Bitlocker 加密驱动器的解密密钥是如何生成的?

Bitlocker 加密驱动器的解密密钥是如何生成的?

某公司的笔记本电脑位于域中,并已使用 Bitlocker 加密。当这台笔记本电脑的 SSD 被放入另一台笔记本电脑时,由于硬件发生变化,驱动器会被锁定。它通过提供密钥 ID 来请求解锁密钥。

这是原版笔记本电脑还是新笔记本电脑的解锁密钥?如果是原版笔记本电脑,是否意味着整个旧笔记本电脑都被加密,并且其 ID 存储在 SSD 上?如果 SSD 放在两台不同的笔记本电脑中,解密密钥是否仍然相同?

答案1

Bitlocker 加密驱动器的解密密钥是如何生成的?

主密钥是随机生成的,并且不会向用户显示。

如果您运行manage-bde -statusmanage-bde c: -protectors -get,您会看到每个磁盘可以有多个所谓的“保护器”,每个保护器都保存着磁盘主密钥的副本。在大多数情况下,有两个:

  1. 第一份副本使用旧笔记本电脑的 TPM 芯片密封;
  2. 第二份副本使用随机生成的 48 位“恢复密码”进行加密,Windows 通常要求写下来或打印出来。

这是原装笔记本电脑的解锁钥匙还是新笔记本电脑的解锁钥匙?

都不是。这是一个备用密钥存储在 BitLocker 元数据本身中——它是随机生成的,与系统硬件没有任何关系。(事实上,重点恢复密钥——无论硬件发生什么变化,您都可以始终使用它。

如果是原装笔记本电脑,是否意味着整个旧笔记本电脑都将被加密并且其 ID 存储在 SSD 上?

“密钥 ID”与笔记本电脑或物理磁盘完全无关;它只是一个完全随机的 ID,充当数字解锁密码/恢复密钥的“名称”。(例如,如果您管理一个大型办公室并记下了 100 个恢复密钥,“密钥 ID”会让您知道哪台计算机需要哪个密钥。)

如果将 SSD 放在两台不同的笔记本电脑中,解密密钥还会相同吗?

是的 - 主密钥始终是相同的,并且所有非硬件保护器(密码、USB 记忆棒上的 .bek 密钥或数字恢复密钥)都将是相同的,除非您故意更改它们。

但是,BitLocker 只能存储一个 TPM 保护器,因此您只能在一台笔记本电脑上自动解锁。每次您将磁盘移动到新笔记本电脑时,它都会先要求您输入恢复密钥。

答案2

您可以像在旧计算机上一样在新计算机上解密 Bitlocker 磁盘:

  • 将 BitLocker 加密的驱动器插入另一台 Windows 10 计算机时,桌面右下角会出现一条消息:

    在此处输入图片描述

  • 单击此消息显示密码对话框,您可以用它解锁驱动器:

    在此处输入图片描述

  • 如果您忘记/丢失了解锁此驱动器的密码,请单击“更多选项”,然后单击“输入恢复密钥”,然后输入 48 位恢复密钥来解锁此驱动器。

如果您没有上述两个密钥中的任何一个,情况就会变得复杂或不可能。

相关内容