Насколько безопасен BitLocker без TPM, использующий SED?

tag-icon tag-icon security encryption sed bitlocker
Насколько безопасен BitLocker без TPM, использующий SED?

Я пытаюсь найти источник некоторой базовой информации о BitLocker. Допустим, у меня есть самошифрующийся диск (SED), например Samsung EVO, но нет TPM. Я включаю BitLocker. Есть два варианта:

  1. Только пароль
  2. Пароль и ключ на USB-накопителе

Мои, казалось бы, довольно простые вопросы:

  1. При выборе опции "только пароль" ключ представляет собой хэш пароля или хранится где-то в среде предзагрузочной аутентификации? Если хранится, то зашифрован ли он паролем?

  2. Если пароль и ключ на USB-накопителе, как защищен ключ? Он зашифрован паролем?

  3. Как ключ защищен во время работы машины? С SED ключ нужен только приводу для работы, но когда вы переводите машину в спящий режим, она забывает его, и ПК должен снова его предоставить. Windows снова запрашивает пароль/USB-накопитель или хранит ключ где-то в оперативной памяти?

На самом деле не совсем понятно, как защищен ключ, если у вас нет TPM. Действительно ли пароль безопасен? А если USB-ключ украдут вместе с ПК?

решение1

  1. (Пока пропустим этот вопрос.)
  2. Внешний файл ключа (*.bek) на USB-накопителе не защищен.Пароль не требуется.Файл *.bek разблокирует ключ, который фактически использовался для шифрования. Таким образом, вы можете удалить этот внешний ключевой файл из списка защитников диска и сгенерировать новый внешний ключевой файл, если он когда-либо будет утерян. (Повторное шифрование не требуется.) Пароль — это дополнительный протектор/ключ диска для разблокировки диска.Вы можете использовать пароль для разблокировки диска или USB-накопителя. Вам не нужны оба.
  3. Операционная система не будет запрашивать ключ снова после выхода из режима ожидания. Для выхода из спящего режима требуется USB-накопитель или пароль. (Извините, но не могу сказать, где на самом деле сохранен ключ; не могу найти правильный источник для проверки.)

Примечание: Шифрование USB-накопителя (хранение внешнего ключа запуска *.bek) не будет работать для системно-зашифрованных дисков, так как USB-накопитель должен быть доступен во время загрузки. Это будет работать для несистемно-зашифрованных дисков. Затем вы сначала разблокируете USB-накопитель с помощью пароля, затем нажимаете, чтобы разблокировать зашифрованный диск, и нажимаете [Загрузить ключ с USB-станции].Таким образом, вы фактически создали двухэтапную разблокировку, требующую ввода пароля и ключевого файла (читай USB-накопителя).Кстати, RecoveryPassword (цифры) обходит все это.

Связанный контент