BitLocker Drive Encryption

Este artículo o sección necesita referencias que aparezcan en una publicación acreditada. Busca fuentes: «BitLocker Drive Encryption» – noticias · libros · académico · imágenes Este aviso fue puesto el 7 de agosto de 2012.

El programa de cifrado de disco BitLocker provee de cifrado de disco a las versiones Profesional, Ultimate y Enterprise de Windows 7, Windows Vista, Windows 10 y Windows 11, así como a las versiones para empresas de Windows Server 2008. Está diseñado para proteger los datos al proporcionar cifrado para volúmenes enteros. Por defecto se utiliza el algoritmo de cifrado estándar AES en modo CBC con una clave de 128 bits.

La última versión de BitLocker añade la opción de cifrar unidades extraíbles.

Descripción general[editar]

Existen tres mecanismos de autenticación que pueden ser utilizados como elementos básicos para implementar el cifrado BitLocker.

• Modo de funcionamiento transparente: Este modo aprovecha las capacidades del módulo de plataforma de confianza (en inglés: Trusted Platform Module, TPM). La clave utilizada para el cifrado de disco está cifrada y solo se dará a conocer el código al sistema operativo si los archivos de inicio a principio del arranque no han sido modificados. Este modo es vulnerable a un ataque de arranque en frío, ya que permite el apagado de la máquina por un atacante.
• Modo de autenticación de usuario: Este modo requiere que el usuario proporcione alguna clave de autenticación al prearranque. Este modo es vulnerable a un ataque rootkit.
• Modo en dispositivos USB: El usuario debe insertar un dispositivo USB que contenga una clave de inicio en el equipo para poder arrancar el sistema operativo protegido. Tenga en cuenta que esta modalidad requiere que la BIOS de la máquina protegida acepte el arranque desde dispositivos USB. Este modo también es vulnerable a un ataque rootkit.

Funcionamiento[editar]

Contrariamente a la denominación oficial, el cifrador de disco BitLocker es un volumen lógico. Un volumen puede o no ser todo un disco, y las unidades pueden abarcar uno o más discos físicos. Además, cuando está activado el módulo de plataforma confiable (TPM), BitLocker puede garantizar la integridad de la ruta de inicio de confianza (por ejemplo, una BIOS, un sector de arranque, etc), a fin de prevenir los ataques físicos fuera de línea, el malware sector de arranque, etc.

Con el fin de que BitLocker opere, el disco duro requiere un mínimo de dos particiones NTFS: una para el sistema operativo (usualmente en C:) y otra con un tamaño mínimo de 100 MB en el sistema operativo de arranque. BitLocker requiere un volumen de arranque que permanezca sin cifrar, por lo que el arranque no debe ser utilizado para almacenar información confidencial. A diferencia de versiones anteriores de Windows, "Vista diskpart", herramienta de línea de comandos, incluye la capacidad de reducir el tamaño de un volumen NTFS de modo que el volumen del sistema para BitLocker puede ser creado. Una herramienta llamada "BitLocker Drive Preparation Tool" también está disponible en Microsoft, y permite a un volumen existente ser reducido para dar cabida a un volumen de arranque, y para los archivos a transferir al mismo. Desde BitLocker se requieren al menos dos particiones formateadas en NTFS; algunos usuarios prefieren cifrar todo el disco duro, sin necesidad de separación.

Una vez que una partición de arranque alternativo ha sido creada, el módulo TPM tiene que ser inicializado (suponiendo que esta característica se utiliza) después de que el cifrado de disco requiera mecanismos de protección clave. El volumen se cifra como una tarea de fondo, algo que puede tomar una cantidad considerable de tiempo en un disco grande. Solo una vez que el volumen total se ha cifrado con las claves protegidas, el volumen se considera seguro.

Otro sistemas de cifrado de archivos pueden utilizarse junto con BitLocker para ofrecer protección una vez que el núcleo del sistema operativo se haya cargado. Desde BitLocker se descifran los archivos del disco antes de que el sistema operativo se haya cargado (y por tanto fuera del contexto del sistema operativo).^[1]​

Referencias[editar]