BitLocker

Questa voce o sezione sull'argomento sistemi operativi non cita le fonti necessarie o quelle presenti sono insufficienti.

Commento: probabilmente anche pagina non aggiornata e imho poco comprensibile

---

Puoi migliorare questa voce aggiungendo citazioni da fonti attendibili secondo le linee guida sull'uso delle fonti.

La BitLocker Drive Encryption è una funzionalità di protezione dei dati integrata nei sistemi operativi Microsoft da Windows Vista e successivi che permette di crittografare l'intera partizione del sistema operativo. BitLocker è incluso nelle edizioni Enterprise ed Ultimate di Vista, nelle versioni Enterprise ed Ultimate di Windows 7 e nelle versioni Pro ed Enterprise di Windows 8, 8.1 e Windows 10 e Windows 11, unitamente alle corrispondenti versioni di Windows Server. Per impostazione di default viene usato l'algoritmo di crittografia AES nella modalità CBC con una chiave di 128 bit.

Descrizione[modifica | modifica wikitesto]

BitLocker garantisce tre modalità operative. Le prime due modalità richiedono un dispositivo hardware per la cifratura, ovvero un Trusted Platform Module (versione 1.2 o successivo) e un UEFI compatibile:

• Modo operativo trasparente: questa modalità sfrutta le capacità dell'hardware TPM 1.2 per garantire una esperienza di utilizzo trasparente; l'utente effettua il login al sistema operativo normalmente. La chiave usata per la criptazione del disco rigido viene memorizzata (in forma sempre crittografata) all'interno del chip TPM e viene restituita al loader dell'OS solo se i file di avvio appaiono non manomessi. I componenti pre-OS di BitLocker sfruttano la endorsement key.
• Modo autenticazione utente: questa modalità richiede che l'utente inserisca una chiave di autenticazione nell'ambiente pre-boot in modo da poter avviare l'OS. Due diversi modi di autenticazione sono supportati: un PIN inserito dall'utente oppure un dispositivo USB che contiene la chiave di avvio necessaria.

La terza modalità non richiede un chip TPM:

• Chiave USB: l'utente deve inserire un dispositivo USB che contiene la chiave di avvio nel computer per poter avviare il sistema operativo protetto. È da notare che questa modalità richiede che il BIOS sulla macchina protetta supporti la lettura dei dispositivi USB nell'ambiente pre-OS. Per permettere il funzionamento di BitLocker, l'hard disk ha bisogno di essere formattato in almeno due volumi NTFS: un "volume di sistema" con una dimensione minima di 1.5GB, e un "volume di avvio" che contiene Windows. Il volume di sistema, dove è installato BitLocker, non è crittografato, quindi non può essere usato per conservare le informazioni da tenere riservate.

Bitlocker permette di generare una chiave numerica di ripristino (si può copiare il file e/o stampare la chiave o salvarlo sull'account Microsoft), da non confondere con la password/PIN di accesso dell'utente, da usare in caso di blocco di sicurezza opposto dallo strumento. Senza questa chiave un'unità criptata è completamente bloccata ovvero i contenuti sono illeggibili da chiunque (essendo in stato di cifratura). Diversamente dalle precedenti versioni di Windows, il comando da prompt diskpart dà la possibilità di creare e modificare la dimensione di un volume NTFS in modo da poter creare un volume di sistema per BitLocker.

Sulle versioni client di Windows, solo il volume del sistema operativo può essere crittografato con BitLocker. L'Encrypted File System (EFS) continua ad essere la soluzione raccomandata per la crittografia dei dati in tempo reale sulle partizioni NTFS. L'EFS è fortemente raccomandato in supporto a BitLocker perché la protezione del secondo termina quando il kernel del sistema operativo viene caricato (sessione utente avviata, anche con blocco schermo attivato o utente disconnesso). Questi due sistemi possono essere visti come sistemi di protezione contro diversi tipi di attacco. Al WinHEC 2006, Microsoft mostrò che "Longhorn" (ora Vista) versione server conteneva il supporto per BitLocker in aggiunta alla protezione del volume del sistema operativo. In ambienti dotati di dominio BitLocker supporta l'incapsulamento delle chiavi in Active Directory, così come si interfaccia WMI per l'amministrazione remota di BitLocker.

Un esempio di come usare l'interfaccia WMI è lo script manage-bde.wsf (installato da Vista in %Windir%\System32), che può essere usato per impostare e gestire BitLocker da riga di comando. Secondo Microsoft, BitLocker non contiene backdoor; non c'è modo per le forze dell'ordine di scavalcare la protezione sui dati. Questa è stata una delle principali preoccupazioni fra gli utenti avanzati da quando è stato annunciato il supporto della crittografia in Vista. È da notare che, contrariamente al nome ufficiale, "Crittografia unità BitLocker" crittografa il volume ad un livello logico. Un volume potrebbe non essere un intero drive, oppure potrebbe essere formato da più drive. Utilizzando gli strumenti da riga di comando, BitLocker può essere usato per crittografare anche altri volumi e non solo il volume di avvio; questi volumi però non possono essere crittografati mediante la GUI. Quando viene abilitato il TPM/BitLocker viene garantita l'integrità delle procedure di avvio, in modo da prevenire eventuali attacchi esterni.

Riassumendo Bitlocker può attivarsi e richiedere password di autenticazione nei seguenti casi^[1]:

• Tentativi di modifica impostazioni di sistema/firmware non autorizzate da parte di malintenzionati
• Spostamento del disco protetto da BitLocker in un computer diverso dall’originale
• Installazione o riparazione della scheda madre o di un altro componente critico (es. processore)
• Disabilitazione del chip TPM, disattivazione o aggiornamento firmware di quest’ultimo

La chiave di ripristino può quindi essere recuperata in uno di questi modi^[2]:

• Nel proprio account Microsoft: accedere al proprio account Microsoft su un altro dispositivo per trovare il codice di ripristino. Se si dispone di un dispositivo moderno che supporta la crittografia automatica dei dispositivi, la chiave di ripristino sarà probabilmente nell’account Microsoft.
• In un foglio stampato: È possibile che la chiave di ripristino sia stata stampata quando BitLocker è stato attivato. Guarda dove tieni i documenti importanti relativi al tuo computer.
• In un’unità flash USB: Collega l’unità flash USB al PC bloccato e segui le istruzioni. Se hai salvato la chiave come file di testo nell’unità flash, usa un altro computer per leggere il file di testo.
• Mantenuto dall’amministratore di sistema: Se il dispositivo è connesso a un dominio (in genere un dispositivo di lavoro o dell’istituto di istruzione), chiedere all’amministratore di sistema la chiave di ripristino.

Come qualsiasi sistema di crittografia basata su HW residente (chip), occorre disabilitarla temporaneamente prima di aggiornamenti del firmware e, soprattutto, modifiche HW rilevanti della scheda madre, in quanto anche la chiave di recupero potrebbe non riconoscere più il sistema.

Critiche[modifica | modifica wikitesto]

Quando viene eseguito il backup di un volume crittografato con BitLocker, il backup generato non è crittografato; l'utility di backup di Windows informa l'utente di ciò prima dell'esecuzione del backup. Se l'utente decide di continuare, il backup risultante non è criptato e compromette la riservatezza dei dati dell'utente. Se l'utente decide di non eseguire il backup, un malfunzionamento hardware del drive crittografato porterebbe alla perdita permanente dei dati.

Interrogativi sulla possibilità che questa tecnologia contenga delle backdoor che permetterebbero alle forze dell'ordine di accedere ai dati sono stati respinti dalla Microsoft, ma questa tecnologia supporta una "chiave di recupero" (recovery key) che potrebbe garantire l'accesso senza il controllo dell'utente qualora cadesse nelle mani sbagliate^[3].

Note[modifica | modifica wikitesto]

Voci correlate[modifica | modifica wikitesto]

• FreeOTFE
• Encrypting File System
• TrueCrypt
• FileVault - Mac OS X

Collegamenti esterni[modifica | modifica wikitesto]

• (MUL) Sito ufficiale, su learn.microsoft.com.

V · D · M Componenti di Windows
Strumenti di sistema	App Installer · Configurazione di sistema · Console di ripristino · Controllo file di sistema · Deframmenta disco · Driver Verifier · DxDiag · Gestione attività · Gestione dispositivi · IExpress · Impostazioni · Management Console · Monitoraggio risorse · Monitor di sistema · Netsh · Pannello di controllo (Componenti) · PowerShell · Pulizia disco · Prompt dei comandi · Ripristino configurazione di sistema · Sysprep · System Information · System Policy Editor · Visualizzatore eventi · Windows Error Reporting · Windows Ink · Windows Installer · Windows Update (Windows Insider) · WinRE · WMI · Windows System Assessment Tool
Applicazioni	Assistente vocale · Assistenza rapida · Blocco note · Calcolatrice · Calendario · Centro PC portatile Windows · Contatti · Cortana · Edge · Fax e scanner · Feedback Hub · File Manager · Film e TV · Foto · Fotocamera · Microsoft WordPad · Groove Musica · Il tuo telefono · Lente di ingrandimento · Mappa caratteri · Mappe · Memo · Messaggi · Meteo · Money · News · OneDrive · OneNote · Paint · Paint 3D · Pay · Phone Companion · Posta · Registratore vocale · Richiesta supporto · Riconoscimento vocale · Skype · Sport · Store · Strumento di cattura · Suggerimenti · Sveglie e orologio · Visualizzatore 3D · Windows Media Player · Windows Story Remix · Windows To Go · WordPad · Xbox Console Companion
Shell	Aero · AutoPlay · AutoRun · Barra delle applicazioni · Centro notifiche (Windows) · ClearType · Esplora file · Menu start · Search (Cartella speciale · IFilter · Namespace · Ricerca salvata · Servizio di indicizzazione) · Stili di visualizzazione di Windows XP · Visualizzazione attività · Windows Spotlight
Kernel	System Idle Process · Registro di sistema · DLL · EXE · NTLDR · Winlogon · Recovery Console · I/O · WinRE · WinPE · Kernel Patch Protection
Servizi	BITS · CLFS · Copia shadow · Error Reporting · Multimedia Class Scheduler · Service Control Manager · Utilità di pianificazione · Wireless Zero Configuration
File system	CDFS · DFS · exFAT · FAT · IFS · NTFS (Collegamento fisico · EFS · Junction point · Mount Point · Reparse point · Symbolic link · TxF) · ReFS · UDF
Server	Active Directory · DFS Replication · Distributed Transaction Coordinator · DNS · Domini · Group Policy · Hyper-V · IIS · MSMQ · Profilo utente in roaming · Protezione di accesso alla rete · PWS · Reindirizzamento delle cartelle · Remote Desktop Services · Remote Differential Compression · Remote Installation Services · Rights Management Services · Server Core · Servizi di stampa per UNIX · SharePoint · System Resource Manager · Windows Deployment Services · Windows Media Services · WSUS
Architettura	Architettura Windows NT · Console Windows · Copia shadow · CSRSS · Desktop Window Manager · Enhanced Write Filter · Graphics Device Interface · hal.dll · I/O request packet · Imaging Format · Kernel Transaction Manager · Librerie · Logical Disk Manager · LSASS · MinWin · NTLDR · Ntoskrnl.exe · Object Manager · Portable Executable (EXE · DLL) · Processo di avvio (NT · Vista) · Registro di sistema · Resource Protection · Security Account Manager · Server Message Block · SMSS · System Idle Process · USER · WHEA · Winlogon · WinUSB · XML Paper Specification
Sicurezza	AppLocker · BitLocker · Credential Guard · Family Safety · Kernel Patch Protection · Mandatory Integrity Control · Prevenzione di esecuzione dei dati · Protected Media Path · Sicurezza e manutenzione · User Account Control · User Interface Privilege Isolation · Windows Defender · Windows Firewall
Compatibilità	COMMAND.COM · Macchina virtuale DOS · Windows Subsystem for Linux (Microsoft POSIX) · Windows on Windows · WoW64 · Windows XP Mode
API	Active Scripting (WSH · VBScript · JScript) · COM (ActiveX · ActiveX Document · COM Structured storage · DCOM · OLE · OLE Automation · Transaction Server) · DirectX · .NET Framework · Universal Windows Platform · Windows Mixed Reality · Windows Runtime · WinUSB
Giochi	Solitaire Collection
Obsoleti	Giochi 3D Pinball · Chess Titans · FreeCell · Hearts · InkBall · Hold 'Em · Othello · Purble Place · Spider Solitaire · Solitario · Tinker Applicazioni ActiveMovie · Anytime Upgrade · Backup e ripristino · Cardfile · CardSpace · CD Player · Contatti · Desktop Gadgets · Diagnostics · DriveSpace · DVD Maker · Easy Transfer · Fax · Food & Drink · Help and Support Center · Health & Fitness · HyperTerminal · Journal · Media Center · Meeting Space · Messaging · Messenger · Mobile Device Center · Movie Maker · MSN Dial-up · NetMeeting · NTBackup · Outlook Express · Rubrica · Travel · Photo Gallery · Photo Viewer · Program Manager · Steps Recorder · Syskey · WinHelp · Write Altri ScanDisk · File Protection · Media Control Interface · Next-Generation Secure Computing Base · POSIX subsystem · Interix · Video for Windows · Windows SideShow · Windows Services for UNIX · WinFS
Spostati su Microsoft Store	Lettore DVD · Hover! · Mahjong · Minesweeper
Deprecati	Internet Explorer · Media Player

Portale Crittografia

Portale Microsoft

Portale Sicurezza informatica