BitLocker è la funzionalità che permette di criptare una intera unità disco, impedendo accessi non autorizzati al nostro hard disk.
Quando un computer archivia dati sensibili (ad esempio riguardanti i nostri clienti) la possibilità che furto o smarrimento lascino libero accesso ad essi va (per legge) impedita.
BitLocker è una risposta importante al problema della perdita di dati sensibili a seguito di furto. Solo negli Stati Uniti in questo modo centinaia di laptop di enti governativi vengono “persi di vista” ogni anno. Alcuni contengono dati sensibili dei cittadini.
Come nota a margine va ricordato che anche fra i computer usati è altissimo il numero dei PC che non vengono formattati prima di essere venduti. Non solo: la semplice formattazione non rende irrecuperabili i dati, quindi, a seconda della tipologia di dati che abbiamo nei nostri dispositivi dovremmo decidere come cancellarli. Un paio di utility che possono aiutare sono KillDisk ed Eraser.
BitLocker serve a crittografare un’intera unità del nostro computer. L’operazione non è banale e andrebbe progettata da personale esperto, tanto che la feature è disponibile solo nelle versioni Enterprise e Business di Windows Vista.
Per attivare BitLocker si possono scegliere due modalità principali, che richiedono diverse caratteristiche hardware:
- Trusted Computing: se il computer possiede un chip TPM (Trusted Platform Module) possiamo sfruttarlo per crittografare il disco. Con il TPM possiamo operare in due modi:
- Transparent operation mode: questa modalità è interessante e invisibile. Tutto funziona per l’utente normalmente e Windows si avvia come di consueto. La chiave di criptazione del disco è in possesso del chip TPM che la “usa” per avviare il PC solo se i file di boot del sistema non sono stati alterati. Proprio per la sua trasparenza appare interessante da implementare in alcuni gruppi di lavoro.
- Autenticazione dell’utente: in questo caso l’utente deve fornire una chiave, o sotto forma di PIN o con una chiavetta USB. Se viene fornita correttamente allora verrà avviato il sistema operativo.
- USB key: per chi non ha un computer con piattaforma Trusted, ma ha il BIOS che permette l’accesso alla chiavetta USB in fase di avvio è possibile salvare una chiave di avvio in una memoria USB.
Come si sarà capito, la “decriptazione” del disco avviene prima dell’avvio di Windows, dato che anche quest’ultimo è criptato! BitLocker ha bisogno infatti di una sua partizione non criptata in cui operare in modalità “Pre-OS” e ottenute le credenziali di autenticazione in uno dei modi suddetti, decriptare e avviare il sistema operativo.
Credo sia stata questa necessità a spingere Microsoft a implementare un tool per ridimensionare le partizioni all’interno di Vista.
Per chi non possiede le versioni che supportano BitLocker è sempre possibile usare l’Encrypting File System della tecnologia NTFS. Anzi, questa caratteristica potrebbe essere usata anche congiuntamente a BitLocker, dato che si tratta di due livelli diversi di sicurezza, uno lavora in “pre-OS” e cessa di essere efficace a computer avviato, l’altro funziona in real-time.
Concludo con un consiglio per gli utenti che (come me) non lavorano alla CIA: ci sono diverse utility efficacissime per criptare cartelle o file. Io uso TrueCrypt, un tool opensource che può lavorare anche da chiavetta.
Funziona creando un file protetto, che lavora come drive virtuale: aprendolo con TrueCrypt e inserendo la password corretta, verrà visto dal sistema operativo come un drive separato, in cui potremo salvare e aprire i file normalmente, dato che sarà il programma a (de)criptarli al volo. Se il computer va in standby, il volume viene rimosso al volo.