我正在尝试寻找有关 BitLocker 的一些基本信息的来源。假设我有一个像三星 EVO 这样的自加密驱动器 (SED),但没有 TPM。我启用了 BitLocker。有两个选项:
- 仅限密码
- USB 驱动器上的密码和密钥
我的看似很基本的问题是:
使用“仅密码”选项时,密钥是密码的哈希值还是存储在预启动身份验证环境中的某个位置?如果存储了,是否使用密码加密?
USB 驱动器上有密码和密钥,密钥如何保护?是否使用密码加密?
机器运行时如何保护密钥?使用 SED 时,只有驱动器需要密钥才能运行,但当您让机器休眠时,它会忘记密钥,PC 必须再次提供密钥。Windows 会再次提示您输入密码/USB 驱动器,还是将密钥存储在 RAM 的某个地方?
如果没有 TPM,密钥如何得到保护真的不清楚。密码真的安全吗?如果 USB 密钥和 PC 一起被盗怎么办?
答案1
- (暂时跳过此问题。)
- USB 驱动器上的外部密钥文件 (*.bek) 不受保护。它不需要密码。*.bek 文件可解锁实际用于加密的密钥。因此,您可以从驱动器的保护器列表中删除此外部密钥文件,并在丢失时生成新的外部密钥文件。(无需重新加密。)密码是驱动器的附加保护器/密钥,用于解锁驱动器。您可以使用密码来解锁驱动器或 USB 驱动器。您不需要两者。
- 从待机模式唤醒后,操作系统不会再次要求输入密钥。从休眠状态唤醒需要 USB 驱动器或密码。(抱歉,省略了有关密钥实际保存位置的任何声明;找不到正确的来源进行验证。)
边注: 加密 USB 驱动器(保存启动外部密钥 *.bek)不适用于系统加密驱动器,因为 USB 驱动器需要在启动期间可访问。它适用于非系统加密驱动器。然后,您首先使用密码解锁 USB 驱动器,然后单击解锁加密驱动器,然后单击 [从 USB 站加载密钥]。通过这种方式,您实际上创建了需要密码和密钥文件(读取 USB 驱动器)的两步解锁。RecoveryPassword(数字)可以完全绕过这一步。