BitLocker. Per molti, ma non per tutti...

BitLocker. Per molti, ma non per tutti...

BitLocker è la funzionalità che permette di criptare una intera unità disco, impedendo accessi non autorizzati al nostro hard disk.

Quando un computer archivia dati sensibili (ad esempio riguardanti i nostri clienti) la possibilità che furto o smarrimento lascino libero accesso ad essi va (per legge) impedita.

BitLocker è una risposta importante al problema della perdita di dati sensibili a seguito di furto. Solo negli Stati Uniti in questo modo centinaia di laptop di enti governativi vengono “persi di vista” ogni anno. Alcuni contengono dati sensibili dei cittadini.

Come nota a margine va ricordato che anche fra i computer usati è altissimo il numero dei PC che non vengono formattati prima di essere venduti. Non solo: la semplice formattazione non rende irrecuperabili i dati, quindi, a seconda della tipologia di dati che abbiamo nei nostri dispositivi dovremmo decidere come cancellarli. Un paio di utility che possono aiutare sono KillDisk ed Eraser.

BitLocker serve a crittografare un’intera unità del nostro computer. L’operazione non è banale e andrebbe progettata da personale esperto, tanto che la feature è disponibile solo nelle versioni Enterprise e Business di Windows Vista.

Per attivare BitLocker si possono scegliere due modalità principali, che richiedono diverse caratteristiche hardware:

  1. Trusted Computing: se il computer possiede un chip TPM (Trusted Platform Module) possiamo sfruttarlo per crittografare il disco. Con il TPM possiamo operare in due modi:
    1. Transparent operation mode: questa modalità è interessante e invisibile. Tutto funziona per l’utente normalmente e Windows si avvia come di consueto. La chiave di criptazione del disco è in possesso del chip TPM che la “usa” per avviare il PC solo se i file di boot del sistema non sono stati alterati. Proprio per la sua trasparenza appare interessante da implementare in alcuni gruppi di lavoro.
    2. Autenticazione dell’utente: in questo caso l’utente deve fornire una chiave, o sotto forma di PIN o con una chiavetta USB. Se viene fornita correttamente allora verrà avviato il sistema operativo.
  2. USB key: per chi non ha un computer con piattaforma Trusted, ma ha il BIOS che permette l’accesso alla chiavetta USB in fase di avvio è possibile salvare una chiave di avvio in una memoria USB.

Come si sarà capito, la “decriptazione” del disco avviene prima dell’avvio di Windows, dato che anche quest’ultimo è criptato! BitLocker ha bisogno infatti di una sua partizione non criptata in cui operare in modalità “Pre-OS” e ottenute le credenziali di autenticazione in uno dei modi suddetti, decriptare e avviare il sistema operativo.

Credo sia stata questa necessità a spingere Microsoft a implementare un tool per ridimensionare le partizioni all’interno di Vista.

Per chi non possiede le versioni che supportano BitLocker è sempre possibile usare l’Encrypting File System della tecnologia NTFS. Anzi, questa caratteristica potrebbe essere usata anche congiuntamente a BitLocker, dato che si tratta di due livelli diversi di sicurezza, uno lavora in “pre-OS” e cessa di essere efficace a computer avviato, l’altro funziona in real-time.

Concludo con un consiglio per gli utenti che (come me) non lavorano alla CIA: ci sono diverse utility efficacissime per criptare cartelle o file. Io uso TrueCrypt, un tool opensource che può lavorare anche da chiavetta.

Funziona creando un file protetto, che lavora come drive virtuale: aprendolo con TrueCrypt e inserendo la password corretta, verrà visto dal sistema operativo come un drive separato, in cui potremo salvare e aprire i file normalmente, dato che sarà il programma a (de)criptarli al volo. Se il computer va in standby, il volume viene rimosso al volo.

Ti consigliamo anche

Link copiato negli appunti