暂停保持数据加密,但使用明文密钥加密 BitLocker 卷主密钥。明文密钥是存储在磁盘驱动器上未加密且未受保护的加密密钥。通过以未加密方式存储此密钥,暂停此选项允许对计算机进行更改或升级,而无需花费时间和成本来解密和重新加密整个驱动器。在进行更改并再次启用 BitLocker 后,BitLocker 将重新封装加密密钥,以适应作为升级的一部分而更改的测量组件的新值,卷主密钥将被更改,保护器将更新以匹配,并且清除密钥将被擦除。”
我的问题是关于最后一部分。有人知道清除键是如何“擦除”的吗?
它是否只是从文件系统中删除,但在驱动器上物理上保持完整?(这意味着它可以被数据恢复应用程序恢复?)
或者它也以某种方式被覆盖/销毁/变得无用?
基本上,我正在考虑在 SSD 上的 OS 驱动器上启用 Bitlocker。但我担心小偷或攻击者只需在驱动器上运行数据恢复应用程序,然后可能恢复过去暂停后留下的有效清除密钥。
答案1
Bitlocker 密钥存储在三个位置,它们在磁盘上的位置不会改变。一旦删除清除密钥,包含剩余密钥(恢复密钥、TPM 等)的数据集就会缩小(其余部分用 00 填充)并写入同一位置。
此外,这三个数据集在数据初始加密时会定期更新,因为加密数据结束和未加密数据开始的当前位置也记录在这 64k 数据中。
如果相关设备采用了磨损均衡技术,或者您能够恢复之前写入固定位置(此后被覆盖)的数据,那么理论上您可以找回清除密钥。(稀疏的)文档没有提到任何特殊规定,以确保数据被多次覆盖或保存在闪存盘上的同一扇区中。最早的 Bitlocker 实现早于闪存盘的广泛使用,因此这也不是一个问题。
尽管如此,对于一般的窃贼来说,恢复已被覆盖的数据并非易事,因为这需要专门的工具(以及拆卸磁盘)。在闪存驱动器上,在磨损均衡的备用扇区之一中找到清除密钥的可能性在理论上是存在的(尤其是因为它被发现了 3 次),但根据时间的流逝,这种可能性可能非常渺茫。
答案2
当您暂停 Bitlocker 时,清除密钥会存储在元数据中。驱动器的元数据已预先分配给驱动器上的特定扇区,并不直接位于您的卷中。在暂停阶段,清除密钥会与其他几种类型的密钥/质询(如果存在 TPM)结合使用。
在 SSD 上,当扇区不包含任何数据时,如果启用了该功能,这些扇区将被 TRIM 自动擦除,大多数较新的 SSD 上都有此功能。
暂停后,密钥不会保持完整,因为这些密钥占用的元数据会从 SSD 中删除。
从扇区中检索已擦除的元数据文件以重建 256 位清除密钥是一项艰巨的工作,即使对于经验丰富的专业人士来说也是如此,而且我从未遇到过有能力从 SSD 中做到这一点的人。如果它在硬盘上,则恢复的可能性会更高。即便如此,也不是每个人都能做到。
答案3
它是否只是从文件系统中删除,但在驱动器上物理上保持完整?(这意味着它可以被数据恢复应用程序恢复?)
密钥首先不作为文件存储(甚至不存储在文件系统中的任何其他地方;它存储在它之前的 BitLocker 卷标头中),因此不存在“文件名→数据”间接性和通常的快捷方式“删除文件时,其数据块保留”不适用相反,当头部改变时,直接覆盖相应的扇区是如何总是会发生变化。
在操作系统看来,逻辑扇区是磁盘外部可访问的最低抽象层 - 它“直接”保存数据,一旦被覆盖,就再也回不来了;即使是数据恢复程序也无法查看其先前的内容。(它们的工作限制与任何其他软件相同。)
该部门的旧内容可能仍然身体上存在于磁盘的某个地方(如果它是 SSD 或 SMR HDD,它们确实会存在,它们都使用固件级转换层在每次写入时将相同的逻辑扇区重新映射到不同的物理扇区),但访问它们至少需要对磁盘固件有专门的知识;没有标准命令来获取扇区的“先前版本”。
也就是说,恢复专家可能能够提取一些“被覆盖”的扇区 - 并会相应地向您收取费用 - 但这通常不是仅通过在同一操作系统内运行程序即可完成的事情。
(在 CMR HDD 上覆盖数据更简单;逻辑扇区每次都对应于磁盘上的相同物理区域。一旦某些内容被覆盖,它实际上就消失了;早期数据可能留下一些磁化痕迹,但据我所知,由于密度不断增加,在很多 GB 之前就无法恢复它了——甚至普通的从 HDD 读取的数据必须经过大量信号处理才能解密。