Как убедиться, что BitLocker не может быть обойден с помощью ключа восстановления?

Question

Я хочу зашифровать свой жесткий диск с помощью BitLocker, но для этого требуется создать ключ восстановления. Теперь я понимаю, почему это важно, поскольку могут быть случаи, когда один мой пароль не может разблокировать диск, например, если профиль пользователя поврежден. Проблема в том, что если решительный вор получит мой жесткий диск, то они могут также получить мой ключ восстановления, предполагая, что я на самом деле храню его в своем доме, на моем лице или в любом другом месте, удаленно связанном со мной. Конечно, если мой пароль все еще требуется, чтобы разблокировать диск, то вор не может получить доступ к моим данным. Однако, если ключ восстановления ALONE может разблокировать диск, то ничто не сможет помешать вору получить доступ к моим данным. Это было бы как взломщик, входящий в чей-то дом с помощью ключа из-под горшечного растения.

Что мне не хватает? Как гарантировать, с одной стороны, что я никогда не буду заблокирован из моих данных, пока я помню свой пароль, а с другой стороны, что я не создаю что-то, что вор мог бы использовать, чтобы обойти мои пароль.

Примечание: я не использую TPM.

Answer 1

Краткий ответ: Храните ключ восстановления в безопасном месте. Возможно, для вас это Google Drive, флешка, которую вы держите в цепочке для ключей, или электронное письмо, которое вы отправляете себе.

Вор не может сгенерировать ключ восстановления, если он не вошел на ваш компьютер. Если они украли диск без предварительного получения ключа восстановления или вашего пароля, тогда Bitlocker сделает это.

Вы спрашиваете: «Как я могу сделать ключ, который никто другой не сможет использовать, который позволит мне войти, если я забуду свой пароль», и короткий ответ: вы не можете. Если вы сделаете ключ, трудно найти. Если вы не сделаете ключ, не забудьте свой пароль. я

это общий компромисс в сфере безопасности: простота использования <-> сила безопасности

Как сказал @Ramhound. Дополнительное / вторичное использование ключа восстановления происходит, если изменилось оборудование, к которому был подключен диск. Он понадобится вам для доступа к данным на этом этапе.

Per @ user1751825 "Существует еще одна ситуация, когда вам может потребоваться ключ восстановления. Если вам нужно разблокировать диск с помощью утилиты manage-bde из командной строки, я думаю, вам может понадобиться ключ восстановления ».

Answer 2

Ключ восстановления нужен только в том случае, если вы забыли свой пароль, поэтому запрос пароля при использовании ключа восстановления был бы нелогичным. Если вы уверены, что никогда не забудете свой пароль, вам не нужно хранить ключ восстановления. Это рискованно, хотя. Я думаю, что достаточно просто сохранить ключ восстановления в безопасном месте.

Обновить... Утилита командной строки manage-bde работает только с ключом восстановления, а не с паролем. Хотя вряд ли при обычном использовании понадобится эта утилита.

Answer 3

Почему бы не взять файл восстановления и не зашифровать его? Использование другой парольной фразы, которую вы точно не забудете, отличается от "основной" парольной фразы, которую вы пытаетесь защитить.

Использование PGP/GPG или LUKS или даже TrueCrypt (все еще) должно быть безопасным.

Тогда было бы намного безопаснее загрузить его в какое-либо онлайн-хранилище, но если что-то повредило ваш компьютер (пожар, кража и т.д.), То нет никакой реальной причины хранить файл восстановления вне сайта (это бесполезно без недоступного на тот момент битлокера) данные)

Answer 4

Сохраните ключ в своей учетной записи Microsoft. Только те, кто имеет доступ к вашей учетной записи Microsoft, могут получить ключ. Если вы не можете войти в свой компьютер, используйте другой ближайший компьютер или ноутбук, чтобы зайти сюда

https://support.microsoft.com/en-us/instantanswers/566e0e4e-4ca7-4df2-88fb-aa71c00ea55e/find-my-bitlocker-recovery-key

Вот инструкция прямо от майкрософт

Где искать ваш ключ BitLocker:

On a printout you saved. Look in places you keep important papers.
Saved on a USB flash drive. Plug the USB flash drive in to your locked PC and follow the instructions. If you saved the key as a text

файл на флэш-накопителе, используйте другой компьютер для чтения текстового файла. В вашей учетной записи Microsoft. Чтобы получить ключ восстановления, перейдите в раздел Ключи восстановления BitLocker.

Или попросите кого-нибудь о помощи:

Ask someone with administrator privileges on the same PC to unlock it with their key.
If your PC is connected to a domain (usually a work or school computer), ask a system administrator for your recovery key.

Если вы все еще не можете войти, вам нужно перезагрузить компьютер. Узнать, как.

это похоже на то, чтобы положить его в Google Drive или Dropbox, но я думаю, что это намного лучше. В Google Drive вы можете забыть, где вы храните ключ. В Google Drive это просто еще один текстовый файл, который может быть потерян где-то.

С microsoft они не просто хранят его на onedrive (что, впрочем, и есть dropbox от Microsoft). Вы не увидите ключ на своем одном диске. У Microsoft есть специальное место для хранения ключа только для вас. Так что это не просто еще один текстовый файл. Это действительно особенность, созданная одной компанией, которая производит систему битлокеров. Это гораздо легче найти. Это более безопасно. Вы должны подтвердить свою личность по телефону, прежде чем войти в систему. И вы получили это по тексту, а не только текстовый файл.

Также, если у вас есть несколько ключей или сотни компьютеров, Microsoft назовет компьютер, к которому относится каждый ключ.

Я полагаю, что если вы сохраните его на Google Диске, просто попробуйте один за другим. Да, технически ключ восстановления имеет имя файла, которое вы тоже можете сопоставить. Тем не менее, гораздо удобнее получить ключ под именем Jim-PC вместо ключа 12234-fdfdg-blabla-blublu

Вы в основном храните ключ с той же учетной записью, которую используете для входа на свой компьютер. Единственный способ потерпеть неудачу - это если вы забудете перейти к этой учетной записи, но это означает, что вы все равно не сможете войти на свой компьютер. Если вы - я, у меня может быть несколько дисков Google, не обязательно связанных с моей учетной записью Microsoft. Поэтому я думаю, что лучше использовать ключ Microsoft с помощью сервиса Microsoft.