假设我在使用 BitLocker、TrueCrypt 或 VeraCrypt 加密的分区上有 1 TB 的数据。
更改加密密码是否意味着重写所有数据(即是否需要数小时/数天)?
答案1
不会。您的密码仅用于加密主密钥。当您更改密码时,主密钥会重新加密,但其本身不会改变。
(这就是某些系统(例如 BitLocker 或 LUKS)能够为同一个磁盘设置多个密码的原因:它们仍然对所有数据使用单个主密钥,但只存储使用不同密码加密的主密钥的多个副本。)
答案2
Grawity 的回答是正确的。由于加密数据是一个相对昂贵的过程,因此创建一个在加密数据生命周期内不会改变的单一主密钥更有意义。然后,这个主密钥可以由一个或多个二级密钥加密,然后可以随意灵活地更改。
例如,BitLocker 实现如下(它实际上使用了三“层”密钥):
- 写入受 BitLocker 保护的卷的数据使用全卷加密密钥(FVEK)。此密钥不会更改,直到 BitLocker完全地从卷中移除。
- FVEK 使用以下方式加密卷主密钥(VMK)然后以加密形式存储在卷的元数据中。
- VMK 又使用一个或多个密钥保护器,例如 PIN/密码。
下图显示了在启用BitLocker全卷加密的机器上访问加密系统磁盘的过程:
有关此过程的更多信息,请访问科技网。