ฉันเข้ารหัส HDD ภายนอกของฉันด้วย Bitlocker และหลังจากรีบูตเครื่องคอมพิวเตอร์ฉันพยายามเปิดไดรฟ์นั้นและได้รับข้อความนี้:
ถ้าหากฉันเลือกที่จะ "ปลดล็อกโดยอัตโนมัติบนคอมพิวเตอร์เครื่องนี้นับจากนี้" หมายความว่า Windows จะเก็บรหัสผ่านของฉันไว้ที่ใดที่หนึ่งในรีจิสทรีหรือไม่
PS หรือพวกเขาฉลาดพอที่ Microsoft จะเก็บเฉพาะแฮช - ควรเป็นเกลือหรือไม่
คำตอบ:
ฉันเห็นว่าคุณโพสต์ข้อความค้นหาเดียวกันที่นี่และที่นี่และได้รับการตอบกลับมาตรฐานบางประเภทแล้ว อย่างไรก็ตามมันเป็นคำถามที่น่าสนใจและนี่คือสิ่งที่ฉันพบ ในฐานะที่เป็นการเข้ารหัสลับไดรฟ์ด้วย BitLocker ใน Windows 7: คำถามที่พบบ่อยรัฐหน้า
การปลดล็อกอัตโนมัติสำหรับไดรฟ์ข้อมูลคงที่นั้นต้องการให้ไดรฟ์ระบบปฏิบัติการได้รับการปกป้องด้วย BitLocker หากคุณใช้คอมพิวเตอร์ที่ไม่มีไดรฟ์ระบบปฏิบัติการที่มีการป้องกันด้วย BitLocker ไดรฟ์จะไม่สามารถปลดล็อกได้โดยอัตโนมัติ
แน่นอนว่าสิ่งนี้ไม่ได้มีผลกับคุณเมื่อคุณใช้BitLocker To Goเพื่อเข้ารหัสไดรฟ์ข้อมูลแบบถอดได้ สำหรับคุณต่อไปนี้เกี่ยวข้องกับ:
ใน Windows 7 คุณสามารถปลดล็อกไดรฟ์ข้อมูลที่ถอดออกได้โดยใช้รหัสผ่านหรือสมาร์ทการ์ด หลังจากที่คุณเริ่มการเข้ารหัสไดรฟ์สามารถปลดล็อคโดยอัตโนมัติในคอมพิวเตอร์เฉพาะสำหรับบัญชีผู้ใช้ที่ระบุ ผู้ดูแลระบบสามารถกำหนดค่าตัวเลือกที่พร้อมใช้งานสำหรับผู้ใช้รวมถึงความซับซ้อนของรหัสผ่านและข้อกำหนดความยาวขั้นต่ำ
นอกจากนี้
สำหรับไดรฟ์ข้อมูลแบบถอดได้คุณสามารถเพิ่มการปลดล็อกอัตโนมัติโดยคลิกขวาที่ไดรฟ์ใน Windows Explorer และคลิกจัดการ BitLocker คุณจะยังสามารถใช้รหัสผ่านหรือข้อมูลรับรองสมาร์ทการ์ดที่คุณให้ไว้เมื่อคุณเปิด BitLocker เพื่อปลดล็อกไดรฟ์ที่ถอดออกได้ในคอมพิวเตอร์เครื่องอื่น
และ
ไดรฟ์ข้อมูลแบบถอดได้สามารถตั้งค่าให้ปลดล็อคโดยอัตโนมัติในคอมพิวเตอร์ที่ใช้ Windows 7 หลังจากรหัสผ่านหรือสมาร์ทการ์ดถูกใช้เพื่อปลดล็อกไดรฟ์ อย่างไรก็ตามไดรฟ์ข้อมูลแบบถอดได้ต้องมีรหัสผ่านหรือวิธีปลดล็อคสมาร์ทการ์ดเสมอนอกเหนือจากวิธีการปลดล็อกอัตโนมัติ
ตอนนี้เรารู้แล้วว่าสามารถกำหนดค่าการปลดล็อกอัตโนมัติสำหรับไดรฟ์ข้อมูลแบบถอดได้ได้อย่างไรและสามารถปลดล็อกไดรฟ์ดังกล่าวบนพีซีเครื่องอื่นได้อย่างไร แต่คีย์ของ BitLocker ใช้คืออะไรและเก็บไว้ที่ไหน ในฐานะส่วนของBitLocker Keysของคีย์เพื่อปกป้องข้อมูลด้วยสถานะการเข้ารหัสลับไดรฟ์ด้วย BitLocker
ภาค [ไดรฟ์] ตัวเองถูกเข้ารหัสโดยใช้คีย์ที่เรียกว่าเต็มปริมาณการเข้ารหัส (Key FVEK) อย่างไรก็ตามผู้ใช้ FVEK ไม่สามารถใช้งานหรือเข้าถึงได้ FVEK ถูกเข้ารหัสด้วยคีย์ที่เรียกว่าVolume Master Key (VMK). ระดับของสิ่งที่เป็นนามธรรมให้ประโยชน์ที่ไม่เหมือนใคร แต่สามารถทำให้กระบวนการเข้าใจยากขึ้นเล็กน้อย FVEK ถูกเก็บเป็นความลับที่ได้รับการปกป้องอย่างใกล้ชิดเพราะหากจะต้องถูกบุกรุกภาคส่วนทั้งหมดจะต้องได้รับการเข้ารหัสอีกครั้ง เนื่องจากเป็นการดำเนินการที่ใช้เวลานานจึงเป็นสิ่งที่คุณต้องการหลีกเลี่ยง ระบบจะทำงานกับ VMK แทน FVEK (เข้ารหัสด้วย VMK) จะถูกเก็บไว้ในดิสก์ซึ่งเป็นส่วนหนึ่งของข้อมูลเมตาของไดรฟ์ข้อมูล แม้ว่า FVEK จะถูกจัดเก็บไว้ในเครื่อง แต่ก็ไม่เคยถูกเขียนลงดิสก์ที่ไม่ได้เข้ารหัส VMK นั้นยังถูกเข้ารหัสหรือ "ได้รับการป้องกัน" แต่โดยตัวป้องกันคีย์ที่เป็นไปได้ ตัวป้องกันคีย์เริ่มต้นคือ TPM
ดังนั้น VMK จะถูกเข้ารหัสอีกครั้งโดยหนึ่งหรือมากกว่าหนึ่งตัวป้องกันที่สำคัญ สิ่งเหล่านี้อาจเป็นTPMรหัสผ่านไฟล์คีย์ใบรับรองตัวแทนการกู้คืนข้อมูลสมาร์ทการ์ด ฯลฯ ตอนนี้เมื่อคุณเลือกที่จะเปิดใช้งานการปลดล็อกอัตโนมัติสำหรับไดรฟ์ข้อมูลที่ถอดออกได้คีย์รีจิสทรีปลดล็อกอัตโนมัติจะถูกสร้างขึ้น
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\FveAutoUnlock
ถัดไปยังตัวป้องกันคีย์อื่นของประเภท "External Key" ถูกสร้างและจัดเก็บในตำแหน่งรีจิสตรีดังต่อไปนี้:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\FveAutoUnlock\{GUID}
คีย์และข้อมูลเมตาที่จะจัดเก็บไว้ในรีจิสตรีได้รับการเข้ารหัสโดยใช้ฟังก์ชัน CryptProtectData () DPAPIโดยใช้ข้อมูลรับรองการเข้าสู่ระบบของผู้ใช้ปัจจุบันและTriple DES (OTOH) ข้อมูลจริงบนไดรฟ์ข้อมูลเข้ารหัสได้รับการป้องกันด้วยAES 128 บิตหรือ 256 บิตและ เลือกกระจายโดยใช้อัลกอริทึมที่เรียกว่าช้าง )
คีย์ภายนอกสามารถใช้ได้กับบัญชีผู้ใช้ปัจจุบันและเครื่องเท่านั้น หากคุณเปลี่ยนไปใช้บัญชีผู้ใช้หรือเครื่องอื่นค่า FveAutoUnlock GUID จะแตกต่างกัน