Vengo de usar Ubuntu principalmente durante años y ahora tengo que usar Windows 11 Pro.
Tengo una máquina con TPM 2.0, por lo que el sitio web de Microsoft/Windows 11 me dice que ahora el dispositivo (¿el disco, espero?) está encriptado.
Sin embargo, no entiendo cómo puedo acceder a la pantalla de inicio de sesión de Windows si todo el SSD está encriptado (como es al menos lo que me gustaría lograr). ¿Cómo puede leer el sistema operativo sin una clave para descifrar lo que hay en el disco?
¿O simplemente he entendido mal lo que realmente hace el "Cifrado de dispositivo"?
Respuesta1
Sin embargo, no entiendo cómo puedo acceder a la pantalla de inicio de sesión de Windows si todo el SSD está encriptado (como es al menos lo que me gustaría lograr). ¿Cómo puede leer el sistema operativo sin una clave para descifrar lo que hay en el disco?
Élhacetener una llave. La clave de cifrado de BitLocker no se basa en su contraseña de inicio de sesión; es completamente independiente, muy parecida a la frase de contraseña LUKS en Ubuntu.
En esencia, BitLocker en Windows funciona casi exactamente como LUKS en Ubuntu. Funciona por partición (no a nivel de disco completo), por lo que toda la partición del sistema operativo está cifrada, pero hay una pequeña parte del sistema operativo que está cifrada.nocifrado 1 y se almacena en una partición diferente, que es lo que le solicita la frase de contraseña del "disco" o utiliza el TPM para recuperarla automáticamente.
Cuando el "Cifrado del dispositivo" está activo, la frase de contraseña del disco se cifra ("sella") mediante el TPM y se almacena dentro de los metadatos de BitLocker del disco. Cuando se inicia el sistema, el gestor de arranque de Windows abre la frase de contraseña (es decir, le pide al TPM que la descifre) y puede desbloquear el volumen C:\ cifrado.antescargando el sistema operativo.
Cuando llegue al mensaje de inicio de sesión del sistema operativo, todo ya estará desbloqueado.
(Se puede lograr lo mismo en Linux usando systemd-cryptenroll, que utiliza el TPM para sellar la clave LUKS y la almacena dentro del encabezado LUKS2 como un "token". En este caso, el kernel de Linux sin cifrar+initrd es lo que solicita la frase de contraseña o habla con el TPM.)
La versión completa de BitLocker (en ediciones "Pro" y superiores de Windows) también admite el uso de una frase de contraseña normal sin TPM. (Esto no cuenta específicamente como "Cifrado de dispositivo", pero sigue siendo el mismo BitLocker bajo el capó). Si configurara BitLocker de esa manera sin un TPM, también recibiría una solicitud de contraseña del cargador de arranque de Windows antes del El sistema operativo podría comenzar a iniciarse, de la misma manera que lo hizo en Ubuntu.
1 El "cifrado de disco completo" en realidad se realiza por partición la mayor parte del tiempo, no en todo el disco. Generalmente, la partición principal C:\ o Linux "/" está cifrada, pero la "Partición del sistema EFI" no.
Tanto el gestor de arranque de Windows (que maneja BitLocker) como el kernel+initrd de Linux (que maneja LUKS) deberían almacenarse en la partición del sistema EFI no cifrada. (De manera similar, en los sistemas BIOS, tendrá un /boot sin cifrar o una "Partición del sistema de Microsoft", que es el equivalente de Windows a /boot).
Una parte importante de toda esta configuración es que la clave "sellada por TPM" tienecondiciones para el descifradoadjunto a él: el TPM en realidad se negará a abrirlo si se inicia un sistema operativo diferente (o si el arranque seguro está habilitado/deshabilitado), de modo que el gestor de arranque esté protegido contra manipulaciones aunque no esté cifrado. El cifrado simple basado en contraseña normalmente no tiene tales protecciones.
Los discos de Windows suelen tener una partición de "Rescate" con un mini-OS de sólo lectura; esto tampoco está cifrado (pero está cubierto por Secure Boot). Si tiene particiones de datos personalizadas en el mismo disco, es posible que estén cifradas o no; si están encriptados, entonces su frase de contraseña simplemente se almacena en algún lugar dentro de C:.
Respuesta2
De Cifrado de dispositivos en Windows:
El cifrado de dispositivos ayuda a proteger sus datos y está disponible en una amplia gama de dispositivos Windows.
Normalmente, cuando accede a sus datos es a través de Windows y tiene las protecciones habituales asociadas al inicio de sesión en Windows. Sin embargo, si alguien quiere eludir esas protecciones de Windows, puede abrir la carcasa de la computadora y extraer el disco duro físico. Luego, al agregar su disco duro como un segundo disco en una máquina que ellos controlan, podrán acceder a sus datos sin necesidad de sus credenciales.
Sin embargo, si su unidad está cifrada, cuando intenten utilizar ese método para acceder a la unidad, tendrán que proporcionar la clave de descifrado (que no deberían tener) para poder acceder a cualquier contenido de la unidad. Sin la clave de descifrado, los datos del disco les parecerán un galimatías.
El cifrado del dispositivo protege su disco contra robos, no su computadora.
Para proteger la computadora, debe habilitar Bitlocker, que requiere una clave para desbloquear la computadora, si su computadora califica para usarla. Debes cuidar bien la clave Bitlocker y la clave de Recuperación, o correr el riesgo de perder tus datos.
Para más información, ver Descripción general de BitLocker.