擦除 Bitlocker 驱动器密钥扇区

擦除 Bitlocker 驱动器密钥扇区

我有一个 4TB 的驱动器,从第一天起就使用 BitLocker 加密(通过密码),我想在出售二手驱动器之前将其擦除。这个过程看起来要通过 nwipe 花费 100 多个小时,但我想知道是否有关于 BitLocker 加密信息存储在哪些扇区的公开信息,这样我就可以擦除它们。据我所知,密码只是实际加密密钥的加密密钥,加密密钥存储在驱动器的某个位置。有人能参考一下这是否是一个正确的假设和/或哪些扇区保存了这些信息,这样我就可以擦除它们并出售驱动器吗?提前感谢任何帮助!

答案1

实际上有多个键。

用于加密的密钥,即全卷加密密钥 (FVEK),存储在受保护卷上的 BitLocker 元数据中。每个扇区均单独加密。

FVEK 使用另一个密钥(卷主密钥 (VMK))进行加密。VMK 的三个副本也存储在元数据中。

VMK 的每个副本都使用一个或多个外部提供的密钥/密码保护器进行加密,例如 TPM、PIN、用户密码、恢复密码、恢复密钥、启动密钥或智能卡。

如果不知道外部提供的密钥保护器,则无法使用 FVEK 或 VMK。因此,如果保护未暂停(使用明文密钥)或密码较弱,则此练习对您没有多大帮助。驱动器现在可能已损坏到无法在卷元数据中识别 FVEK 或 VMK 的程度。

您可以下载工具来验证元数据:

https://www.m3datarecovery.com/bitlocker-drive-data-recovery/how-to-decrypt-bitlocker-encrypted-drive.html

更多信息:

https://www.forensicswiki.org/wiki/BitLocker_Disk_Encryption

libbde-BitLocker 驱动器加密(BDE)格式规范:

https://github.com/libyal/libbde/blob/master/documentation/BitLocker%20Drive%20Encryption%20(BDE)%20format.asciidoc

请参阅第 4 节“卷头”。这包含 FVE 元数据块的起始位置。第 5 节包含 FVE 元数据块的格式。第 5.3 节包含 FVE 元数据类型。

BitLocker 卷标头:
BitLocker 卷标头

BitLocker FVE 元数据块标头:
BitLocker 元数据块标头

BitLocker FVE 元数据标头:
BitLocker FVE 元数据标头

相关内容