我正在嘗試查找有關 BitLocker 的一些基本資訊的來源。假設我有一個像 Samsung EVO 這樣的自加密磁碟機 (SED),但沒有 TPM。我啟用 BitLocker。有兩種選擇:
- 僅密碼
- USB 隨身碟上的密碼和金鑰
我看似非常基本的問題是:
使用「僅密碼」選項時,金鑰是密碼的雜湊值還是儲存在預啟動驗證環境中的某個位置?如果有儲存的話,是用密碼加密的嗎?
USB 隨身碟上有密碼和金鑰,如何保護金鑰?是用密碼加密的嗎?
機器運作時如何保護金鑰?使用 SED,只有驅動器需要密鑰才能運行,但是當您使機器休眠時,它會忘記密鑰,而 PC 必須再次提供密鑰。 Windows 是否再次提示您輸入密碼/USB 驅動器,或者是否將金鑰儲存在 RAM 中的某個位置?
如果沒有 TPM,確實不清楚如何保護金鑰。密碼真的安全嗎?如果 USB 金鑰與 PC 一起被盜怎麼辦?
答案1
- (暫時跳過這個問題。)
- USB 隨身碟上的外部金鑰檔案 (*.bek) 不受保護。它不需要密碼。*.bek 檔案解鎖實際用於加密的金鑰。因此,您可以從磁碟機的保護程式清單中刪除此外部金鑰文件,並在遺失時產生新的外部金鑰檔案。 (不需要重新加密。)密碼是磁碟機的附加保護器/金鑰,用於解鎖磁碟機。您可以使用密碼解鎖磁碟機或 USB 隨身碟。您不需要兩者。
- 從待機模式喚醒後,作業系統不會再次要求金鑰。從休眠狀態喚醒需要 USB 隨身碟或密碼。 (抱歉,省略了有關密鑰實際保存位置的任何聲明;無法找到正確的來源進行驗證。)
邊註: 加密 USB 隨身碟(儲存 StartUp 外部金鑰 *.bek)不適用於系統加密磁碟機,因為 USB 磁碟機需要在啟動過程中存取。它將適用於非系統加密磁碟機。然後,您首先使用密碼解鎖 USB 驅動器,然後點擊解鎖加密的驅動器,然後點擊[從 USB-station 載入金鑰]。透過這種方式,您實際上創建了需要密碼和密鑰檔案(讀取 USB 驅動器)的兩步解鎖。順便說一下,RecoveryPassword(數字)繞過了這一切。