¿Por qué Bitlocker no mezcla la contraseña con la clave almacenada?

Question

¿Por qué Bitlocker no mezcla la contraseña con la clave almacenada?

#1 de Julian Knight (1 votos)
#2 de Kev White (0 votos)

2

Bitlocker no admite la llave USB + PIN (contraseña). El razonamiento era "la contraseña es demasiado débil para proporcionar seguridad adicional". ¿No es eso defectuoso? Con una llave USB y una contraseña, tengo cierto nivel de dos factores, ¿no? La unidad USB contiene 128/256 bits de material clave, y el usuario podría proporcionar una frase de contraseña tan grande como sea necesario. De esa manera, el robo de una llave USB no otorga acceso, ni tampoco encuentra la contraseña (ver, escuchar, etc.)

Lo mismo para TPM. Me gustaría usar el TPM para verificar el entorno de inicio. Pero no quiero confiar mi clave completa a chips que pueden estar muy mal implementados. (Recuerdo algunas noticias de que los atacantes pudieron abrir el TPM y acceder directamente al material clave). Si Bitlocker usó mi contraseña, podría obtener lo mejor de ambos mundos.

key-management encryption bitlocker trusted-computing

pregunta MichaelGG 01.03.2014 - 23:39

fuente

2 respuestas

0

A menos que lo entienda mal, ¿no hacen lo que quieren los protectores -tpmandpinandstartupkey? Eso requiere el PIN (la contraseña), la clave USB (la clave de inicio) y, por supuesto, el TPM.

Lo mismo para el segundo párrafo re: TPM. -protectors -tpmandpin hace el TPM y la contraseña, que parece ser exactamente lo que estás pidiendo.

Si su inquietud está en un nivel inferior, el FVEK (utilizado para cifrar el disco) se cifra mediante el VMK (en el TPM), que se cifra mediante las claves de sus protectores externos (PIN y USB). Si solo está utilizando la protección TMP sin otros protectores (no se recomienda algo), entonces sí, si compromete el TPM (físicamente), posiblemente pueda acceder al FVEK y descifrar el disco. Pero siempre que incluya una clave de un protector externo, no podrá descifrar el FVEK.

respondido por el Kev White 23.06.2014 - 13:05
fuente

Lea otras preguntas en las etiquetas key-management encryption bitlocker trusted-computing

El puntero de EIP se sobrescribe pero EBP permanece intacto ¿Cuál es el uso del certificado en Load Balancer y Keystore on Service?

score 1 · Answer 1

Se hace suena como un argumento defectuoso, aunque no he comprobado los detalles personalmente.

Pero esto no me sorprende como me parece, desde la perspectiva de ver que Bitlocker se implementa en una gran empresa, Bitlocker es bastante defectuoso de todos modos.

Ciertamente, TrueCrypt admite el uso de ambos.

Por supuesto, la desventaja de usar dispositivos USB por seguridad es su tasa de fallas. Como fallan con bastante frecuencia, desde luego no me gustaría confiar en uno como el único mecanismo para iniciar sesión en algo.

score 0 · Answer 2

A menos que lo entienda mal, ¿no hacen lo que quieren los protectores -tpmandpinandstartupkey? Eso requiere el PIN (la contraseña), la clave USB (la clave de inicio) y, por supuesto, el TPM.

Lo mismo para el segundo párrafo re: TPM. -protectors -tpmandpin hace el TPM y la contraseña, que parece ser exactamente lo que estás pidiendo.

Si su inquietud está en un nivel inferior, el FVEK (utilizado para cifrar el disco) se cifra mediante el VMK (en el TPM), que se cifra mediante las claves de sus protectores externos (PIN y USB). Si solo está utilizando la protección TMP sin otros protectores (no se recomienda algo), entonces sí, si compromete el TPM (físicamente), posiblemente pueda acceder al FVEK y descifrar el disco. Pero siempre que incluya una clave de un protector externo, no podrá descifrar el FVEK.