Skrytá časovaná bomba vo Windowse: Čo je stav „Pre-crypted“ a prečo je vypnutý BitLocker vyloženým hazardom s dátami

Kúpite si nový počítač, pre istotu otvoríte Ovládací panel, skontrolujete stav zabezpečenia a vidíte jednoznačný nápis: BitLocker: Vypnuté. Zhlboka sa nadýchnete v domnení, že vaše dáta sú v bezpečí, súborový systém čistý a vy máte plnú kontrolu nad svojím hardvérom. Lenže Microsoft hrá s používateľmi extréme nebezpečnú hru na schovávačku. Na pozadí totiž tiká digitálna nálož zvaná stav Pre-crypted (predbežne zašifrované).

Tento polotovar moderného Windowsu predstavuje tichý hazard s používateľskými dátami, ktorý môže bežného používateľa aj firemného správcu zo dňa na deň pripraviť o všetky súbory bez možnosti akejkoľvek obnovy.

Anatómia pasce: Keď zámok leží vedľa kľúča (Clear Key)

Keď výrobcovia hardvéru (ako ASUS, Dell či HP) expedujú nové zariadenia, v rámci špecifikácií Microsoftu aktivujú takzvané Zabezpečenie zariadenia (Device Encryption). Windows okamžite po inštalácii na pozadí fyzicky zašifruje 100 % kapacity disku algoritmom XTS-AES 128 alebo 256.

Aby sa však používateľ mohol prvýkrát prihlásiť a systém normálne naštartoval bez otravných otázok na heslo, použije sa mechanizmus zvaný Clear Key (čistý kľúč). V tomto stave:

• Skutočný, unikátny 48-miestny obnovovací kľúč (protector) fyzicky vôbec neexistuje.
• Dešifrovací kľúč leží úplne nechránený a čitateľný priamo v metadátach na samotnom disku.
• Príkaz manage-bde -status hlási: Protection Status: Protection Off, ale zároveň Percentage Encrypted: 100%.

Ovládací panel hrdo hlási „Vypnuté“, pretože systém čaká. Čaká na moment, kým se používateľ prihlási k akémukoľvek cloudovému účtu Microsoftu (napr. pri aktivácii MS Office, Teams alebo OneDrive). V ten moment Windows potajomky vygeneruje reálny 48-miestny obnovovací kód, odosle ho na cloud Microsoftu, vymaže lokálny Clear Key a šifrovanie definitívne uzamkne do hardvérového TPM čipu.

Ak však zostanete na lokálnom účte, disk zostáva v tomto schizofrenickom medzistave. Pre alternatívne operačné systémy (napr. pri pokuse o inštaláciu Linux Mintu do dual-bootu) je disk detegovaný ako poškodený, uzamknutý alebo nečitateľný.

Aktualizácie firmvéru: Detonátor časovanej bomby

Prečo ide o vyložený hazard s dátami? Celý tento mechanizmus sa spolieha na absolútnu integritu základnej dosky a TPM čipu. História aktualizácií Windowsu je však plná fatálnych zlyhaní v tejto oblasti.

1. Počítač vykoná automatickú aktualizáciu BIOSu/UEFI alebo aktualizáciu mikrokódu TPM čipu.
2. Pri následnom reštarte TPM čip vyhodnotí zmenu integrity systému (zmenu PCR registrov) a odmietne vydať kľúč na odomknutie disku.
3. Windows okamžite spadne do modrej obrazovky BitLocker Recovery a striktne vyžaduje 48-miestny obnovovací kľúč.

A v tom spočíva tá tragédia. Pretože bol systém v stave Pre-crypted, tento 48-miestny kľúč nikdy nevnikol. Neexistuje na papieri, neexistuje na žiadnom Microsoft účte, neexistuje nikde vo vesmíre. Dáta na disku sú v ten moment matematicky neprelomiteľné. Jedinou možnosťou je kompletné zničenie partition tabulky (wipe disku cez GParted v Linuxe) a čistá reinštalácia. O všetky dáta prídete.

Digitálna hygiena: Zálohovať, zálohovať a znova zálohovať

Tento systémový diletantizmus jasne ukazuje, že spoliehať sa na interné mechanizmy jedného operačného systému je cesta do pekla. Jedinou skutočnou obranou je nekompromisná stratégia zálohovania. Ak dáta nemáte na troch rôznych miestach, ako by ste ich vôbec nemali.

Možnosti bezpečného zálohovania:

• Lokálne izolované zálohy (pravidlo 3-2-1): Majte aspoň 3 kópie dát, na 2 rôznych typoch médií, pričom 1 kópia je mimo vašej lokality. Pravidelné zálohovanie na externé disky, ktoré sú po dokončení procesu fyzicky odpojené od počítača (ochrana pred ransomvérom aj systémovým kolapsom).
• Sieťové úložiská (NAS) s verziovaním: Využitie domáceho či firemného NAS úložiska s podporou súboru Btrfs alebo ZFS, ktoré vytvára nemenné snímky (immutable snapshots). Aj keď Windows zlyhá alebo zašifruje sám seba, zo snímky na NAS je možné dáta obnoviť v priebehu niekoľkých minút.
• Šifrované cloudové zálohy tretích strán: Ak využívate cloud, vyhnite sa nútenej integrácii OneDrive, ktorá je úzko spätá so systémom. Využite open-source nástroje (napr. Rclone či BorgBackup) na odosielanie šifrovaných, prírastkových záloh na nezávislé cloudové úložiská.

Ako skontrolovať a vyčistiť svoj disk práve teraz?

Ak vám systém ešte beží, ignorujte Ovládací panel. Otvorte Príkazový riadok ako správca a zadajte:

manage-bde -status C:

Ak vidíte Percentage Encrypted: 100.0% a zároveň Protection Off, okamžite zadajte príkaz na skutočné dešifrovanie:

manage-bde -off C:

Počkajte, kým stav neklesne na 0.0%. Následne zakážte Fast Startup príkazom:

powercfg /h off

Až potom je váš hardvér skutočne váš a vaše dáta nie sú rukojemníkom korporátneho polotovaru.