BitLocker i Vista for begrenset for mange

Analyseselskapet Gartner har vurdert harddisk-krypteringen i toppversjonene av Windows Vista.

BitLocker er en løsning i enkelte versjoner av Windows Vista som gjør det mulig for brukerne å kryptere hele harddisker, inkludert både system- og datafiler. Analyseselskapet Gartner har vurdert løsningen og kommer mener at BitLocker er en god løsning, uten å være storartet. Selskapet har også kommet med en anbefaling om hvem som bør vurdere BitLocker, og hvem som bør se etter alternativer.

Nå er det uansett klart at BitLocker ikke er et alternativ for alle, siden løsningen bare følger med de to topputgavene av Vista, Ultimate-utgaven og Enterprise-utgaven. Den sistnevnte er bare tilgjengelig for kunder med Software Assurance-abonnement (SA).

Gartner mener at kryptering av all sensitiv informasjon på bærbare PC-er bør anses som obligatorisk. Selskapet mener også at en løsning som krypterer hele harddisken, er å foretrekke. Når det gjelder Microsofts BitLocker, mener Gartner at den største fordelen er at den tilbys i Ultimate- og Enterprise-utgavene uten noen synlig, ekstra kostnad. Også basert på forbedringene som loves i Service Pack 1 til Vista, mener selskapet at tredjepartsprodukter vil kunne tilby flere muligheter. Det kommer i alle fall tydelig fram at Gartner ikke mener BitLocker alene kan forsvare ekstrakostnadene ved å velge Ultimate- eller Enterprise-utgaven, men også at SA-abonnenter bør sammenligne BitLocker med tilsvarende løsninger fra andre leverandører.

Gartner mener også at introduksjonen av BitLocker kan føre til prisfall på de konkurrerende løsningene.

Gartner har kommet med en rekke punkter som selskapet mener er svakheter ved BitLocker. Dette inkluderer:

  • BitLocker støttes kun av Microsoft og kun av Windows Vista. Andre operativsystemer vil ikke kunne lese harddisken.
  • Hvis krypteringsnøkkelen kun beskyttes av TPM (Trusted Platform Module), uten krav om PIN-kode eller en USB-enhet under oppstarten, vil PC-en kunne startes opp på vanlig måte og være like sårbar for login-angrep som ellers.
  • Bruk av TPM vil trolig kreve BIOS-oppdateringer på alle bortsett fra de aller nyeste maskinene.
  • Det finnes ingen støtte for smartkort-basert, sterk autentisering for utløsing av krypteringsnøkkelen.
  • I de tilfeller hvor USB-enheter benyttes som ekstra beskyttelse, er det sannsynlig at USB-nøkkelen vil bli lagret i nærheten av datamaskinen, noe som begrenser nytten av dette ekstra beskyttelseslaget.
  • Den første utgaven av BitLocker krypterer bare oppstartspartisjonen og kan ikke brukes til å beskytte brukerdata på andre partisjoner, selv ikke på den samme harddisken. Det utprøves nå en løsning for dette hos en del kunder, men den vil trolig ikke blir klar før utgivelsen av Service Pack 1, som ventes å komme rundt årsskiftet 2007/2008.
  • Den første utgaven kan ikke beskytte eksterne harddisker. Også dette ventes å bli løst med SP1, men ikke for USB-baserte flash-disker.
  • Den skylte systempartisjonen på 1,5 GB kan komme i konflikt med blant annet gjenopprettelsespartisjoner installert av PC-leverandører.
  • BitLocker er ikke forenlig med krypteringsbeskyttelse som tilbys i dagens Windows Mobile-enheter.
  • Lisensen for BitLocker tillater ikke bruk sammen med virtualiserte systemer.
  • Hvis Active Directory benyttes for å oppbevare gjenopprettelsesnøkler, kreves Active Directory på Windows Server 2003 med SP1 installert.
  • Det finnes ingen arkitektur for å endre krypteringsalgoritmen med "plug and play" CryptoAPI. AES 128 og 256, men valgfrie diffuser-algoritmer, er de eneste valgene.

    - Dagens versjon er ikke integrert i Windows-oppsettet, men støttes av ubevoktet installasjon og andre teknologier for programvareutrulling.

    Les også:

Fordelene anses først og fremst å være at BitLocker kommer fra Microsoft og dermed kan gi organisasjoner med Microsoft-orientert infrastruktur bedre brukeroppleveres og administrasjonsmuligheter.

Dessuten mener Gartner at BitLocker i større grad enn andre kan utnytte sikkerhetsbrikken TPM 1.2 på grunn av implementeringen av Static Root of Trust Measurement, som på et tidlig tidspunkt under oppstarten sjekker om BIOS-en eller oppstartskoden er blitt klusset med.

Dessuten konverteres maskinen fra klartekst til kryptert tekst på som en bakgrunnsprosess som er transparent for brukerne. Dette betyr at brukerne fortsatt kan bruke maskinen mens den første krypteringen av partisjonen finner sted.

Gartner mener at SA-abonnenter bør vurdere BitLocker hvis man ikke allerede har en tilsvarende løsning, dersom man er villig til å vente på utrullingen av Vista før man innfører full kryptering av harddiskpartisjoner, dersom man har maskinvare som er kompatibel med BitLockers krav og dersom man kan leve med begrensningene i BitLocker-funksjonaliteten.

Man bør vurdere andre alternativer hvis man blant annet ønsker en forent løsning for å beskytte alle maskiner, også de som ikke benytter Vista, hvis man ønsker full diskkryptering under virtualisering eller hvis man ønsker en løsning som også støtter eksterne USB-baserte lagringsenheter.

Til toppen