我已经使用 Bitlocker 加密了我的外部硬盘,重新启动计算机后,我尝试打开该驱动器并收到以下消息:
比如说,如果我选择“从现在开始在这台计算机上自动解锁”,这是否意味着 Windows 会将我的密码存储在注册表的某个地方?
PS. 或者,微软是否足够聪明,只存储哈希值(最好是加盐的)?
答案1
我看到你也发布了同样的查询这里和这里,并已经收到了某种标准答复。无论如何,这是一个有趣的问题,以下是我发现的。作为Windows 7 中的 BitLocker 驱动器加密:常见问题解答页面状态,
固定数据驱动器的自动解锁要求操作系统驱动器也受 BitLocker 保护。如果您使用的计算机没有受 BitLocker 保护的操作系统驱动器,则无法自动解锁该驱动器。
当然,这并不适用于你,因为你正在使用BitLocker 随身携带加密可移动数据驱动器。对于您来说,以下内容是相关的:
在 Windows 7 中,您可以使用密码或智能卡解锁可移动数据驱动器。启动加密后,该驱动器还可以在特定计算机上为特定用户帐户自动解锁.系统管理员可以配置用户可以使用的选项,以及密码复杂性和最小长度要求。
还,
对于可移动数据驱动器,您可以通过在 Windows 资源管理器中右键单击驱动器并单击管理 BitLocker 来添加自动解锁。您仍然可以使用打开 BitLocker 时提供的密码或智能卡凭据在其他计算机上解锁可移动驱动器。
和
可移动数据驱动器可以设置为在运行 Windows 7 的计算机上自动解锁,在首次使用密码或智能卡解锁驱动器后即可。但是,除了自动解锁方法外,可移动数据驱动器还必须始终具有密码或智能卡解锁方法。
现在,我们知道如何为可移动数据驱动器配置自动解锁,以及如何在其他 PC 上解锁此类驱动器。但 BitLocker 使用的密钥是什么,它们存储在哪里?作为BitLocker 密钥部分使用 BitLocker 驱动器加密保护数据的关键文章指出:
[卷] 扇区本身使用称为全卷加密密钥 (FVEK)。但是,FVEK 不会被用户使用或访问。FVEK 又使用名为卷主密钥 (VMK)。这种抽象级别提供了一些独特的好处,但会使该过程更难理解。FVEK 被严格保密,因为如果它被泄露,则所有扇区都需要重新加密。由于这将是一项耗时的操作,因此您应该避免这样做。相反,系统使用 VMK。FVEK(使用 VMK 加密)存储在磁盘本身上,作为卷元数据的一部分。虽然 FVEK 存储在本地,但它永远不会以未加密的形式写入磁盘。VMK 也经过加密或“保护”,但由一个或多个可能的密钥保护程序保护。默认密钥保护程序是 TPM。
因此,VMK 再次由一个或多个密钥保护器加密。这些保护器可以是可信平台管理、密码、密钥文件、数据恢复代理证书、智能卡等。现在,当您选择为可移动数据驱动器启用自动解锁时,将创建以下自动解锁注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\FveAutoUnlock
接下来,将创建另一个类型为“外部密钥”的密钥保护器,并将其存储在该注册表位置:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\FveAutoUnlock\{GUID}
使用 CryptProtectData() 对要存储在注册表中的密钥和元数据进行加密数据处理应用程序接口使用当前用户的登录凭据和三重 DES(另一方面,加密卷上的实际数据是受保护128 位或 256 位高级加密标准 (AES)并可选择使用称为大象)。
外部密钥只能用于当前用户帐户和计算机。如果切换到其他用户帐户或计算机,FveAutoUnlock GUID 值会有所不同。
答案2
在 Windows 10 上,当您在 Bitlocker 管理中设置自动解锁时,使用打开它,control /name Microsoft.BitLockerDriveEncryption然后没有密钥
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\FveAutoUnlock
因为将密钥存储在那里意味着驱动器在登录后可用。相反,密钥存储在
Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FVEAutoUnlock
使其在启动后无需登录即可使用。
Windows 阻止从该密钥访问,因此即使是恶意软件也无法以管理员身份访问此位置。我认为您需要 SYSTEM 帐户的权限才能访问该位置。
