Чтобы узнать, как обойти ключи восстановления BitLocker, необходимы некоторые базовые знания.
Вместо того, чтобы рисковать проблемами совместимости со сторонними приложениями шифрования, Microsoft разработала BitLocker и интегрировала его в свои операционные системы, включая Windows 10 и Windows 11. Он поддерживается в версиях Windows Professional, Ultimate, Enterprise и Server. В результате он популярен среди частных лиц и организаций любого размера.
BitLocker использует надежные алгоритмы расширенного стандарта шифрования (AES) для создания 128- или 256-битного ключа для закодированного тома. В отличие от других форм полнодискового шифрования (FDE), BitLocker использует один ключ для защиты всего тома. Этот ключ предотвращает доступ неавторизованных лиц к конфиденциальным данным. При развертывании на компьютере ключ также защищает целостность системных файлов Windows, препятствуя определенным направлениям атак. Кроме того, BitLocker можно развернуть на съемных носителях для защиты переносимых данных.
Пользователи могут развернуть BitLocker в одном из трех режимов:
- Прозрачный режим работы: ключи BitLocker, процессы дешифрования и шифрования основаны на доверенном платформенном модуле (TPM), встроенном в компьютер. Реализации TPM предлагают самую надежную форму защиты, поскольку компьютер должен функционировать, чтобы разблокировать носитель данных. Этот метод прозрачен для конечного пользователя, поскольку процесс не требует никакого взаимодействия с его стороны.
- Режим аутентификации пользователя: пользователь должен ввести парольную фразу или PIN-код, чтобы начать процесс расшифровки. Windows не сможет успешно загрузиться без парольной фразы или PIN-кода. Хотя этот режим BitLocker не предназначен для переносимости, он в меньшей степени зависит от аппаратного обеспечения компьютера по сравнению с методами TPM.
- Режим USB-ключа: пользователь должен вставить съемное запоминающее устройство, содержащее ключ запуска. Этот режим представляет собой не реализацию смарт-карты, а файл, который можно сохранить на любом USB-накопителе.
Можно комбинировать несколько методов, например, реализовать режим TPM, который также требует ввода PIN-кода пользователем. Во всех реализациях система генерирует ключ восстановления из Windows, который разблокирует диск, зашифрованный BitLocker, в случае сбоя компьютера, потери ключа дешифрования или забытия парольной фразы или PIN-кода. Поскольку метод шифрования AES настолько надежен и не имеет известных уязвимостей, ключ восстановления часто является единственным вариантом разблокировки тома BitLocker без исходного ключа.
Однако некоторые OEM-производители поставляют уже настроенный BitLocker. Иногда пользователи предпочитают не изменять эти настройки. Администраторы также могут отключить BitLocker. В этих случаях том BitLocker зашифрован, но содержит ключ дешифрования в метаданных, известный как чистый ключ.
Специалисты могут извлечь встроенный открытый ключ и расшифровать том без какой-либо дополнительной информации, такой как пароль или PIN-код BitLocker.
Тем не менее, надежные схемы защиты означают, что методы восстановления данных должны быть изменены для успешного восстановления пользовательских данных. Типичный процесс восстановления данных можно адаптировать для обеспечения полнодискового шифрования и обхода ключей восстановления BitLocker, как показано ниже:
Шаг 1. Сканируйте носитель данных и диагностируйте аппаратные сбои. Технические специалисты сканируют диск для диагностики потенциальных сбоев, таких как поврежденные сектора или неисправные головки.
Шаг 2: Устраните выявленные проблемы. Инженеры используют специализированные инструменты для ремонта вышедших из строя компонентов и временного восстановления работоспособности накопителя.
Шаг 3. Сохраните содержимое на рабочем носителе. Программное обеспечение для создания образа диска создает побитовую копию устройства. Судебно-медицинский образ сохраняет данные во время процесса восстановления.
Шаг 4. Проанализируйте объем диска. Эксперты определяют файловую систему тома (NTFS с прошивкой BIOS или FAT32 с настройками прошивки UEFI) и определяют режим шифрования BitLocker.
Шаг 5: Получите ключ восстановления. Используя криминалистические инструменты, специалисты пытаются получить ключ восстановления или извлечь чистый ключ из метаданных зашифрованного тома.
Шаг 6: Разблокируйте носитель. Технические специалисты декодируют сохраненные данные и сохраняют содержимое расшифрованного диска с помощью другого криминалистического образа.
После разблокировки том BitLocker может быть полностью сохранен, в отличие от некоторых других форм полнодискового шифрования. Такое сохранение означает, что диск по-прежнему можно сканировать на наличие удаленных данных и файлов определенных типов. Инженеры могут искать на диске метаданные или подписи файлов, а затем реконструировать и восстанавливать исходное содержимое.
Поскольку шифрование диска BitLocker не препятствует операциям восстановления, пользователям не следует немедленно списывать неисправный носитель или случайное удаление как неисправимые случаи. Пока доступен пароль восстановления, ключ восстановления или другой аутентификатор, зашифрованные диски имеют те же перспективы, что и незашифрованные устройства.
