Ho crittografato il mio HDD esterno con un Bitlocker e dopo aver riavviato il computer ho provato ad aprire quell'unità e ho ricevuto questo messaggio:
Ad esempio, se scelgo "Sblocca automaticamente su questo computer da ora in poi", significa che Windows memorizzerà la mia password da qualche parte nel registro?
PS. Oppure, sono abbastanza intelligenti in Microsoft per archiviare solo l'hash, preferibilmente salato?
Risposte:
Vedo che hai pubblicato anche la stessa query qui e qui e hai già ricevuto una sorta di risposta standard. Comunque, è una domanda interessante ed ecco cosa ho trovato. Come afferma la pagina Crittografia unità BitLocker in Windows 7: Domande frequenti ,
Lo sblocco automatico per unità dati fisse richiede che anche l'unità del sistema operativo sia protetta da BitLocker. Se si utilizza un computer che non dispone di un'unità del sistema operativo protetta da BitLocker, non è possibile sbloccare automaticamente l'unità.
Naturalmente, questo non si applica a te mentre stai usando BitLocker To Go per crittografare le unità dati rimovibili. Per te, è importante quanto segue:
In Windows 7, è possibile sbloccare unità dati rimovibili utilizzando una password o una smart card. Dopo aver avviato la crittografia, l'unità può anche essere sbloccata automaticamente su un computer specifico per un account utente specifico . Gli amministratori di sistema possono configurare le opzioni disponibili per gli utenti, nonché la complessità della password e i requisiti di lunghezza minima.
Anche,
Per le unità dati rimovibili, è possibile aggiungere lo sblocco automatico facendo clic con il pulsante destro del mouse sull'unità in Esplora risorse e facendo clic su Gestisci BitLocker. Sarai comunque in grado di utilizzare la password o le credenziali della smart card fornite quando hai attivato BitLocker per sbloccare l'unità rimovibile su altri computer.
e
Le unità dati rimovibili possono essere impostate per sbloccare automaticamente su un computer che esegue Windows 7 dopo che la password o la smart card sono state inizialmente utilizzate per sbloccare l'unità. Tuttavia, le unità dati rimovibili devono sempre disporre di una password o di un metodo di sblocco della smart card oltre al metodo di sblocco automatico.
Quindi ora sappiamo come lo sblocco automatico può essere configurato per le unità dati rimovibili e come tali unità possono essere sbloccate anche su altri PC. Ma quali sono le chiavi utilizzate da BitLocker e dove sono archiviate? Come afferma la sezione Chiavi BitLocker della sezione Chiavi per proteggere i dati con BitLocker Drive Encryption :
I settori [del volume] stessi sono crittografati utilizzando una chiave chiamata chiave di crittografia a volume intero (FVEK) . Il FVEK, tuttavia, non è utilizzato o accessibile agli utenti. Il FVEK è a sua volta crittografato con una chiave chiamata Volume Master Key (VMK). Questo livello di astrazione offre alcuni vantaggi unici, ma può rendere il processo un po 'più difficile da capire. Il FVEK è tenuto come un segreto strettamente custodito perché, se dovesse essere compromesso, tutti i settori dovrebbero essere ricodificati. Dal momento che sarebbe un'operazione che richiede tempo, è una che si desidera evitare. Al contrario, il sistema funziona con VMK. FVEK (crittografato con VMK) viene archiviato sul disco stesso, come parte dei metadati del volume. Sebbene FVEK sia archiviato localmente, non viene mai scritto su disco non crittografato. VMK è anche crittografato o "protetto", ma da uno o più possibili protettori delle chiavi. Il key protector predefinito è il TPM.
Quindi il VMK viene nuovamente crittografato da uno o più key protector. Questi possono essere il TPM , una password, un file chiave, un certificato dell'agente di recupero dati, una smart card ecc. Ora, quando si sceglie di abilitare lo sblocco automatico per un'unità dati rimovibile, viene creata la seguente chiave del registro di sblocco automatico:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\FveAutoUnlock
Successivamente viene creato e memorizzato un altro protettore di chiavi di tipo "Chiave esterna" nella posizione del registro come:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\FveAutoUnlock\{GUID}
La chiave e i metadati da archiviare nel registro sono crittografati utilizzando la funzione DPAPI CryptProtectData () utilizzando le credenziali di accesso dell'utente corrente e Triple DES (OTOH i dati effettivi sul volume crittografato sono protetti con AES a 128 bit o 256 bit e opzionalmente diffuso usando un algoritmo chiamato Elephant ).
La chiave esterna può essere utilizzata solo con l'account utente e la macchina correnti. Se si passa a un altro account utente o computer, i valori GUID di FveAutoUnlock sono diversi.