저는 수년 동안 주로 Ubuntu를 사용해 왔으며 이제는 Windows 11 Pro를 사용해야 합니다.
TPM 2.0이 설치된 컴퓨터가 있으므로 Microsoft 웹 사이트/Windows 11에서는 이제 장치(디스크, 바라죠?!)가 암호화되었다고 알려줍니다.
그러나 전체 SSD가 암호화된 경우(적어도 내가 달성하고자 하는 것) Windows 로그인 화면에 어떻게 접근할 수 있는지 이해가 되지 않습니다. 디스크에 있는 내용을 해독하기 위한 키 없이 OS를 어떻게 읽을 수 있습니까?
아니면 단순히 "장치 암호화"가 실제로 무엇을 하는지 오해한 것일까요?
답변1
그러나 전체 SSD가 암호화된 경우(적어도 내가 달성하고자 하는 것) Windows 로그인 화면에 어떻게 접근할 수 있는지 이해가 되지 않습니다. 디스크에 있는 내용을 해독하기 위한 키 없이 OS를 어떻게 읽을 수 있습니까?
그것하다열쇠를 가지고 있어요. BitLocker 암호화 키는 로그인 비밀번호를 기반으로 하지 않습니다. 이는 완전히 독립적이며 Ubuntu의 LUKS 비밀번호 문구와 매우 유사합니다.
기본적으로 Windows의 BitLocker는 Ubuntu의 LUKS와 거의 동일하게 작동합니다. 전체 디스크 수준이 아닌 파티션별로 작동하므로 전체 OS 파티션이 암호화되지만 OS의 일부는 암호화됩니다.~ 아니다1 암호화되어 다른 파티션에 저장됩니다. 이 경우 "디스크" 암호를 입력하라는 메시지가 표시되거나 TPM을 사용하여 자동으로 검색됩니다.
"장치 암호화"가 활성화되면 디스크 암호가 TPM을 사용하여 암호화("봉인")되고 디스크의 BitLocker 메타데이터 내에 저장됩니다. 시스템이 부팅되면 Windows 부트로더는 암호를 풀고(즉, TPM에 암호 해독을 요청) 암호화된 C:\ 볼륨을 잠금 해제할 수 있습니다.~ 전에OS를 로딩 중입니다.
OS 로그인 프롬프트에 도달할 때쯤이면 모든 것이 이미 잠금 해제된 것입니다.
(TPM을 사용하여 LUKS 키를 봉인하고 이를 LUKS2 헤더 내에 "토큰"으로 저장하는 를 사용하여 Linux에서도 동일한 결과를 얻을 수 있습니다 systemd-cryptenroll. 이 경우 암호화되지 않은 Linux 커널+initrd는 암호 문구를 묻는 메시지를 표시하거나 다음과 통신합니다. TPM.)
BitLocker 정식 버전(Windows "Pro" 이상 버전)은 TPM 없이 일반 암호 문구 사용도 지원합니다. (이는 특별히 "장치 암호화"로 간주되지 않지만 그럼에도 불구하고 내부적으로는 동일한 BitLocker입니다.) TPM 없이 BitLocker를 그런 식으로 설정하려는 경우 Windows 부트로더에서 암호 프롬프트가 표시됩니다. Ubuntu에서와 동일한 방식으로 OS가 부팅을 시작할 수 있습니다.
1 "전체 디스크 암호화"는 실제로 전체 디스크가 아닌 대부분의 경우 파티션별로 수행됩니다. 일반적으로 기본 C:\ 또는 Linux "/" 파티션은 암호화되지만 "EFI 시스템 파티션"은 암호화되지 않습니다.
Windows 부트로더(BitLocker 처리)와 Linux 커널+initrd(LUKS 처리)는 모두 암호화되지 않은 EFI 시스템 파티션에 저장되어야 합니다. (마찬가지로 BIOS 시스템에는 암호화되지 않은 /boot 또는 Windows의 /boot에 해당하는 "Microsoft 시스템 파티션"이 있습니다.)
이 전체 설정에서 중요한 부분 중 하나는 "TPM 봉인" 키가복호화 조건– TPM은 실제로 다른 OS가 부팅되는 경우(또는 보안 부팅이 활성화/비활성화되는 경우) 봉인 해제를 거부하므로 암호화되지 않은 경우에도 부트로더가 변조로부터 보호됩니다. 일반 비밀번호 기반 암호화에는 일반적으로 이러한 보호 기능이 없습니다.
Windows 디스크에는 일반적으로 읽기 전용 미니 OS가 있는 "Rescue" 파티션이 있습니다. 이 또한 암호화되지 않습니다(그러나 보안 부팅에서는 보호됨). 동일한 디스크에 사용자 정의 데이터 파티션이 있는 경우 해당 파티션은 암호화되거나 암호화되지 않을 수 있습니다. 암호화된 경우 해당 암호는 C: 내의 어딘가에 저장됩니다.
답변2
에서 Windows의 장치 암호화:
장치 암호화는 데이터를 보호하는 데 도움이 되며 다양한 Windows 장치에서 사용할 수 있습니다.
일반적으로 데이터에 액세스할 때는 Windows를 통해 이루어지며 Windows 로그인과 관련된 일반적인 보호 기능이 있습니다. 그러나 누군가 Windows 보호 기능을 우회하고 싶다면 컴퓨터 케이스를 열고 실제 하드 드라이브를 제거할 수 있습니다. 그런 다음 자신이 제어하는 컴퓨터에 하드 드라이브를 두 번째 드라이브로 추가하면 자격 증명 없이도 데이터에 액세스할 수 있습니다.
그러나 드라이브가 암호화된 경우 해당 방법을 사용하여 드라이브에 액세스하려고 하면 드라이브에 있는 모든 항목에 액세스하려면 암호 해독 키(가져서는 안 됨)를 제공해야 합니다. 암호 해독 키가 없으면 드라이브의 데이터는 횡설수설처럼 보일 것입니다.
장치 암호화는 컴퓨터가 아닌 디스크 도난을 방지합니다.
컴퓨터를 보호하려면 Bitlocker를 활성화해야 합니다. 컴퓨터에서 사용할 자격이 있는 경우 컴퓨터 잠금을 해제하려면 키가 필요합니다. Bitlocker 키와 복구 키를 잘 관리하지 않으면 데이터가 손실될 수 있는 위험을 감수해야 합니다.
자세한 내용은 다음을 참조하세요. BitLocker 개요.