Windows Vista Ultimate

Introducción

Es común encontrar en la red noticias que hablen del robo de equipos de cómputo, lo cual se podría tomar como algo natural y sin importancia, pero regularmente los equipos de cómputo robados son noticia cuando contienen información confidencial de miles de usuarios, datos sobre proyectos importantes, información de las empresas, entre otros datos críticos.

Microsoft al ver la necesidad de sus clientes, se enfocó en crear una herramienta para proteger los datos importantes a través de la tecnología de cifrado denominada BitLocker Drive Encryption. Es importante señalar que este tipo de herramientas no es algo novedoso, ya que existen herramientas libres y comerciales que proporcionan características similares. Algunos ejemplos de estas herramientas son: TrueCrypt y PGP Desktop.

¿Qué és BitLocker Drive Encryption?

Windows Vista o anteriormente conocido como Longhorn es el nuevo sistema operativo de Microsoft, el cual fue mejorado sustancialmente en cuestiones relacionadas a la seguridad, para lo cual, Microsoft conformó diversos equipos capacitados en seguridad informática, además de ser asesorados por especialistas con el propósito de minimizar las vulnerabilidades en éste nuevo sistema operativo.

Existen varias mejoras de seguridad en Windows Vista, entre las que se encuentra BitLocker Drive Encryption, en la cual, enfocaremos el presente documento.

BitLocker Drive Encryption es una nueva herramienta de seguridad cuyo objetivo principal es proteger los datos de los usuarios contra robo o pérdida de equipos de cómputo. BitLocker se auxilia de un módulo ubicado en la placa base (tarjeta madre) denominado Trusted Platform Module ó TPM que se encarga de almacenar las claves de cifrado.

BitLocker es una nueva característica desarrollada internamente por Microsoft e introducida en Windows Vista y Windows Server Longhorn. De acuerdo con declaraciones de Microsoft, BitLocker no será agregado a versiones anteriores de Windows ú ofrecido como un producto independiente. BitLocker se puede implementar tanto en las arquitecturas x86 como x64.

¿Qué necesito para utilizar BitLocker?

• Un equipo con Windows Vista Ultimate, Windows Vista Enterprise ó Windows Server Longhorn.
• Un procesador moderno (Pentium 4, Xeon, etc.) con una velocidad mínima de 800 MHz.
• 512 MB de RAM como mínimo.
• Una tarjeta gráfica capaz de soportar DirectX 9 y controladores Windows Display Driver Model (WDDM).
• Un chip TPM versión 1.2.

Nota: No es necesario el chip TPM, se puede utilizar una USB para almacenar la clave de cifrado ó en su defecto teclear una clave numérica de 8 cifras de 6 dígitos de longitud cada una, la cual tiene que ser proporcionada al configurar BitLocker

Importante. Se realizaron pruebas con la versión en español de Vista Ultimate 5744 RC2, pero esta versión requería forzosamente el chip TPM, por lo que no se pudo continuar con más pruebas de la versión en español de Windows Vista y BitLocker.

• Dos particiones NTFS:
  • Una partición donde se almacene el Volumen del Sistema Operativo (SO) o Volumen de Arranque del Sistema. Es el volumen que contiene el sistema operativo Windows y debe tener el sistema de archivos NTFS. Este es el único volumen que se protege con BitLocker.
  • Una partición donde se almacene el Volumen del Sistema. Es el volumen que contiene los archivos que especifican el hardware y son necesarios para iniciar Windows. Para que BitLocker funcione correctamente el Volumen del Sistema no debe estar cifrado y debe tener el sistema de archivos NTFS. El Volumen del Sistema debe ser de al menos de 1.5 Gigabytes. Los datos contenidos en este volumen no estarán protegidos por BitLocker.
• Configuración del BIOS para iniciar primero del disco duro y no de un USB o CDROM.
• Opcional: dispositivo para validar el inicio del sistema, este debe ser una memoria USB para almacenar la clave de cifrado.

¿Cómo funciona BitLocker?
Se inicializa el chip TPM (en el caso de que se cuente con él).

BitLocker utiliza el chip TPM para coleccionar medidas de múltiples fuentes como el BIOS, MBR, BootSector (Sector de Arranque) y el BootBlock (Bloque de Arranque). Todos estos elementos se encuentran dentro del proceso de arranque y juntos crean una pequeña huella digital del sistema. Esta huella digital permanece igual a menos que el sistema de arranque sea alterado. Una vez que el sistema de arranque es verificado, BitLocker utiliza el chip TPM para descifrar el resto de los datos. BitLocker confía en el TPM para restringir el acceso a la colección de medidas que contiene.
Cuando se llega al BootManager (Manejador de Cargado) del sistema operativo, anteriormente el boot.ini, se tiene la posibilidad de no arrancar, pedir una contraseña de arranque ó utilizar la clave que se tiene para descifrar el volumen.
Posteriormente, se continúa con la carga del sistema y la protección del sistema se vuelve responsabilidad del sistema operativo.

Proceso de carga del sistema operativo.

El TPM garantiza que el sistema de arranque se vuelva una cadena de confianza y si algún eslabón de la cadena es roto o sustituido, el sistema no continuará su proceso de inicio.
La siguiente figura muestra la forma en como es cifrado el contenido del volumen a través de una FVEK (Full Volume Encryption Key), la cual, a su vez es cifrada con una VMK (Volume Master Key). El empleo de una VMK es un método indirecto de proteger los datos del volumen del disco; la adición de la VMK, permite al sistema ser recreado fácilmente cuando las claves previas en la cadena de confianza son perdidas o comprometidas, esto ayuda a evitar el desgaste en el descifrado y volver a cifrar el volumen completo.

Relaciones entre las diferentes claves en BitLocker.

Una vez que BitLocker autentica el acceso para el Volumen del Sistema Operativo protegido, un controlador de dispositivos en la pila del sistema de archivos de Windows Vista cifra y descifra de manera transparente los sectores del disco cuando los datos son escritos o leídos.

Cuando el equipo Hiberna, el archivo de hibernación es almacenado en el volumen cifrado. El regreso de la hibernación del sistema es tratado casi exactamente como el proceso de arranque: el archivo generado por la hibernación es descifrado cuando el equipo de cómputo regresa de la hibernación. El consumo de recursos usado por el cifrado y descifrado debería ser mínimo, y el proceso transparente en la mayoría de los casos.

Los administradores pueden configurar BitLocker de forma local, remotamente a través de un asistente ó con una interfaz WMI en Windows Vista. La interfaz incluye una funcionalidad administrativa para iniciar, pausar y continuar con el cifrado del volumen del disco, y para configurar como la FVEK es protegida.

El script administrativo manage-bde.wsf, disponible con Windows Vista y Windows Server Longhorn, permite a los administradores de administrar y verificar de manera simple el estado del disco, además de realizar una recuperación de los datos debido a una falla del hardware. A través de este script se puede desbloquear, deshabilitar y descifrar el volumen proporcionando las credenciales de recuperación.

1. Facilidad de uso vs Seguridad
   • Si nuestra información es valiosa, pero se me dificulta almacenar en un lugar seguro el dispositivo para validar o me molesta recordar contraseñas (un PIN), es obvio que la mejor opción es usar únicamente un chip TPM.
   • Si nuestra información es importante y nos es fácil recordar contraseñas (un PIN), pero se nos dificulta almacenar en un lugar seguro nuestro dispositivo para validar, por lo tanto la mejor opción sería un chip TPM + PIN.

BitLocker proporciona a los usuarios seguridad de sus datos en los casos de robo o perdida de equipos. BitLocker puede implementarse de acuerdo a las necesidades del usuario o de la organización debido a dos aspectos: Facilidad de uso vs Seguridad, como se muestra en la siguiente figura:


Espectro de protección.

Como se puede observar en la figura, el uso únicamente de TPM es la forma más fácil de implementar BitLocker pero no es la más segura debido a que es factible un ataque de hardware al TPM. En el sentido opuesto, se encuentra que el uso de TPM + Dispositivo para validar presenta la mayor seguridad, pero no es la de uso más fácil.

Lo que hay que tomar en cuenta al implementar cualquiera de los escenarios es el valor de nuestra información y que se adapte a nuestras necesidades, por ejemplo:

Estos fueron algunos ejemplos de los factores que debemos tomar en cuenta pero no son los únicos, también debemos tomar en cuenta el factor humano, por ejemplo, si se desea implementar una opción donde se requiera el uso de PIN o dispositivo para validar, es necesario que alguna persona se encuentre frente al equipo para introducir el PIN o dispositivo para validar si el equipo es reiniciado. Posiblemente en un equipo personal o de trabajo no sería algo complicado, pero en el caso de que se implemente BitLocker en un servidor con Windows Server Longhorn es necesario proporcionarle a una persona de confianza los medios necesarios para reiniciar el sistema en caso de ausencia del administrador o de la persona encargada de tales medios para validar el inicio.

2. Ventajas y desventajas de BitLocker
   • Protege los datos del Volumen de Sistema Operativo de ataques fuera de línea, es decir, aquellos que consisten en montar el disco duro en otro equipo y utilizar distintas herramientas con el propósito de obtener información (por ejemplo, cuentas de usuario y sus respectivas contraseñas).
   • Asegura la integridad del proceso de arranque, lo que permite mantener protegido al sistema contra virus o rootkits.
   • Bloquea el sistema cuando es alterado, es decir, si alguno de los archivos monitoreado es alterado, el sistema no arrancará. Esto permite mantener alertado al usuario sobre intentos de alterar el sistema.
   • Permite el reciclamiento de equipos fácilmente, lo que reduce el tiempo de eliminación de los datos del disco para evitar que sean recuperados por software de terceros. Solo se debe eliminar la clave de acceso requerida para acceder al disco.
   • Sólo se puede realizar el cifrado del Volumen del Sistema Operativo. No se permite realizar el cifrado de otros volúmenes, discos duros o dispositivos removibles.
   • Es necesario implementarlo desde la instalación de Windows Vista, debido a que se requieren dos particiones del disco duro y algunas otras condiciones.
   • Puede presentar problemas en su implementación, desde la partición del disco con errores al usar algunos comandos o en su implementación al no realizar correctamente la verificación de errores del volumen.
   • Carece de un método para implementar BitLocker en un sistema en producción con Windows Vista instalado en una sola partición. Es importante señalar que en versiones previas se podía realizar la implementación de BitLocker en un ambiente que careciera de los requisitos de las dos particiones, pero el proceso era laborioso y complicado, y en algunos casos era casi imposible de realizar, motivo por el cual aparentemente Microsoft desecho esta opción.
   • Dificulta el multi-boot (mantener instalados varios sistemas operativos en un solo disco).
   • Aparentemente BitLocker no funciona adecuadamente en todos los idiomas, debido a que las pruebas realizadas en la versión de Vista Ultimate Build 5744 en Español no pudieron ser realizadas de manera adecuada debido a que era requisito indispensable contar con el chip TPM. Se trato de contactar al equipo de BitLocker pero no se obtuvo una respuesta satisfactoria.

Como todo software nuevo se puede encontrar tanto ventajas como desventajas del uso del producto, a continuación se presentan algunas de ellas:

Ventajas
Desventajas

3. Conclusiones.

BitLocker Drive Encryption es una nueva herramienta en Windows Vista que nos permitirá asegurar los datos de equipo críticos, como por ejemplo equipos móviles, equipos de escritorio o servidores con información importante. Debido a que BitLocker es una nueva aplicación en el mercado de la seguridad informática, se le han detectado varias ventajas y desventajas que con el tiempo el equipo de seguridad de Microsoft irá mejorando, lo cual hará que la aplicación vaya ganando adeptos. BitLocker debe representar una buena opción para asegurar los datos de los usuarios ya que existen en el mercado una gran diversidad de herramientas con años de experiencia realizando este tipo de tareas.

Debido a que es una nueva herramienta, BitLocker se centrará en los usuarios caseros, pero la gran desventaja de BitLocker es que aún es muy complicado instalarlo para un usuario promedio, por lo que se requerirá que mejore y se facilite la forma de implementarlo.

El tipo de cifrado es uno de los más robustos actualmente, lo cual ayuda a mejorar la seguridad en los datos. Como todo software de cifrado el rendimiento el equipo disminuirá, lo cual no será perceptible por el usuario dependiendo del procesador y de la memoria RAM con la que cuente el equipo.

BitLocker es una nueva herramienta que promete facilitar la implementación de mecanismos cifrado debido a que pertenece a Microsoft, lo cual, hará que se incremente la compatibilidad tanto en versiones de servidor como en versiones cliente.

4. Glosario
   • AES, Advanced Encryption Standard. Es un esquema de cifrado por bloques adoptado como un estándar de cifrado simétrico por el gobierno de Estados Unidos. Garantiza la seguridad debido a que es inmune a los ataques conocidos y cuenta con un diseño simple que puede ser implementado en dispositivos como tarjetas inteligentes y procesadores en paralelo.
   • Clave de Inicio. Clave almacenada en un dispositivo USB, el cual debe ser insertado cada vez que la computadora inicia. La clave de inicio es usada para proporcionar otro factor de protección en conjunto con la autenticación del chip TPM.
   • Clave de recuperación. La clave es usada para recuperar datos cifrados en el volumen BitLocker. Esta clave es criptográficamente equivalente a un clave de inicio del equipo de cómputo. Si está disponible, la clave de recuperación descifra la VMK, la cual a su vez, descifra la FVEK.
   • Contraseña de recuperación. Contraseña numérica que consiste de 48 dígitos divididos en 8 grupos. Cada grupo de dígitos es verificado por un mod-11 antes de ser comprimidos dentro de sus correspondientes 16 bits de datos de frase de contraseña. Una copia de los datos de la frase de contraseña es almacenada en el disco cifrado por la VMK, y de esta manera la contraseña de recuperación puede ser recuperada por un administrador después de que Windows Vista ha sido cargado.
   • EFS, Encrypting File System. Es un sistema de cifrado que realiza el cifrado y descifrado mediante un esquema basado en claves públicas. Los datos del archivo se cifran con un algoritmo simétrico y una clave de cifrado de archivos, esta clave se genera de manera aleatoria. Este método de cifrado funciona sólo en sistemas de archivos NTFS y viene como una característica adicional de los sistemas Windows.
   • FVEK, Full Volume Encryption. Clave de algoritmo específico para cifrar (y opcionalmente, difusor) los datos en los sectores del disco. Actualmente esta clave puede variar entre 128 y 512 bits. La configuración predeterminada en el algoritmo de cifrado usada en el Volumen del Disco es AES de 128 bits con Difusión.
   • Hibernación. Es un estado en el cual el sistema puede ahorrar energía o batería, guardando una imagen del escritorio con todos los archivos y documentos abiertos para finalmente desconectar la alimentación del equipo. Cuando la alimentación vuelve a conectarse, los archivos y documentos se abrirán en el escritorio en la misma ubicación y estando en la misma ubicación en que se encontraban.
   • PIN, Personal Idetification Number. Es un número secreto para administrar cuentas o dispositivos, que debe ser introducido cada vez que la computadora inicia, (o cuando regresa de una hibernación). El PIN puede tener entre 4 a 20 dígitos, e internamente es almacenado como un hash de 256 bits. Este valor nunca es desplegado al usuario en alguna forma o por alguna razón. El PIN es usado para proporcionar otro factor de protección en conjunto con la autenticación TPM.
   • System Key, Syskey. Proporciona una línea de defensa adicional frente al software para descifrar contraseñas sin conexión. Syskey utiliza técnicas de cifrado de alta seguridad para garantizar la seguridad de la información de contraseñas de cuentas almacenada en el SAM.
   • TPM, Trusted Platform Module. Es un hardware (chip) que proporciona seguridad basada en hardware. La versión 1.2 del TPM es compatible con la actualización del BIOS, lo que proporciona un manejo del cifrado con la verificación de la integridad de los componentes que permiten iniciar el sistema y también hace que el proceso sea transparente.
   • VMK, Volume Master Key. Clave usada para cifrar la FVEK.
   • Volumen del Sistema. Es el primer volumen accedido cuando la computadora es encendida. Este volumen contiene los archivos del hardware específico que son necesarios para cargar Windows e incluir el BootManager de la computadora (para cargar múltiples sistemas operativos). En general, el volumen del sistema pude ser, pero no tiene que ser, el mismo volumen del sistema operativo, sin embargo, para que BitLocker funcione, el volumen del sistema debe estar aparte del volumen del sistema operativo y también, no deber estar cifrado.
   • Volumen del sistema operativo. Un volumen que contiene un sistema operativo (por ejemplo, alguna de las versiones de Windows) que pueda ser cargado por el BootManager de la computadora. Este volumen será el protegido por BitLocker.
   • WMI, Instrumental de administración de Windows. Es la implementación de Microsoft de Web-Based Enterprise Management (WBEM), una iniciativa del sector que pretende establecer normas estándar para tener acceso y compartir la información de administración a través de una red empresarial. WMI proporciona compatibilidad integrada para el Modelo de Información Común (CIM), el modelo de datos que describe los objetos existentes en un entorno de administración.
5. Referencias
   • Windows BitLocker Drive Encryption Step-by-Step Guide
   • Microsoft Connect
   • BitLocker Drive Encryption: Technical Overview
   • BitLocker Drive Encryption Frequently Asked Questions
   • Windows Vista Beta 2 BitLocker Drive Encryption Step-by-Step Guide
   • Exclusive: Q&A with the Windows Vista BitLocker Team
   • BitLocker Team Chat - 2006-04-28
   • Microsoft’s BitLocker
   • Microsoft

Via | Departamento de Seguridad en Cómputo