비트로커

3. 기능

윈도우 비스타에서 처음 소개된 비트로커는 드라이브 전체를 암호화하여 데이터를 보호한다.^[12] 초기에는 운영 체제 볼륨만 암호화할 수 있었으나, 윈도우 비스타 서비스 팩 1 및 윈도우 서버 2008부터는 운영 체제 볼륨 외의 다른 볼륨도 암호화할 수 있게 되었다.^[13]

윈도우 7 및 윈도우 서버 2008 R2에서는 이동식 드라이브 암호화 기능인 BitLocker To Go가 추가되었다.^[14] 윈도우 XP나 윈도우 비스타에서는 BitLocker To Go Reader를 통해 읽기 전용으로 접근할 수 있다.^[14]

윈도우 8 및 윈도우 서버 2012부터는 하드웨어 암호화(eDrive)를 지원하여 암호화 작업을 스토리지 장치의 하드웨어로 오프로드할 수 있게 되었다.^[16][17] 또한, 윈도우 파워셸을 통해 비트로커를 관리할 수 있게 되었다.^[18] 윈도우 8 엔터프라이즈 에디션에서는 Windows To Go를 지원하여 USB 드라이브에서 윈도우를 실행할 수 있으며, 비트로커로 보호할 수 있다.^[19]

비트로커의 디스크 암호화 기능은 윈도우의 상위 에디션에서만 제한적으로 제공된다. 클라이언트 윈도우에서는 비스타와 7은 얼티밋, 엔터프라이즈 에디션, 8과 8.1은 프로, 엔터프라이즈 에디션, 10과 11에서는 프로, 엔터프라이즈, 에듀케이션 에디션에서 사용 가능하다. 윈도우 서버 2008 이후 버전에서는 모든 에디션에서 사용 가능하다. 하지만, 하위 에디션에서도 비트로커로 암호화된 디스크를 읽는 것은 가능하다.

3. 1. 장치 암호화 (Device encryption)

3. 2. BitLocker To Go

4. 암호화 방식

마이크로소프트는 2015년 11월에 출시된 윈도우 10 버전 1511 (Windows 10 TH2, 2018년 4월 지원 종료) 이후, 비트로커에 새로운 FIPS(Federal Information Processing Standards) 준수 XTS-AES^영어 암호화 알고리즘을 추가했다. 운영 체제 드라이브 및 고정 데이터 드라이브를 암호화할 때 XTS-AES^영어 128비트가 기본 알고리즘으로 선택되도록 했다(이동식 드라이브는 기본적으로 AES-CBC^영어 128 알고리즘이 선택됨).^[68]

• AES-CBC^영어 128비트 (이동식 데이터 드라이브 기본)
• AES-CBC^영어 256비트
• XTS-AES^영어 128비트 (운영 체제 드라이브, 고정 데이터 드라이브 기본)
• XTS-AES^영어 256비트

4. 1. 암호화 모드

• '''투명 운영 방식''': 이 방식은 신뢰 플랫폼 모듈(TPM) 1.2 하드웨어의 기능을 사용하여 사용자에게 투명한 경험을 제공한다. 사용자는 평소처럼 전원을 켜고 윈도우에 로그인한다. 디스크 암호화에 사용되는 키는 TPM 칩에 의해 봉인(암호화)되며, 초기 부팅 파일이 수정되지 않은 것으로 보일 경우에만 OS 로더 코드에 릴리스된다. 비트로커의 사전 OS 구성 요소는 신뢰 컴퓨팅 그룹(TCG)에서 지정한 방법론인 정적 신뢰 루트 측정(Static Root of Trust Measurement)을 구현하여 이를 달성한다. 이 모드는 콜드 부팅 공격에 취약하다.^[74]
• '''사용자 인증 방식''': 이 방식은 사용자가 사전 부팅 환경에 PIN 또는 암호 형식으로 일부 인증을 제공해야 한다.
• '''USB 키 방식''': 사용자는 보호된 OS를 부팅하기 위해 시작 키가 포함된 USB 장치를 컴퓨터에 삽입해야 한다. 이 모드는 보호된 컴퓨터의 BIOS가 사전 OS 환경에서 USB 장치 읽기를 지원해야 한다.

• TPM만
• TPM + PIN
• TPM + PIN + USB 키
• TPM + USB 키
• USB 키
• 암호만

4. 2. 지원되는 인증 조합

• '''TPM만'''^[30]
• '''TPM + PIN'''^[31]
• '''TPM + PIN + USB 키'''^[32]
• '''TPM + USB 키'''^[33]
• '''USB 키'''^[34]
• '''암호만'''^[35]

4. 3. 암호화 알고리즘 호환성 (윈도우 10 버전 1511 이후)

• AES-CBC^영어 128비트 (이동식 데이터 드라이브 기본)
• AES-CBC^영어 256비트
• XTS-AES^영어 128비트 (운영 체제 드라이브, 고정 데이터 드라이브 기본)
• XTS-AES^영어 256비트

5. 운영

비트로커 드라이브 암호화는 논리 볼륨 암호화 시스템이다.^[41] 볼륨은 완전한 드라이브일 수도 있고 아닐 수도 있으며, 하나 이상의 드라이브일 수도 있다.^[41] TPM 및 비트로커가 활성화되면 신뢰할 수 있는 부팅 경로(예: BIOS 및 부트 섹터)의 무결성을 보장하여 대부분의 오프라인 물리적 공격 및 부트 섹터 맬웨어를 방지할 수 있다.^[41][84]

비트로커를 운영하기 위해서는 최소 두 개의 NTFS로 포맷된 볼륨이 필요하다.^[41] 하나는 운영 체제용(일반적으로 C:)이고 다른 하나는 최소 100MB 크기로 암호화되지 않은 채로 유지되며 운영 체제를 부팅하는 데 사용된다.^[41][81] 윈도우 비스타 및 Windows Server 2008의 경우 볼륨의 최소 크기는 1.5GB이며 드라이브 문자가 있어야 한다.^[36] 이전 버전의 윈도우와 달리, 비스타의 `diskpart` 명령 줄 도구는 NTFS 볼륨의 크기를 줄이는 기능을 포함하고 있어, 비트로커를 위한 시스템 볼륨을 만들 수 있다. 마이크로소프트에서 제공하는 비트로커 드라이브 준비 도구를 사용하면 Windows Vista에서 기존 볼륨을 축소하여 새로운 부팅 볼륨을 위한 공간을 만들고 필요한 부트스트래핑 파일을 전송할 수 있다.^[37][82]

대체 부팅 파티션이 생성되면 TPM 모듈을 초기화해야 하며(이 기능을 사용하는 경우), 그 후 TPM, PIN 또는 USB 키와 같은 필수 디스크 암호화 키 보호 메커니즘이 구성된다.^[38] 그런 다음 볼륨은 백그라운드 작업으로 암호화되며, 대형 디스크의 경우 모든 논리적 섹터를 읽고, 암호화하고, 다시 디스크에 쓰는 데 상당한 시간이 걸릴 수 있다.^[38] 키는 볼륨이 안전하다고 간주될 때 전체 볼륨이 암호화된 후에만 보호된다.^[39] 비트로커는 로우 레벨 장치 드라이버를 사용하여 모든 파일 작업을 암호화 및 해독하므로 플랫폼에서 실행되는 응용 프로그램에 암호화된 볼륨과의 상호 작용을 투명하게 만듭니다.^[38]

파일 시스템 암호화(EFS)는 비트로커와 함께 사용하여 운영 체제가 실행된 후 보호 기능을 제공할 수 있다. 운영 체제 내의 프로세스 및 사용자로부터 파일을 보호하려면 EFS와 같이 Windows 내에서 작동하는 암호화 소프트웨어를 사용해야 한다. 따라서 비트로커와 EFS는 서로 다른 종류의 공격에 대한 보호 기능을 제공한다.^[40][83]

Active Directory 환경에서 비트로커는 선택적 키 에스크로를 지원하지만, 이를 위해서는 스키마 업데이트가 필요할 수 있다(예: Active Directory 서비스가 Windows Server 2008 이전 버전에서 호스팅되는 경우).

비트로커 및 기타 전체 디스크 암호화 시스템은 부트킷에 의해 공격을 받을 수 있다. 악성 부트로더가 비밀을 캡처하면 VMK(Volume Master Key)를 해독할 수 있으며, 이를 통해 암호화된 하드 디스크의 모든 정보에 액세스하여 해독하거나 수정할 수 있다. BIOS 및 부트 섹터를 포함하여 신뢰할 수 있는 부팅 경로를 보호하도록 TPM을 구성하면 비트로커가 이 위협을 완화할 수 있다.^[41]

6. 보안 고려 사항

비트로커와 같은 소프트웨어 암호화 시스템은 암호화 키/암호 입력 프로세스를 운영 체제 설치나 다른 시동 관리자를 통해 속일 수 있다. 이 경우 VMK의 암호를 푸는 데 사용할 수 있고, 사용자의 비트로커가 암호화한 하드 디스크에 대한 정보를 수정하거나 암호를 푸는 것을 허용한다. 그러나 컴퓨터의 바이오스를 "내부 하드 디스크로만 시동"하도록 설정하고, 남이 알아내기 어려운 암호로 바이오스를 보호하면 이러한 위험성을 낮출 수 있다. 다만 누군가가 컴퓨터 메인보드의 CMOS 배터리를 방전시키거나 바이오스 초기화 점퍼를 사용하여 바이오스를 초기화할 경우에는 이러한 위험성은 되살아난다.

BitLocker의 "투명 운영 모드"와 "사용자 인증 모드"는 BIOS 및 MBR을 포함하여 부팅 전 환경에 대한 무단 변경 사항이 있는지 감지하기 위해 TPM 하드웨어를 사용한다. 무단 변경이 감지되면 BitLocker는 USB 장치에서 복구 키를 요청한다. 이 암호화 비밀은 볼륨 마스터 키(VMK)를 해독하고 부팅 프로세스가 계속되도록 하는 데 사용된다.^[42] 그러나 TPM만으로는 충분하지 않다.

2008년 2월, 보안 연구원 그룹은 BitLocker와 같은 전체 디스크 암호화 시스템이 USB 드라이브와 같은 이동식 미디어에서 머신을 다른 운영 체제로 부팅한 다음 부팅 전 메모리의 내용을 코어 덤프하는 소위 "콜드 부트 공격"에 의해 손상될 수 있다는 세부 정보를 공개했다.^[43] 이 공격은 전원이 제거된 후에도 DRAM이 몇 분(또는 냉각된 경우 더 오래) 동안 데이터 잔류를 유지한다는 사실에 의존한다. 미국 특허 9,514,789에 설명된 Bress/Menz 장치는 이러한 유형의 공격을 수행할 수 있다.^[44] 리눅스 및 Mac OS X를 포함한 다른 공급업체 및 다른 운영 체제의 유사한 전체 디스크 암호화 메커니즘도 동일한 공격에 취약하다. 저자들은 소유자가 물리적으로 제어하지 않을 때는 컴퓨터의 전원을 끄고(절전 모드로 두는 대신) 암호화 소프트웨어가 머신을 부팅하기 위해 암호를 요구하도록 구성할 것을 권장한다.^[43]

2015년 11월 10일, 마이크로소프트는 공격자가 머신에 물리적으로 접근할 수 있고, 머신이 도메인의 일부이며, PIN 또는 USB 플래시 드라이브 보호 기능이 없는 경우 악성 Kerberos 키 배포 센터를 사용하여 인증을 우회할 수 있는 BitLocker의 보안 취약점을 완화하기 위한 보안 업데이트를 발표했다.^[45]

BitLocker는 여전히 TPM 2.0 보안 기능을 제대로 지원하지 않으며, 그 결과 키가 마더보드의 직렬 주변 장치 인터페이스를 통해 전송될 때 개인 정보 보호가 완전히 우회될 수 있다.^[46]

이러한 모든 공격은 시스템에 대한 물리적 접근이 필요하며 USB 플래시 드라이브 또는 PIN 코드와 같은 보조 보호 장치에 의해 방해받는다.

6. 1. 백도어 논란

7. 한국에서의 활용 및 정책

참조

_[1] 웹사이트 Windows BitLocker Drive Encryption Frequently Asked Questions https://docs.microso[...] Microsoft 2012-03-22
_[2] 웹사이트 AES-CBC + Elephant Diffuser: A Disk Encryption Algorithm for Windows Vista https://download.mic[...] Microsoft 2006-08
_[3] 웹사이트 Next-Generation Secure Computing Base https://web.archive.[...] Microsoft 2004
_[4] 웹사이트 Pre-PDC Exclusive: Windows Vista Product Editions https://web.archive.[...] Penton 2005-09-09
_[5] 웹사이트 Secure Startup–Full Volume Encryption: Technical Overview https://download.mic[...] 2005-04-22
_[6] 웹사이트 Secure Startup – Full Volume Encryption: Executive Overview https://download.mic[...] 2005-04-21
_[7] 웹사이트 What's New in BitLocker https://docs.microso[...] Microsoft 2016-08-31
_[8] 웹사이트 BitLocker Drive Encryption in Windows Vista https://web.archive.[...] Microsoft
_[9] 웹사이트 BitLocker Drive Encryption Overview https://docs.microso[...] Microsoft 2009-11-17
_[10] 웹사이트 Compare Windows 10 Editions https://www.microsof[...] Microsoft
_[11] 웹사이트 Finding your BitLocker recovery key in Windows https://support.micr[...] Microsoft 2021-12-02
_[12] 웹사이트 Vista’s BitLocker Encryption https://www.computer[...] Computerworld 2007-08-07
_[13] 웹사이트 Advances in BitLocker Drive Encryption https://docs.microso[...] Microsoft 2016-09-08
_[14] 웹사이트 Description of BitLocker To Go Reader https://web.archive.[...] Microsoft 2017-04-25
_[15] 웹사이트 Enabling BitLocker by Using the Command Line https://docs.microso[...] Microsoft 2012-09-12
_[16] 웹사이트 Encrypted Hard Drive https://docs.microso[...] Microsoft 2016-08-31
_[17] 웹사이트 Encrypted Hard Drive Device Guide https://docs.microso[...] Microsoft 2017-06-01
_[18] 웹사이트 BitLocker https://docs.microso[...] Microsoft
_[19] 웹사이트 Windows To Go: Frequently Asked Questions https://docs.microso[...] Microsoft 2013-10-23
_[20] 웹사이트 Device Encryption https://docs.microso[...] Microsoft 2015-11-18
_[21] 웹사이트 Windows 8.1 includes seamless, automatic disk encryption—if your PC supports it https://arstechnica.[...] Condé Nast 2013-10-17
_[22] 웹사이트 Help protect your files with device encryption https://web.archive.[...] Microsoft
_[23] 웹사이트 In Blue: Device Encryption https://web.archive.[...] Penton Media 2013-06-04
_[24] 웹사이트 BitLocker drive encryption in Windows 10 for OEMs https://docs.microso[...] 2018-11-16
_[25] 웹사이트 BitLocker drive encryption in Windows 11 for OEMs https://learn.micros[...] 2024-10-18
_[26] 웹사이트 September 24, 2019—KB4516071 (OS Build 16299.1420) https://support.micr[...]
_[27] 웹사이트 Flaws in self-encrypting SSDs let attackers bypass disk encryption https://www.zdnet.co[...] 2018-11-05
_[28] 웹사이트 BitLocker Drive Encryption https://web.archive.[...] Microsoft 2007-04-04
_[29] 웹사이트 Using BitLocker with other programs FAQ (Windows 10) - Windows security https://docs.microso[...] 2022-07-27
_[30] 웹사이트 ProtectKeyWithTPM method of the Win32_EncryptableVolume class https://docs.microso[...] Microsoft 2018-03-31
_[31] 웹사이트 ProtectKeyWithTPMAndPIN method of the Win32_EncryptableVolume class https://docs.microso[...] Microsoft 2018-03-31
_[32] 웹사이트 ProtectKeyWithTPMAndPINAndStartupKey method of the Win32_EncryptableVolume class https://docs.microso[...] Microsoft 2018-03-31
_[33] 웹사이트 ProtectKeyWithTPMAndStartupKey method of the Win32_EncryptableVolume class https://docs.microso[...] Microsoft 2018-03-31
_[34] 웹사이트 ProtectKeyWithExternalKey method of the Win32_EncryptableVolume class https://docs.microso[...] Microsoft 2018-03-31
_[35] 웹사이트 ProtectKeyWithNumericalPassword method of the Win32_EncryptableVolume class https://docs.microso[...] Microsoft 2018-03-31
_[36] 웹사이트 Windows BitLocker Drive Encryption Step-by-Step Guide https://docs.microso[...] Microsoft 2012-07-02
_[37] 웹사이트 Description of the BitLocker Drive Preparation Tool https://support.micr[...] Microsoft 2011-12-21
_[38] 서적 Exam Ref 70-687: Configuring Windows 8 Microsoft Press
_[39] 서적 Introducing Windows 8: An Overview for IT professionals Microsoft
_[40] 웹사이트 Prevent data theft with Windows Vista's Encrypted File System (EFS) and BitLocker https://www.techrepu[...] CBS Interactive 2007-02-28
_[41] 웹사이트 BitLocker Drive Encryption in Windows 7: Frequently Asked Questions https://docs.microso[...] Microsoft 2012-09-12
_[42] 웹사이트 Keys to Protecting Data with BitLocker Drive Encryption https://docs.microso[...] Microsoft 2016-09-07
_[43] 학술논문 Lest We Remember: Cold Boot Attacks on Encryption Keys https://www.usenix.o[...] Princeton University 2008-02-21
_[44] 웹사이트 Systems and methods for safely moving short term memory devices while preserving, protecting and examining their digital data https://patents.goog[...]
_[45] 웹사이트 Microsoft Security Bulletin MS15-122 – Important https://technet.micr[...] Microsoft 2017-10-11
_[46] 뉴스 From Stolen Laptop to Inside the Company Network https://dolosgroup.i[...] 2021-07-28
_[48] 웹사이트 Shared Source Initiative https://www.microsof[...] 2020-03-07
_[49] 웹사이트 Back-door nonsense https://docs.microso[...] Microsoft 2006-03-02
_[50] 뉴스 UK holds Microsoft security talks http://news.bbc.co.u[...] BBC 2006-02-16
_[51] 웹사이트 Microsoft: Vista won't get a backdoor https://www.cnet.com[...] CBS Interactive 2006-03-06
_[52] 웹사이트 Did the FBI Lean On Microsoft for Access to Its Encryption Software? https://mashable.com[...] 2013-09-11
_[53] 간행물 BitLocker disk encryption on Linux https://vtrefny.fedo[...] 2020-01-25
_[54] 웹사이트 BitLocker Overview https://docs.microso[...] 2016-08-31
_[55] 웹사이트 Bitlocker: A little about the internals and what changed in Windows 8 http://spi.unob.cz/p[...] 2013-05-23
_[56] 웹사이트 Microsoft Gives Details About Its Controversial Disk Encryption https://theintercept[...] 2015-06-04
_[57] 웹사이트 "What's new in Windows 10, versions 1507 and 1511" https://docs.microso[...] Microsoft 2020-01-29
_[58] 웹사이트 Blocking the SBP-2 driver and Thunderbolt controllers to reduce 1394 DMA and Thunderbolt DMA threats to BitLocker https://support.micr[...] Microsoft 2018-11-07
_[59] 웹사이트 Kernel DMA Protection for Thunderbolt 3 https://docs.microso[...] Microsoft 2019-03-26
_[60] 웹사이트 PCILeech https://github.com/u[...] Ulf Frisk 2024-06-06
_[61] 웹사이트 Securing BitLocker: Initial Setup and Defending Against Attacks https://www.vidrasec[...] VidraSec 2024-03-15
_[62] 웹사이트 PCILeech https://learn.micros[...] Microsoft 2023-03-20
_[63] 웹사이트 Millions of high-security crypto keys crippled by newly discovered flaw https://arstechnica.[...] Condé Nast 2017-10-16
_[64] 뉴스 Infineon says has fixed encryption flaw found by researchers https://www.reuters.[...] 2017-10-16
_[65] 문서 BitLocker Overview http://technet.micro[...]
_[66] 웹사이트 What's new in BitLocker? https://technet.micr[...] 2015-11-12
_[67] 문서 ソリッド ステート ドライブ (SSD) に関するサポートと Q&A http://blogs.msdn.co[...]
_[68] 웹사이트 第2回　BitLocker To GoでUSBメモリやリムーバブルハードディスクを暗号化して保護する (1_2)：超入門BitLocker https://admx.help/?C[...] ＠IT 2017-03-01
_[69] 웹사이트 드라이브의 암호화 방법과 암호 강도를 선택하십시오 (Windows 10 [Version 1511] 이후) https://admx.help/?C[...] Microsoft
_[70] 웹사이트 Windows 10 장치에서 BitLocker에 의한 암호화를 활성화하십시오 https://support.goog[...] Google Workspace 관리자 도움말
_[71] 웹사이트 Description of BitLocker To Go Reader https://support.micr[...] 2015-11-16
_[72] 웹사이트 BitLocker To Go リーダーとは http://windows.micro[...] 2014-03-29
_[73] 웹사이트 BitLocker Drive Encryption http://www.microsoft[...] Microsoft 2007-04-04
_[74] 문서 システムの電源切断後もしばらくの間は[[Dynamic Random Access Memory|DRAM]]のデータが消えずに残留することを利用した攻撃手法。
_[75] 웹사이트 ProtectKeyWithNumericalPassword method of the Win32_EncryptableVolume class http://msdn.microsof[...] Microsoft 2008-02-19
_[76] 웹사이트 ProtectKeyWithTPM method of the Win32_EncryptableVolume class http://msdn.microsof[...] Microsoft 2008-02-19
_[77] 웹사이트 ProtectKeyWithTPMAndPIN method of the Win32_EncryptableVolume class http://msdn.microsof[...] Microsoft 2008-02-19
_[78] 웹사이트 ProtectKeyWithTPMAndPINAndStartupKey method of the Win32_EncryptableVolume class http://msdn.microsof[...] Microsoft 2008-02-19
_[79] 웹사이트 ProtectKeyWithTPMAndStartupKey method of the Win32_EncryptableVolume class http://msdn.microsof[...] Microsoft 2008-02-19
_[80] 웹사이트 ProtectKeyWithExternalKey method of the Win32_EncryptableVolume class http://msdn.microsof[...] Microsoft 2008-02-19
_[81] 웹사이트 BitLocker Drive Encryption in Windows 7: Frequently Asked Questions http://technet.micro[...] Microsoft 2012-03-22
_[82] 웹사이트 Description of the BitLocker Drive Preparation Tool http://support.micro[...] Microsoft 2007-09-07
_[83] 웹사이트 Prevent data theft with Windows Vista's Encrypted File System (EFS) and BitLocker http://www.techrepub[...] CBS Interactive 2007-06-08
_[84] 웹사이트 BitLocker Drive Encryption in Windows 7: Frequently Asked Questions http://technet.micro[...] Microsoft 2012-03-22
_[85] 웹인용 Windows BitLocker Drive Encryption Frequently Asked Questions http://technet2.micr[...] 마이크로소프트 2007-09-05
_[86] 웹인용 Security Analysis http://www.microsoft[...] 마이크로소프트 2007-09-05
_[87] 웹인용 Back-door nonsense http://blogs.msdn.co[...] 마이크로소프트 2006-06-19
_[88] 뉴스 UK holds Microsoft security talks http://news.bbc.co.u[...] 2006-02-16
_[89] 뉴스 Microsoft: Vista won't get a backdoor https://www.cnet.com[...] 2006-03-03
_[90] 웹인용 Keys to Protecting Data with BitLocker Drive Encryption http://www.microsoft[...] 마이크로소프트 2007-08-21