Saya telah mengenkripsi HDD eksternal saya dengan Bitlocker dan setelah me-reboot komputer saya mencoba membuka drive itu dan mendapatkan pesan ini:
Katakan, jika saya memilih untuk "Secara otomatis membuka kunci di komputer ini mulai sekarang", apakah ini berarti bahwa Windows akan menyimpan kata sandi saya di suatu tempat di dalam registri?
PS. Atau, apakah mereka cukup pintar di Microsoft untuk menyimpan hanya hash - lebih disukai asin?
Saya melihat Anda juga memposting pertanyaan yang sama di sini dan di sini , dan telah menerima semacam respons standar. Bagaimanapun, ini adalah pertanyaan yang menarik dan inilah yang saya temukan. Sebagai Enkripsi BitLocker Drive di Windows 7: Halaman Pertanyaan yang Sering Diajukan menyatakan,
Membuka kunci otomatis untuk drive data tetap mengharuskan drive sistem operasi juga dilindungi oleh BitLocker. Jika Anda menggunakan komputer yang tidak memiliki drive sistem operasi yang dilindungi BitLocker, drive tidak dapat dibuka secara otomatis.
Tentu saja, ini tidak berlaku untuk Anda karena Anda menggunakan BitLocker To Go untuk mengenkripsi drive data yang dapat dilepas. Untuk Anda, berikut ini relevan:
Di Windows 7, Anda dapat membuka kunci drive data yang dapat dilepas dengan menggunakan kata sandi atau kartu pintar. Setelah Anda memulai enkripsi, drive juga dapat dibuka secara otomatis di komputer tertentu untuk akun pengguna tertentu . Administrator sistem dapat mengonfigurasi opsi mana yang tersedia untuk pengguna, serta kompleksitas kata sandi dan persyaratan panjang minimum.
Juga,
Untuk drive data yang dapat dilepas, Anda dapat menambahkan membuka kunci otomatis dengan mengklik kanan drive di Windows Explorer dan mengklik Kelola BitLocker. Anda masih dapat menggunakan kredensial kata sandi atau kartu pintar yang Anda berikan ketika Anda mengaktifkan BitLocker untuk membuka kunci drive yang dapat dilepas di komputer lain.
dan
Drive data yang dapat dilepas dapat diatur untuk membuka kunci secara otomatis di komputer yang menjalankan Windows 7 setelah kata sandi atau kartu pintar pada awalnya digunakan untuk membuka kunci drive. Namun, drive data yang dapat dilepas harus selalu memiliki metode membuka kata sandi atau kartu pintar selain metode membuka kunci otomatis.
Jadi sekarang kita tahu bagaimana membuka kunci otomatis dapat dikonfigurasi untuk drive data yang dapat dilepas, dan bagaimana drive tersebut dapat dibuka pada PC lain juga. Tapi apa kunci yang digunakan BitLocker, dan di mana mereka disimpan? Seperti bagian BitLocker Keys dari Kunci untuk Melindungi Data dengan artikel Enkripsi BitLocker Drive :
Sektor [volume] sendiri dienkripsi menggunakan kunci yang disebut Kunci Enkripsi Volume Penuh (FVEK) . FVEK, bagaimanapun, tidak digunakan oleh atau diakses oleh pengguna. FVEK pada gilirannya dienkripsi dengan kunci yang disebut Volume Master Key (VMK). Level abstraksi ini memberikan beberapa manfaat unik, tetapi dapat membuat prosesnya sedikit lebih sulit untuk dipahami. FVEK disimpan sebagai rahasia yang dijaga ketat karena, jika ingin dikompromikan, semua sektor perlu dienkripsi ulang. Karena itu akan menjadi operasi yang memakan waktu, itu yang ingin Anda hindari. Sebagai gantinya, sistem bekerja dengan VMK. FVEK (dienkripsi dengan VMK) disimpan di disk itu sendiri, sebagai bagian dari metadata volume. Meskipun FVEK disimpan secara lokal, FVEK tidak pernah ditulis ke disk yang tidak dienkripsi. VMK juga dienkripsi, atau "dilindungi," tetapi oleh satu atau beberapa pelindung kunci yang mungkin. Pelindung tombol default adalah TPM.
Jadi VMK sekali lagi dienkripsi oleh satu atau lebih pelindung utama. Ini bisa berupa TPM , kata sandi, file kunci, sertifikat agen pemulihan data, kartu pintar, dll. Sekarang ketika Anda memilih untuk mengaktifkan pembukaan kunci otomatis untuk drive data yang dapat dilepas, kunci registri buka kunci otomatis berikut dibuat:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\FveAutoUnlock
Selanjutnya pelindung kunci lain dari tipe "Kunci Eksternal" dibuat dan disimpan di lokasi registri sebagai:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\FveAutoUnlock\{GUID}
Kunci dan metadata yang akan disimpan dalam registri dienkripsi menggunakan fungsi CryptProtectData () DPAPI menggunakan kredensial login pengguna saat ini dan Triple DES (OTOH data aktual pada volume terenkripsi dilindungi dengan 128-bit atau 256-bit AES dan opsional disebarkan menggunakan algoritma yang disebut Elephant ).
Kunci eksternal hanya dapat digunakan dengan akun pengguna dan mesin saat ini. Jika Anda beralih ke akun atau mesin pengguna lain, nilai-nilai GUID FveAutoUnlock berbeda.