2013 sonunda Horizon BCBS, 840.000 üyesine ait bilgilerin laptop hırsızlığıyla çalındığını açıkladı. Birkaç ay sonra CocaCola benzer bir hırsızlıkla 74.000 kişinin bilgilerini çaldırdı.
İşin kötüsü bu laptoplardaki bilgilerin şifrelenmemiş olmasıydı. NASA dahi cihazlarının sadece %1’ini şifreliyor ve şifresiz cihazlarda uzay istasyonlarının kontrol kodlarını kaybedebiliyor.
Günümüzde laptop hırsızlığı devasa boyutlarda. Her 53 saniyede 1 laptop çalınıyor. Bu laptoplardan biri bizimkisi olabilir miydi?
Elbette bu istatistiklerin bir parçası olmayı istemiyoruz, hatta düşünmüyoruz bile. Ama kurban olmak için gönüllülük şartı aranmıyor. Bu bölümü kontrol edemiyoruz. Kontrol edebileceğimiz şey ise, verileri dokunulmaz kılmak.
Ben bu iş için Bitlocker kullanıyorum. Tüm bilgisayarlarımı ve harici disklerimi Windows işletim sistemi ile bütünleşik sunulan Bitlocker ile şifreliyorum. Eğer siz de veri güvenliğine önem veriyorsanız, Bitlocker ile ilgili herşeyi soru-cevap şeklinde ayrı ayrı rehberlerde anlattım.
Bilgisayarınız ele geçirildiğinde, hırsız (yada eski sevgiliniz yada rakip ticari kurum… burada sizi merak eden herkes olarabilir) bilgisayarınızı açmaya çalışacaktır. Bu durumda bilgisayarınızda herhangi bir şifreleme yöntemi kullanmadıysanız, verilerinize hemen ulaşacaktır.
Bu tür durumlara önlem için genellikle herkesin tercihi Windows’a şifre koymak olur.
Oysa…
Windows şifresi diskteki verileri şifrelemez, sadece Windows’a erişimi kontrol eder. (Deyim yerindeyse banka kapısındaki bekçi gibidir.) Bu güvenlik önlemini bypass etmesi çok kolaydır. (3 dk kadar sürer, bknz: Windows şifresi nasıl kırılır?) Ayrıca diski bir başka bilgisayara ikincil/harici disk olarak takarsa bu süreye bile ihtiyacı kalmaz, içeriğe hemen erişmek mümkün olur.
Bu tür durumlara karşın bilgisayarımızdaki verilerin güvenliği için daha güçlü araçlara ihtiyacımız var. Sadece Windows için değil, verilerimizi sakladığımız ikincil yada harici disklere hatta USB flash disklere yetkisiz erişimleri engellemek için de gerekli bir durum bu.
Bitlocker bu ihtiyaca cevap veren bir tür kriptografi programıdır. Diskteki tüm verileri şifreler. Bu nedenle diski alıp bir başka bilgisayara taksanız dahi içeriğini göremezsiniz. Windows şifresi gibi bypass edemezsiniz. Eğer yeterince uzun ve karmaşık bir şifre kullanarak diskinizi kriptolarsanız, teorik olarak Bitlocker’ı kırmak mümkün değildir.
Bitlocker, bilgisayarınızın kapısında kolayca aşılabilecek bir bekçi değil adeta verileriniz için hazırlanmış ekstra güvenlikli merkez bankası kasasıdır.
Windows, diske yazdığı verileri şifrelemez ve veriler olduğu gibi diske kaydedilir. Diski elinde tutan herkes içindeki verileri (hdd’yi bir bilgisayara bağlayıp) kullanabilir.
Bitlocker ve benzeri yazılımlar ise Windows verileri diske yazmadan önce belirli algoritmalara göre okunamayacak halde şifreler ve öyle kaydeder. Diski bir başka bilgisayara takıp erişmeye çalışsanız dahi, verileri okumak -özel anahtarınız ve Bitlocker olmadan- mümkün değildir.
Burada yapılan işleme genel olarak kriptografi denir. “Kriptografi, okunabilir durumdaki bir bilginin istenmeyen taraflarca okunamayacak bir hale dönüştürülmesinde kullanılan tekniklerin tümüdür.” (Daha fazla; 1, 2, 3)
Kabaca oluşturulmuş bir Kriptografi örneği. Anahtar eğer metinde “A” harfini okursa “M” olarak değiştirip şifreliyor. Şifre çözme esnasında bu işlem tersine gerçekleşiyor. Anahtara sahip olmayan birinin metni okuması oldukça zor. Bu basit örneğin aksine günümüzde kullanılan gelişmiş yöntemler düşünüldüğünde kriptonun kırılması neredeyse imkansızdır.
Her zaman harddiskin tamamını şifrelememiz gerekmez. Sadece hassas bilgileri güvenli bir şekilde saklamak isteyebiliriz. Bu durumda yazılımlar size gizlemek istediğiniz verileri saklayabileceğiniz bir sanal disk oluşturabilir. Bu aslında şifrelenmiş bir dosyadır ve sisteme harddisk gibi kullanılabilecek şekilde bağlanabilir.
Bitlocker kriptolu konteynırlar oluşturamıyor. Kendinin doğal olarak böyle bir kabiliyeti yok. Fakat özel bir teknikle biraz dolambaçlı yoldan bu açığı kapatmak mümkün.
Bunun için kullanılan yöntem önce sanal bir disk sürücüsü oluşturmak ve bitlocker ile bu sürücüyü şifrelemek. Bu işin nasıl yapıldığına dair iki farklı rehber hazırladım. İlk rehber biraz daha uzun ve meşakkatli iken, ikinci yöntem yardımcı bir araçtan faydalanıyor ve çok daha hızlı sonuç veriyor.
Yöntem 1: Disk Yönetimi aracı ve Bitlocker ile adım adım Şifreli Sanal Sabit Disk oluşturma
Yöntem 2: VHD Attach ve Bitlocker ile adım adım Şifreli Sanal Sabit Disk oluşturma
AES (Advanced Encryption Standart), Amerikan standartlar enstitüsü tarafından geliştirilmiş bir şifreleme tekniği. AES 128/192/256 olarak 3 farklı versiyonu bulunuyor. Teoride AES 256, AES 128’den daha güçlü bir şifreleme sunuyor. (Bknz: AES, Guess why we’re moving to 256-bit AES keys) (Bu tartışmalı bir konu ve tersini düşünenler de mevcut.)
Bitlocker varsayılanda AES 128 kullanıyor. Eğer istenirse küçük bir ayarla AES 256 kullanmak mümkün.
Windows varsayılanda bitlocker şifrelemesi yapabilemek için TPM adı verilen bir çipe ihtiyaç duyuyor. Bu çip basit şifreleme işlemleri için anakartımızda bulunuyor. Genelde laptop modelleri bu çipi içerse de, masaüstü bilgisayarlarda bazen bulunmuyor.
Bu aygıt Güvenilir Platform Modülü’nü kullanamaz. Yöneticinizin İşletim Sistemi birimleri için “Başlangıçta ek kimlik doğrulaması iste” ilkesindeki “Uyumlu bir TPM olmadan Bitlocker!a izin ver” seçeneğini ayarlaması gerekir.
Bu durumda Windows bir hata gösteriyor ve bitlocker şifrelemesi yapılamıyor. Bunun için küçük bir ayarlama işinizi görüyor.
Bitlocker, Windows Vista ve üzeri işletim sistemlerinde bulunuyor. Bu özelliği kullanabilmeniz için seçeceğiniz sürüm de önemli.
Windows 8.1 için Profesyonel veya Enterprise sürümü, Windows 7 ve Vista için Enterprise veya Ultimate sürümü sahibi olmanız gerekiyor.
Windows 8.1 standart sürümü ile Windows 7 ve Vista için Starter, Home, Home Premium, Pro sürümleri bitlocker içermiyor. (1, 2, 3)