Windows Bitlocker dan keamanan membuka kunci kata sandi otomatis

19

Saya telah mengenkripsi HDD eksternal saya dengan Bitlocker dan setelah me-reboot komputer saya mencoba membuka drive itu dan mendapatkan pesan ini:

masukkan deskripsi gambar di sini

Katakan, jika saya memilih untuk "Secara otomatis membuka kunci di komputer ini mulai sekarang", apakah ini berarti bahwa Windows akan menyimpan kata sandi saya di suatu tempat di dalam registri?

PS. Atau, apakah mereka cukup pintar di Microsoft untuk menyimpan hanya hash - lebih disukai asin?

ahmd1
sumber

Jawaban:

24

Saya melihat Anda juga memposting pertanyaan yang sama di sini dan di sini , dan telah menerima semacam respons standar. Bagaimanapun, ini adalah pertanyaan yang menarik dan inilah yang saya temukan. Sebagai Enkripsi BitLocker Drive di Windows 7: Halaman Pertanyaan yang Sering Diajukan menyatakan,

Membuka kunci otomatis untuk drive data tetap mengharuskan drive sistem operasi juga dilindungi oleh BitLocker. Jika Anda menggunakan komputer yang tidak memiliki drive sistem operasi yang dilindungi BitLocker, drive tidak dapat dibuka secara otomatis.

Tentu saja, ini tidak berlaku untuk Anda karena Anda menggunakan BitLocker To Go untuk mengenkripsi drive data yang dapat dilepas. Untuk Anda, berikut ini relevan:

Di Windows 7, Anda dapat membuka kunci drive data yang dapat dilepas dengan menggunakan kata sandi atau kartu pintar. Setelah Anda memulai enkripsi, drive juga dapat dibuka secara otomatis di komputer tertentu untuk akun pengguna tertentu . Administrator sistem dapat mengonfigurasi opsi mana yang tersedia untuk pengguna, serta kompleksitas kata sandi dan persyaratan panjang minimum.

Juga,

Untuk drive data yang dapat dilepas, Anda dapat menambahkan membuka kunci otomatis dengan mengklik kanan drive di Windows Explorer dan mengklik Kelola BitLocker. Anda masih dapat menggunakan kredensial kata sandi atau kartu pintar yang Anda berikan ketika Anda mengaktifkan BitLocker untuk membuka kunci drive yang dapat dilepas di komputer lain.

dan

Drive data yang dapat dilepas dapat diatur untuk membuka kunci secara otomatis di komputer yang menjalankan Windows 7 setelah kata sandi atau kartu pintar pada awalnya digunakan untuk membuka kunci drive. Namun, drive data yang dapat dilepas harus selalu memiliki metode membuka kata sandi atau kartu pintar selain metode membuka kunci otomatis.

Jadi sekarang kita tahu bagaimana membuka kunci otomatis dapat dikonfigurasi untuk drive data yang dapat dilepas, dan bagaimana drive tersebut dapat dibuka pada PC lain juga. Tapi apa kunci yang digunakan BitLocker, dan di mana mereka disimpan? Seperti bagian BitLocker Keys dari Kunci untuk Melindungi Data dengan artikel Enkripsi BitLocker Drive :

Sektor [volume] sendiri dienkripsi menggunakan kunci yang disebut Kunci Enkripsi Volume Penuh (FVEK) . FVEK, bagaimanapun, tidak digunakan oleh atau diakses oleh pengguna. FVEK pada gilirannya dienkripsi dengan kunci yang disebut Volume Master Key (VMK). Level abstraksi ini memberikan beberapa manfaat unik, tetapi dapat membuat prosesnya sedikit lebih sulit untuk dipahami. FVEK disimpan sebagai rahasia yang dijaga ketat karena, jika ingin dikompromikan, semua sektor perlu dienkripsi ulang. Karena itu akan menjadi operasi yang memakan waktu, itu yang ingin Anda hindari. Sebagai gantinya, sistem bekerja dengan VMK. FVEK (dienkripsi dengan VMK) disimpan di disk itu sendiri, sebagai bagian dari metadata volume. Meskipun FVEK disimpan secara lokal, FVEK tidak pernah ditulis ke disk yang tidak dienkripsi. VMK juga dienkripsi, atau "dilindungi," tetapi oleh satu atau beberapa pelindung kunci yang mungkin. Pelindung tombol default adalah TPM.

Jadi VMK sekali lagi dienkripsi oleh satu atau lebih pelindung utama. Ini bisa berupa TPM , kata sandi, file kunci, sertifikat agen pemulihan data, kartu pintar, dll. Sekarang ketika Anda memilih untuk mengaktifkan pembukaan kunci otomatis untuk drive data yang dapat dilepas, kunci registri buka kunci otomatis berikut dibuat:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\FveAutoUnlock

Selanjutnya pelindung kunci lain dari tipe "Kunci Eksternal" dibuat dan disimpan di lokasi registri sebagai:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\FveAutoUnlock\{GUID}

1

Kunci dan metadata yang akan disimpan dalam registri dienkripsi menggunakan fungsi CryptProtectData () DPAPI menggunakan kredensial login pengguna saat ini dan Triple DES (OTOH data aktual pada volume terenkripsi dilindungi dengan 128-bit atau 256-bit AES dan opsional disebarkan menggunakan algoritma yang disebut Elephant ).

Kunci eksternal hanya dapat digunakan dengan akun pengguna dan mesin saat ini. Jika Anda beralih ke akun atau mesin pengguna lain, nilai-nilai GUID FveAutoUnlock berbeda.

Karan
sumber
Saya menghargai riset Anda, teman saya! Tidak seperti jawaban BS yang saya dapatkan dari forum Microsoft, jawaban Anda memberi saya harapan --- bahwa kata sandi tidak dapat dengan mudah dikembalikan ke bentuk teks setelah disimpan. Terima kasih lagi ...
ahmd1
Sama-sama, dan saya ingin tahu jawabannya sendiri. Keamanan yang disediakan harus cukup untuk menjaga data Anda aman dari mata kebanyakan pengguna. Tentu saja, jika Anda seorang agen rahasia, Anda mungkin harus mencari metode yang lebih tahan peluru untuk menjaga keamanan data Anda. Kemudian lagi, jika Anda seorang mata-mata Anda akan memiliki hal-hal yang lebih penting untuk dikhawatirkan, seperti bagaimana membuat diri Anda tahan peluru. ;-)
Karan
Karan, jika Anda mendapat kesempatan, apakah Anda dapat melihat posting ServerFault yang telah saya posting di: serverfault.com/questions/520356/… . Pertanyaan saya sepertinya perpanjangan dari jawaban Anda (menggunakan DPAPI untuk secara otomatis membuka kunci BitLocker TETAP, tidak dapat dilepas, volume). Masukan Anda akan sangat dihargai!
bigmac