Potyczki z BitLockerem

Rycerz pędzący na zaszyfrowany dysk

Ostatnio postanowiłem uruchomić na swoim systemie Windows 8 system szyfrowania dysku BitLocker, szumnie reklamowany w Internecie nawet przez samego TrueCrypta. Potrzebny mi był do lepszej ochrony partycji z "tajnymi", służbowymi plikami. Nie mogę bowiem dopuścić do wycieku w razie utraty nośnika danych. Zapewne wielu z Was zastanawiało się nad bezpieczeństwem wrażliwych danych i wpływie szyfrowania na szybkość komputera. Postaram się rozjaśnić te kilka kwestii.

Wydawało mi się, że załatwię uruchomienie BitLockera w parę sekund, opcja "włącz BitLocker" widniała bowiem w menu kontekstowym dysku w eksploratorze plików. Ale oczywiście to nigdy nie jest tak proste. Podzielę się odpowiednimi rozwiązaniami, żebyście uniknęli intensywnego googlowania. W idealnym przypadku wszystko zadziała Wam od razu, w mniej idealnym - nieodzowny będzie poradnik.

Uruchomienie BitLocker bez TPM

Pierwsza "ściana" to moduł TPM (Trusted Platform Module), montowany w niektórych laptopach. Jest to specjalny układ scalony, przechowujący klucz szyfrowania, unikalny dla każdego komputera. Co gorsza, bez niego BitLocker nie chce się uruchomić. Można ten problem obejść, dziwi jednak podejście Microsoftu do usability - zwykły zjadacz chleba nigdy sam na to rozwiązanie nie wpadnie. Oto, co należy zrobić:

  1. Sprawdzić, czy TPM jest włączony w BIOS. Czasem zdarza się, że domyślnie ma on status "disabled". Szukajcie następujących opcji (ich nazwy różnią się w zależności od producenta podzespołów): Security Chip, TPM State, TPM Enable, Trusted Computing, TPM Support.
  2. Jeśli w BIOS nie ma takich opcji - należy zamienić TPM na zwykłe hasło. Można tego dokonać poprzez aplet "Edytuj zasady grupy" (po prostu wpiszcie jego nazwę w kafelkowym menu Windows 8). Trzeba wybrać ścieżkę "Konfiguracja komputera - Szablony administracyjne - Składniki systemu Windows - Szyfrowanie dysków funkcją BitLocker - Dyski z systemem operacyjnym" i kliknąć dwukrotnie na "Wymagaj dodatkowego uwierzytelniania przy uruchamianiu". W nowo otwartym okienku należy zaznaczyć "Włączone" i "Zezwalaj na używanie funkcji BitLocker bez zgodnego modułu TPM" (jak na obrazku), Po zapisaniu zmian BitLocker powinien już dać się włączyć.

Aplet Edytuj zasady grupyOpcja Wymagaj dodatkowego uwierzytelniania przy uruchamianiu

Uruchomienie BitLocker na dysku dynamicznym

Przy podziale na partycje za pośrednictwem windowsowego "zarządzania dyskami" czasami jesteśmy obdarowywani tzw. dyskiem dynamicznym. Gdy usuwamy jedną partycję i rozszerzamy drugą o powstałe wolne miejsce możemy być pewni, że Windows 8 zastosuje właśnie TO rozwiązanie. Ma ono swoje ogromne zalety (odsyłam do dokumentacji), ma jednak też podstawową wadę: brak obsługi BitLockera. Ten rodzaj szyfrowania obsługuje bowiem tylko i wyłącznie dyski i partycje podstawowe. Jeśli jesteście szczęśliwymi posiadaczami dysku dynamicznego (można sprawdzić to we wspomnianym "Zarządzaniu dyskami" - znów odsyłam do wyszukiwania w kafelkowym menu), nie pozostaje Wam nic innego, jak usunięcie znajdujących się na nim partycji, konwersja do dysku podstawowego i utworzenie partycji na nowo. Wszystkie dane zostaną utracone - trzeba więc je zarchiwizować. Do wykonania tej operacji nie jest potrzebne dodakowe oprogramowanie, wystarczą wbudowane, systemowe narzędzia.

Pytanie o hasło przy starcie systemu

Pojedyncza partycja szyfrowana bez TPM wymaga przy każdym uruchomieniu podania hasła. Nie byłoby to specjalnie uciążliwe, gdyby nie jeden, drobny szkopuł - zapytanie o hasło nie następuje automatycznie podczas logowania na konto Windows. Trzeba je wywołać ręcznie poprzez dwukrotne kliknięcie na dysk. Nie można też zaszyfrować partycji za pośrednictwem hasła konta Windows (co jest ciekawe zważywszy na fakt, że można zrobić kopię klucza odzyskiwania na koncie Live). Wszystko to mocno utrudnia używanie BitLockera. Wszelkie aplikacje startujące razem z Windows i korzystające z zaszyfrowanego dysku nie mogą odnaleźć danych i sypią na wszystkie strony błędami. Problem ten występuje m.in. z Google Drive i Dropboxem. W Internecie są tony porad na temat automatycznego podawania hasła, ale miejcie się na baczności! Większość z nich zakłada przechowywanie Waszego hasła w jawnej postaci na niezaszyfowanej partycji (jest to analogia pozostawienia klucza w zamku!). Ja poradziłem sobie z tym nieco inaczej:

  1. Wrzuciłem do zwyczajnego autostartu skrót do zaszyfrowanego dysku - zaraz po zalogowaniu dostaję monit o hasło. Co ciekawe eksplorator plików nie uruchamia się po wpisaniu tego hasła - byłoby to trochę irytujące.
  2. Opóźniłem o dwie minuty autostart programów korzystających z zaszyfrowanego dysku (za pomocą Norton 360 – istnieje też inne, darmowe oprogramowanie). Nie jest to rozwiązanie kuloodporne, ale w 90% przypadków nie generuje dodatkowych kłopotów.

Czy BitLocker spowalnia komputer?

Odpowiem krótko: nie jest to wyraźnie zauważalne. W przypadku dysków SSD szybkość transferu spada o ok. połowę, dyski HDD zachowują swoje osiągi (i tak o wiele niższe od SSD). Daje się zauważyć większe zużycie procesora (na moim leciwym Intelu i5 sięga ekstremalnie 10%, a realnie ok. 6%). Nie jest to duża cena za bezpieczeństwo danych. BitLockera podsumowałbym jako świetną funkcjonalność, zepsutą nieco poprzez nadmierne skomplikowanie niektórych procedur i niejasność dokumentacji.

Tagi: