Мой ноутбук не оснащен TPM. Я включил групповую политику обхода, чтобы использовать BitLocker с флэш-накопителем USB.

При определенных обстоятельствах я хотел бы обновить свою аутентификацию, добавив ПИН-код к существующему зашифрованному системному диску. Или позже, чтобы удалить аутентификацию USB-флэш-накопителя в пользу только PIN-кода / пароля.

Я уже настроил групповую политику, чтобы разрешить эти параметры, но я не могу найти никакой опции на экране настроек BitLocker, чтобы обновить безопасность для моего системного диска. Вместо этого он доступен для моего дополнительного диска (который автоматически дешифруется при загрузке системы).

Я представляю, что могу расшифровать весь диск и выполнить повторное шифрование с новыми настройками.

Я хочу спросить, есть ли более короткий способ сделать это

|источник

1 ответ1

0

Ну, подумав немного об этом, я пришел к выводу, что разумный ответ.

Если бы когда-либо было возможно добавить PIN-код к существующему системному диску с шифрованием Bitlocker, который разблокирован с помощью USB-ключа в отсутствие доверенного платформенного модуля, дополнительная безопасность была бы точно равна нулю. Единственная безопасная процедура - полностью расшифровать диск и повторно зашифровать, используя более строгую защиту.

Почему этого нельзя сделать с помощью USB-шифрования (и наоборот)?

BitLocker использует симметричную криптографию. Я не вдавался в подробности, но использую ПИН-код или флэш-накопитель с секретом, который может открыть ключ шифрования (с точки зрения безопасности), чтобы предположить, что диск или ПИН-код является ключом.

Таким образом, у вас есть дружественные настройки, когда вы уже экспортировали ключ на USB-накопитель или запомнили в виде PIN-кода / пароля. Этот ключ существует, и этот ключ может расшифровать диск. Предположим, что ключ взломан. Система запрашивает дополнительный пароль. Но так как ключ содержится в флэш-накопителе, злоумышленник с доступом к физическому диску все еще может использовать ключ для расшифровки диска, поскольку симметричный ключ - это вся информация, необходимая для расшифровки информации. Злоумышленник может использовать любое программное обеспечение, находящееся под его контролем, которое не требует глупой дополнительной аутентификации.

Почему это можно сделать при настройке TPM?

TPM - это другое устройство. Ключ или секретная информация, которая используется для получения ключа дешифрования, существует в пределах активной компьютерной системы, действующей как хранилище. Если вы измените блокировку своего хранилища, хранилище откажется открывать без новой аутентификации.

OS, которая управляет (владеет) ТРМ может любезно просить ТРМ не больше отпускания клавиши , если дополнительная аутентификация не предоставляется. С доверенным платформенным модулем и за исключением ключей условного депонирования, которые генерирует BitLocker, ключ никогда не может быть открыт. Можно изменить ПИН / пароль по желанию, но никто не обладает носителем с byte array секретного ключа.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .