bytes. Los últimos 8
bytes del resultado es siempre cero.
B. Sector Clave
La clave del sector para el sector s es definida
por:
Ks: = E (Ksegundo , E (s)) E (Ksegundo , E
(S))
Donde E () es la función de encriptación AES,
Ksegundo es el 128 o 256-bit key para este
componente, e () es la función de codificación
utilizado en la capa AES-CBC, y e(S) es la
misma que e (s) excepto que el último byte del
resultado tiene el valor 128. La clave sector Ks
se repite tantas veces como sea necesario para
conseguir una llave del tamaño del bloque, y el
resultado se xorred en texto plano.
VIII. El uso de AES-CBC +
Difusor
Esta cifra se ha diseñado especialmente para el
papel de algoritmo de cifrado de disco en el
sector BitLocker. No es un cifrado de bloques
de propósito general, y no se debe utilizar en
otros ajustes sin un análisis cuidadoso. Como un
cifrado de bloques puro la construcción tiene
muchas debilidades cuando se analizan en el
modelo de ataque de bloque estándar de cifrado.
Por ejemplo, algunos de los bits de la clave no
han sido utilizados, y adivinar parte de la clave
es suficiente para distinguirlo de una
permutación aleatoria.
IX. TECNOLOGIA FAT 32 Y NTFS CON BITLOCKER
Se toma como muestra un dispositivo de
almacenamiento extraible con una capacidad
de 4 GB, se formatea la unidad con fat 32 con
un tamaño de asignacion de 4096Bytes
dejando como resultado la siguiente
informacion:
Capacidad: 4.043.127.628 Bytes - 3.76GB
Espacio libre: 4.043.272.192 Bytes
Espacio usado:4096 Bytes
Fig. 6 FAT 32 Y NTFS
Resultado una vez cifrado el dispositivo
usando Bitlocker con una contraseña de 12
caracteres “!!!abcABC123”
Tamaño con el cifrado: 4.043.808.704 bytes –
3.75GB
Tamaño usado: 6.467.584 bytes - 6.26 MB
Tiempo en que tarda en cifrar el volumen: 13
Min. Y 19 Seg.
Diferencia de tamaño usado con bitlocker:
6.463.488 Bytes – 6.463 MB
Fig. 7 FAT 32 Y NTFS
se formatea la unidad con NTFS con un
tamaño de asignacion de 4096 Bytes dejando
como resultado la siguiente informacion:
Capacidad: 4.051.664.896 Bytes - 3.77GB
Espacio libre: 4.002.197.504 Bytes
Espacio usado: 49.467.392 Bytes – 47.1MB
Resultado una vez cifrado el dispositivo
usando Bitlocker con una contraseña de 12
caracteres “!!!abcABC123”
Tamaño con el cifrado: 4.001.198.608 bytes –
3.72GB
Tamaño usado: 49.676.288 Bytes - 47.3 MB
Tiempo en que tarda en cifrar el volumen: 13
Min. Y 19 Seg.
Diferencia de tamaño usado con bitlocker:
208896 Bytes – 208 KB
Fig. 8 FAT 32 Y NTFS
X. ROMPIENDO BITLOCKER
Para romper erlcifrado de bitlocker se nesecita
lo siguiente:
1 ordenador de la victima
2 ordenador parala obtencion de la imagen
3 conexión firewire IEEE de 6 o 4 pines en
ambos ordenadores
4 software passware kit forencit 10.0
5 cable de firewire
6 usb vacia
7 software FTK imager
Usamos el software de passware en su apartado
passware firewire memory imager para
adquirir la imagen de la memoria del
ordenador de la victima.
Fig. 9 Rompimiento
Usamos el software FTK imager y hacemos
una imagen del disco cifrado con bitlocker.
Fig. 10 software FTK imager
Conectamos el cable firewire en en ambos
ordenadores (victima y atacante)
Fig. 11 victima y atacante
El ordenador de la victima debe encontrarse
encendido, el atacante bootea la usb que se
creo con el software de passware kit.
Fig. 12 detecta del ordenador de la victima
En ese momento el software detecta
inmediatamente el ordenador de la victima, y
procede a realizar la imagen de la memoria del
ordenador victima.
Fig. 13 Proceso de las imágenes del disco
cifrado
Finalizado este proceso tendriamos las imágenes del disco cifrado y la memoria, y con el software passware kit montamos las imágenes anteriormente obtenidas. Extracto de las claves de cifrado de la memoria y Descifrar el disco con las claves.
XI. Pruebas de comportamiento de
dispositivos cifrados con
BitLocker
Las pruebas a realizar tienen el objetivo de
observar el comportamiento de dispositivos
cifrados con bitlocker desde un equipo
remoto.
A- Prueba 1
El objetivo de esta prueba es verificar el nivel
de seguridad de acceso que tiene bitlocker al
momento de acceder desde u lugar remoto
(teniendo en cuenta que el dispositivo cifrado
cuenta con los permisos de compartir en red).
Aquí se trata de acceder a la unidad
compartida (cifrada en el equipo
local) remotamente, y se observa que
se niega el acceso a la unidad, esto se
debe a que el equipo donde se
encuentra el recurso aun no se a
digitado la contraseña para abrir la
apertura de lectura al dispositivo
cifrado (donde esta la carpeta
compartida).
Fig. 14 acceder a unidad compartida
remotamente
Posteriormente se habilita el acceso al
dispositivo, digitando la clave.
Fig. 15 Acceso al dispositivo
Ahora se procede a realizar la copia de
un archivo desde el dispositivo
cifrado.
Fig. 16 copia de archivo.
B- Prueba 2
El objetivo de esta prueba es capturar el tráfico
durante la trasmisión de la información alojada
e el dispositivo cifrado hacia el equipo del
cliente.
En esta imagen se observa la
utilización del protocolo TCP entre la
maquina origen (disco cifrado
192.168.0.20) y la maquia destino
(cliente 192.168.0.10).
Fig. 17 Capturar el tráfico
En esta imagen se observa la
estructura del contenido del archivo
transmitido, lo cual indica y ratifica
que la transmisión se realiza sin
cifrado.
Fig. 18 Estructura del contenido
C- Prueba 3
El objetivo de esta prueba es verificar las
características u opciones con las que cuenta
bicloker, y observar el proceso de cifrado y
calcular el tiempo estimado para cifrar una
unidad.
Aquí vemos las opciones que cuenta
biclocker.
Fig. 19 Cifrado de unidad
E esta imagen se realiza el proceso de
cifrar un dispositivo externo (USB) de
4 gb, para este ejercicio se verifico
que u tiempo aproximado de cifrado
de 18 minutos y 30 segundos, también
se realizo el proceso inverso
arrogando los mismo tiempos.
Fig. 20 Cifrado de unidad
XII. CONCLUSIONES
En la elaboración de la investigación de este
trabajo se comprendió lo importante que es la
seguridad y la integridad de la información.
Se identifica su funcionalidad, su objetivo y la
importancia de cómo garantizar la integridad
que el modelo BitLocker utiliza para
salvaguardar la integridad de la información en
unidades de disco duro.