Como você gerenciaria as chaves com TrueCrypt em um ambiente de negócios?

Uma sugestão poderia ser criptografar o volume somente com uma chave de criptografia (sem senha), mas manter a chave sempre criptografada em laptops / estações de trabalho com EFS (somente Windows), de modo que, na realidade, a senha do usuário (opcionalmente, agente de backup) key) e a chave de criptografia é usada pelo Truecrypt.

Dessa forma, o acesso aos dispositivos criptografados será "transparente" para os usuários, e você poderá gerenciar senhas, chaves de backup do EFS, etc. centralmente, sem precisar se preocupar com chaves perdidas, etc.

Você deve especificar o seu sistema operacional, mas por que não manter todas as chaves armazenadas em algum lugar seguro? Além disso, eu iria usar uma senha em combinação com a chave se você ainda não estiver, se a chave estiver em algo como um pendrive, é provável que eles possam perder isso com o laptop (ou seja, o mesmo saco), tornando a criptografia praticamente inútil em primeiro lugar.

Usar o Truecrypt em um ambiente corporativo pode ser um desafio. Nossa estratégia era roteirizar a instalação para inserir uma senha genérica e salvar a iso de resgate para TrueCrypt no diretório "Meus documentos" do usuário. Este diretório é regularmente copiado para um servidor central para nossos usuários de laptop. O iso contém a chave criptografada com a senha genérica durante a instalação inicial. O usuário pode alterar facilmente sua senha no laptop, o que não altera a chave real usada para criptografar o disco rígido, que é armazenado nas isos codificadas com a senha genérica.

Se uma restauração for necessária, gravamos o CD de recuperação, pedimos que o usuário inicie a iso, insira a senha genérica e, em seguida, tenha a opção de descriptografar o disco rígido ou substitua a chave pela chave original. Isso nos dá a opção de redefinir a frase secreta de criptografia ou descriptografar um laptop caso o usuário não esteja disponível.