Tôi đã mã hóa ổ cứng gắn ngoài của mình bằng Bitlocker và sau khi khởi động lại máy tính, tôi đã thử mở ổ đĩa đó và nhận được thông báo này:
Nói, nếu tôi chọn "Tự động mở khóa trên máy tính này kể từ bây giờ", điều này có nghĩa là Windows sẽ lưu trữ mật khẩu của tôi ở đâu đó trong sổ đăng ký?
Tái bút Hoặc, họ có đủ thông minh tại Microsoft để chỉ lưu trữ hàm băm - tốt nhất là muối?
Câu trả lời:
Tôi thấy bạn cũng đã đăng cùng một truy vấn ở đây và đây , và đã nhận được một số phản hồi tiêu chuẩn. Dù sao, đó là một câu hỏi thú vị và đây là những gì tôi tìm thấy. Vì Mã hóa BitLocker Drive trong Windows 7: Trang câu hỏi thường gặp ,
Mở khóa tự động cho các ổ dữ liệu cố định yêu cầu ổ đĩa hệ điều hành cũng được bảo vệ bởi BitLocker. Nếu bạn đang sử dụng máy tính không có ổ đĩa hệ điều hành được bảo vệ bởi BitLocker, ổ đĩa có thể được tự động mở khóa.
Tất nhiên, điều này không áp dụng cho bạn vì bạn đang sử dụng BitLocker To Go để mã hóa ổ đĩa dữ liệu di động. Đối với bạn, những điều sau đây có liên quan:
Trong Windows 7, bạn có thể mở khóa các ổ dữ liệu di động bằng cách sử dụng mật khẩu hoặc thẻ thông minh. Sau khi bạn bắt đầu mã hóa, ổ đĩa cũng có thể được tự động mở khóa trên một máy tính cụ thể cho một tài khoản người dùng cụ thể . Quản trị viên hệ thống có thể định cấu hình tùy chọn nào khả dụng cho người dùng, cũng như độ phức tạp của mật khẩu và yêu cầu độ dài tối thiểu.
Cũng thế,
Đối với các ổ dữ liệu di động, bạn có thể thêm mở khóa tự động bằng cách bấm chuột phải vào ổ đĩa trong Windows Explorer và bấm Quản lý BitLocker. Bạn vẫn có thể sử dụng mật khẩu hoặc thông tin thẻ thông minh bạn đã cung cấp khi bật BitLocker để mở khóa ổ đĩa di động trên các máy tính khác.
và
Ổ đĩa dữ liệu có thể được thiết lập để tự động mở khóa trên máy tính chạy Windows 7 sau khi mật khẩu hoặc thẻ thông minh ban đầu được sử dụng để mở khóa ổ đĩa. Tuy nhiên, các ổ dữ liệu di động phải luôn có mật khẩu hoặc phương thức mở khóa thẻ thông minh bên cạnh phương thức mở khóa tự động.
Vì vậy, bây giờ chúng ta biết cách mở khóa tự động có thể được cấu hình cho các ổ dữ liệu di động và cách các ổ đĩa đó cũng có thể được mở khóa trên các PC khác. Nhưng các khóa mà BitLocker sử dụng là gì và chúng được lưu trữ ở đâu? Vì phần Khóa BitLocker của Khóa để Bảo vệ Dữ liệu với bài viết Mã hóa BitLocker Drive :
Bản thân các cung của [volume's] được mã hóa bằng khóa gọi là Khóa mã hóa toàn khối (FVEK) . Tuy nhiên, FVEK không được người dùng sử dụng hoặc truy cập. Lần lượt FVEK được mã hóa bằng một khóa gọi là Khóa tổng thể (VMK). Mức độ trừu tượng này mang lại một số lợi ích độc đáo, nhưng có thể làm cho quá trình khó hiểu hơn một chút. FVEK được giữ như một bí mật được bảo vệ chặt chẽ bởi vì, nếu nó bị xâm phạm, tất cả các lĩnh vực sẽ cần phải được mã hóa lại. Vì đó sẽ là một hoạt động tốn thời gian, đó là một hoạt động bạn muốn tránh. Thay vào đó, hệ thống hoạt động với VMK. FVEK (được mã hóa bằng VMK) được lưu trữ trên đĩa, như một phần của siêu dữ liệu âm lượng. Mặc dù FVEK được lưu trữ cục bộ, nó không bao giờ được ghi vào đĩa không được mã hóa. VMK cũng được mã hóa, hoặc "được bảo vệ", nhưng bởi một hoặc nhiều người bảo vệ chính có thể. Bộ bảo vệ khóa mặc định là TPM.
Vì vậy, VMK một lần nữa được mã hóa bởi một hoặc nhiều người bảo vệ chính. Chúng có thể là TPM , mật khẩu, tệp khóa, chứng chỉ tác nhân phục hồi dữ liệu, thẻ thông minh, v.v ... Bây giờ khi bạn chọn bật tự động mở khóa cho ổ dữ liệu di động, khóa đăng ký tự động mở khóa sau đây được tạo:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\FveAutoUnlock
Tiếp theo, một bộ bảo vệ khóa khác thuộc loại "Khóa ngoài" được tạo và lưu trữ tại vị trí đăng ký đó là:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\FveAutoUnlock\{GUID}
Chìa khóa và siêu dữ liệu được lưu trữ trong registry được mã hóa bằng cách sử dụng CryptProtectData () DPAPI chức năng sử dụng thông tin đăng nhập của người dùng hiện tại và Triple DES (OTOH dữ liệu thực tế về số lượng mã hóa được bảo vệ với một trong hai 128-bit hoặc 256-bit AES và tùy ý khuếch tán bằng cách sử dụng một thuật toán gọi là Voi ).
Khóa ngoài chỉ có thể được sử dụng với tài khoản người dùng và máy hiện tại. Nếu bạn chuyển sang tài khoản người dùng hoặc máy khác, các giá trị FIDAutoUnlock GUID sẽ khác.