Actualización de aniversario con Bitlocker Reiniciar sin clave de cifrado

4

Tengo instalado Windows 10 Professional y he evitado la actualización de aniversario hasta ayer. La computadora instaló la actualización a pesar de mis mejores esfuerzos para detenerla. Pero ese es un problema diferente.

Tengo Bitlocker configurado para requerir una clave almacenada en el TPM, otra clave almacenada en un dispositivo de almacenamiento seguro de Apricorn Aegis y un pin alfanumérico de 20 caracteres para iniciar el sistema operativo. Cuando la actualización de aniversario necesitaba reiniciar la máquina, me preparé para proporcionar la clave y el pin necesarios, pero observé cómo la computadora continuaba el proceso de actualización sin el archivo o pin de la clave requerida. Vi la pantalla de publicación de la tarjeta gráfica, la pantalla de publicación de incursión y la pantalla de publicación de la placa base, pero no la pantalla de pines de Bitlocker. ¿Cómo es esto posible? Un reinicio debe borrar la memoria RAM, donde se almacenan las claves de cifrado. ¿Cómo supo la aplicación Anniversary Update cómo leer el disco duro cifrado sin el archivo de clave o el pin?

¿Se escribió una clave de recuperación en el sector de inicio o en la partición de inicio de Windows en un estado sin cifrar? ¿O fue Bitlocker deshabilitado temporalmente? ¿Si es así, cómo? Descifrar un sistema de archivos lleva mucho tiempo, incluso con cuatro SSD que ejecutan RAID 0 (930 GB de espacio utilizable). El proceso de configuración de la actualización no tomó el tiempo suficiente para una operación de este tipo, ni hubo un largo proceso de recifrado al final.

Si se escribió una clave de recuperación en el sector / partición de inicio, ¿cómo puedo determinar si se ha eliminado de forma segura? Tenga en cuenta que se trata de unidades de estado vendidas que intentan nivelar las escrituras en el disco para que el medio de almacenamiento dure más tiempo. Necesito los bloques específicos a cero que almacenaron la clave de recuperación. Tengo datos extremadamente confidenciales almacenados en esta máquina, y el menor riesgo de este tipo de vulnerabilidad requeriría la destrucción física de los cuatro SSD.

    
pregunta krwendland 23.01.2017 - 04:20
fuente

1 respuesta

3

Sé que ya tienes una respuesta en otra parte .

Sin embargo, en caso de que alguien más se tope con tu pregunta, intentaré dar una breve explicación:

En Windows 10, la actualización de aniversario (1607), así como las otras "actualizaciones de funciones" (actualización de noviembre [1511], actualización de creadores [1703], ...) son de hecho actualizaciones principales , de alguna manera similar a una actualización de Windows 7/8 a Windows 10 (terminas con una carpeta Windows.old , por ejemplo).

Durante estas importantes actualizaciones del sistema, Bitlocker no está deshabilitado : la unidad no se descifra antes de la actualización y luego se vuelve a cifrar después de la actualización, como se deduce correctamente.

En su lugar, Bitlocker está suspendido .

La diferencia entre suspender y descifrar se explica en Preguntas frecuentes sobre Bitlocker :

  

Descifrar elimina por completo la protección de BitLocker y desencripta completamente la unidad.

     

Suspender mantiene los datos encriptados pero encripta la clave maestra de volumen de BitLocker con una clave clara. La clave de borrado es una clave criptográfica almacenada sin cifrar y desprotegida en la unidad de disco. Al almacenar esta clave sin cifrar, la opción Suspender permite cambios o actualizaciones en la computadora sin el tiempo y el costo de descifrar y volver a cifrar toda la unidad. Una vez que se realizan los cambios y se vuelve a habilitar BitLocker, BitLocker volverá a sellar la clave de cifrado a los nuevos valores de los componentes medidos que cambiaron como parte de la actualización, la clave maestra de volumen se cambia, los protectores se actualizan para que coincidan y se borran la clave se borra.

    
respondido por el user3409662 27.07.2017 - 15:14
fuente

Lea otras preguntas en las etiquetas