Adicione a senha do BitLocker à unidade do sistema criptografada existente (sem um TPM)

0

Meu laptop não está equipado com um TPM. Eu habilitei a diretiva de grupo de bypass para usar o BitLocker com um pendrive USB.

Em determinadas circunstâncias, gostaria de atualizar minha autenticação adicionando um PIN a uma unidade do sistema criptografada existente. Ou mais tarde, para remover a autenticação USB thumbdrive apenas em favor do PIN / senha.

Já configurei a política de grupo para permitir essas configurações, mas não consigo encontrar nenhuma opção na tela de configurações do BitLocker para atualizar a segurança da unidade do meu sistema. Ele está disponível para a minha unidade secundária (que é descriptografada automaticamente quando o sistema é inicializado).

Eu imagino que eu poderia descriptografar a unidade inteira e executar a re-criptografia com novas configurações.

Eu quero perguntar se existe uma maneira mais curta de realizar isso

    
por usr-local-ΕΨΗΕΛΩΝ 26.04.2017 / 23:32

1 resposta

0

Bem, depois de pensar um pouco sobre isso, concluí uma resposta de bom senso.

Se algum dia fosse possível adicionar um PIN a uma unidade do sistema criptografada por Bitlocker existente que estivesse desbloqueada com uma chave USB na ausência de um TPM, a segurança adicionada seria exatamente igual a zero . Somente procedimento seguro é descriptografar totalmente o disco e criptografar novamente usando segurança mais strong

Por que isso não pode ser feito em uma criptografia alimentada por USB (e vice-versa)?

O BitLocker usa criptografia simétrica. Eu não entrei nos detalhes, mas usando um PIN ou um pen drive com um segredo que pode revelar a chave de criptografia é igual (do ponto de vista de segurança) para assumir que a unidade ou o PIN é a chave.

Então você tem sua configuração amigável onde você já exportou a chave para uma unidade USB ou memorizou sob a forma de um PIN / senha. Essa chave existe e essa chave pode descriptografar o disco. Suponha que a chave seja comprometida. O sistema pede uma senha adicional. Mas como a chave está contida no pendrive, um invasor com acesso a disco físico ainda pode usar a chave para descriptografar a unidade porque a chave simétrica é toda a informação necessária para descriptografar informações. O invasor pode usar qualquer software sob seu controle que não exija autenticação adicional tola

Por que isso pode ser feito em uma configuração do TPM?

O TPM é um dispositivo diferente. A chave , ou as informações secretas usadas para derivar a chave de descriptografia, existem dentro dos limites de um sistema de computador ativo, agindo como um cofre. Se você alterar o bloqueio do seu cofre, o cofre se recusará a abrir sem nova autenticação.

O SO, que controla ( possui ) o TPM pode gentilmente solicitar que o TPM não libere a chave a menos que uma autenticação adicional seja fornecida. Com um TPM e com a exceção das chaves de depósito que o BitLocker gera, a chave nunca pode ser exposta. Pode-se alterar o PIN / senha à vontade, mas ainda ninguém possui um meio com o byte array da chave secreta disponível.

    
por 27.04.2017 / 00:46