BitLocker w Windows: jak znaleźć klucz odzyskiwania?

BitLocker jest narzędziem szyfrowania dysków w Windows, dostępnym w wersji Pro. Wariant Home posiada okrojoną postać BitLockera, działającą tylko w określonych przypadkach. Oba mechanizmy stosują zapisywanie kopii klucza na koncie Microsoft. Da się jednak "wyciągnąć" klucz samodzielnie.

Windows oferuje możliwość zapisania klucza odblokowującego podczas zakładania szyfrowania BitLocker na dysk. Możliwe opcje to wydruk klucza, zapisanie go do pliku (co pozwala także na stworzenie pendrive'a) i zapisanie go na koncie Microsoft.

Ta ostatnia opcja działa tylko wtedy, gdy konto sprzężone z chmurą jest kontem administracyjnym (domyślna konfiguracja). Po przeprowadzeniu szyfrowania, wydobycie klucza staje się trudniejsze.

Dalsza część artykułu pod materiałem wideo

Sytuacja jest bardziej złożona w przypadku laptopów z systemem Windows w wariancie Home. Laptopy te wydają się "przychodzić zaszyfrowane" - w praktyce włączają automatyczną funkcję Szyfrowanie Urządzenia po przejściu przez kreator pierwszego uruchomienia (OOBE), wiążący komputer z kontem Microsoft. Klucz odblokowujący jest w nim zapisywany. Podobnie jest w przypadku, gdy OOBE uruchamia pełnoprawnego BitLockera.

Teoria mówi, że to całkowicie wystarczające, ale opiera się to na dwóch założeniach: nieprzerwanego dostępu do konta Microsoft i niedoprowadzania do sytuacji, w której BitLocker/Szyfrowanie Urządzenia "buntuje się" i profilaktycznie blokuje dostęp do dysku.

Jeżeli bowiem szyfrowanie dysku w Windows uzna, że:

• Naruszono Secure Boot
• Utracono stan TPM
• Wymieniono firmware urządzenia w trybie twardego resetu/aktualizacji bez zachowania danych
• Zmieniono parametry uruchomienia
• Zmodyfikowano środowisko automatycznego odzyskiwania

zinterpretuje to jako próbę obejścia szyfrowania poprzez podpięcie dysku do innego, niezaufanego komputera. Poprosi wtedy o kod odblokowujący, 48-znakowy klucz numeryczny. Jeżeli go nie posiadamy i nie mamy dostępu do konta Microsoft, będzie problem. Założenie, że Windows sam z siebie nie zablokuje dysku twardego może nie być bezpieczne, biorąc pod uwagę problemy, jakie w rzadka sprawiają aktualizacje Windows, WinRE oraz UEFI.

Jeżeli nasz dysk C: jest opatrzony ikoną kłódki, to znaczy że jest szyfrowany przez system. Aby poznać klucz odblokowujący nasz dysk, należy uruchomić Wiersz Poleceń (lub Terminal Windows) jako Administrator, a następnie wykonać w nim polecenie:

Wyświetli on zastosowane mechanizmy szyfrowania dyskowego. W postaci automatycznie szyfrowanych (i automatycznie odblokowywanych) dysków, mechanizmy ochrony będą dwa: TPM oraz hasło numeryczne. Hasło numeryczne jest dostępne zawsze, pełniąc rolę klucza ratunkowego. W przypadku dysków chronionych przez PIN/hasło, to właśnie klucz odblokowujący, a nie hasło, jest przechowywany w kopii zapasowej i usługach zdalnego odblokowania (jak OneDrive lub Active Directory).

Hasła oczywiście lepiej nikomu nie udostępniać, ale warto mieć na uwadze fakt, że domyślne ustawienia Windows mogą pozwalać na ominięcie szyfrowania, ze względu na poważne ograniczenia projektowe w środowisku odzyskiwania Windows. Microsoft łata kolejne luki w nim, ale poleganie na automatycznym odblokowywaniu dysku pozostaje ryzykowne.