由此常问问题,我了解 BitLocker 使用以下密钥来加密硬盘:
- 全卷加密密钥 (FVEK)(用于加密原始数据;由卷主密钥加密并存储在磁盘上)
- 卷主密钥 (VMK)(由密钥保护器加密并存储在磁盘上)
- 密钥保护器 (KP)(TPM 或数字密码)
我不明白 VMK 提供什么安全价值。为什么不直接使用 KP 加密 FVEK?
无论如何,如果 KP 泄漏,仍然可以获得 FVEK 吗?
答案1
看看文章 BitLocker 驱动器加密技术概述。
这部分 BitLocker 体系结构BitLocker Architecture 包含一个漂亮的图表和以下文字:
图 1 显示了如何使用全卷加密密钥对受 BitLocker 保护的卷进行加密,而全卷加密密钥又使用卷主密钥进行加密。保护卷主密钥是一种间接保护卷上数据的方法:添加卷主密钥后,当信任链上游的密钥丢失或泄露时,系统可以轻松重新加密。这种重新加密系统的能力节省了再次解密和加密整个卷的费用。
这个想法是,所有身份验证机制都能够解密卷主密钥 (VMK),然后又可以解锁全卷加密密钥 (FVEK)。这意味着,如果任何单个身份验证部分被泄露,VMK 就可以被更改没有通过更改 VMK 并使用其重新加密 FVEK,重新加密磁盘上的所有数据。
BitLocker 本身不提供任何更改 FVEK 的功能,因为它需要解密并重新加密整个卷,但可以更改 VMK。