带有 TPM 的 BitLocker:如何用字母数字密码恢复密钥保护器替换数字密码恢复密钥保护器?

带有 TPM 的 BitLocker:如何用字母数字密码恢复密钥保护器替换数字密码恢复密钥保护器?
C:\Windows\system32>manage-bde -status
BitLocker Drive Encryption: Configuration Tool version 10.0.17763
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Disk volumes that can be protected with
BitLocker Drive Encryption:
Volume C: [OS]
[OS Volume]

Size:                 77.62 GB
BitLocker Version:    2.0
Conversion Status:    Fully Encrypted
Percentage Encrypted: 100.0%
Encryption Method:    XTS-AES 128
Protection Status:    Protection On
Lock Status:          Unlocked
Identification Field: Unknown
Key Protectors:
    TPM
    Numerical Password


C:\Windows\system32>

我可以用字母数字密码保护器替换数字密码密钥保护器吗,因为它们更安全(所有字符而不是仅有数字 0-9 的排列可能性更大)?

答案1

无需将密码恢复密钥替换为字母数字密钥。也没有任何设置,因为它不是可以用字母数字密钥替换的形式。

  • 如果密码恢复密钥是 48 位数字,则其熵值为 log₂(10⁴⁸) ≈ 159 位。但实际上,其熵值为 8 组,每组 16 位(8 个值,介于 0 和 65,535 之间),即 128 位。这相当于由大小写字母和数字组成的 21 个字符的字母数字随机密码,其熵值为 log₂((26+26+10)²¹) ≈ 125 位;22 个字符的熵值为 131 位。

  • Encryption Method: XTS-AES 128. 无论如何,超过 128 位就不会添加任何内容。

答案2

数字密码是“恢复”密码。从理论上讲,恢复密钥更安全。例如,我相信联邦政府公共部门不允许使用恢复密码保护器,只允许使用恢复密钥保护器。

但是,根据您当前的配置,您应该知道,如果您的计算机丢失或被盗,则无需恢复保护器即可解锁硬盘。可以使用简单、廉价的硬件设备连接到 LPC 总线,并在计算机启动时拦截 TPM 密钥保护器。然后可以将其与开源代码一起使用以解锁卷。

所以,添加密码保护器比您当前的配置安全得多。

更多信息:

https://pulsesecurity.co.nz/articles/TPM-sniffing
https://github.com/libyal/libbde

https://blogs.technet.microsoft.com/askcore/2014/12/29/how-to-make-your-existing-bitlocker-encrypted-environment-fips-complaint/

相关内容