某公司的笔记本电脑位于域中,并已使用 Bitlocker 加密。当这台笔记本电脑的 SSD 被放入另一台笔记本电脑时,由于硬件发生变化,驱动器会被锁定。它通过提供密钥 ID 来请求解锁密钥。
这是原版笔记本电脑还是新笔记本电脑的解锁密钥?如果是原版笔记本电脑,是否意味着整个旧笔记本电脑都被加密,并且其 ID 存储在 SSD 上?如果 SSD 放在两台不同的笔记本电脑中,解密密钥是否仍然相同?
答案1
Bitlocker 加密驱动器的解密密钥是如何生成的?
主密钥是随机生成的,并且不会向用户显示。
如果您运行manage-bde -status
或manage-bde c: -protectors -get
,您会看到每个磁盘可以有多个所谓的“保护器”,每个保护器都保存着磁盘主密钥的副本。在大多数情况下,有两个:
- 第一份副本使用旧笔记本电脑的 TPM 芯片密封;
- 第二份副本使用随机生成的 48 位“恢复密码”进行加密,Windows 通常要求写下来或打印出来。
这是原装笔记本电脑的解锁钥匙还是新笔记本电脑的解锁钥匙?
都不是。这是一个备用密钥存储在 BitLocker 元数据本身中——它是随机生成的,与系统硬件没有任何关系。(事实上,重点恢复密钥——无论硬件发生什么变化,您都可以始终使用它。
如果是原装笔记本电脑,是否意味着整个旧笔记本电脑都将被加密并且其 ID 存储在 SSD 上?
“密钥 ID”与笔记本电脑或物理磁盘完全无关;它只是一个完全随机的 ID,充当数字解锁密码/恢复密钥的“名称”。(例如,如果您管理一个大型办公室并记下了 100 个恢复密钥,“密钥 ID”会让您知道哪台计算机需要哪个密钥。)
如果将 SSD 放在两台不同的笔记本电脑中,解密密钥还会相同吗?
是的 - 主密钥始终是相同的,并且所有非硬件保护器(密码、USB 记忆棒上的 .bek 密钥或数字恢复密钥)都将是相同的,除非您故意更改它们。
但是,BitLocker 只能存储一个 TPM 保护器,因此您只能在一台笔记本电脑上自动解锁。每次您将磁盘移动到新笔记本电脑时,它都会先要求您输入恢复密钥。