C:\Windows\system32>manage-bde -status
BitLocker Drive Encryption: Configuration Tool version 10.0.17763
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Disk volumes that can be protected with
BitLocker Drive Encryption:
Volume C: [OS]
[OS Volume]
Size: 77.62 GB
BitLocker Version: 2.0
Conversion Status: Fully Encrypted
Percentage Encrypted: 100.0%
Encryption Method: XTS-AES 128
Protection Status: Protection On
Lock Status: Unlocked
Identification Field: Unknown
Key Protectors:
TPM
Numerical Password
C:\Windows\system32>
我可以用字母数字密码保护器替换数字密码密钥保护器吗,因为它们更安全(所有字符而不是仅有数字 0-9 的排列可能性更大)?
答案1
无需将密码恢复密钥替换为字母数字密钥。也没有任何设置,因为它不是可以用字母数字密钥替换的形式。
如果密码恢复密钥是 48 位数字,则其熵值为 log₂(10⁴⁸) ≈ 159 位。但实际上,其熵值为 8 组,每组 16 位(8 个值,介于 0 和 65,535 之间),即 128 位。这相当于由大小写字母和数字组成的 21 个字符的字母数字随机密码,其熵值为 log₂((26+26+10)²¹) ≈ 125 位;22 个字符的熵值为 131 位。
Encryption Method: XTS-AES 128. 无论如何,超过 128 位就不会添加任何内容。
答案2
数字密码是“恢复”密码。从理论上讲,恢复密钥更安全。例如,我相信联邦政府公共部门不允许使用恢复密码保护器,只允许使用恢复密钥保护器。
但是,根据您当前的配置,您应该知道,如果您的计算机丢失或被盗,则无需恢复保护器即可解锁硬盘。可以使用简单、廉价的硬件设备连接到 LPC 总线,并在计算机启动时拦截 TPM 密钥保护器。然后可以将其与开源代码一起使用以解锁卷。
所以,添加密码保护器比您当前的配置安全得多。
更多信息:
https://pulsesecurity.co.nz/articles/TPM-sniffing
https://github.com/libyal/libbde