Ir al contenido

Usuario:Pab-FF/Taller

De Wikipedia, la enciclopedia libre


BitLocker (nombre en clave Cornerstone y conocido formalmente como arranque seguro) es una característica de encriptación completa de disco incluída en algunas ediciones de Windows Vista y otros sistemas operativos posteriores. Está diseñado para proteger datos en el disco duro mediante la encriptación completa de volúmenes. Por defecto, usa el algoritmo de encriptación AES en modo CBC (siglas en inglés de cipher block chaining) con llaves de 128 o 256 bit. En Windows Vista y Windows 7 se usa además Elephant diffuser para aportar seguridad extra no suministrada por AES. No se usa CBC sobre todo el disco en conjunto, sino para cada sector individual del mismo.

Historia

[editar]

BitLocker se originó en 2004 como parte de la arquitectura de Microsoft base para la siguiente generación de computación segura (Next-Generation Secure Computing Base). Fue diseñado para proteger la información de dispositivos, particularmente en el supuesto de pérdida o robo del mismo. También se diseñó otra característica llamada raíz de la integridad del código (Code Integrity Rooting), cuya función es validar la integridad del arranque de Windows y los archivos del sistema. Usado conjuntamente con un TPM compatible (siglas en inglés de Trusted Platform Module), BitLocker puede verificar que el arranque y los arhivos del sistema no han sido modificados, para posteriormente desencriptar el volumen protegido. En caso de que hayan sido modificados, no se produce la verificación, y no se concederá acceso al sistema protegido. BitLocker fue inicalmente llamado arranque seguro, antes de su lanzamiento en Windows Vista.

Disponibilidad

[editar]

BitLocker está disponible en las ediciones Ultimate y Entreprise de Windows Vista y Windows 7, las ediciones Pro y Enterprise de Windows 8 y posteriores, y en Windows Server 2008 y posteriores. Inicialmente, la interfaz gráfica de BitLocker en Windows Vista sólo podía encriptar el volumen del sistema operativo, mientras que para encriptar otros volúmenes era necesario usar la herramienta por línea de comandos. Posteriormente, con la introducción del Service Pack 1 y Windows Server 2008, se pudo encriptar otros volúmenes distintos al del sistema operativo mediante la interfaz gráfica. La última versión de BitLocker, incluída en Windows 7 y Windows Server 2008 R2, añade la posibilidad de encriptar discos extraíbles. Si se quiere usar estos dispositivos en versiones anteriores de Windows (Windows XP y Windows Vista), es necesario que su formato de archivos sea FAT 16, FAT 32 o exFAT, además de usar la utilidad BitLocker To Go. BitLocker también es compatible con las instancias portables de la edición Enterprise de Windows 8 a través de la utilidad Windows To Go. Microsoft eDrive es una especificación para dispositivos de almacenamiento que permite usar el sistema de encriptado incorporado en el propio dispositivo, siempre que sea conforme con la especificación.

Encriptación de dispositivo

[editar]

Windows Mobile 6.5, Windows RT y las ediciones básicas de Windows 8.1 incluyen una versión de características limitadas de BitLocker que encripta todo el sistema. Una vez identificados con una cuenta Microsoft con privilegios administrativos, el proceso de encriptado comienza automáticamente. La llave de recuperación se almacena en la cuenta Microsoft o en Active Directory, lo que permite recuperarla desde cualquier ordenador. Aunque encriptación de dispositivo está disponible en todas las versiones de Windows 8.1, al contrario que BitLocker, requiere que el dispositivo cumpla con las especificaciones InstantGo, lo que incluye la existencia de discos SSD, RAM no extraíble (como medida de segurirad contra ataques de encendido en frío) y chip TPM 2.0.

Modos de funcionamiento

[editar]

Existen tres mecanimos de autenticado que pueden usarse para utilizar BitLocker:

  • Operación transparente: el usuario enciende el ordenador de forma usual, como si BitLocker no estuviera en funcionamiento. Se requiere un chip TPM 1.2. La llave usada para el encriptado del disco es encriptada por el chip TPM y el núcleo de arranque del sistema la recibe únicamente si los primeros archivos utilizados para el arranque no se encuentran modificados. Esto se consigue implementando una raíz estática de medida de confianza (Static Root of Trust Measurement), un procedimiento especificado por el grupo de computación de confianza (Trusted Computing Group, TCG). Este modo asegura que el sector de arranque no ha sido modificado por malware, aunque es vulnerable a los ataques de encendido en frío.
  • Autenticación de usuario: se requiere una contraseña o PIN durante el arranque del dispositivo.
  • Lave USB: el usuario debe introducir un dispositivo USB que contiene la llave requerida. Este modo requiere que la BIOS del ordenador soporte la lectura de dispositivos USB antes de que se inicie el sistema operativo. La llave debe ser suministrada por un dispositivo compatible con el protolo CCID para leer smartcard. Usar CCID proporciona beneficios más allá de de almacenar el archivo llave en un dispositivo USB, ya que oculta la llave usando un procesador criptografico en el interior de la smartcard, lo que previene que el archivo llave pueda ser robado simplemente copiándolo a otro dispositivo.

Estos tres modos de funcionamiento se pueden utilizar por separado o combinarse entre sí para crear métodos de autentificación más robustos:

  • Sólo TPM
  • TPM + PIN
  • TPM + PIN + llave USB
  • TPM + llave USB
  • Llave USB
  • Sólo contraseña

Operación

[editar]

BitLocker es un programa para encriptar volúmenes lógicos. Este volumen puede ser un disco duro completo o sólo un parte de él, o puede abarcar más de un disco duro físico. Para funcionar, en el disco duro debe haber al menos dos volúmenes formateados con el sistema de archivos NTFS, uno para el sistema operativo en sí mismo, y otro con un tamaño mínimo de 100 MB, utilizado durante el inicio del sistema operativo. Este segundo volumen debe permanecer sin cifrar. En caso de querer cifrar un disco duro con un sistema operativo ya instalado, y con un sóla partición (volumen), la utilidad diskpart de Windows Vista permite contraer el tamaño de la partición existente, de forma que exista espacio suficiente para crear la segunda partición. Esta operación también se puede hacer utilizando la utilidad de MicrosoftBitLocker Drive Preparation Tool. En Windows 7 y posteriores este paso no es necesario, puesto que por defecto, Windows crea estas dos particiones durante la instalación (aunque es necesario activar BitLocker una vez instalado). Una vez configurado el método para descrifrar el volumen (TPM, PIN, contraseña, llave USB, o una combinación de estos), el proceso de cifrado comienza en una tarea en segundo plano, de forma que se puede seguir utilizando el ordenador de forma normal. El tiempo necesario para llevar a cabo esta operación depende del tamaño del volumen y de la potencia del ordenador, ya que cada sector del disco es leído, cifrado y reescrito. La llave para cifrar y descifrar es protegida después de que el proceso de cifrado del disco haya concluído, cuando el volumen se considera seguro. BitLocker usa un driver de bajo nivel para cifrar y descifrar todas las operaciones sobre los archivos, haciendo que la interacción de los programas con el disco sea transparente. El cifrado del sistema de archivos (EFS) puede ser usado conjuntamente con BitLocker, de forma que, además, se provee protección una vez que el sistema operativo se ha iniciado.