Bitlocker nedir, nasıl kullanılır?

2013 sonunda Horizon BCBS, 840.000 üyesine ait bilgilerin laptop hırsızlığıyla çalındığını açıkladı. Birkaç ay sonra CocaCola benzer bir hırsızlıkla 74.000 kişinin bilgilerini çaldırdı.

İşin kötüsü bu laptoplardaki bilgilerin şifrelenmemiş olmasıydı. NASA dahi cihazlarının sadece %1’ini şifreliyor ve şifresiz cihazlarda uzay istasyonlarının kontrol kodlarını kaybedebiliyor.

Günümüzde laptop hırsızlığı devasa boyutlarda. Her 53 saniyede 1 laptop çalınıyor. Bu laptoplardan biri bizimkisi olabilir miydi?

Elbette bu istatistiklerin bir parçası olmayı istemiyoruz, hatta düşünmüyoruz bile. Ama kurban olmak için gönüllülük şartı aranmıyor. Bu bölümü kontrol edemiyoruz. Kontrol edebileceğimiz şey ise, verileri dokunulmaz kılmak.

Ben bu iş için Bitlocker kullanıyorum. Tüm bilgisayarlarımı ve harici disklerimi Windows işletim sistemi ile bütünleşik sunulan Bitlocker ile şifreliyorum. Eğer siz de veri güvenliğine önem veriyorsanız, Bitlocker ile ilgili herşeyi soru-cevap şeklinde ayrı ayrı rehberlerde anlattım.

Bilgisayarınız ele geçirildiğinde, hırsız (yada eski sevgiliniz yada rakip ticari kurum… burada sizi merak eden herkes olarabilir) bilgisayarınızı açmaya çalışacaktır. Bu durumda bilgisayarınızda herhangi bir şifreleme yöntemi kullanmadıysanız, verilerinize hemen ulaşacaktır.

Bu tür durumlara önlem için genellikle herkesin tercihi Windows’a şifre koymak olur.

Oysa…

Windows şifresi diskteki verileri şifrelemez, sadece Windows’a erişimi kontrol eder. (Deyim yerindeyse banka kapısındaki bekçi gibidir.) Bu güvenlik önlemini bypass etmesi çok kolaydır. (3 dk kadar sürer, bknz: Windows şifresi nasıl kırılır?) Ayrıca diski bir başka bilgisayara ikincil/harici disk olarak takarsa bu süreye bile ihtiyacı kalmaz, içeriğe hemen erişmek mümkün olur.

Bu tür durumlara karşın bilgisayarımızdaki verilerin güvenliği için daha güçlü araçlara ihtiyacımız var. Sadece Windows için değil, verilerimizi sakladığımız ikincil yada harici disklere hatta USB flash disklere yetkisiz erişimleri engellemek için de gerekli bir durum bu.

Bitlocker bu ihtiyaca cevap veren bir tür kriptografi programıdır. Diskteki tüm verileri şifreler. Bu nedenle diski alıp bir başka bilgisayara taksanız dahi içeriğini göremezsiniz. Windows şifresi gibi bypass edemezsiniz. Eğer yeterince uzun ve karmaşık bir şifre kullanarak diskinizi kriptolarsanız, teorik olarak Bitlocker’ı kırmak mümkün değildir.

Bitlocker, bilgisayarınızın kapısında kolayca aşılabilecek bir bekçi değil adeta verileriniz için hazırlanmış ekstra güvenlikli merkez bankası kasasıdır.

Windows, diske yazdığı verileri şifrelemez ve veriler olduğu gibi diske kaydedilir. Diski elinde tutan herkes içindeki verileri (hdd’yi bir bilgisayara bağlayıp) kullanabilir.

Bitlocker ve benzeri yazılımlar ise Windows verileri diske yazmadan önce belirli algoritmalara göre okunamayacak halde şifreler ve öyle kaydeder. Diski bir başka bilgisayara takıp erişmeye çalışsanız dahi, verileri okumak -özel anahtarınız ve Bitlocker olmadan- mümkün değildir.

Burada yapılan işleme genel olarak kriptografi denir. “Kriptografi, okunabilir durumdaki bir bilginin istenmeyen taraflarca okunamayacak bir hale dönüştürülmesinde kullanılan tekniklerin tümüdür.” (Daha fazla; 1, 2, 3)

Kabaca oluşturulmuş bir Kriptografi örneği. Anahtar eğer metinde "A" harfini okursa "M" olarak değiştirip şifreliyor. Şifre çözme esnasında bu işlem tersine gerçekleşiyor. Anahtara sahip olmayan birinin metni okuması oldukça zor. Bu basit örneğin aksine günümüzde kullanılan gelişmiş yöntemler düşünüldüğünde kriptonun kırılması neredeyse imkansızdır.

Kabaca oluşturulmuş bir Kriptografi örneği. Anahtar eğer metinde “A” harfini okursa “M” olarak değiştirip şifreliyor. Şifre çözme esnasında bu işlem tersine gerçekleşiyor. Anahtara sahip olmayan birinin metni okuması oldukça zor. Bu basit örneğin aksine günümüzde kullanılan gelişmiş yöntemler düşünüldüğünde kriptonun kırılması neredeyse imkansızdır.

000032-02-01

01/12

Denetim Masası'ndan önce Sistem ve Güvenlik linkine ardından Bitlocker Sürücü Şifrelemesi linkine tıklıyoruz.

Tüm Bitlocker işlemlerini yürüteceğimiz ekran karşımıza geliyor. Burada şifrelemek istediğimiz diskin yanındaki "Bitlocker'ı aç" linkine tıklıyoruz.

000032-02-02

02/12

Bitlocker kısa bir süre gereksinimleri denetliyor. Herşey tamamsa fotoğraftaki ekran karşımıza geliyor.

Bitlocker sürücü şifresini isterseniz flash diskinizle otomatik olarak açabilirsiniz. Genelde parola tercih edilmektedir. Ben de öyle anlatacağım. "Parola girin" linkine tıklıyoruz.

(Bu fotoğraf yerine bir hata mesajı gördüyseniz sisteminizde TPM yok demektir. TPM olmayan sistemlerde Bitlocker için önce küçük bir ayarı değiştirmek gerekiyor. Konuyu ilgili başlıkta açıkladım.)

000032-02-03

03/12

Mümkünse uzun ve harf/sayı kombinasyonları içeren karmaşık bir şifre belirliyoruz ve "İleri" butonuna tıklıyoruz.

000032-02-04

04/12

Bitlocker şifreyi unutmamıza karşın bir kurtarma anahtarı yedeği oluşturuyor. Bu yedeği kaydedebilir yada yazdırabilirsiniz.

Şifreli diskiniz bu anahtar ile başka ek bir işleme gerek olmadan açılabileceğinden, kurtarma anahtarını güvenli bir yerde saklamalısınız. Eğer şifreyi unutmayacağınıza eminseniz, kurtarma anahtarını yokedebilirsiniz.

000032-02-05

05/12

Bitlocker sürünün ne kadarını şifrelemeyi istediğimizi soruyor. Eğer bilgisayarı (yada şifrelemek istediğimiz diski) yeni aldıysanız, ilk seçeneği seçebilirsiniz. Aksi taktirde ikinci seçenek uygun seçenektir.

000032-02-06

06/12

Bitlocker şifrelemeye başlamadan önce son bir onay ekranı gösteriyor. Devam butonuna tıklıyoruz ve sürücü şifrelemeyi başlatıyoruz.

000032-02-07

07/12

Bir uyarı balonu çıkıyor ve bizi bilgisayarı baştan başlatmamız konusunda bilgilendiriyor.

Eğer sizde benim gibi Windows'u içeren diski şifrelemek istiyorsanız bilgisayarı baştan başlatmak zorundasınız. Eğer şifrelemek istediğiniz disk, Windows'un kurulu olduğu disk değilse, restart yapmaya gerek olmayacak ve şifreleme hemen başlatılacaktır.

000032-02-08

08/12

Sistem yeniden başladıktan sonra Bitlocker şifremizi giriyoruz ve klavyemizden enter tuşuna basıyoruz.

000032-02-09

09/12

Bitlocker, arka planda şifrelemeyi sürdürecek. Artık bizim yapmamız gereken birşey kalmadı. Disk otomatik olarak şifrelenecek.

000032-02-10

10/12

Eğer görev çubuğundaki ikona tıklarsak şifrelemenin ilerlemesini görebilirsiniz. Bitlocker işi bittiğinde sessiz sedasız görev çubuğundan kaybolur.

Eğer bu ekranı açık tutarsanız, işlem tamamlandığında bunu ekranda görebilirsiniz.

000032-02-11

11/12

Bitlocker şifresini kaldırmak isterseniz, "Bitlocker'ı kapat" linkine tıklayabilirsiniz.

000032-02-12

12/12

Eğer disklenize bakarsanız, Bitlocker şifreli diskleriniz üzerinde kilit olacak şekilde görünecektir.

Tam bir güvenlik için sistemdeki tüm disklerinizi ayrı ayrı şifrelemeniz gerekir. Bitlocker ile harici disklerinizi, flash disklerinizi şifrelemeniz de mümkündür.

Her zaman harddiskin tamamını şifrelememiz gerekmez. Sadece hassas bilgileri güvenli bir şekilde saklamak isteyebiliriz. Bu durumda yazılımlar size gizlemek istediğiniz verileri saklayabileceğiniz bir sanal disk oluşturabilir. Bu aslında şifrelenmiş bir dosyadır ve sisteme harddisk gibi kullanılabilecek şekilde bağlanabilir.

Bitlocker kriptolu konteynırlar oluşturamıyor. Kendinin doğal olarak böyle bir kabiliyeti yok. Fakat özel bir teknikle biraz dolambaçlı yoldan bu açığı kapatmak mümkün.

Bunun için kullanılan yöntem önce sanal bir disk sürücüsü oluşturmak ve bitlocker ile bu sürücüyü şifrelemek. Bu işin nasıl yapıldığına dair iki farklı rehber hazırladım. İlk rehber biraz daha uzun ve meşakkatli iken, ikinci yöntem yardımcı bir araçtan faydalanıyor ve çok daha hızlı sonuç veriyor.

Yöntem 1: Disk Yönetimi aracı ve Bitlocker ile adım adım Şifreli Sanal Sabit Disk oluşturma

000032-03-01

01/23

Win+R tuşlarına aynı anda basarak Çalıştır ekranını açıyoruz. "diskmgmt.msc" yazıp "Tamam" butonuna tıklıyoruz.

000032-03-02

02/23

Disk Yönetimi yazılımı açılıyor. "Eylem" menüsünden "SSD Oluştur" seçeneğini seçiyoruz.

Buradaki SSD'nin açılımı "Sanal Sabit Disk". Fiziksel SSD diskleri anlatmıyor. Sanal sabit diskler aslında vhd yada vhdx uzantılı dosyalardır ve sisteme harddisk olarak görünecek şekilde bağlanabilir.

000032-03-03

03/23

Sanal diskimizi kaydedeceğimiz yeri belirleyip istediğimiz disk boyutunu yazıyoruz. "Tamam" butonu ile ilerliyoruz.

000032-03-04

04/23

VHD diskimiz oluşturuluyor. Diskin üzerine tıklayıp "Diski Başlat" komutu ile diskimizi başlatıyoruz.

000032-03-05

05/23

MBR&GPT disk tercihi yapıyoruz.

Burada hangi bölümleme biçimini tercih ettiğiniz pek te önemli değil. Eğer geriye yönelik uyum aramıyorsanız (oluşturduğunuz diski eski versiyon Windows'a taşıyıp kullanmayacaksanız) daha güvenilir olan GPT stilini tercih edebilirsiniz.

000032-03-06

06/23

Disk bölümünü seçiyoruz ve "Yeni Basit Birim..." komutunu veriyoruz. Burada yapacağımız işlem, genellikle yeni alınmış bir diske yaptığımız gibi, diski formatlamak olacak.

000032-03-07

07/23

Sihirbaz ekranını geçiyoruz.

000032-03-08

08/23

Oluşturmak istediğimiz bölüm/partition boyutunu seçiyoruz.

Varsayılan olarak disk tek bir bölüm oluşturacak şekilde ayarlanır. Bu yapacağımız iş için makul bir seçenektir. Değiştirmemize gerek yok.

000032-03-09

09/23

Sürücüye bir harf atıyoruz.

Burada sürücüye hangi harfi atadığınız pek de önemli değil. Açılır kutudan herhangi birini seçebilirsiniz. Z->X->Y gibi sondan bir harf atarsanız, bazı durumlarda daha uygun oluyor. Mesela sanal ağ klasörleriniz varsa!

000032-03-10

10/23

Bölümü biçimlendiriyoruz.

000032-03-11

11/23

Sihirbaz tamamlanıyor. Son butonuna tıkladığımızda diskimiz hazır hale gelmiş olacak.

000032-03-12

12/23

Diskimiz hazırlandı.

000032-03-13

13/23

Windows diski otomatik olarak sisteme eklemiş görünüyor. Masaüstünde yer alan "Bitlocker" dosyası ise bizim konteynırımız. (Windows diliyle SSD)

000032-03-14

14/23

Diski şifrelemek için Bitlocker Sürücü Şifrelemesine giriyoruz. Diskin yanındaki "Bitlocker'ı aç" linkine tıklıyoruz.

000032-03-15

15/23

Sürücüyü açmak için parola belirleyip ilerliyoruz.

000032-03-16

16/23

Bitlocker, kurtarma anahtarını kaydetmek yada yazdırmak istiyor. Bir seçeneği seçip anahtarı yedekliyoruz ve ilerliyoruz.

(Şifreli diskiniz bu anahtar ile başka ek bir işleme gerek olmadan açılabileceğinden, kurtarma anahtarını güvenli bir yerde saklamalısınız. Eğer şifreyi unutmayacağınıza eminseniz, kurtarma anahtarını yokedebilirsiniz.)

000032-03-17

17/23

Şifrelemeyi başlat butonu ile diski şifrelemeye başlatıyoruz.

000032-03-18

18/23

Disk şifreleniyor ve işlem tamamlanıyor.

000032-03-19

19/23

Disk şifrelendikten sonra, sabit diskimizin üzerinde kilit simgesi beliriyor.

000032-03-20

20/23

Şifrelenen diski sistemden sökmek için "SSD'yi ayır" komutu vermemiz gerekiyor. Onayın ardından disk sistemden sökülüyor.

000032-03-21

21/23

Diski tekrar sisteme takmak için "SSD Ekle" komutu veriyoruz. Ardından açılan pencereden sanal sabit diskimize ait dosyayı seçip "Tamam" butonuna tıklıyoruz.

000032-03-22

22/23

Diski bu şekilde sisteme takıp çıkarmak biraz zahmetli. Her seferinde "Disk Yönetimi" aracını çalıştırmak gerekiyor.

Daha kolay yol ise, diskin üzerine sağ tıklayıp "Bağla" komutunu vermek. Diski sökmek için ise "Bilgisayarım" penceresini açıp diskin üzerine sağ tıklayarak "Çıkar" komutunu vermek.

Nedense "Bağla" komutu bazen görünmüyor. Eğer bu olursa, "ImDisk Virtual Disk Driver" yada "WinVHD" programlarını sisteminize yükleyip bu şekilde kullanmaya devam edebilirsiniz.

000032-03-23

23/23

Bir alternatif de iki küçük script kullanmak. Diski VHDyükle.bat üzerine sürükleyip bırakın. Disk sisteme eklenecek. Diski sökmek içinse, VHDkaldır.bat üzerine sürükleyip bırakmanız yeterli.

Bu iki dosyayı indirmek için; Download

Yöntem 2: VHD Attach ve Bitlocker ile adım adım Şifreli Sanal Sabit Disk oluşturma

000032-04-01

01/13

VHD Attach programını çalıştırıp "New" butonuna tıklıyoruz. Açılan pencereye disk boyutunu girip "Create" butonuna tıklıyoruz.

Yazılım diski oluşturmak için bir konum seçmenizi istiyor. Uygun yeri seçiyoruz.

000032-04-02

02/13

Disk oluşturuluyor ve sisteme takılıyor.

000032-04-03

03/13

Disk sisteme eklendiğinde, henüz RAW formatta olduğundan biçimlendirmemiz isteniyor. "Disk Biçimlendir" butonuna tıklıyoruz.

000032-04-04

04/13

Önce "Başlat" ardından "Tamam" butonlarına tıklıyoruz.

000032-04-05

05/13

Biçimlendirme tamamlandığında önce "Tamam" sonra "İptal" butonlarına tıklayarak bu ekranı kapatıyoruz.

000032-04-06

06/13

Diskimiz kullanmamız için sistemde hazır ancak henüz şifrelemedik.

000032-04-07

07/13

Diski şifrelemek için Bitlocker Sürücü Şifrelemesine giriyoruz. Diskin yanındaki "Bitlocker'ı aç" linkine tıklıyoruz.

000032-04-08

08/13

Sürücüyü açmak için parola belirleyip ilerliyoruz.

000032-04-09

09/13

Bitlocker, kurtarma anahtarını kaydetmek yada yazdırmak istiyor. Bir seçeneği seçip anahtarı yedekliyoruz ve ilerliyoruz.

(Şifreli diskiniz bu anahtar ile başka ek bir işleme gerek olmadan açılabileceğinden, kurtarma anahtarını güvenli bir yerde saklamalısınız. Eğer şifreyi unutmayacağınıza eminseniz, kurtarma anahtarını yokedebilirsiniz.)

000032-04-10

10/13

Şifrelemeyi başlat butonu ile diski şifrelemeye başlatıyoruz.

000032-04-11

11/13

Disk şifreleniyor ve işlem tamamlanıyor.

000032-04-12

12/13

Disk şifrelendikten sonra, sabit diskimizin üzerinde kilit simgesi beliriyor.

000032-04-13

13/13

Diski kaldırmak için "Detach" butonuna tıklamamız yeterli. (Buton aktif değilse Refresh butonuna tıklayabilirsiniz)

Diski tekrar takmak için Attach butonuna tıklamak gerekiyor. Eğer diskin her sistem açılışında otomatik olarak bağlanmasını istiyorsanız, "Not Auto-mounted" butonuna tıklayarak "Auto-mount" seçeneğini aktif etmeniz yeterli oluyor.

AES (Advanced Encryption Standart), Amerikan standartlar enstitüsü tarafından geliştirilmiş bir şifreleme tekniği. AES 128/192/256 olarak 3 farklı versiyonu bulunuyor. Teoride AES 256, AES 128’den daha güçlü bir şifreleme sunuyor. (Bknz: AES, Guess why we’re moving to 256-bit AES keys) (Bu tartışmalı bir konu ve tersini düşünenler de mevcut.)

Bitlocker varsayılanda AES 128 kullanıyor. Eğer istenirse küçük bir ayarla AES 256 kullanmak mümkün.

000032-05-01

01/03

Win+R tuşlarına aynı anda basarak Çalıştır ekranını açıyoruz. "gpedit.msc" yazıp "Tamam" butonuna tıklıyoruz.

000032-05-02

02/03

Yerel Grup İlkesi Düzenleyicisi açılacak. Bu ekranda "Bilgisayar Yapılandırması" linkine tıklıyoruz. Aynı şekilde sırasıyla şu linklere tıklıyoruz;

-Yönetim Şablonları
-Windows Bileşenleri
-Bitlocker Drive Encryption
-Sürücü şifreleme yöntemini ve anahtar kuvvetini seçin

000032-05-03

03/03

"Sürücü şifreleme yöntemini ve anahtar kuvvetini seçin" penceresini fotoğraftaki ayarlarla düzenliyoruz. Artık yeni şifreleyeceğimiz diskler AES 256 kullanılarak kriptolanacak.

Eskiden şifrelediğimiz diskler ise halen AES 128 kullanmakta. Onları da AES 256'ya geçirmek için önce şifresini çözmek, ardından tekrar şifrelemek gerekiyor.

Windows varsayılanda bitlocker şifrelemesi yapabilemek için TPM adı verilen bir çipe ihtiyaç duyuyor. Bu çip basit şifreleme işlemleri için anakartımızda bulunuyor. Genelde laptop modelleri bu çipi içerse de, masaüstü bilgisayarlarda bazen bulunmuyor.

Bu aygıt Güvenilir Platform Modülü'nü kullanamaz. Yöneticinizin İşletim Sistemi birimleri için "Başlangıçta ek kimlik doğrulaması iste" ilkesindeki "Uyumlu bir TPM olmadan Bitlocker!a izin ver" seçeneğini ayarlaması gerekir.

Bu aygıt Güvenilir Platform Modülü’nü kullanamaz. Yöneticinizin İşletim Sistemi birimleri için “Başlangıçta ek kimlik doğrulaması iste” ilkesindeki “Uyumlu bir TPM olmadan Bitlocker!a izin ver” seçeneğini ayarlaması gerekir.

Bu durumda Windows bir hata gösteriyor ve bitlocker şifrelemesi yapılamıyor. Bunun için küçük bir ayarlama işinizi görüyor.

000032-06-01

01/03

Win+R tuşlarına aynı anda basarak Çalıştır ekranını açıyoruz. "gpedit.msc" yazıp "Tamam" butonuna tıklıyoruz.

000032-06-02

02/03

Yerel Grup İlkesi Düzenleyicisi açılacak. Bu ekranda "Bilgisayar Yapılandırması" linkine tıklıyoruz. Aynı şekilde sırasıyla şu linklere tıklıyoruz;

-Yönetim Şablonları
-Windows Bileşenleri
-Bitlocker Drive Encryption
-İşletim Sistemi Sürücüleri
-Başlangıçta ek kimlik doğrulama iste

000032-06-03

03/03

"Başlangıçta ek kimlik doğrulama iste" penceresi açılıyor. Bu pencereyi fotoğraftaki seçenekler ile değiştirip Tamam butonuna tıklıyoruz.

Böylece TPM olmadan Bitlocker kullanmaya başlayabiliyoruz.

Bitlocker, Windows Vista ve üzeri işletim sistemlerinde bulunuyor. Bu özelliği kullanabilmeniz için seçeceğiniz sürüm de önemli.

Windows 8.1 için Profesyonel veya Enterprise sürümü, Windows 7 ve Vista için Enterprise veya Ultimate sürümü sahibi olmanız gerekiyor.

Windows 8.1 standart sürümü ile Windows 7 ve Vista için Starter, Home, Home Premium, Pro sürümleri bitlocker içermiyor. (1, 2, 3)

Leave a Reply