Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Data Encryption Toolkit for Mobile PCs - Análise de Segurança

Capítulo 4: BitLocker e EFS juntos

Publicado em: 4 de abril de 2007

A Criptografia de Unidade de Disco BitLocker™ da Microsoft® (BitLocker) e o EFS (Sistema de arquivos criptografados) são duas tecnologias independentes que podem ser combinadas para fornecer uma solução global muito poderosa para a segurança de dados. Uma solução de criptografia que usa uma combinação de benefícios de BitLocker e EFS com a poderosa criptografia por computador fornecida pelo BitLocker e a criptografia por usuário fornecida pelo EFS.

Nesta página

Escolhendo uma combinação de BitLocker e EFS

Escolhendo uma combinação de BitLocker e EFS

Muitas combinações diferentes de BitLocker e EFS podem ser implementadas por uma organização. Uma discussão completa de cada combinação possível está fora do escopo deste documento, embora existam algumas combinações comuns de BitLocker e EFS. Esta seção resume algumas combinações e analisa as atenuações de riscos. Essas combinações são:

  • BitLocker com TPM (Trusted Platform Module) e EFS

  • BitLocker com TPM e PIN (número de identificação pessoal) e EFS

  • BitLocker com TPM e PIN (número de identificação pessoal) e EFS com cartões inteligentes

BitLocker com TPM e EFS com armazenamento de chaves no software

A combinação entre BitLocker com TPM e EFS com armazenamento de chaves no software fornece segurança básica com um mínimo de sobrecarga e de requisitos de treinamento de usuários.

A solução mais útil para as organizações que desejam combinar BitLocker e EFS seria combinar as opções BitLocker com TPM e EFS (sem cartões inteligentes) que já foram analisadas neste guia. A subseção a seguir fornece informações sobre as características de tal solução.

Riscos atenuados: BitLocker com TPM e EFS com armazenamento de chaves no software

BitLocker e EFS em conjunto atenuam os seguintes riscos aos dados:

  • Pessoas de dentro da organização podem ler dados criptografados. Uma vantagem específica do EFS em relação ao BitLocker é que as chaves de criptografia são armazenadas em um armazenamento de chaves seguro protegido pelas credenciais do usuário. Nessa configuração, a credencial é uma senha. Portanto, outros usuários autorizados do computador podem fazer logon no computador interativamente ou pela rede, mas não conseguirão acessar arquivos confidenciais no computador que outro usuário tenha protegido com o EFS, a menos que esse usuário lhes conceda acesso aos arquivos.

  • Descoberta de chaves por meio de um ataque offline. A VMK (chave mestra de volume) é criptografada com uma chave no hardware do TPM que é combinada com o PIN. Se o PIN não for conhecido, o invasor precisará montar um ataque de força bruta para determinar o valor da FVEK (chave de criptografia de volume total).

  • Ataques offline contra o sistema operacional. Ataques offline contra o sistema operacional são atenuados pelo fato de que um invasor precisa recuperar com êxito a SRK (chave raiz de armazenamento) do TPM e então usá-la para descriptografar a VMK, ou executar um ataque de força bruta contra a FVEK. Além disso, o BitLocker configurado com sua tecnologia de difusor (ativada por padrão) atenua ataques dessa natureza enfocados com precisão, visto que pequenas modificações no texto da codificação se propagarão por uma área extensa.

  • Vazamento de dados em texto simples pelo arquivo de hibernação. Um dos principais objetivos do BitLocker é proteger os dados no volume de sistema operacional na unidade de disco rígido quando o computador é desligado ou passa para o modo de hibernação. Quando o BitLocker está ativado, o arquivo de hibernação é criptografado.

  • Vazamentos de dados em texto simples pelo arquivo de paginação do sistema. No Windows Vista, o EFS pode ser configurado para criptografar o arquivo de paginação com uma chave simétrica temporária que é gerada no momento da inicialização, mas que nunca é gravada em disco. Depois que o sistema é desligado, essa chave é descartada. Assim, a recuperação de dados do arquivo de paginação demandaria um ataque de força bruta para localizar a chave simétrica que foi usada para criptografar o arquivo de paginação. Se o BitLocker também estiver habilitado, um invasor precisaria derrotar o BitLocker e completar com êxito um ataque de força bruta contra a chave do arquivo de paginação para recuperar quaisquer informações úteis.

  • Erro do usuário. Como o BitLocker é uma tecnologia de criptografia de volume total, ele criptografa todos os arquivos armazenados no volume do sistema operacional Windows Vista. Essa funcionalidade ajuda a evitar erros cometidos por usuários que tomam decisões incorretas quanto a aplicar ou não a criptografia.

Riscos residuais e suas atenuações: BitLocker com TPM e EFS com armazenamento de chaves no software

O BitLocker e o EFS em conjunto não atenuam os seguintes riscos sem controles e diretiva adicionais. Os detalhes sobre esses riscos e suas atenuações podem ser encontrados nas discussões de cenário do Capítulo 2: Criptografia de Unidade de Disco BitLocker e o Capítulo 3: EFS (Sistema de arquivos criptografados) nesta Análise de Segurança.

  • Computador deixado em estado de hibernação. Se o usuário não configurar o computador para solicitar a senha ao retomar as atividades, o sistema operacional não poderá discernir se o usuário atual é o usuário autorizado. Se o computador estiver configurado para solicitar as credenciais do usuário ao retomar as atividades a partir do modo de hibernação, o risco será atenuado.

  • Computador deixado no modo de suspensão (em espera). Como ocorre com o modo de hibernação, o estado do computador laptop e as chaves de criptografia do BitLocker não se alteram quando o laptop entra no modo de suspensão. Quando ele retoma a partir do modo de suspensão, a FVEK permanece inacessível ao computador. Esse risco pode ser atenuado por meio da ativação da configuração Solicitar senha quando o computador retomar a partir do modo de suspensão.

  • Computador deixado conectado com a área de trabalho desbloqueada. Um usuário que obtenha acesso à área de trabalho de um computador protegido por BitLocker e EFS basicamente tem acesso total ao computador. Esse risco pode ser atenuado com um treinamento em conscientização de segurança e com o uso de configurações de Diretiva de Grupo para bloquear automaticamente o computador após um período de inatividade.

  • Descoberta de senha local ou de domínio. As chaves do EFS são descriptografadas em uma seqüência que começa com uma chave derivada da senha do usuário. Portanto, a criptografia do EFS fica comprometida se a senha do usuário estiver comprometida.

  • Ataques online contra o sistema operacional. Ataques online contra o sistema operacional não são atenuados por esta opção. Um invasor que ataque com êxito o sistema operacional enquanto ele é executado pode executar o código que desejar para recuperar dados criptografados.

  • Ataques à plataforma. Nem BitLocker nem EFS fornece proteção completa contra ataques à plataforma.

  • Fator de autenticação obrigatória deixado com o computador. Se o usuário deixar sua senha de logon no computador, um invasor poderá fazer logon e representar o usuário, obtendo acesso total a seus recursos. Esse risco pode ser atenuado com o treinamento em conscientização de segurança para os usuários.

BitLocker com TPM e PIN e EFS com armazenamento de chaves no software

A adição de um requisito de PIN a um computador com o BitLocker ativado reforça significativamente a segurança da tecnologia BitLocker, apesar de envolver custos em termos de usabilidade e capacidade de gerenciamento. Nesta opção, o usuário é solicitado a fornecer duas senhas para usar o computador: uma para o BitLocker (no momento da inicialização) e outra para o computador ou domínio no momento do logon. As duas senhas devem ser e provavelmente serão diferentes, porque o PIN se restringe a caracteres numéricos inseridos por meio das teclas de função (F0 - F9), e a maioria das diretivas de senha de domínio rejeita uma senha totalmente numérica. Nesta combinação, o EFS continua a fornecer atenuação para alguns ataques que o BitLocker não atenua sozinho.

Riscos atenuados: BitLocker com TPM e PIN e EFS com armazenamento de chaves no software
  • Computador deixado em estado de hibernação. O BitLocker com TPM e PIN atenua este risco, porque o usuário é solicitado a fornecer o PIN quando o laptop retoma a atividade a partir do modo de hibernação.

  • Descoberta de senha local ou de domínio. Uma grande vantagem da opção BitLocker com TPM e PIN é que a solução introduz outro fator, ou credencial, necessário à inicialização do computador ou à retomada das atividades a partir do modo de hibernação. O benefício é significativo para os usuários suscetíveis a ataques de engenharia social ou que tenham maus hábitos com relação a senhas, como usar a senha do Windows em computadores não confiáveis.

  • Pessoas de dentro da organização podem ler dados criptografados. Uma vantagem específica do EFS em relação ao BitLocker é que as chaves de criptografia são armazenadas em um armazenamento de chaves seguro protegido pelas credenciais do usuário. Nessa configuração, a credencial é uma senha. Portanto, outros usuários autorizados do computador podem fazer logon no computador interativamente ou pela rede, mas não conseguirão acessar arquivos confidenciais no computador que outro usuário tenha protegido com o EFS, a menos que esse usuário lhes conceda acesso aos arquivos.

  • Descoberta de chaves por meio de um ataque offline. A VMK é criptografada com uma chave no hardware do TPM que é combinada com o PIN. Se o PIN não for conhecido, o invasor precisará montar um ataque de força bruta para determinar o valor da FVEK.

  • Ataques offline contra o sistema operacional. Ataques offline contra o sistema operacional são atenuados pelo fato de que um invasor precisa recuperar com êxito a SRK do TPM e então usá-la para descriptografar a VMK, ou executar um ataque de força bruta contra a FVEK. Além disso, o BitLocker configurado com sua tecnologia de difusor (ativada por padrão) atenua ataques dessa natureza enfocados com precisão, visto que pequenas modificações no texto da codificação se propagarão por uma área extensa.

  • Vazamento de dados em texto simples pelo arquivo de hibernação. Um dos principais objetivos do BitLocker é proteger os dados no volume de sistema operacional na unidade de disco rígido quando o computador é desligado ou passa para o modo de hibernação. Quando o BitLocker está ativado, o arquivo de hibernação é criptografado.

  • Vazamentos de dados em texto simples pelo arquivo de paginação do sistema. No Windows Vista, o EFS pode ser configurado para criptografar o arquivo de paginação com uma chave simétrica temporária que é gerada no momento da inicialização, mas que nunca é gravada em disco. Depois que o sistema é desligado, essa chave é descartada. Assim, a recuperação de dados do arquivo de paginação demandaria um ataque de força bruta para localizar a chave simétrica que foi usada para criptografar o arquivo de paginação. Se o BitLocker também estiver habilitado, um invasor precisaria derrotar o BitLocker e completar com êxito um ataque de força bruta contra a chave do arquivo de paginação para recuperar quaisquer informações úteis.

  • Fator de autenticação obrigatória deixado com o computador. O PIN é um segundo fator de autenticação não físico que não pode ser perdido com o computador, a menos que esteja anotado em um pedaço de papel ou seja deixado em local óbvio.

  • Erro do usuário. Como o BitLocker é uma tecnologia de criptografia de volume total, ele criptografa todos os arquivos armazenados no volume do sistema operacional Windows Vista. Essa funcionalidade ajuda a evitar erros cometidos por usuários que tomam decisões incorretas quanto a aplicar ou não a criptografia.

Riscos residuais e suas atenuações: BitLocker com TPM e PIN e EFS com armazenamento de chaves no software

O BitLocker e o EFS em conjunto não atenuam os seguintes riscos sem controles e diretiva adicionais. Os detalhes sobre esses riscos e suas atenuações podem ser encontrados nas discussões de cenário do Capítulo 2: Criptografia de Unidade de Disco BitLocker e o Capítulo 3: EFS (Sistema de arquivos criptografados) nesta Análise de Segurança.

  • Computador deixado no modo de suspensão (em espera). O estado do computador laptop e das chaves de criptografia do BitLocker não se altera quando o laptop entra no modo de suspensão. Quando ele retoma a partir do modo de suspensão, a FVEK permanece inacessível ao computador. Esse risco pode ser atenuado por meio da ativação da configuração Solicitar senha quando o computador retomar a partir do modo de suspensão.

  • Computador deixado conectado com a área de trabalho desbloqueada. Um usuário que obtenha acesso à área de trabalho de um computador protegido por BitLocker e EFS basicamente tem acesso total ao computador. Esse risco pode ser atenuado com um treinamento em conscientização de segurança e com o uso de configurações de Diretiva de Grupo para bloquear automaticamente o computador após um período de inatividade.

  • Ataques online contra o sistema operacional. Ataques online contra o sistema operacional não são atenuados por esta opção. Um invasor que ataque com êxito o sistema operacional enquanto ele é executado pode executar o código que desejar para recuperar dados criptografados.

  • Ataques à plataforma. Nem BitLocker nem EFS fornece proteção completa contra ataques à plataforma.

BitLocker com TPM e PIN e EFS com cartões inteligentes (Modo de chave armazenada em cache)

Em conjunto, o BitLocker com TPM e PIN e o EFS com cartões inteligentes em modo de chave armazenada em cache atenuam quase todos os riscos significativos descritos neste guia. No entanto, essa combinação de tecnologias requer um investimento considerável na implantação de infra-estrutura de cartões inteligentes, e assim é mais apropriada para organizações que tenham requisitos comerciais fortes para esse nível de segurança.

Riscos atenuados: BitLocker com TPM e PIN e EFS com cartões inteligentes
  • Computador deixado em estado de hibernação. O BitLocker com TPM e PIN atenua este risco, porque o usuário é solicitado a fornecer o PIN quando o laptop retoma a atividade a partir do modo de hibernação.

  • Descoberta de senha local ou de domínio. Uma grande vantagem da opção BitLocker com TPM e PIN é que a solução introduz outro fator, ou credencial, necessário à inicialização do computador ou à retomada das atividades a partir do modo de hibernação. O benefício é significativo para os usuários suscetíveis a ataques de engenharia social ou que tenham maus hábitos com relação a senhas, como usar a senha do Windows em computadores não confiáveis.

  • Pessoas de dentro da organização podem ler dados criptografados. Uma vantagem específica do EFS em relação ao BitLocker é que as chaves de criptografia são armazenadas em um armazenamento de chaves seguro protegido pelas credenciais do usuário. Nessa configuração, a credencial é uma senha. Portanto, outros usuários autorizados do computador podem fazer logon no computador interativamente ou pela rede, mas não conseguirão acessar arquivos confidenciais no computador que outro usuário tenha protegido com o EFS, a menos que esse usuário lhes conceda acesso aos arquivos.

  • Descoberta de chaves por meio de um ataque offline. A VMK é criptografada com uma chave no hardware do TPM que é combinada com o PIN. Se o PIN não for conhecido, o invasor precisará montar um ataque de força bruta para determinar o valor da FVEK.

  • Ataques offline contra o sistema operacional. Ataques offline contra o sistema operacional são atenuados pelo fato de que um invasor precisa recuperar com êxito a SRK do TPM e então usá-la para descriptografar a VMK, ou executar um ataque de força bruta contra a FVEK. Além disso, o BitLocker configurado com sua tecnologia de difusor (ativada por padrão) atenua ataques dessa natureza enfocados com precisão, visto que pequenas modificações no texto da codificação se propagarão por uma área extensa.

  • Vazamento de dados em texto simples pelo arquivo de hibernação. Um dos principais objetivos do BitLocker é proteger os dados no volume de sistema operacional do disco rígido quando o computador é desligado ou passa para o modo de hibernação. Quando o BitLocker está ativado, o arquivo de hibernação é criptografado.

  • Vazamentos de dados em texto simples pelo arquivo de paginação do sistema. No Windows Vista, o EFS pode ser configurado para criptografar o arquivo de paginação com uma chave simétrica temporária que é gerada no momento da inicialização, mas que nunca é gravada em disco. Depois que o sistema é desligado, essa chave é descartada. Assim, a recuperação de dados do arquivo de paginação demandaria um ataque de força bruta para localizar a chave simétrica que foi usada para criptografar o arquivo de paginação. Se o BitLocker também estiver habilitado, um invasor precisaria derrotar o BitLocker e completar com êxito um ataque de força bruta contra a chave do arquivo de paginação para recuperar quaisquer informações úteis.

  • Fator de autenticação obrigatória deixado com o computador. O PIN é um segundo fator de autenticação não físico que não pode ser perdido com o computador, a menos que esteja anotado em um pedaço de papel ou seja deixado em local óbvio.

  • Erro do usuário. Como o BitLocker é uma tecnologia de criptografia de volume total, ele criptografa todos os arquivos armazenados no volume do sistema operacional Windows Vista. Essa funcionalidade ajuda a evitar erros cometidos por usuários que tomam decisões incorretas quanto a aplicar ou não a criptografia.

Riscos residuais e suas atenuações: BitLocker com TPM e PIN e EFS com cartões inteligentes
  • Computador deixado no modo de suspensão (em espera). Nem o Bitlocker nem o EFS com modo padrão de cartão inteligente com chave armazenada em cache atenua esse risco. Um invasor que obtenha acesso ao computador em modo de espera pode acordar o computador e acessar quaisquer dados aos quais o usuário tenha direitos.

  • Computador deixado conectado com a área de trabalho desbloqueada. No modo de cartão inteligente com chave armazenada em cache esse risco não é atenuado. Um invasor que obtenha acesso à área de trabalho desbloqueada pode representar o usuário verdadeiro e acessar quaisquer dados aos quais o usuário tenha direitos.

  • Ataques online contra o sistema operacional. Nem BitLocker nem EFS atenua totalmente o risco de um ataque online contra o sistema operacional. Um invasor que ataque com êxito o sistema operacional enquanto ele é executado pode executar o código que desejar para recuperar dados criptografados. No entanto, o EFS com cartões inteligentes em modo de chave não armazenada em cache fornece uma atenuação eficaz contra ataques online que tentam recuperar chaves criptográficas.

  • Ataques à plataforma. No modo de armazenamento em cache, um computador configurado para usar EFS com armazenamento de chave em cartão inteligente manterá as chaves do EFS na memória, e um ataque à plataforma para recuperá-las poderá ser bem-sucedido. O Bitlocker não oferece proteção contra ataques à plataforma.

Resumo da análise de riscos

A tabela a seguir lista riscos de dados e indica se combinações diferentes de BitLocker com TPM e PIN e EFS com armazenamento de chaves no software atenuam cada risco. Os riscos atenuados por combinações específicas estão assinalados com a letra S. Hífens - indicam riscos para os quais a combinação específica proporciona pouca ou nenhuma atenuação.

Tabela 4.1. Atenuações de risco de Bitlocker e EFS

Atenuações de risco de Bitlocker e EFS
Neste artigo

Download

Obtenha o Data Encryption Toolkit for Mobile PCs

Participe

Inscreva-se para participar do programa beta do Data Encryption Toolkit for Mobile PCs

Notificações de atualizações

Inscreva-se para obter informações sobre atualizações e novos lançamentos

Comentários

Envie-nos seus comentários e sugestões



Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft