Disk Şifreleme
Disk Şifreleme, çevrimdışı saldırılara (çalınma, kaybolma vs.) karşı şifreleme yöntemi ile koruma sağlayan bir teknolojidir. Genel anlamda amaç, önyükleme öncesi kimlik doğrulama sırasında önyükleme bileşenlerinin kontrolü ile olası atak durumu için diski okunamaz halde tutularak korumanın sağlanmasıdır.
Uluslararası bilgisayarlarınızın işletim sistemlerine göre farklı disk şifreleme çözümleri mevcuttur. Microsoft Windows İşletim Sistemi için Bitlocker, Apple macOS İşletim Sistemi için FileVault, Linux içinse en çok LUKS ön planda çıkan çözümlerdir. Çeşitli güvenlik yazılım şirketlerinin kendi şifreleme çözümlerini geliştirmişlerdir. Bu çözümler farklı çözüm ve çözümlerle yapılabilir.
Bu yazımızda ağırlıklı olarak Bitlocker Disk Encryption çözümü üzerinde duracağız.
Bitlocker Disk Encryption, SCCM, MBAM, Cloud gibi farklı platformlar ile yönetilebilmektedir. Ayrıca kullanıcıların kişisel bilgisayarlarının da disklerini Bitlocker çözümünü kullanarak şifreleyebilirler.
SCCM’i aktif kullanan bir organizasyonunuz varsa en rahat uygulanabilir çözüm SCCM’dir. MBAM ise ajanlı bir yapıya sahip, yerinde bir çözümdür. Son kullanıcı bilgisayarlarına kurulan basit bir ajan, bilgisayardaki bitlocker çözümü ile yönetim arasında köprü görevi üstlenir. Bulut tabanlı Microsoft Intune çözümünü kullanarak da disk şifreleme yapılabilir. Anahtar yönetimi de bu çözümle.
Kişisel kullanımınızda olan bilgisayarların disklerini kırmak istiyorsanız disk şifrelemeyi manuel başlatabilirsiniz. Diske ait önemli bilgileri Microsoft hesaplarında saklayabilir veya yazdırabilirsiniz. Bunun yanında USB’ye de erişebilir, ihtiyaçlar dahilinde kullanabilirsiniz.
Disk Encryption özellikleri diskin şifrelenmiş olması yanında en dikkatli belirtilmesi konu kurtarma anahtarının doğru saklanmasıdır. Anahtar’a erişim, ihtiyaç anında değerlidir; Ancak bu erişim, güvenilir bir koruma muhafazasının tam anlamıyla önemi kazanır. Bu konuya ileride değineceğiz.
Bir organizasyona ait fiziksel bilgisayarların disklerini şifrelemek istiyorsanız en uygun parçacıklardan biri Grup İlkesi yaratıp bu politikayı bilgisayarlara atamak olacaktır. Grup Politikası içerisinde şifreleme yöntemi, şifrelenecek disk hacmi çeşitleri, diski depolama koruyucu seçimi, anahtarların saklanacağı ve ihtiyaç dahilinde nereden alınacağı bilgileri gibi kayıtlar oluşturabilirsiniz.
Bitlocker Disk Şifreleme Şifreleme Yöntemleri
Bitlocker, aşağıdaki şifreleme yöntemlerini içerir. Burada bir ayar yapılmaz ise varsayılan olarak XTS-AES 128-bit yönteminin oluşması olacaktır. Bu ayarlar hem işletim sisteminin olduğu disk hem de var ise sabit diskler veya diskler için ayrı ayrı yapılandırılabilir. Genel olarak tam disk şifrelemelerinde XTS-AES 128-bit ve XTS-AES 256-bit tercih edilir.
- AES-CBC 128 bit
- AES-CBC 256 bit
- XTS-AES 128 bit (varsayılan)
- XTS-AES 256 bit
Diskleri çocukların Koruyucu Çeşitleri
- Sadece TPM
- TPM + PIN
- USB Başlangıç Anahtarı
- TPM + USB Başlangıç Anahtarı + PIN
- Şifre
- Otomatik kilit açma
TPM
Anakart üzerine lehimli olarak gelen bir chipset’tir. Ana görev bilgisayarın PCR (Platform Konfigürasyon Kaydı) değerlerinin bölünmesini sağlar ve Depolama Kök Anahtarı’nın korunmasını sağlar.
TPM yonga seti’i, önyükleme sırasında sistemde bir değişiklik yapılıp yapılmadığını kontrol eder. Bu kontrolün başarılı olması sonrasında kendinde barındırdığı Storage Root Key (SRK)’i salarak önce Volume Masker Key (VMK)’nin şifresinin çözülmesini sağlar. VMK’nın şifresini çöz
Tam Birim Şifreleme Anahtarının şifresi çözülür ve diske erişim sağlanır.
Aşağıda bitlocker’ın anahtar işlemlerini görebilirsiniz.
TPM chipset’i, kontrol sayfasındaki bir değişiklik tespit edilirse içindeki saklı Storage Root Key’i salmaz ve bilgisayar Recovery ekranıa düşer. SRK tarafından şifresi çözülemeyen VMK’nın şifresinin çözülmesindeki bir diğer yöntem ise Kurtarma Anahtarıdır. Kurtarma Anahtarı, bilgisayarı için farklı olan ve disk şifrelemesi öncesi veri tabanı, aktif dizin veya farklı yerlerde saklanan SRK gibi koruyucu görevine sahip bir anahtar çeşididir.
TPM’in kontrol ettiği Platform Yapılandırma Kaydı
Platform Yapılandırma Kaydı kaydedilir, TPM’in bilgisayarın önyükleme sırasında devreye girerek kontrol ettiği değerlerdir. TPM yonga seti üzerinde 24 tane kayıt değeri vardır. Bunlardan 15 tanesi Windows tarafından kullanılmaktadır. TPM chipset’i bilgisayarı her açılan PCR değerlerini kontrol eder. Eğer kontrol edilen PCR değerleri ile hafızasında kalıyorsa değerler uyuşmuyorsa makineyi Recovery ekranına bırakır.
TPM yonga setinin hangi PCR’den kontrol edildiği Grup Politikası üzerinden yönetilebilir. Ayrıca Recovery moda giren bilgisayar için kurtarma anahtarı ile diske erişim sağlandığında PCR değerlerinin güncellenmesi ve artık yeni değerlerin baz birleştirme ayarı da Grup Politikası üzerinden yapılabilir.
TPM + PIN
TPM ile birlikte PIN koruyucusu olarak mevcuttur. PIN kullanımı ile birlikte bilgisayarda Önyükleme Öncesi Kimlik Doğrulama adımı eklenerek özellikle yeniden başlatıldıktan sonra bellekte kalan bazı bilgilerin okunmasının önüne geçilmektedir. TPM yonga seti ile çalışır, PIN girildiğinde diske erişim sağlanır.
TPM+PIN guardian’ı işletmede kullanıcı etkileşimi devreye girmiş olur. Sadece TPM işletme durumunda kullanıcı TPM kontrolü ve önyükleme sırasında arkada dönen kontrolleri fark etmiyor. Hangi tür koruyucunun yineleneceği Grup Politikası üzerinden yapılandırılır.
Bu iki koruyucunun kombinlenebilecek veya tekil olarak yetiştirilebilecek farklı koruyucu çeşitlerinin de olduğunu üstte belirtmiştik. Genel olarak kullanılan koruyucular TPM veya TPM+PIN’dir.
Şifre ve Otomatik Kilit Açma Koruyucuları
C diski (OS kurulu disk olarak varsayıyoruz) TPM ile otomatik olarak açılmaktadır. C diski yanında sabit diskler (D,E,F vs.) de şifrelenebilir. Sabit disklerin şifreleme koşulları arka planda bir parola oluşturulur. Normal şartlarda sabit disklere erişim sırasında bu sistemde şifrenin girilmesi gerekir. Bu durum, kullanıcı tarafından oluşturulan zorluklar için Auto-Unlock özelliği mevcuttur. Bu özellik ile sabit disklerin yani kilidi açılacak disklerin şifreleri C diskine (kayıt kaydına) saklanıyordu. Makine her açıldığında sabit disklerin kilidini açar ve kullanıcı herhangi bir işlem yapmadan bu disklere erişebilir.
Sadece TPM guardian’ı kullanarak şifrelenen bir bilgisayar Key Protector bilgilerinin CMD çıkışları aşağıdaki gibidir.
Kurtarma Modu ve Kurtarma Anahtarı
Kurtarma Modu, disk şifreleme kontrollerinden geçilemeyen bilgisayarların korunması durumunda açılır. Bu durumda disk erişimi tamamen kesilir ve kullanıcıdan Kurtarma Anahtarı bilgilerinin girilmesi sağlanır.
Bir bilgisayar Recovery Mode’a aşağıdan girilebilir;
- Donanım konfigürasyonunda değişiklik
- PIN koruyucusunun kopyalanarak sayıda yanlış girilmesi
- BIOS ayarlarında değişiklik
- BIOS güncellemesi
- TPM yazılım projesi
- Önyükleme bileşenlerinin süresi bir güncelleme
- İşletim sisteminin bulunduğu disk bölümü
Kurtarma Anahtarı bilgilerinin değiştirilmesinin kullanılması Bitlocker çözümünü ve ayarlara göre değişiklik gösterir. MBAM ürünü kullanılarak yapılan disk şifrelemede anahtar bilgileri MBAM veritabanında tutulur. Bunun yanında yedekleme olması açısından önemli bilgiler Active Directory’de ilgili bilgisayar nesnelerinin altında da saklanabilir. Bu ayar Grup Politikası üzerinden yapılabilir.
MBAM uygulamasında agent, her disk için aktif olarak bir key tutulmasına izin verir. Bu özelliğe key rotation denmektedir. Dolayısıyla MBAM database’inde eskiye dönük key bilgisine ulaşılamaz. Active Directory computer objesinde ise oluşturulan her key geçmişe dönük tutulur ve silinmez.
Active Directory Computer objesi altında Bitlocker Recovery kırılımından aktif ve geçmişe dönük recovery key bilgilerini görebilirsiniz.
Her Recovery Key’e ait bir Key ID vardır. Recovery mode’a giren bilgisayara hangi Recovery Key’i gireceğinizi bu ID ile anlayabilirsiniz. Recovery Key 8 bloktan oluşan 48 rakamlı yapıdadır.
Aşağıda örnek bir recovery key ID ve recovery key bilgisine ulaşabilirsiniz.
61ABC932-52CF-834F-8D44-CF6E4555942C 🡪 Recovery Key ID
197472-44334-361383-399399-315590-320562-387156-419595 🡪 Recovery Key
Recovery ekranına düşen bir bilgisayarın görüntüsü;
Recovery Key bilgisine ulaşmak için MBAM yönetim arayüzüne girip Drive Recovery🡪Key ID alanına recovery key alanında karşımıza çıkan Key ID’nin ilk 8 hanesini girebilirsiniz.
Kişisel bilgisayarınızda disk şifrelemesi yapmak istiyorsanız şifrelemeyi başlatırken oluşturulan bu ID ve Key bilgilerini önceden saklamanız gerekmektedir. Aksi takdirde bilgisayar recovery moda düşerse bu key olmadan diske erişiminiz mümkün olmayacaktır. Kişisel bilgisayarınıza ait disklerinizi şifrelemeden önce ID ve Key bilgilerinin nerede saklanacağını seçmeniz için bir ekran sizi karşılar. Dilerseniz bilgileri Microsoft hesabınıza kaydedebilir dilerseniz de USB’ye aktarabilirsiniz. Dosya olarak kaydetme ve yazdırma seçenekleri de mevcuttur.
Bitlocker Disk Encryption için sık kullanılan CMD ve Powershell komutları aşağıda paylaşılmıştır.
1 . c:\>manage-bde -status
Diskler encrypt olsun ya da olmasın bu komut çıktı vermektedir. Disk encryption ile ilgili tüm bilgileri verir. Bu komutun verdiği çıktı içerisindeki parametreler ve anlamlarını bilmek oldukça önemlidir.
Conversion Status alanında görülebilecek değerler;
- Fully Encrypted
- Fully Decrypted
- Encryption in Progress
- Decryption in Progress
- Encryption Paused
- DecryptionPaused
Percentage Encrypted: Disk tamamen decrypted olduğu durumda %0, tamamen encrypted olduğu durumda %100 değerlerini alır. “Encryption/Decryption in Progress” anlarında farklı yüzdelik değerlerini alır.
Encryption Method: Şifreleme metoduna dair bilgi burada verilir. AES-CBC 128-bit, AES-CBC 256-bit, XTS-AES 128-bit, XTS-AES 256-bit değerlerini alır.
Protection Status: Protection On ve Protection Off değerlerini alır. Protection On, bitlocker’ın aktif korumada olduğunu gösterir. Protection Off, bitlocker’ın korumasının durdurulduğunu veya bitlocker disk şifrelemenin olmadığını gösterir. Disk şifrelemesi %100 olana kadar Protection Off durumda kalır.
Eğer ki bitlocker koruması manual müdahale ile veya işletim sistemi tarafından durdurulduysa Conversion Status, Fully Encrypted görünse dahi Protection Off görünebilir.
Anahtar Koruyucular:
Koruyucu bilgileri burada yer alır. OS Volume’deki çıktıda sadece TPM görünmek için bu bilgisayarda sadece TPM koruyucusunu ile koruyabildiğinizi anlayabiliriz. Anahtar Koruyucular, Veri Hacmi’nde “Harici Anahtar (Otomatik kilit açma için gerekli)” koruyucuların başlıklarında barındırdığımız sabit disklerin şifrelemesi sırasında saklanması ve C diskinde özel şifre’tür. Bu şifrenin otomatik olarak D diskindeki kilidi açması için Otomatik kilit açma özelliğinin aktif olması gerekmektedir.
Otomatik Kilit Açma:
Etkin ve Devre Dışı değerlerini alır. Etkinleştirilmesinin bulunduğu diskin otomatik olarak açılacağı, devre dışı bırakılmasının manuel olarak şifrenin girilip diske erişiminin sağlanabileceği anlatılır.
2. PS C:\> Askıya Alma-BitLocker -MountPoint “C:” -RebootCount XX
Disk Encryption’ın korunmasını sağlamak için kullanılan komuttur. Bu komut ile diskte şifreleme durmaz veya disk şifresi çözülmez. Sadece disk şifrelemede kullanılan Protector’ın kontrolü yapılmadan diske erişim verilir. Diskte belirtilen bu parolanın girilmesi gerekmektedir. RebootCount parametresi 0-15 arası değer alır. 0 değerinde kalıcı olarak korumayı askıya alır. 1-15 arası değer verilirse verilen değer kadar yeniden başlatma’ta disk koruması devre dışı kalır.
3. PS C:\> Devam Etme-BitLocker -MountPoint “C:”
Askıya alınmış bir disk korumasını tekrar sürdürmek için kullanılan komuttur. Diskin belirtilmesi gerekmektedir.
4. c:\>bde-koruyucularını yönet -c’yi al:
Bu komut satırında ilgili disk için kullanılan Key ID ve Recovery Key bilgilerine göre işlem yapılır. Bununla birlikte hangi koruyucunun birleşimi da bu ortaya çıktıda görebilirsiniz.