我想使用 BitLocker 使用密码 ( manage-bde -protectors -add c: -pw) 加密系统分区,但如果我忘记密码,则可以(安全地)将密钥存储在其他地方。
我应该添加恢复密钥 ( -rk) 还是启动密钥 ( -sk)?
看来我可以在紧急情况下使用两者来访问数据。
我可以用恢复密钥做某些事情,而用启动密钥做不到,反之亦然?
答案1
2016-05:
我也对此感到疑惑,并进行了实验;以下是我目前所知道的:
这两个命令都会创建一个外部 *.BEK 密钥文件。
创建后
-StartupKey,-RecoveryKey它们在保护器概览中变得不可分割。(manage-bde C: -protectors -get)这会列出所有密钥并标记相关密钥。‘外部密钥’。只要你记住了{id},你就能分辨出区别。
我找不到任何可以验证有关此主题的主张/解释的来源,但是,部分答案可能会有所帮助/引发一个:
我怀疑这是一个遗留问题。早期版本的 Bitlocker 中引入了一个命令,后来对其进行了扩展。现在,将其称为 可能更有意义,(-)ExternalKey顺便说一句,-type如果您使用该-delete命令撤销驱动器的所有 Externalkeyfile 访问权限,您实际上可以使用它来定义。
相反,如果我们将固定(*)驱动器移动到另一个系统(或 Bitlocker 检测到系统完整性受损的变化),它显然可以要求为一个恢复密码。如果我们扩展语言,恢复密钥也能够解锁驱动器:
- 我可以确认 [从 USB 站加载密钥] 按钮适用于两种密钥类型。(多重引导、解锁其他操作系统的系统驱动器。)但是,Bitlocker 未处于可能由某些更改触发的“恢复模式”。
- 我可以确认您可以从 -RecoveryKey 启动系统。(可能很明显,但只是为了完整起见。)
那么剩下的问题是:如果触发了 Bitlocker 保护机制,Startupkey 还能解锁驱动器吗?
在这一点上,我认为如果您不能区分密钥 ID 和 *.bek 文件,那么这将是一个糟糕的设计。(*.sbek、*.rbek 不存在。)但是,我无法验证我的假设。尽管如此,我认为这些点提供了见解。
更新 2022-05:
这个答案(最初)来自 2016 年,适用于计算机没有可维护性维护 (TPM)。
延伸至2018 年的答案下面/上面提到的:
如果您在计算机上配置 BitLocker使用 TPM,对于带有保护程序-TPMAndStartupKey或-TPMAndPINAndStartupKey系统驱动器,其行为类似于多因素。要解锁系统驱动器,您需要所有因素。
然后,启动密钥和恢复密钥之间的区别就很明显了。恢复密钥将能够启动 Windows 驱动器,而无需 TPM 硬件或 PIN。启动密钥只包含解锁 Windows 分区的一半密钥,另一半密钥位于 TPM 内。
因此,如果您将驱动器移动到其他硬件并想要从该硬件启动,则新的 TPM 将没有所需的密钥,您需要恢复密钥(或恢复密码)才能解锁。
如果您想将驱动器(作为数据驱动器)安装在同一硬件上(例如多启动),则不能使用 TPM 和启动密钥来执行此操作。您不能直接使用 TPM+factors 锁定或解锁数据驱动器。(只能通过使用-Certificate保护器并在 TPM 内配置智能卡。)因此,如果您想在另一个 Windows 中解锁 Windows 驱动器,则需要恢复密钥(或恢复密码)。
答案2
根据文档,一个区别是:
- 如果 PC 配置为通常使用 TPM 执行测量启动,则它将在以下情况下执行测量启动:启动键被使用,但是不是当恢复密钥用来。 所以恢复密钥只能作为最后的手段。
如果我发现任何差异,我会更新这个答案并补充更多差异。
答案3
据我了解,sk 将被保存在可移动媒体上,并且每次启动机器时您都需要此媒体存在。
另一种选择是使用 PIN。如果您使用了 PIN,但忘记了,您可以参考相关 rk 访问您的机器,该 rk 会安全地存储在其他地方。
PIN 码会更方便,除非您很难记住它。
答案4
扩展用户 11574 的答案......
此外,如果manage-bde -on同时使用-rk和-sk选项运行:
manage-bde -on c: -rk "d:\keys" -sk d: -used -em xts_aes128 -rvsc
笔记:不建议将恢复密钥和启动密钥保存到同一驱动器(见下文)
然后它们都被添加为“外部密钥”保护器:
Key Protectors Added:
Saved to directory d:\keys
External Key:
ID: {RK000000-0000-0000-0000-000000000000}
External Key File Name:
RK000000-0000-0000-0000-000000000000.BEK
Saved to directory d:
External Key:
ID: {SK000000-0000-0000-0000-000000000000}
External Key File Name:
SK000000-0000-0000-0000-000000000000.BEK
TPM:
ID: {TPM00000-0000-0000-0000-000000000000}
PCR Validation Profile:
7, 11
(Uses Secure Boot for integrity validation)
这也可以通过以下方式确认manage-bde -status:
Size: 715.00 GB
BitLocker Version: 2.0
Conversion Status: Fully Decrypted
Percentage Encrypted: 0.0%
Encryption Method: XTS-AES 128
Protection Status: Protection Off
Lock Status: Unlocked
Identification Field: Unknown
Key Protectors:
External Key
External Key
TPM
因此,无论如何,在这个层面上,Bitlocker 似乎没有区分恢复密钥和启动密钥。manage-bde -on -h甚至表明它们是可以互换的:
-RecoveryKey or -rk
Adds an External Key protector for recovery. Optional. Provide
the absolute directory path where the file containing the
randomly-generated external key will be saved. Example: "E:"
-StartupKey or -sk
Adds an External Key protector for startup. Required if the
computer does not have a supported TPM and one has not already
been added. To use a startup key, the saved external key file
must be located on the root directory of a USB flash drive.
Since both the -RecoveryKey and -StartupKey parameters produce
External Key protectors, the saved files can be used
interchangeably.
manage-bde -protectors -get -h赞同这个观点:
-SaveExternalKey or -sek
Provide the absolute directory path to save file(s) containing
displayed external key(s). These external key files may be
used as startup or recovery keys.
虽然这在技术上是可行的,但最好不要使用一个 USB 闪存盘来存储两个密钥。如果包含启动密钥的 USB 闪存盘丢失或被盗,您也将失去对恢复密钥的访问权限。此外,插入此密钥会导致您的计算机自动从恢复密钥启动,即使 TPM 测量的文件已发生更改,这也会绕过 TPM 的系统完整性检查。
不过我相信,在这种特殊情况下,所谓的“恢复密钥”实际上是一个“数字密码”,它可以从控制面板(作为。TXT文件)或manage-bde:
manage-bde -protectors -get c:
Numerical Password:
ID: {NP000000-0000-0000-0000-000000000000}
Password:
000000-000000-000000-000000-000000-000000-000000-000000