Fiziksel hırsızlığa karşı BitLocker ve Tam Disk Şifreleme verileri nasıl korur?

inters0

Uzman
Katılım
20 Mart 2025
Mesajlar
550
Beğeniler
106
Selamlar, nasılsınız?

Siber güvenlik alanına meraklıyım. Özellikle son zamanlarda veri güvenliği oldukça ilgimi çekiyor ve bu konuda bilgili kişilere birkaç soru sormak istiyorum.

Örneğin elimizde bir cihaz olduğunu düşünelim (telefon, tablet, laptop, sadece bir disk vb.). Bu cihazın içindeki veriler nasıl tamamen korunabilir? Diyelim ki cihaz çalındı ve kötü niyetli bir kişinin eline geçti. Üstelik bu kişinin ciddi teknik imkânları (gerekli cihazlar vs.) ve bilgi birikimi de var. Böyle bir senaryoda verileri saldırgandan korumak için neler yapılabilir?

BitLocker diye bir teknoloji duydum. Tam olarak konuyla bağlantısı var mı bilmiyorum ama bu tür çözümler nasıl çalışıyor?

Özellikle konu hakkında bilgi sahibi kişilerin cevap vermesini rica ederim. Teşekkür ederim.

@Hermione Jean Granger
Hocam aklıma direkt siz geldiniz. Yapılması gerekenlerden bahsederseniz çok sevinirim.
 
Son düzenleyen: Moderatör:
Kendim için geliştirdiğim bir uygulama var. Dosyaları ve metinleri şifrelemek için onu kullanıyorum.

Konu 'Yapay zekâ yardımıyla geliştirdiğim dosya ve metin şifreleyici uygulama'

Yapay zeka yardımıyla bir dosya şifreleyici geliştirdim. Arayüzü pek iyi olmasa da işlevlerini yerine getiriyor.

Ne işe yarıyor?​

Klasörlerinizi veya dosyalarınızı seçiyorsunuz, bir şifre belirliyorsunuz, ve uygulama her şeyi tek bir .vault dosyasına paketliyor. Bu dosyayı istediğinize verebilirsiniz, buluta yükleyebilirsiniz, USB'ye atabilirsiniz — ama şifreyi bilmeden içindekileri kimse göremiyor.

Açmak için Decrypt sekmesınden .vault dosyasını seçiyorsunuz, şifreyi giriyorsunuz, dosyalarınız geri geliyor.

Özellikler:​

Gizli Vault:
Bir vault dosyasının içinde iki ayrı şifreli...


Cihaz Takip Merkezi veya Anti-Virüslerin sağladığı hırsızlık korumalarını aktif edip kullanmak en erişilebilir ve kolay seçenek. Herhangi bir durumda cihazı fabrika ayarlarına sıfırlayabilirsiniz.

BIOS ekranı gelmeden açılabilen şifreleme sistemleri var. Laptoplarda kullanıldığını gördüm ama detaylarını bilmiyorum. Siz bilgisayarı kapatırken içerideki her şeyi şifreliyor ve girişte şifrenizi girmeden dosyalara erişmek mümkün olmuyor. Şüphesiz en garanti çözüm ama günlük kullanıcı için gereksiz.
 
Son düzenleme:
Bu dediğiniz şeyin detaylarına nasıl ulaşabilirim?

Demek istediğimi biraz daha açmam gerekirse; ister cihaz doğrudan kişinin eline geçsin, ister sadece içindeki diski çıkarıp alsın, hiçbir şekilde verilere erişememesini isteyen biri ne yapabilir?

Örneğin, USB ile temiz kurulum yapmak bunun için yeterli midir? Bu soru daha cok spesifik bilgisayar icin olmus oldu. Ya telefon icin ne yapilmasi lazim? Ayarladan 'Fabrika ayarlarina sifirla' demek yeterlimi?
 

Sizin de ana mesajda bahsettiğiniz BitLocker var. Windows'un Pro ve Enterprise sürümlerinde bulunan bir özellik. Anakartınızdaki TPM çipini kullanarak çalışıyor. AES ile diski şifreliyor. Başka bir bilgisayara takılsa bile key yoksa açamıyorsunuz.

VeraCrypt gibi açık kaynaklı yazılımlar da var ancak araştırmadım. Net bilgi veremeyeceğim.

Onun dışında TailsOS ve QubesOS gibi gizlilik-güvenlik odaklı işletim sistemleri var ancak tam olarak aradığınız şey değil. TailsOS içinde kalıcı veri barındırmıyor, QubesOS ise gündelik kullanım için iyi değil.
 
Bitlocker anladığım kadarıyla en mantıklısı ve tam aradığım şey. Peki çalışma, kurulum mantığı nasıl? Avantajları ve dezavantajları neler? Mesela uyumluluk, performans vb sorunlar çıkarıyormu?
 
İfadeler: RPM
Tamamen korumaktan kastiniz %100 garantiyle korumaksa bu mumkun olan bir sey degil maalesef. Amac daha cok saldirganin isini olabildigince zorlastirmak, gerekli maliyeti yukseltmek, gerekli sureyi uzatmak, basarili olma ihtimalini dusurmektir. Simdi bir tehdit senaryosu olusturalim. Diyelim ki;
  • Laptopunuz calindi
  • Icinde onemli dosyalar var
  • Saldirgan cihazi istedigi kadar inceleyebiliyor
  • Diski sokebiliyor
  • Baska bilgisayarlara baglayabiliyor
  • Adli bilisim araclari kullanabiliyor
Bu tarz bir durumda en kritik savunma Full Disk Encryption. Bitlocker burada devreye giriyor iste. BitLocker, Microsoft'un gelistirdigi bir tam disk sifreleme cozumu. Temel mantigindan bahsedecek olursak;

Veriler diskte: "dosya.pdf", "sifreler.txt", "fotograf.jpg" seklinde durmaz.

Bunun yerine: 8F A2 91 C4 ...

gibi anlamsiz gozuken sifreli bloklar halinde saklanirlar. Diski sokup baska bilgisayara takarsaniz, dosya sistemi gorunmez, dosyalar okunamaz, ham veri disinda bir sey elde edemezsiniz. Eger sifreleme anahtari yoksa disk pratikte ise yaramaz hale gelir.

BitLocker'in nasil calistigini basitce @RPM hocam anlatmis.

Ama simdi soyle bir problem de var. BitLocker oyle her durumda yeterli degil. Iki senaryo dusunelim.

Ilk senaryoda bilgisayar kapali, BitLocker aktif. Saldirgan sadece diski ele geciriyor. Bu durumda koruma son derece guclu olur. Kullanilan AES-128 veya AES-256 sifrelemeyi kaba kuvvetle kirmak pratikte cok zordur.

Ikinci senaryoda ise bilgisayar acik; kullanici oturum acmis, saldirgan cihazi ele geciriyor. Bu durumda sifreleme anahtari RAM'de bulunur. Sistem zaten diski cozmus durumdadir. Dolayisiyla BitLocker'in korumasi buyuk olcude asilmis olur.

Siber Guvenlikte "Cold Boot Attack" dedigimiz bir saldiri turu de var. (Gunumuzde inanilmaz teknik ve pratikte inanilmaz zor olsa da bahsetmeden olmaz)

Bilgisayar acikken veya yeni kapanmisken; RAM'deki veriler kisa sure kalabilir, ozel ekipmanlarla RAM icerigi okunabilir, sifreleme anahtarlari elde edilebilir. Bu her ne kadar oldukca teknik bir saldiri olsa da teorik olarak mumkun. Imkansiz degil.

Zaten bu nedenle yuksek guvenlik ortamlarinda tam kapatma, bellek temizleme, TPM + PIN gibi ek onlemler kullanilir.

Normal BitLocker kurulumunda, sadece TPM'de durum soyle olur;

TPM - Anahtari verir
Windows acilir.

TPM + PIN modunda ise;

TPM - PIN bekler.
PIN dogruysa anahtari verir.
Windows acilir.

Bu durumda cihaz calinsa bile saldirganin PIN'i bilmesi gerekir.

Yani bu modda BitLocker anahtarinin acilmasi icin hem TPM cipi, hem de kullanicinin bildigi PIN gereklidir.

Sadece sifreleme yeterli mi? Hayir. Reel-world'te guvenlik katmanlidir. Tek bir guvenlik onlemini aldim ve artik tamamen guvendeyim diye bir sey yok.

Guclu parolalar kullanmak;

asd1234 diye parola koyarsan bu aninda kirilir. Iyi bir parola oldukca karakteristik ve yeterince uzun olmalidir.

Guvenli uyku;

Laptop kapagini kapatinca "Sleep" modu yerine "Hazirda Bekletme (Hibernate)" kullanmak daha guvenlidir. Cunku Hibernate modunda RAM temizlenir. RAM temizlenmesi bizim icin kritik.

Secure Boot;

Yetkisiz isletim sistemlerinin acilmasini zorlastirir.

BIOS/UEFI parolasi;

Tek basina asiri anlami olmaz ama katmanli guvenlikte savunmayi guclendirmek icin ek korumadir.

Yani kisaca en guvenli senaryo kombinasyonunu verecek olursak;

  1. BitLocker (Veya guvenilir alternatifleri)
  2. TPM + PIN
  3. Guclu oturum parolasi
  4. Secure Boot
  5. Uyku yerine Hibernate
  6. Duzenli guncellemeler
  7. Hassas veriler icin ayrica dosya seviyesinde sifreleme
Bu kombinasyon cihaz kapaliyken ele gecirilmesi senaryosunda, cogu saldiriya karsi son derece guclu bir koruma saglar.

Modern islemcilerde AES-NI ve Donanimsal kriptografi hizlandirmasi ozellikleri bulunur.

Bu sayede pratikte gunluk kullanimda performans kaybi hissetmezsin. Uyumluluk sorunlari cikarma ihtimali de bir hayli dusuk. Ayrica BitLocker tam olarak Pro, Enterprise ve Education surumlerinde bulunur.

Cihaz calinirsa cok onemli bir koruma katmani olmasi, Windows'a entegre olmasi, TPM destegi cok iyi olmasi, kullaniminin seffaf olmasi avantajlari diyebiliriz.

Dezavantajlari ise: Recovery Key kaybedilirse sorun yasatma riski olmasi ve acik oturumlari korumamasi. Aslinda acik oturumlari korumamasi tam anlamiyla bir dezavantaj sayilmaz gerci. Tasarim mantigi buna yonelik degil cunku.

Windows Pro surumlerinde kurulumu da oldukca kolay. Birkac basit adimla etkinlestirebilirsin. Windows masaustunde arama yerine "BitLocker" yazdiginda dahi karsina gelecek zaten. Tabii desteklenen bir Windows surumunu kullaniyorsan.

Actiginda recovery key ve sifreleme yontemi secmen istenir.

Recovery Key cok onemli. Bu kodu guvenli bir yerde guvenli bir sekilde saklaman lazim. Cunku bazi durumlarda Windows bu keyi ister.
 
Son düzenleme:
Harikasınız hocam. Çok açıklayıcı olmuş, teşekkür ederim. Konuyla ilgili birkaç sorum daha var, izninizle.

1) Windows 11 IoT Enterprise LTSC 2024 sürümünde BitLocker açabilir miyim?

2) Windows sürümleri arasında BitLocker açısından bir kalite farkı var mı? Mesela Pro sürümünde daha gelişmiş, LTSC'de ise daha sınırlı veya daha yavan gibi bir durum söz konusu mu?

3) BitLocker'ı açarken, dediğiniz gibi bir aşamada birkaç soru soruyor. O kısımda da “İleri” dersem bana benzersiz ve uzun bir parola mı verecek? Bu parola BitLocker'ın kurtarma anahtarı mı oluyor? Bu yüzden mi güvenli bir yerde saklamam gerekiyor?

4) BitLocker'ı kurduktan sonra gerçekten çalışıp çalışmadığından emin olmak mümkün mü? ISO dosyamı Massgrave üzerinden indirdim. Hâliyle Windows buglarla dolu bir işletim sistemi. Bu nedenle BitLocker'ın açık görünüp aslında çalışmıyor olmasından endişe ediyorum.

5) Şu ana kadar bahsettikleriniz sanırım daha çok açık durumda olan veya yeni kapatılmış / oturumu kapatılmış cihazlar içindi. Cihazın tamamen kapalı olduğu durumda çalınması ve sonrasında verilerin ele geçirilmesi daha mı zor? Böyle bir çıkarım yaptım ama emin olamadım.

6) Diyelim ki BitLocker ile şifreleme yaptım. Ardından Rufus ile bir format USB’si hazırlayacağım (muhtemelen yine Windows 11 IoT Enterprise LTSC kuracağım). Daha sonra o USB ile format atacağım. Bu durumda eski silinmiş veriler daha da güvende olur mu? Sonuçta BitLocker aktifken ve veriler şifrelenmiş durumdayken silmiş oluyorum. Ayrica format attiktan sonra Bitlocker kapaniyormu?

7) Format USB’sini Rufus üzerinden hazırlarken nelere dikkat etmem lazım? Mesela açılması veya kapatılması gereken ekstra seçenekler var mı? Tavsiye ettiğiniz bir Windows sürümü veya versiyonu var mı, fark eder mi? BitLocker’ı açarken herhangi bir servisi kontrol etmek gerekir mi? BIOS tarafında yapılması gereken ayarlar var mı?

Teşekkür ederim.
 
@inters0, rica ederim.

1-Evet, bu surum BitLocker'i tam olarak destekliyor.

2-Hayir, desteklenen tum surumlerde kullanilan kriptografi aynidir. Pro, Enterprise, IoT Enterprise arasinda AES-128 veya AES-256'nin gucu degismez.

3-Gordugun sey muhtemelen Recovery Key. 123456-123456-123456-123456 tarzi uzun sayilardan olusur. Gunluk giris sifresi degildir. Dediginiz gibi BitLocker'in kurtarma anahtari. TPM bozulursa, Anakart degisirse, BIOS ayarlari degisirse, guvenlik mekanizmasi supheli bir degisiklik algilarsa Windows bu kurtarma anahtarini isteyebilir. Bu sebeple guvenli bir sekilde kaybetmeyeceginiz sekilde saklamalisiniz dedim.

4-CMD'yi yonetici olarak calistirin;

manage-bde -status

bu komutu girin. Protection Status, Conversion Status, Percentage Encrypted tarzi degerler olacak. O degerlerden gercekten calisip calismadigini anlayabilirsiniz. Yani;

Conversion Status: Fully Encrypted
Protection Status: Protection On

yazmasi lazim.

Ya da basitce Denetim Masasi'nda BitLocker bolumune gidip kontrol edebilirsin. GUI'de gosterir. Ama soyledigim CMD komutu daha kesin sonuc gosterir.

Bug konusuna gelirsek, dedigim gibi; verdigim CMD komutunu girdiginizde Fully Encrypted ve Protection On yaziyorsa disk seviyesinde gercekten sifreleme vardir.

5-Tabii ki de evet. Anlatmaya calistigim da buydu. Bilgisayar acikken anahtar RAM'de bulunabilir, oturum acik olabilir. Uyku modundayken de RAM hala enerjilidir. Anahtarlarin yine bellekte bulunma riski var.

Bilgisayar tamamen kapaliyken ise RAM temizlenir, sifreleme anahtari kaybolur, disk yalnizca sifreli veri icerir. Yani fiziksel hirsizliga karsi en guclu senaryo;

BitLocker + guclu parola + bilgisayar tamamen kapali.

6-Evet, olabilir. Format konusuna gelirsek: Diski silip yeni, temiz Windows kurulumu yaparsan eski BitLocker yapilandirmasi gider. Yeni kurulan Windows'ta BitLocker'i yeniden etkinlestirip yapilandirman gerekir.


7-BIOS UEFI olsun, Secure Boot ve TPM 2.0 acik olsun. Sistemin cok eski degilse disk bicimi GPT olsun. Zaten yanlis hatirlamiyorsam ilk adimdaki secenekleri sectikten sonra devam deyince, ardindan gelen minik penceredeki seceneklerde; BitLocker ile alakali bir secenek de vardi. BitLocker otomatik cihaz sifrelemesini devre disi birak diye. Dilerseniz onu devre disi birakin, yani kutucugu isaretlemeyin.
 
Son düzenleme:
Mesaj yazmak için giriş yapmalı ya da kaydolmalısınız.

Benzer konular

A
Modem güvenliği ve mobil veri kullanırken güvenlik duvarı nasıl çalışır?
Mesaj
0
Görüntüleme
57
Aqua6
A
Bir veri güvenliği uygulamasından beklentileriniz neler olurdu?
Mesaj
3
Görüntüleme
123
GIRD4P
Techolay'ın veri tabanından veri sızdırılması mümkün mü?
2
Mesaj
19
Görüntüleme
721
Morthunel
Flickr veri sızdırması gerçekleşmiş
Mesaj
2
Görüntüleme
120
michaelscofield
Menü
Giriş yap
Kaydol
Bu siteyi kullanmak için çerezler gereklidir. Siteyi kullanmaya devam etmek için çerezleri kabul etmelisiniz. Daha Fazlasını Öğren.…