Windows Bitlocker и автоматическая разблокировка паролей безопасности хранения

19

Я зашифровал свой внешний жесткий диск с помощью Bitlocker, и после перезагрузки компьютера я попытался открыть этот диск и получил следующее сообщение:

введите описание изображения здесь

Скажем, если я выберу «Автоматически разблокировать на этом компьютере с этого момента», означает ли это, что Windows будет хранить мой пароль где-то в реестре?

PS. Или они достаточно умны в Microsoft, чтобы хранить только хэш - желательно соленый?

ahmd1
источник

Ответы:

24

Я вижу, вы также разместили один и тот же запрос здесь и здесь , и уже получили какой-то стандартный ответ. Во всяком случае, это интересный вопрос, и вот что я нашел. Как говорится на странице « Шифрование диска BitLocker в Windows 7: часто задаваемые вопросы» ,

Для автоматической разблокировки жестких дисков с данными требуется, чтобы диск операционной системы также был защищен с помощью BitLocker. Если вы используете компьютер, на котором нет диска с операционной системой, защищенной с помощью BitLocker, диск не может быть автоматически разблокирован.

Конечно, это не относится к вам, поскольку вы используете BitLocker To Go для шифрования съемных дисков с данными. Для вас актуально следующее:

В Windows 7 вы можете разблокировать съемные диски с данными с помощью пароля или смарт-карты. После того, как вы начали шифрование, диск также можно автоматически разблокировать на определенном компьютере для конкретной учетной записи пользователя . Системные администраторы могут настроить, какие параметры доступны для пользователей, а также сложность пароля и требования к минимальной длине.

Также,

Для съемных дисков с данными вы можете добавить автоматическую разблокировку, щелкнув правой кнопкой мыши диск в проводнике Windows и выбрав Управление BitLocker. Вы по-прежнему сможете использовать пароль или учетные данные смарт-карты, которые вы указали при включении BitLocker, чтобы разблокировать съемный диск на других компьютерах.

а также

Для съемных дисков с данными можно настроить автоматическую разблокировку на компьютере под управлением Windows 7 после первоначального использования пароля или смарт-карты для разблокировки диска. Однако в дополнение к способу автоматической разблокировки на съемных дисках всегда должен быть установлен метод разблокировки с помощью пароля или смарт-карты.

Итак, теперь мы знаем, как настроить автоматическую разблокировку для съемных дисков с данными, и как такие диски можно разблокировать и на других ПК. Но какие ключи использует BitLocker и где они хранятся? Поскольку BitLocker Кис сечения Ключи Защита данных с помощью шифрования диска BitLocker статье говорится:

Сами сектора [тома] шифруются с помощью ключа, называемого ключом шифрования полного тома (FVEK) . FVEK, тем не менее, не используется и не доступен для пользователей. FVEK, в свою очередь, зашифрован ключом, который называется Master Key Key (VMK)., Такой уровень абстракции дает некоторые уникальные преимущества, но может усложнить понимание процесса. FVEK держится в строжайшем секрете, потому что, если он будет скомпрометирован, все сектора должны быть повторно зашифрованы. Поскольку это будет трудоемкая операция, ее следует избегать. Вместо этого система работает с ВМК. FVEK (зашифрованный с помощью VMK) хранится на самом диске как часть метаданных тома. Хотя FVEK хранится локально, он никогда не записывается на диск в незашифрованном виде. VMK также зашифрован или «защищен», но одним или несколькими возможными защитниками ключей. Ключ защиты по умолчанию - это TPM.

Таким образом, VMK снова зашифрован одним или несколькими защитниками ключей. Это могут быть доверенный платформенный модуль , пароль, файл ключа, сертификат агента восстановления данных, смарт-карта и т. Д. Теперь, когда вы включаете автоматическую разблокировку для съемного диска с данными, создается следующий раздел реестра для автоматической разблокировки:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\FveAutoUnlock

Затем создается еще один ключ защиты типа «Внешний ключ», который хранится в этом месте реестра как:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\FveAutoUnlock\{GUID}

1

Ключ и метаданные, которые должны храниться в реестре, шифруются с использованием функции DPAPI CryptProtectData () с использованием учетных данных текущего пользователя и Triple DES (OTOH фактические данные на зашифрованном томе защищены с помощью 128-битного или 256-битного AES и необязательно распространяются с использованием алгоритма под названием Elephant ).

Внешний ключ может использоваться только с текущей учетной записью пользователя и машиной. Если вы переключаетесь на другую учетную запись пользователя или компьютер, значения GUID FveAutoUnlock будут другими.

Каран
источник
Я ценю ваши исследования, друг мой! В отличие от этого ответа BS, который я получил с форума Microsoft, ваш ответ дает мне надежду - что пароль не может быть легко возвращен обратно в текстовую форму после его сохранения.
Еще
Не за что, и я хотел знать ответ сам. Обеспеченной безопасности должно быть достаточно, чтобы защитить ваши данные от посторонних глаз большинства пользователей. Конечно, если вы секретный агент, вам, вероятно, стоит поискать более пуленепробиваемые методы обеспечения безопасности ваших данных. Опять же, если вы подозреваете, что у вас есть более важные вещи, о которых вы должны беспокоиться, например, как сделать себя пуленепробиваемым. ;-)
Каран
Каран, если у вас будет возможность, вы сможете взглянуть на сообщение ServerFault, которое я разместил по адресу: serverfault.com/questions/520356/… . Мой вопрос выглядит как продолжение вашего ответа (использование DPAPI для автоматической автоматической разблокировки BitLocker FIXED, а не съемных томов). Ваш вклад будет принята с благодарностью!
bigmac