¿Dónde se almacena la clave de Bitlocker sin el Módulo de plataforma confiable (TPM)?

3

He visto muchos clientes de Windows con Bitlocker instalado sin el Módulo de plataforma confiable (TPM) habilitado. Esto requiere cambios manuales en la Política de grupo, ya que de forma predeterminada no es posible habilitar Bitlocker sin un Módulo de plataforma confiable (TPM).

El hecho de que no pueda habilitar Bitlocker de manera predeterminada sin TPM parece que Microsoft lo desalienta por una razón.

Es posible usar Bitlocker sin un TPM, por lo tanto, si se usa el cifrado de disco completo de tal manera, ¿dónde se almacena la clave y qué tan segura es en comparación con el cifrado de disco completo o el Bitlocker con un TPM?

    
pregunta Bob Ortiz 18.03.2017 - 15:49
fuente

2 respuestas

2

Si el atacante es Microsoft o una agencia gubernamental poderosa, no hay mucha diferencia. Su clave de recuperación se envía a Microsoft en cualquier caso.

  

El hecho de que los nuevos dispositivos de Windows requieren que los usuarios realicen una copia de seguridad de su clave de recuperación en los servidores de Microsoft es notablemente similar a un sistema de custodia de claves, pero con una diferencia importante. Los usuarios pueden optar por eliminar las claves de recuperación de sus cuentas de Microsoft (puede ir al final de este artículo para saber cómo), algo que la gente nunca tuvo la opción de hacer con el sistema de chips Clipper. Pero solo pueden eliminarlo después de que ya lo hayan subido a la nube.

Eso no es una diferencia importante. Microsoft tiene la clave de recuperación. No se sabe si realmente lo eliminan y, a menos que se pruebe la eliminación de la clave, no se puede asumir que se eliminó. Por lo tanto, se debe asumir que Microsoft tiene todas las claves de recuperación de Bitlocker.

El artículo realmente dice esto:

  

Tan pronto como su clave de recuperación abandone su computadora, no tiene forma de saber su destino. Un pirata informático podría haber pirateado su cuenta de Microsoft y puede hacer una copia de su clave de recuperación antes de que tenga tiempo de borrarla. O Microsoft podría ser hackeado, o podría haber contratado a un empleado deshonesto con acceso a los datos del usuario. O una agencia policial o una agencia de espionaje podría enviar a Microsoft una solicitud de todos los datos en su cuenta, que legalmente lo obligaría a entregar su clave de recuperación, lo que podría hacer incluso si lo primero que hace después de configurar su computadora es eliminarlo. .

Aunque se asume que el TPM tiene una puerta trasera , a diferencia de la fuga de claves, esto no está realmente probado, por lo que sé. Si eso es cierto, el TPM es completamente inútil.

Pero como parece que solo te interesa el uso del TPM por parte de Bitlocker, no el uso de este por parte de otros programas (que podrían no filtrar tu clave), no hay mucho sentido en discutirlo ya que Bitlocker envía tu recuperación clave para Microsoft de todos modos.

Independientemente de si se usa un TPM, es útil para las personas que solo desean echar un vistazo rápido a sus archivos personales. No ayuda contra ataques de Microsoft, agencias gubernamentales o cualquier pirata informático serio que sea una amenaza para Microsoft o agencias gubernamentales y, por lo tanto, puede obtener su clave de recuperación. El conjunto de atacantes que son una amenaza para usted no cambia mucho, independientemente de si se usa o no un TPM.

Para responder a su pregunta en el título: está almacenado en una unidad flash.

  

Sí, puede habilitar BitLocker en una computadora sin una versión 1.2 de TPM,   siempre que el BIOS tenga la capacidad de leer desde una unidad flash USB   en el entorno de arranque. Esto es porque BitLocker no desbloqueará el   volumen protegido hasta que la clave maestra de volumen de BitLocker sea la primera   lanzado por el TPM de la computadora o por una unidad flash USB   que contiene la clave de inicio de BitLocker para esa computadora. Sin embargo,   Las computadoras sin TPM no podrán utilizar la integridad del sistema   verificación de que BitLocker también puede proporcionar.

     

Para ayudar a determinar si una computadora puede leer desde un dispositivo USB durante   el proceso de arranque, use la Comprobación del sistema de BitLocker como parte de la   Proceso de configuración de BitLocker. Esta comprobación del sistema realiza pruebas para confirmar.   que la computadora puede leer correctamente de los dispositivos USB en el   Tiempo apropiado y que la computadora se encuentre con otro BitLocker.   requisitos.

     

Para habilitar BitLocker en una computadora sin un TPM, use la Política de grupo para   habilitar la interfaz de usuario avanzada de BitLocker. Con los avanzados   opciones habilitadas, las configuraciones no TPM aparecen en la configuración de BitLocker   mago. Para obtener instrucciones sobre el uso de la directiva de grupo para habilitar la   opciones avanzadas de usuario, ver    enlace .

( enlace )

    
respondido por el UTF-8 13.04.2017 - 15:03
fuente
3

Tiene una opción para almacenar la clave en un disco (protegido con una contraseña) o en un dispositivo USB. Si se utilizan dispositivos de almacenamiento normal, ambos son susceptibles a un ataque de fuerza bruta. Consulte esto .

    
respondido por el Marko Vodopija 18.03.2017 - 19:29
fuente

Lea otras preguntas en las etiquetas