Sự khác biệt giữa khóa khởi động và khôi phục BitLocker là gì?

Tôi muốn mã hóa phân vùng hệ thống bằng BitLocker bằng mật khẩu ( manage-bde -protectors -add c: -pw), nhưng (an toàn) lưu trữ khóa ở nơi khác nếu tôi quên mật khẩu. Tôi nên thêm khóa khôi phục ( -rk) hoặc khóa khởi động ( -sk)?

Có vẻ như tôi sẽ có thể sử dụng cả hai để truy cập dữ liệu trong trường hợp khẩn cấp. Có điều gì tôi có thể làm với khóa khôi phục mà tôi không thể làm với khóa khởi động và ngược lại không?

Tôi cũng tự hỏi điều này và thử nghiệm; đây là những gì tôi biết cho đến nay:

• Cả hai lệnh tạo ra một keyfile * .BEK bên ngoài.

• Sau khi bạn đã tạo -StartupKeyvà -RecoveryKeychúng trở nên không thể tách rời trong tổng quan bảo vệ. ( manage-bde C: -protectors -get) Điều này liệt kê tất cả các khóa và gắn nhãn các khóa trong câu hỏi 'Khóa ngoài' . Chỉ khi bạn nhớ {id}, bạn mới có thể nhận ra sự khác biệt.

Tôi không thể tìm thấy bất kỳ nguồn nào có thể xác thực các khiếu nại / giải thích về chủ đề này, tuy nhiên, một phần của câu trả lời có thể giúp / kích hoạt một:

Tôi nghi ngờ đó là một vấn đề di sản. Một lệnh đã được đưa vào một phiên bản trước đó của Bitlocker và sau đó, nó đã được mở rộng. Ngày nay, có thể có ý nghĩa hơn để gọi nó (-)ExternalKey, bằng cách này, bạn thực sự có thể sử dụng để xác định -typenếu bạn sử dụng -deletelệnh để thu hồi tất cả các truy cập Internalkeyfile từ một ổ đĩa.

Ngược lại, nếu chúng ta di chuyển một (*) ổ đĩa cố định vào một hệ thống khác (hoặc Bitlocker phát hiện những thay đổi hệ thống làm ảnh hưởng toàn vẹn), nó dường như có thể yêu cầu cho một mật khẩu khôi phục . Nếu chúng tôi mở rộng ngôn ngữ, khóa khôi phục cũng có thể mở khóa ổ đĩa:

• Tôi có thể xác nhận rằng [Phím tải từ trạm USB] -button hoạt động với cả loại khóa. (Multiboot, ổ đĩa hệ thống đã được mở khóa của hệ điều hành khác.) Tuy nhiên, Bitlocker không ở chế độ 'Recovery mode' có thể được kích hoạt bởi một số thay đổi nhất định.
• Tôi có thể xác nhận rằng bạn có thể khởi động một hệ thống từ -RecoveryKey. (Có thể rõ ràng, nhưng chỉ để được hoàn thành.)

Vì vậy, câu hỏi còn lại: nếu cơ chế bảo vệ Bitlocker được kích hoạt, Startupkey vẫn có thể mở khóa ổ đĩa chứ?

Tại thời điểm này, tôi nghĩ rằng nó sẽ là thiết kế tồi nếu bạn không thể, vì bạn không thể phân biệt giữa các tệp key-id và * .bek. (* .sbek, * .rbek không tồn tại.) Tuy nhiên, tôi chưa thể xác thực các giả định của mình. Tuy nhiên, tôi nghĩ rằng các dấu chấm cung cấp cái nhìn sâu sắc.

Theo tôi hiểu, sk sẽ được giữ trên phương tiện di động và bạn sẽ cần phương tiện này để khởi động máy của bạn mỗi lần.

Thay thế sẽ là một mã PIN. Nếu bạn đã sử dụng mã pin, nhưng quên nó, bạn sẽ có thể truy cập vào máy của mình với tham chiếu đến rk liên quan, sẽ được lưu trữ an toàn ở nơi khác.

Mã PIN sẽ thuận tiện hơn, trừ khi bạn gặp khó khăn khi nhớ nó.

Theo tài liệu, một điểm khác biệt là:

• Nếu PC được cấu hình để sử dụng TPM thông thường để thực hiện khởi động được đo, nó sẽ làm như vậy khi sử dụng khóa khởi động , nhưng không phải khi sử dụng khóa khôi phục . Vì vậy, khóa khôi phục chỉ nên được sử dụng như là phương sách cuối cùng.

Tôi sẽ cập nhật câu trả lời này với sự khác biệt bổ sung nếu tôi khám phá bất kỳ.