Допустим, у меня есть 1 ТБ данных в разделе, зашифрованном с помощью BitLocker, TrueCrypt или VeraCrypt.
Означает ли изменение пароля шифрования перезапись всех данных (т. Е. Это займет часы / дни)?
2 ответа
78
Нет. Ваш пароль используется для шифрования только главного ключа. Когда вы меняете пароль, мастер-ключ повторно шифруется, но сам по себе не изменяется.
(Вот как некоторые системы, такие как BitLocker или LUKS, могут иметь несколько паролей для одного и того же диска: они по-прежнему используют один главный ключ для всех данных, но просто хранят несколько копий главного ключа, зашифрованных с помощью разных паролей.)
35
Гравити ответ правильный. Поскольку шифрование данных является относительно дорогостоящим процессом, имеет смысл создать единый главный ключ, который не изменяется в течение времени жизни зашифрованных данных. Этот главный ключ затем может быть зашифрован одним или несколькими вторичными ключами, которые затем могут быть гибко изменены по желанию.
Например, вот как BitLocker реализует это (фактически он использует три "слоя" ключей):
- Данные, записанные на том, защищенный BitLocker, шифруются с помощью ключа шифрования полного тома (FVEK). Этот ключ не изменяется до тех пор, пока BitLocker не будет полностью удален из тома.
- FVEK шифруется главным ключом тома (VMK), а затем сохраняется (в зашифрованном виде) в метаданных тома.
- VMK, в свою очередь, зашифрован с помощью одного или нескольких средств защиты ключей, таких как PIN-код / пароль.
На следующем рисунке показан процесс доступа к зашифрованному системному диску на компьютере с включенным шифрованием полного тома BitLocker:
Более подробную информацию об этом процессе можно найти на TechNet.