Qual é a diferença entre uma chave de inicialização e recuperação do BitLocker?

3

Eu gostaria de criptografar uma partição do sistema usando o BitLocker usando uma senha ( manage-bde -protectors -add c: -pw ), mas (com segurança) armazenar uma chave em outro lugar se eu esquecer a senha. Devo adicionar uma chave de recuperação ( -rk ) ou uma chave de inicialização ( -sk )?

Parece que eu poderia usar os dois para acessar dados em caso de emergência. Existe alguma coisa que eu poderia fazer com uma chave de recuperação que eu não poderia fazer com uma chave de inicialização e vice-versa?

    
por Thomas Luzat 10.05.2016 / 16:27

3 respostas

2

Eu também me perguntei isso e experimentei; isto é o que eu sei até agora:

  • Ambos os comandos criam um arquivo de chaves * .BEK externo.

  • Depois de criar um -StartupKey e -RecoveryKey , eles se tornam inseparáveis na visão geral do protetor. ( manage-bde C: -protectors -get ) Isso lista todas as chaves e rotula as chaves em questão 'Chave externa' . Somente se você se lembrar do {id}, poderá ver a diferença.

Não consigo encontrar fontes que possam validar afirmações / explicações sobre este tópico, no entanto, parte de uma resposta pode ajudar / acionar uma:

Eu suspeito que seja um problema legado. Um comando foi introduzido em uma versão anterior do Bitlocker e, posteriormente, foi expandido. Hoje em dia, talvez faça mais sentido chamá-lo de (-)ExternalKey , que, a propósito, você pode usar para definir um -type se usar o comando -delete para revogar todo o acesso de arquivo de chave externo de uma unidade.

Por outro lado, se movermos uma unidade fixa (*) para outro sistema (ou o Bitlocker detectar mudanças de integridade comprometedoras do sistema), ela poderá exigir uma senha de recuperação . Se expandirmos o idioma, uma chave de recuperação também poderá desbloquear a unidade:

  • Posso confirmar que o botão [Carregar chave da estação USB] funciona com o tipo de chave. (Inicialização múltipla, unidade de sistema desbloqueada de outro SO.) No entanto, o Bitlocker não estava no 'Modo de recuperação' que pode ser acionado por certas alterações.
  • Posso confirmar que você pode inicializar um sistema a partir de uma -RecoveryKey. (Pode ser óbvio, mas apenas para ser completo.)

Portanto, a pergunta restante: se o mecanismo de proteção do Bitlocker for acionado, a Startupkey ainda será capaz de desbloquear uma unidade?

Neste ponto, acho que seria ruim se você não pudesse, já que não é possível diferenciar entre os arquivos key-id e * .bek. (* .sbek, * .rbek não existem.) No entanto, não consegui validar minhas suposições. No entanto, acho que os pontos fornecem uma visão.

    
por 12.05.2016 / 00:09
0

Pelo que entendi, o sk seria mantido em mídia removível e você precisaria dessa mídia presente para iniciar sua máquina a cada vez.

A alternativa seria um PIN. Se você usasse um pin, mas esquecesse, seria possível acessar sua máquina com referência ao rk relacionado, que seria armazenado com segurança em outro lugar.

Um PIN seria mais conveniente, a menos que você tivesse dificuldade de lembrar.

    
por 10.05.2016 / 16:41
0

De acordo com a documentação, uma diferença é que:

  • Se o PC estiver configurado para usar normalmente um TPM para executar uma inicialização medida, ele fará isso quando a chave de inicialização for usada, mas não quando é usada uma chave de recuperação . Por isso, a chave de recuperação só deve ser usada como último recurso.

Eu atualizarei esta resposta com diferenças adicionais se eu descobrir alguma.

    
por 13.03.2018 / 23:27