Estoy tratando de encontrar una fuente de información básica sobre BitLocker. Digamos que tengo una unidad de autocifrado (SED) como una Samsung EVO, pero sin TPM. Habilito BitLocker. Hay dos opciones:
- Sólo contraseña
- Contraseña y clave en la unidad USB
Mis preguntas aparentemente bastante básicas son:
Con la opción "solo contraseña", ¿la clave es un hash de la contraseña o está almacenada en algún lugar del entorno de autenticación previo al inicio? Si está almacenado, ¿está cifrado con la contraseña?
Con la contraseña y la clave en la unidad USB, ¿cómo se protege la clave? ¿Está cifrado con la contraseña?
¿Cómo se protege la clave mientras la máquina está en funcionamiento? Con SED solo la unidad necesita la clave para funcionar, pero cuando se apaga la máquina la olvida y la PC tiene que proporcionársela nuevamente. ¿Windows le solicita nuevamente la contraseña/unidad USB o almacena la clave en algún lugar de la RAM?
Realmente no está claro cómo se protege la clave si no tienes un TPM. ¿La contraseña es realmente segura? ¿Qué pasa si me roban la llave USB junto con el PC?
Respuesta1
- (Omitiendo esta pregunta por ahora).
- El archivo de clave externa (*.bek) en la unidad USB no está protegido.No requiere contraseña.El archivo *.bek desbloquea la clave que realmente se utilizó para el cifrado. Por lo tanto, puede eliminar este archivo de clave externa de la lista de protectores de la unidad y generar un nuevo archivo de clave externa si alguna vez se pierde. (No es necesario volver a cifrar). Una contraseña es un protector/clave adicional de una unidad para desbloquearla.Puede utilizar la contraseña para desbloquear la unidad o la unidad USB. No necesitas ambos.
- El sistema operativo no volverá a solicitar la clave después de salir del modo de espera. Para salir de la hibernación se requiere la unidad USB o la contraseña. (Lo sentimos, omitimos cualquier afirmación sobre dónde se guarda realmente la clave; no puedo encontrar la fuente correcta para validar).
Nota al margen: Cifrar la unidad USB (manteniendo la clave externa de inicio *.bek) no funcionará para unidades cifradas por el sistema, ya que es necesario poder acceder a la unidad USB durante el arranque. Funcionará para unidades que no estén cifradas por el sistema. Luego, primero desbloquea la unidad USB con una contraseña, luego hace clic para desbloquear la unidad cifrada y hace clic en [Cargar clave desde la estación USB].De esta manera, ha creado un desbloqueo en dos pasos que requiere una contraseña y un archivo de clave (leer unidad USB).Por cierto, RecoveryPassword (números) evita todo esto.