Bexe--bitlocker
BitLocker驱动的加密:价值增加可扩展性的选择
2006年5月16日,
文摘
本白皮书讨论原始设备制造商(oem)和独立的硬体卖方(IHVs可以产生preboot微软?认证加长件,Windows Vista BitLocker?驱动器加密功能。
这一信息申请微软Windows Vista?操作系统。
当前的版本,这是建立在对网
络:https://www.wendangku.net/doc/7918081964.html,/whdc/system/platform/hwsecurity/ BitLockerExt.mspx
内容
介绍三
磁盘加密3
关键存储4
建立一个平台bitlocker增6
建立一个BitLocker存储提供者关键6
BitLocker设定了一个启动关键提供者7
创建一个启动关键保护者7
注册启动关键文件用一个自定义的认证供应商BitLocker 8
定制Preboot认证8
释放文件的关键保护器Windows vista 9
隐藏在成功的关键操作系统启动9
电源状态10
资源10
免责声明
这是一个初步的文档,它可以发生了实质的变化最终释放前商业软件的描述。
本文档所包含的信息是当前视图的微软公司讨论到公布之日为止。因为微软必须回应市场环境变化时,它却不应该被解释为是一种对微软的一部分,微软不能保证准确性提出的任何讯息的日期后出版。
本白皮书是仅供参考。微软并未作出明示、暗示或法定的资料在这个文件。
遵守所有适用的版权法的职责是用户。没有限制的权利享有版权,本文档的任何部分都可以被复制,储存在或引入检索系统,或传送任何形式或以任何形式(电子、机械、影印、记录,或以其他方式),或为任何目的,没有明确的书面许可,微软公司。
微软可能会有专利,专利申请,商标,版权或其他知识产权在这个文件覆盖题材。除非另有明文规定在任何书面许可协议从微软公司,装饰这文件没有给你任何许可这些专利,商标,版权或其他知识产权。
除非另外注明,榜样的公司、组织、产品、域名、电子邮件地址、标志、人物、地点和事件描写此处都是虚构的,没有任何真正的协会和公司、组织、产品、域名、电子邮件地址、logo、人、地方或某个事件是故意或应该推测。
?2006微软公司。保留所有权利。
微软、BitLocker、门窗、Windows Vista不是注册商标或商标微软公司在美国和/或其他国家。
这涉及的真实公司名称和产品名称可能为其各自所有者的商标。
介绍
今天,加密的数据存储在一个硬盘可以被存取如果磁盘安装由另一个操作系统。这可能发生在当落在未经授权的hands-if PC,例如,一个笔记本,台式机,服务器或丢失,被盗,或退休。为防止这种情况,新微软
?BitLocker?驱动器加密功能的Microsoft Windows Vista??让整个微软视窗的体积和所有系统和存储用户数据被加密。
BitLocker提高数据保护所汇集的两个主要subfunctions:全驱动加密和操守审查的早期启动元件。
数据加密保护?驱动防止未经授权的用户从打破了窗户文件和系统保护电脑丢失或被盗。该保护的获得是通过加密整个窗口的体积。与BitLocker所有用户和系统文件加密,包括交换和冬眠的文件。
混合模式子?完整性检查有助于确保数据部件进行解密是只有当这些组件,出现平静的加密驱动座落在原来的电脑。
本文档描述了怎样一个原始设备制造商(OEM)或独立的硬件供应商(IHV)可以提供可替代认证和密钥存储解决方案,更换或补充BitLocker 组成部分。
磁盘加密
顾名思义,磁盘加密加密用户和系统各个磁盘卷上的数据,包括引导模块和一个区域,包含元数据。受保护数据包括操作系统本身,系统文件像页面文件和冬眠文件,所有存储用户数据量。BitLocker的第一个版本提供了一个选择的密码算法,但不提供第三方的算法。
目前,靴子固件不能解密电脑完全解密磁盘,所以BitLocker系统被配置为可以开始启动一个加密的区域,这就是风系统体积,然后传输控制,操作系统体积称为加密操作系统体积(见图1)。
图1。加密原理的系统体积和一个加密操作系统体积,信赖平台保护模块(TPM)
该系统体积必须包含下列代码和数据:
?早期启动文件
像其他明确?文本数据启动配置数据库文件
然而,系统体积也含有其他代码如恢复操作系统和工具。
控制下的引导经理,系统体积可以开始一个或多个加密操作系统卷。
关键存储
BitLocker提供了几个选择关键存储。每卷必须配置为使用一个或多个关键存储方法。Windows Vista装载机的搜索可用键选择每个报名转,直到一个键可以解密的体积。
Windows Vista支持以下主要存储选项:
?tpm
?tpm加上个人识别码(PIN)
再加上启动关键?tpm(如一个USB或其它存储设备)
?启动键(如一个USB或其它存储设备)
?恢复密码(回收唯一的)
保护卷必须来自使用一个或多个关键存储方法。
关键是配置成存储方法的用户界面(UI)或使用窗口管理仪器(WMI)管理界面。每一个关键的储存方法有一个登记进入一个内部数据库与关联容器文件。关键报名的存储方法和文件关键是参照全球唯一的标识符(领路人)。
每个报名的储存方法有一个主要关键容器与之关联的文件,并且使用的关键的储存方法,在Windows Vista装载机必须能够找到钥匙集装箱文件。Windows Vista装载机的主要集装箱文件找根目录列举每个BIOS 存储设备(包含块公认的文件系统。
容器的名字关键文件下面的表格,在x是十六进制数字0 - 9,A-F: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx.bek
第三方的关键操作存储提供者与Windows Vista的集装箱管理关键文件,但注意第三方提供商关键存储没有要求创建或编辑这样的文件
有:BitLocker系统创造正确的格式和存储文件命名为关键是当一个存储提供者参与。简单的存储提供者关键保护关键存储文件不改变其名称或内容。
一些关键的集装箱文件可以单独使用(如启动键或恢复关键容器),但是大多数必须满足附加的规则或步骤。例如,一个TPM-plus-PIN关键容器,通常需要被授权装载机平台(如反映在内部TPM态)和使用针(见图2)。
Cleartext data
Volume
图2。关键的回收原理时使用体积TPM-plus-PIN 配置选项
另外,一个加密体积配置使用一个启动关键寻找外部存储设备量对
BIOS 列举了(见图3)。
Cleartext Data
Volume Encryption
Encrypted
Volume with startup key
图3。当一个关键的回收原理配置使用体积创业的关键
建立一个平台BitLocker 增
这一节将描述如何能提高BitLocker用一个自定义的认证机构。在一个较高水平,一个定制的认证供应商必须保护一个登记启动关键存储文件并释放它只有一个授权的用户是目前(或其他认证的条件是遇到了)。创业可以安全的关键提供者启动关键存储文件中的任何一个如下:
?tpm-plus-startup-key认证方案
?startup-key-only认证方案
供应商被鼓励用槓杆的TPM的优先购买权平台支持它。
建立一个BitLocker关键存储提供者
窗户引导经理寻找重要文件列举在所有的BIOS存储设备。一个BitLocker关键存储提供者:
1。提供安装、组态软件创建的关键是利用存储文件提供的api和BitLocker存储该文件的习惯的位置。
2。保护关键文件的未经授权的访问。威胁模型和保障水平提供的责任。3。提供自定义认证的用户或环境。
4。如果认证成功,体现出正确的关键存储文件的根目录的一个(真实或虚拟)BIOS存储设备,列举了装载机可以阅读它在接下来的步骤。
5。允许操作系统开机启动。
6。使下一个人迹罕至的关键在靴子。
这部分提供更详尽的boot-time BitLocker行为,以及其他的接口,是很有必要的,可以提高BitLocker功能。描述下列任务。
BitLocker?建立使用一个启动关键供应商和获得必要的关键文件。?沟通关键文件到定制平台认证供应商。
?preboot认证。
?释放关键存储文件、格式化关键文件,和处理认证的错误。
隐藏的关键。?
管理权力状态转换?。
BitLocker设定了一个启动关键提供者
微软提供一套WMI接口建立BitLocker或管理工作
BitLocker-secured系统(BitLocker管理界面)。卖方必须选择是否提供定制工具提供完整的安装经验或注册一个already-set-up使用定制系统认证供应商。为简单的解释,这一节我们将假设BitLocker系统已经启用。
如同前面所说的那样,BitLocker支持几种基本类型的主要存储。本文档的目的,最重要的是:
?启动关键
启动键和?TPM
在第一种类型,正确的关键文件本身就是一个足以获得体积密钥。在第二种,两者的关键文件和键控材料,得到了TPM必须打开保护的体积。在这第二次类型、TPM也验证了完整的启动文件。要么版本可以使用外部认证供应商。因为很少绝对安全,通常导致额外的认证因素更加安全了。因此,两级(TPM-plus-startup-key)解决方案尽可能推荐。这是由于code-authentication实用程序,用于TPM认证是看不见的用户。
创建一个启动关键的保护者
一个BitLocker-protected量是加密的一把钥匙,关键是来源于一个称为体积万能钥匙(VMK)。VMK固定的利用本身的技术被称为关键护罩。在开机时间,窗户列举所有关键保护者体积为保护的顺序被登记,寻找所需的文件或配置,并采用第一保护器提供成功的VMK恢复。
在外部交互认证供应商,下列步骤是必需的:
1。一个新的关键保护器在外部相关文件必须被创建了。这可以是一个TPM-plus-startup-key保护者或一个简单的启动关键的保护者。如果一个TPM是存在的,它应该被用于作为部分的重点保护。
2。相关的启动关键必须出口到一个文件。这个文件必须要储存的方式提供OEM / IHV延伸。(例如,该文件可能被储存在一个受保护的部分BIOS。)
可以创造出关键保护器以下列BitLocker WMI方法:
创建一个保护者,必须存在于配合正确的配置是强制的TPM:
uint32 ProtectKeyWithTPMAndExternalKey(
(可选的)FriendlyName串,
(可选的)uint8 PlatformValidationProfile[],
[]uint8 ExternalKey[],
[售完]字符串VolumeKeyProtectorID)
创建一个保护者,不使用TPM(甚至需要TPM是现在):
uint32 ProtectKeyWithExternalKey(
[]字符串FriendlyName,
[]uint8 ExternalKey[],
[售完]字符串VolumeKeyProtectorID)
欲知详情,见BitLocker管理界面的规格。只有或脚本运行过程与行政特权可以调用这些方法。
这些方法与BitLocker保护者注册新钥匙,但不会造成启动关键保护者文件本身。创建启动关键保护档案,下面的方法,采用VolumeKeyProtectorID归还在之前的方法的调用,必须使用:
uint32 SaveExternalKeyToFile([]字符串VolumeKeyProtectorID, []弦路径)
SaveExternalKey文件创建文件的名称、内容和文件属性不应该改变。然而,该文件可以移到另一个身体或虚拟存储位置。这样的例子程序描述在接下来的部分里。
注册启动关键文件用一个自定义的BitLocker认证供应商
前面的章节描述了如何创建一个关键保护器的保护申请BitLocker体积。在开机的时候,BIOS窗口搜索全部列举块存储设备,含脂肪的格式化的文件系统或NTFS文件与确切的名字SaveExternalKeyToFile回来。这一节将描述如何传输文件可能BitLocker认证供应商。习惯
供应商沟通这个文件可以安全地其安全系统。例如,如果海关设立在认证供应商BIOS,然后一个定制的进阶的方法也许能被使用。
这不是完全必要的文件,删除中间WMI创建该文件储存在BitLocker容积被保护,但这是良好的练习。
定制Preboot认证
认证必须习惯之前发生的引导程序调用的窗户上。窗户没有强制认证供应商的步骤,需要一个定制的用户认证、代码、物理设备,或其他的校长。然而,几个安全考虑设计时应该记住这个功能。
定制认证供应商必须谨慎地检视的威胁模型,并指出,最常见的是一个攻击者试图从硬盘上读取数据的丢失或被盗机(台式机,笔记本电脑,或者
服务器)。解决方案提供商必须认识到,如果一个攻击者可以提取量钥匙从海关保护认证供应商,然后磁盘能够读取(如果startup-key-only方法是使用一个一步或读取光盘(如果TPM-plus-startup-key方法是采用)。
因此混淆或nontechnically强制隐藏技术一般不接受的,攻击者来规避开发工具等这些工具迅速成为保护和容易获得的。相反,一个重大技术壁垒的内容未经授权的访问文件的关键保护器是必要的。
如果用户(或其他主要)并验证成功,关键是保护者文件必须充分体现以下章节描述的一样,它也演示了如何处理认证的错误。
释放关键文件到Windows Vista保护器
如果海关认证成功后,一个定制的认证供应商要体现创业的关键保护者文件到Windows Vista启动代码。窗户寻找合适的名字文件关键保护器的根目录列举所有BIOS块存储设备,包含公认的文件系统。如果启动文件找到恰当的文件列举在任何媒体,然后启动资金。如果装载机无法找到适当的文件,然后Windows Vista进入BitLocker恢复
mode-typically促使复苏的关键。适当的文件必须相同内容和具体名称(或定义短文件名收缩),这是SaveExternalKeyToFile回来。
成功的认证后,必须满足下列条件在窗户可以使用外部文件关键保护者: BitLocker认证供应商的习俗;要体现一个街区通过BIOS存储设备。装置本身可能是一种“真实”的存储设备,如USB闪存驱动器,或者可能是一个虚拟设备,体现在软件。设备必须可以通过标准的BIOS界面。?的储存设备必须脂肪或NTFS文件系统格式化。
?外部保护关键文件必须充分体现在根目录下具有相同的名字(或定义
短文件名收缩)作为文件归还的方法——SaveExternalKeyToFile早。
文件?的内容和文件属性,一定要跟SaveExternalKeyToFile方法了。如果认证失败,海关可以提供证明人选择重试,或输入自定义恢复的道路,但是不得泄露关键文件。更确切地说,供应商可以选择不符合第一个条件(即不显化的储存设备)或不符合第三个条件(即不显化外部保护的文件)。
如果供应商习俗的认证失败了,那么窗户试其他注册关键存储方法。通常,这个结果在用户被提示插入一个USB闪存驱动器中回收钥匙或用户被提示进入恢复密码。
隐藏在成功的关键操作系统启动
主要的威胁模型,BitLocker地址是防止未经授权的用户如贼。然而,窗户拒绝体积加密钥匙尽可能nonadministrative帐户。窗户可以提供保护,保护用户从nonadministrative钥匙不完整。例如,重点保护档案是出口到FAT-formatted USB驱动器是无防护的。认证供应商可以选择习俗提供类似的保护。
注意一个定制的认证供应商必须保护访问文件,如果启动关键保护器平台进入一个低功率状态(如S3,或S5 S4)。
电源状态
视窗要求存取卷到钥匙启动时,恢复(S4)从冬眠中醒来。认证供应商必须提供主要风俗准入功率状态转换两种。窗户并不需要使用时启动关键供应商从悬浮在RAM恢复(S3)。在这种状态下,内存的内容没有得到保
护,虽然平台应该回到运行操作系统没有机会攻击代码被执行,保护弱小。
一个定制的认证供应商也可能要求当恢复认证从睡眠中醒来。认证失败如果在这种情况下,海关可以否认认证供应商靴,或者更好,擦的记忆。资源
为进一步的信息,发电子邮件到BitLocker BDEINFO@https://www.wendangku.net/doc/7918081964.html, 团队。