19

Я зашифровал свой внешний жесткий диск с помощью Bitlocker, и после перезагрузки компьютера я попытался открыть этот диск и получил следующее сообщение:

Скажем, если я выберу "Автоматически разблокировать на этом компьютере с этого момента", означает ли это, что Windows будет хранить мой пароль где-то в реестре?

PS. Или они достаточно умны в Microsoft, чтобы хранить только хэш - желательно соленый?

1 ответ1

23

Я вижу, вы также разместили один и тот же запрос здесь и здесь, и уже получили какой-то стандартный ответ. Во всяком случае, это интересный вопрос, и вот что я нашел. Как говорится на странице « Шифрование диска BitLocker в Windows 7: часто задаваемые вопросы»,

Автоматическая разблокировка жестких дисков с данными требует, чтобы диск операционной системы также был защищен с помощью BitLocker. Если вы используете компьютер, на котором нет диска с операционной системой, защищенной с помощью BitLocker, диск не может быть автоматически разблокирован.

Конечно, это не относится к вам, так как вы используете BitLocker To Go для шифрования съемных дисков с данными. Для вас актуально следующее:

В Windows 7 вы можете разблокировать съемные диски с данными с помощью пароля или смарт-карты. После того, как вы начали шифрование, диск также можно автоматически разблокировать на определенном компьютере для конкретной учетной записи пользователя. Системные администраторы могут настроить, какие параметры доступны для пользователей, а также сложность пароля и требования к минимальной длине.

Также,

Для съемных дисков с данными вы можете добавить автоматическую разблокировку, щелкнув правой кнопкой мыши диск в проводнике Windows и выбрав Управление BitLocker. Вы по-прежнему сможете использовать пароль или учетные данные смарт-карты, которые вы указали при включении BitLocker, чтобы разблокировать съемный диск на других компьютерах.

а также

Для съемных дисков с данными можно настроить автоматическую разблокировку на компьютере под управлением Windows 7 после первоначального использования пароля или смарт-карты для разблокировки диска. Однако в дополнение к способу автоматической разблокировки на съемных дисках всегда должен быть установлен метод разблокировки с помощью пароля или смарт-карты.

Итак, теперь мы знаем, как настроить автоматическую разблокировку для съемных дисков с данными, и как такие диски можно разблокировать и на других ПК. Но какие ключи использует BitLocker и где они хранятся? В разделе BitLocker ключей от ключей к Защиты данных с помощью шифрования диска BitLocker статьи говорится:

Сами сектора [тома] шифруются с помощью ключа, называемого ключом шифрования полного тома (FVEK). FVEK, тем не менее, не используется и не доступен для пользователей. FVEK, в свою очередь, шифруется ключом, который называется Master Key (Volume Master Key) (VMK). Такой уровень абстракции дает некоторые уникальные преимущества, но может усложнить понимание процесса. FVEK держится в строжайшем секрете, потому что, если он будет скомпрометирован, все сектора должны быть повторно зашифрованы. Поскольку это будет трудоемкая операция, ее следует избегать. Вместо этого система работает с ВМК. FVEK (зашифрованный с помощью VMK) хранится на самом диске как часть метаданных тома. Хотя FVEK хранится локально, он никогда не записывается на диск в незашифрованном виде. VMK также зашифрован или «защищен», но одним или несколькими возможными защитниками ключей. Ключ защиты по умолчанию - TPM.

Таким образом, VMK снова зашифрован одним или несколькими защитниками ключей. Это могут быть доверенный платформенный модуль, пароль, файл ключа, сертификат агента восстановления данных, смарт-карта и т.д. Теперь, когда вы включаете автоматическую разблокировку для съемного диска с данными, создается следующий раздел реестра для автоматической разблокировки:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\FveAutoUnlock

Затем создается еще один ключ защиты типа "Внешний ключ", который хранится в этом месте реестра как:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\FveAutoUnlock\{GUID}

1

Ключ и метаданные, которые должны храниться в реестре, шифруются с использованием функции DPAPI CryptProtectData() с использованием учетных данных текущего пользователя и Triple DES (OTOH фактические данные на зашифрованном томе защищены с помощью 128-битного или 256-битного AES и необязательно распространяются с использованием алгоритма под названием Elephant).

Внешний ключ может использоваться только с текущей учетной записью пользователя и машиной. Если вы переключаетесь на другую учетную запись пользователя или компьютер, значения GUID FveAutoUnlock будут другими.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .