Encrypted Windows10 começa a ser descriptografado quando é reinicializado após uma atualização do sistema

Navegue suas respostas
2

Estou executando o fedora e o windows 10 em dual boot, ambos criptografados separadamente. Sempre que o Windows 10 é atualizado, durante o desligamento, na próxima vez que eu inicializo no Windows, não preciso inserir a chave de descriptografia e tenho acesso total a todos os meus dados e a todos os programas. Eu normalmente não uso janelas por semanas, então basicamente minha partição do Windows nunca é criptografada (sempre atualiza quando eu a uso e, portanto, está sempre no modo descriptografado).

  • O que exatamente está acontecendo?
  • Onde o Windows armazena a chave para a descriptografia?
  • E há uma maneira de parar esse comportamento ou é necessário para atualizações?

Algumas informações mais detalhadas sobre o sistema que estou executando:

  • Já tenho o recurso de inicialização rápida desativado, portanto, o desligamento deve ser um desligamento total, e não o falso.

  • Estou executando o UEFI no laptop.

  • Não há um módulo TPM incorporado.

  • Eu não sei se tenho um boot seguro ativado, talvez seja o seguinte.

  • Eu não acho que um SSD auto-criptografado seja usado. A primeira vez que usei o Laptop foi executado sem criptografia.
por besinnungslos 27.09.2018 / 10:51

1 resposta

1

Isso realmente parece ser um bug em 10.1803:

Bug? Feature? Power users baffled as BitLocker update switch-off continues – El Reg

Three months on, users continue to report that Microsoft's BitLocker disk encryption technology turns itself off during security updates. […]

O Windows Update tem código para suspender o BitLocker durante atualizações significativas do sistema operacional se o sistema estiver usando um TPM, porque ele precisa reprogramar o TPM para aceitar o novo kernel e outro estado. (As chaves são armazenadas de forma que o TPM se recusaria a fornecê-las se alguém adulterasse o sistema operacional.)

A suspensão do BitLocker é feita gravando a chave mestra desprotegida diretamente no cabeçalho BitLocker do disco (da partição), junto com a chave protegida por senha normal. Normalmente, o Windows retoma o BitLocker após uma reinicialização, limpando essa chave desprotegida.

Mas parece que há um bug que dispara essa função desnecessariamente - aparentemente mesmo em máquinas sem um TPM como o seu.

    
por 27.09.2018 / 12:34

Tags

Não é possível gerar o arquivo .tar grub-efi-amd64 assinado não instalará na unidade USB