Quão seguro é o BitLocker sem TPM, usando SED?

tag-icon tag-icon security encryption sed bitlocker
Quão seguro é o BitLocker sem TPM, usando SED?

Estou tentando encontrar uma fonte de algumas informações básicas sobre o BitLocker. Digamos que eu tenha uma unidade com criptografia automática (SED) como um Samsung EVO, mas sem TPM. Eu habilito o BitLocker. Existem duas opções:

  1. Somente senha
  2. Senha e chave na unidade USB

Minhas perguntas aparentemente básicas são:

  1. Com a opção "somente senha", a chave é um hash da senha ou está armazenada em algum lugar no ambiente de autenticação pré-inicialização? Se estiver armazenado, está criptografado com a senha?

  2. Com a senha e a chave na unidade USB, como a chave é protegida? É criptografado com a senha?

  3. Como a chave é protegida enquanto a máquina está funcionando? Com o SED apenas o drive precisa da chave para funcionar, mas quando você dorme a máquina ela esquece e o PC tem que alimentá-la novamente. O Windows solicita a senha/unidade USB novamente ou armazena a chave na RAM em algum lugar?

Realmente não está claro como a chave é protegida se você não tiver um TPM. A senha é realmente segura? E se a chave USB for roubada junto com o PC?

Responder1

  1. (Pulando esta pergunta por enquanto.)
  2. O arquivo de chave externa (*.bek) na unidade USB não está protegido.Não requer senha.O arquivo *.bek desbloqueia a chave que foi realmente usada para criptografia. Assim, você pode excluir esse arquivo de chave externa da lista de protetores da unidade e gerar um novo arquivo de chave externa caso ele seja perdido. (Não é necessária nova criptografia.) Uma senha é um protetor/chave adicional de uma unidade para desbloquear uma unidade.Você pode usar a senha para desbloquear a unidade ou a unidade USB. Você não precisa de ambos.
  3. O sistema operacional não solicitará a chave novamente depois de sair do modo de espera. Sair da hibernação requer uma unidade USB ou senha. (Desculpe, omitindo qualquer afirmação sobre onde a chave foi realmente salva; não é possível encontrar a fonte correta para validar.)

Nota: Criptografar a unidade USB (mantendo a chave externa StartUp *.bek) não funcionará para unidades criptografadas pelo sistema, pois a unidade USB precisa estar acessível durante a inicialização. Funcionará para unidades criptografadas que não sejam do sistema. Em seguida, primeiro desbloqueie a unidade USB com uma senha, depois clique para desbloquear a unidade criptografada e clique em [Carregar chave da estação USB].Desta forma, você criou um desbloqueio em duas etapas, exigindo uma senha e um arquivo de chave (leia-se unidade USB).A propósito, o RecoveryPassword (números) ignora tudo isso.

informação relacionada