Existe alguma diferença entre o arquivo de chave de recuperação do BitLocker e a senha numérica?

3

Existe alguma diferença entre um arquivo de chave de recuperação do BitLocker e uma senha numérica que afetaria negativamente minha capacidade de desbloquear a unidade em um cenário de desastre?

Freqüentemente criptografo discos rígidos USB que são usados para backups com o BitLocker. Eu salvo o arquivo .BEK no servidor que está sendo feito backup e uso isso para desbloquear as unidades. No entanto, também salvei a senha numérica fora do local, bem como uma cópia do arquivo .BEK .

Se não for necessário salvar esses dois locais, seria mais simples não fazê-lo. Mas antes que eu pare de fazer isso, preciso saber se existem diferenças ou pegadinhas entre esses dois métodos de desbloqueio que preciso levar em consideração.

Alguns detalhes

  • Estou fazendo isso nas máquinas Server 2008, Server 2008 R2, Server 2012 e Server 2012 R2
  • eu nunca armazeno as chaves em um TPM
  • Eu uso o BitLocker "normal" (não é para levar)

No servidor 2008 / R2 eu habilitar o BitLocker com:

manage-bde -on X: -rk "C:\BitLocker Keys" -rp

no servidor 2012 / R2 eu habilitar o BitLocker com:

manage-bde -on "\?\Volume{GUID}\" -rk "C:\BitLocker Keys" -rp -used
    
por Twisty Impersonator 04.11.2014 / 15:03

1 resposta

3

Os comandos que você postou estão ativando a criptografia BDE para o volume designado, salvando um arquivo de chave de recuperação ( -rk ) em C:\BitLocker Keys e gerando uma senha de recuperação numérica ( -rp ).

Se chegar a hora de recuperar um volume criptografado pelo Bitlocker, você pode usar o arquivo de Recuperação ou a Senha de Recuperação numérica. Você não precisa dos dois ... e se você não vai fazer backup de ambos, estou um pouco curioso para saber por que você está gerando ambos. Se você só vai usar um, você pode simplesmente soltar o outro ( -rk ou o -rp ) do seu comando, e não gerar uma opção de recuperação que você não vai usar em primeiro lugar.

As diferenças entre os dois métodos não parecem se aplicar ao seu caso de uso - não parece que você esteja armazenando as chaves de recuperação no Active Directory ou criptografando as unidades do sistema, por isso é realmente sua escolha sobre quais método que você preferir.

Assim, em resumo, qualquer um é suficiente para fins de recuperação; você não precisa de ambos.

No projeto BDE em que estou trabalhando para meus senhores corporativos, eu só gero uma chave numérica de recuperação, que é salva no Active Directory, e confio em um módulo TPM para armazenar as chaves de criptografia para desbloquear as unidades para o usuário final. Funciona bem, mas na verdade inserir uma string de 48 caracteres com as teclas de função em um computador é um pouco mais difícil do que eu gostaria de causar a mim mesmo, então se eu tivesse que fazer isso, eu poderia confiar Arquivos de recuperação de chave, por qualquer coisa que valha a pena.

    
por 04.11.2014 / 22:17

Tags