BitLocker: Actualizar la clave maestra de volumen y el significado de "con clave" frente a "volver a ingresar"

1

Nota: A continuación se incluye información sobre la búsqueda en Internet. Para saltar a mi pregunta principal, vaya a la última línea de esta publicación.

He estado buscando información sobre cómo cambiar la clave maestra de volumen (VMK) en BitLocker. Hasta ahora, no he podido encontrar ninguna información sobre cómo hacerlo. Lo más cercano que podemos obtener es de Descripción técnica del cifrado de unidad BitLocker Con el siguiente pasaje.

  

Cuando BitLocker se vuelve a habilitar, la clave no encriptada se elimina de la   El disco y la protección de BitLocker están activados de nuevo. Además, el   La clave maestra de volumen está codificada y encriptada nuevamente.

¿Esto significa que el VMK se regenera? La confusión aquí es el uso de la palabra "tecleado" en lugar de "reprogramado". Más específicamente, podemos encontrar que en la misma página, también tenemos el siguiente pasaje.

  

la adición de la clave maestra de volumen permite que el sistema se vuelva a teclear   fácilmente cuando las claves en la cadena de confianza se pierden o se ponen en peligro.

El uso intencional de la palabra "re-keyed" y "keyed" da la impresión de que tienen un significado diferente, lo que llevó a mi confusión. Con esta información en mente, mi pregunta es la siguiente.

¿Cómo se puede cambiar la clave maestra de volumen (VMK)?

    
pregunta nehcsivart 24.08.2015 - 12:57
fuente

1 respuesta

0

El diagrama en la página que has vinculado muestra la funcionalidad bastante bien. La idea es que todos los mecanismos de autenticación sean capaces de descifrar la clave maestra de volumen (VMK), que a su vez puede desbloquear la clave de encriptación de volumen total (FVEK).

La idea detrás de esto es que, si alguna de las partes de autenticación individuales está comprometida, el VMK puede cambiarse sin tener que volver a cifrar todos los datos en el disco. Esencialmente, simplemente puede cambiar el VMK y volver a cifrar el FVEK con él.

BitLocker no proporciona ninguna funcionalidad para cambiar el FVEK, ya que requeriría descifrar y volver a cifrar todo el volumen. La única forma de cambiar la clave parece ser descifrar completamente el volumen y volver a cifrarlo.

Sin embargo, cambiar el VMK es ciertamente posible. Cuando BitLocker se pone en modo deshabilitado, el VMK se cifra con una clave sustituta generada aleatoriamente, que se almacena en texto sin cifrar en el disco durante este tiempo. Como el VMK no está esencialmente protegido durante este tiempo, BitLocker genera automáticamente un nuevo VMK después de habilitarlo nuevamente.

    
respondido por el Polynomial 24.08.2015 - 13:11
fuente

Lea otras preguntas en las etiquetas