Windows Bitlockerと自動ロック解除パスワードストレージの安全性

19

Bitlockerを使用して外付けHDDを暗号化し、コンピューターを再起動した後、そのドライブを開こうとして次のメッセージが表示されました。

ここに画像の説明を入力してください

「今後、このコンピューターで自動的にロックを解除する」を選択した場合、これはWindowsがレジストリのどこかにパスワードを保存することを意味しますか?

PS。または、彼らはマイクロソフトでハッシュだけを保存するのに十分賢いですか?できれば塩漬けですか?

windows-7  windows  passwords  encryption  bitlocker 
ahmd1
ソース

回答:

24

こちらこちらにも同じクエリを投稿しており、すでに何らかの標準的な応答を受け取っているようです。とにかく、それは興味深い質問であり、ここに私が見つけたものがあります。同様にWindows 7のBitLockerドライブ暗号化:よくある質問ページ状態、

固定データドライブの自動ロック解除では、オペレーティングシステムドライブもBitLockerで保護する必要があります。BitLockerで保護されたオペレーティングシステムドライブを持たないコンピューターを使用している場合、ドライブを自動的にロック解除することはできません。

もちろん、BitLocker To Goを使用してリムーバブルデータドライブを暗号化しているため、これは当てはまりません。あなたにとって、次のことが関連しています。

Windows 7では、パスワードまたはスマートカードを使用して、リムーバブルデータドライブのロックを解除できます。暗号化を開始した後、特定のユーザーアカウントの特定のコンピューターでドライブのロックを自動的に解除することもできます。システム管理者は、ユーザーが使用できるオプション、およびパスワードの複雑さと最小長の要件を構成できます。

また、

リムーバブルデータドライブの場合、Windowsエクスプローラーでドライブを右クリックし、[BitLockerの管理]をクリックして、自動ロック解除を追加できます。BitLockerを有効にしたときに指定したパスワードまたはスマートカードの資格情報を使用して、他のコンピューターのリムーバブルドライブのロックを解除できます。

そして

パスワードまたはスマートカードを使用してドライブのロックを解除した後、Windows 7を実行しているコンピューターでリムーバブルデータドライブを自動的にロック解除するように設定できます。ただし、リムーバブルデータドライブには、自動ロック解除方法に加えて、常にパスワードまたはスマートカードロック解除方法が必要です。

これで、リムーバブルデータドライブの自動ロック解除を構成する方法、およびそのようなドライブを他のPCでもロック解除する方法がわかりました。しかし、BitLockerが使用するキーとは何ですか?BitLockerドライブ暗号化でデータを保護するためのキーの記事のBitLockerキーセクションには次のように記載されています。

[ボリュームの]セクター自体は、フルボリューム暗号化キー(FVEK)と呼ばれるキーを使用して暗号化されます。ただし、FVEKはユーザーが使用したり、ユーザーがアクセスしたりすることはできません。FVEKは、ボリュームマスターキー(VMK)と呼ばれるキーで暗号化されます。このレベルの抽象化にはいくつかのユニークな利点がありますが、プロセスを少し理解しにくくすることができます。FVEKは、セキュリティが侵害された場合、すべてのセクターを再暗号化する必要があるため、厳重に保護された秘密として保持されます。これは時間のかかる操作になるため、避けたいものです。代わりに、システムはVMKで動作します。FVEK(VMKで暗号化)は、ボリュームメタデータの一部としてディスク自体に保存されます。FVEKはローカルに保存されますが、暗号化されずにディスクに書き込まれることはありません。VMKも暗号化または「保護」されますが、1つ以上のキープロテクターによって可能です。デフォルトのキープロテクターはTPMです。

したがって、VMKは1つ以上のキープロテクターによって再び暗号化されます。これらは、TPM、パスワード、キーファイル、データ回復エージェント証明書、スマートカードなどです。リムーバブルデータドライブの自動ロック解除を有効にすると、次の自動ロック解除レジストリキーが作成されます。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\FveAutoUnlock

次に、「外部キー」タイプの別のキープロテクターが作成され、そのレジストリの場所に次のように保存されます。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\FveAutoUnlock\{GUID}

1

レジストリに保存されるキーとメタデータは、現在のユーザーのログイン資格情報とトリプルDESを使用するCryptProtectData()DPAPI関数を使用して暗号化されます(OTOH暗号化ボリューム上の実際のデータは128ビットまたは256ビットAES保護され、オプションで、Elephantと呼ばれるアルゴリズムを使用して拡散されます)。

外部キーは、現在のユーザーアカウントとマシンでのみ使用できます。別のユーザーアカウントまたはマシンに切り替えると、FveAutoUnlock GUID値は異なります。

カラン
ソース
私の友人、あなたの研究に感謝します!マイクロソフトフォーラムから得たBSの回答とは異なり、あなたの答えは私に希望を与えます---保存されたパスワードを簡単に元のテキスト形式に戻すことはできません。再びありがとう
...-ahmd1
どういたしまして、自分で答えを知りたかったのです。ほとんどのユーザーのpr索好きな目からデータを安全に保つには、提供されるセキュリティで十分です。もちろん、あなたが秘密のエージェントであるなら、あなたはおそらくあなたのデータを安全に保つより防弾の方法を調べるべきです。繰り返しになりますが、もしあなたがスパイだと思ったら、自分自身を防弾にする方法など、もっと重要なことを心配する必要があります。;-)
カラン
カランは、機会があれば、私が投稿したServerFaultの投稿をご覧になることができます:serverfault.com/questions/520356/…。私の質問はあなたの答えの拡張のように思えます(DPAPIを使用して、BitLocker FIXEDを自動的にロック解除しますが、リムーバブルではありません)。あなたの入力は大歓迎です!
bigmac
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.