我的笔记本电脑没有配备 TPM。我已启用绕过组策略以将 BitLocker 与 USB 拇指驱动器一起使用。
在某些情况下,我希望通过以下方式升级我的身份验证:添加PIN 码用于现有的加密系统驱动器。或者稍后删除 USB 拇指驱动器身份验证,而仅使用 PIN/密码。
我已经设置了组策略以允许这些设置,但我在 BitLocker 设置屏幕中找不到升级系统驱动器安全性的选项。相反,我的辅助驱动器可以使用它(系统启动时会自动解密)。
我想我可以解密整个驱动器并使用新设置重新加密。
我想问一下有没有更短的方法来实现这一点
答案1
好吧,经过一番思考之后,我得出了一个很有道理的答案。
如果有可能在没有 TPM 的情况下将 PIN 添加到使用 USB 密钥解锁的现有 Bitlocker 加密系统驱动器,则增加的安全性将完全等同于零. 唯一安全的程序是完全解密磁盘并使用更强的安全性重新加密
为什么不能通过 USB 供电加密完成此操作(反之亦然)?
BitLocker 使用对称加密。我没有详细介绍,但使用 PIN 或带有可以泄露加密密钥的密钥的拇指驱动器(从安全角度来看)等于假设驱动器或 PIN是钥匙。
因此,您已经拥有友好的设置,并且已经导出钥匙到 USB 驱动器或以 PIN/密码的形式记住。钥匙存在,并且钥匙可以解密磁盘。假设密钥被泄露。系统会要求输入额外的密码。但由于钥匙包含在拇指驱动器中,具有物理磁盘访问权限的攻击者仍然可以使用钥匙解密驱动器,因为对称钥匙是解密信息所需的全部信息。攻击者可以使用他控制的任何软件,不需要愚蠢的额外身份验证
为什么可以在 TPM 设置上完成此操作?
TPM 是另一种设备。钥匙或用于导出解密密钥的秘密信息存在于充当保险库的活动计算机系统范围内。如果您更改保险库的锁,保险库将拒绝在没有新身份验证的情况下打开。
操作系统控制(拥有)TPM 可以亲切地请求 TPM 不再发布密钥,除非提供额外的身份验证。使用 TPM 并且 BitLocker 生成的托管密钥除外,密钥永远不会被泄露。人们可以随意更改 PIN/密码,但仍然没有人拥有包含byte array
可用密钥的介质。