BitLocker に関する基本的な情報のソースを探しています。Samsung EVO のような自己暗号化ドライブ (SED) を持っていますが、TPM はありません。BitLocker を有効にします。2 つのオプションがあります。
- パスワードのみ
- USBドライブ上のパスワードとキー
私の一見非常に基本的な質問は次のとおりです。
「パスワードのみ」オプションの場合、キーはパスワードのハッシュですか、それともプリブート認証環境のどこかに保存されますか? 保存されている場合、パスワードで暗号化されますか?
USB ドライブにパスワードとキーが保存されている場合、キーはどのように保護されますか? パスワードで暗号化されていますか?
マシンの実行中、キーはどのように保護されますか? SED では、ドライブが動作するためにキーのみが必要ですが、マシンをスリープ状態にするとキーが忘れられ、PC が再度キーを入力する必要があります。Windows はパスワード/USB ドライブを再度要求しますか、それともキーを RAM のどこかに保存しますか?
TPM がない場合、キーがどのように保護されるのかは実のところ不明です。パスワードは本当に安全なのでしょうか? PC と一緒に USB キーが盗まれたらどうなるのでしょうか?
答え1
- (今のところこの質問はスキップします。)
- USB ドライブ上の外部キー ファイル (*.bek) は保護されていません。パスワードは必要ありません。*.bek ファイルは、暗号化に実際に使用されたキーのロックを解除します。したがって、この外部キー ファイルをドライブのプロテクター リストから削除し、紛失した場合には新しい外部キー ファイルを生成することができます。(再暗号化は必要ありません。) パスワードは、ドライブのロックを解除するためのドライブの追加プロテクター/キーです。パスワードを使用してドライブまたは USB ドライブのロックを解除できます。両方は必要ありません。
- オペレーティング システムは、スタンバイ モードから復帰した後、キーを再度要求しません。休止状態から復帰するには、USB ドライブまたはパスワードが必要です。(申し訳ありませんが、キーが実際に保存されている場所については言及しません。検証する適切なソースが見つかりません。)
サイドノート: USB ドライブの暗号化 (スタートアップ外部キー *.bek を保持) は、システム暗号化ドライブでは機能しません。これは、起動時に USB ドライブにアクセスできる必要があるためです。システム暗号化されていないドライブでは機能します。次に、最初にパスワードを使用して USB ドライブのロックを解除し、暗号化されたドライブのロックを解除して、[USB ステーションからキーをロード] をクリックします。この方法では、パスワードとキーファイル (USB ドライブを読み取り) を必要とする 2 段階ロック解除が実際に作成されます。ちなみに、RecoveryPassword (数字) はこれをすべて回避します。