Si habilito Bitlocker en una máquina Windows 10 normal, ¿cómo funciona el proceso de desbloqueo? Supongo que puse mi contraseña de Windows y en ese momento comienza el proceso de desbloqueo. ¿Por qué hay una opción de arranque previo adicional y cómo se agrega a la seguridad?
No, no es así como funciona BitLocker. BitLocker tiene una partición adicional que almacena información sobre el proceso de cifrado / descifrado junto con algunos metadatos. Contiene el cifrado utilizado, el modo de bloque, el tamaño de clave, el número de ranuras utilizadas y el método de autenticación (entre otras cosas).
Con suficiente información de esta partición, el proceso de descifrado puede comenzar. Se le pide al usuario su contraseña o archivo de clave privada (en el caso de USB) y puede descifrar los módulos, los controladores y los ejecutables de arranque para cargar el kernel.
El disco no se descifra en el arranque, sino que Windows utiliza una capa IO adicional. Esta capa se engancha entre el controlador del sistema de archivos y el controlador del disco y descifra la información sobre la recuperación (y la encripta en la escritura). Mientras los sistemas operativos se ejecutan, el secreto se almacena en la memoria protegida (kernel). Por lo tanto, es importante que apague la computadora correctamente y que le dé a Windows el tiempo para anular la memoria. Lo mismo es cierto para otros sistemas.
No me gusta la respuesta de @ Yorick. Esta afirmación:
El disco no se descifra durante el arranque, sino que Windows utiliza un capa IO adicional
Es engañoso * . Una vez que se monta el volumen cifrado, el software que se ejecuta en el dispositivo puede acceder de forma transparente a los contenidos como si no estuvieran cifrados.
FDE protege contra el robo de datos fuera de línea . Una vez que se monta el volumen, se descifra de manera efectiva y está más allá de la protección FDE.
Con respecto a la pregunta de seguimiento de OP sobre el pin previo al arranque:
Bitlocker tiene 5 formas diferentes de operación :
El menos seguro es solo TPM, donde el TPM se usa para desbloquear la unidad en el arranque sin intervención adicional. Esto protege los datos en caso de que se extraiga la unidad del dispositivo, ya que no se puede desbloquear sin el TPM del dispositivo. No protege la unidad si todo el dispositivo es robado o si es accedido por un atacante.
El modo TPM + PIN, que es a lo que se refiere la pregunta, agrega un pin al proceso, por lo que para que el TPM se use para desbloquear la unidad, el usuario debe ingresar un pin. Esto también protege contra el robo de dispositivos, lo que agrega más seguridad al modo anterior. La compensación es que requiere presencia física en el arranque. No es un problema para las computadoras portátiles por lo general, un gran problema para los servidores.
Luego está la contraseña, la tarjeta inteligente y la unidad de memoria USB que contiene la clave de desbloqueo (esta última es útil cuando no hay tpm en el dispositivo). También se permiten algunas combinaciones de los diferentes métodos.
* No estoy diciendo que la respuesta sea incorrecta, pero esa afirmación es engañosa y confunde innecesariamente a los principiantes
Lea otras preguntas en las etiquetas disk-encryption bitlocker