Cambio de contraseña de BitLocker

7

Mi equipo en el trabajo estaba trabajando recientemente para cifrar algunos discos duros utilizando BitLocker de Microsoft en hosts de Windows 7. El cifrado inicial de las unidades de 2 TB tardó varias horas en completarse. Todo esto está bien y excelente.

Sin embargo, lo que me preocupa es que al cambiar la contraseña, el proceso fue instantáneo. Esto no tiene sentido para mí, ya que asumí que BitLocker estaba usando mi contraseña provista (o algún derivado de hash) para realizar el cifrado. Si ese fuera el caso, entonces la unidad debería requerir un descifrado completo seguido de un nuevo cifrado (un proceso de varias horas, ¿no?).

Entonces, ¿cómo encripta BitLocker los datos? ¿Utiliza algún valor secreto oculto en las profundidades del código de Windows para realizar el cifrado? Y si es así, ¿mi contraseña es simplemente una comprobación para ver si Windows permitirá el descifrado? Si es así, ¿qué protección realmente obtengo de BitLocker, ya que una clave de cifrado almacenada es una clave de cifrado rompible ...

    
pregunta Sam 04.09.2014 - 23:35
fuente

2 respuestas

12

BitLocker usa algo llamado claves sustitutas. Los datos en el disco se cifran con una clave aleatoria (clave sustituta), y esa clave luego se cifra con una segunda clave derivada de su contraseña (clave de encabezado). La clave sustituta encriptada se almacena en el encabezado del volumen.

Cuando ingresa su contraseña, el sistema deriva la clave del encabezado, luego la usa para descifrar la clave sustituta, que a su vez se usa para descifrar los datos. Cambiar su contraseña simplemente vuelve a cifrar ese encabezado de volumen con una nueva clave de encabezado, en lugar de todo el disco.

    
respondido por el Polynomial 04.09.2014 - 23:39
fuente
2

Solo para elaborar un poco sobre la respuesta original. En realidad, hay dos claves "sustitutas". Hay algo que se llama FVEK (Clave de cifrado de volumen completo) derivadas de las que realmente se utilizan para realizar el cifrado de datos en el disco y luego hay una MVK (Clave de volumen maestra) que se utiliza para cifrar el FVEK en el encabezado. Es el MVK que luego se cifra mediante las claves utilizadas para acceder al volumen, como la clave derivada de la contraseña, la clave de recuperación, la contraseña de recuperación, la contraseña del TPM o la llave USB. Si una de las claves de último nivel está comprometida y el atacante ha tenido acceso al disco mientras se estaba utilizando esa clave, entonces sí, toda la estructura está comprometida.

Por otra parte, si la contraseña está comprometida pero ha mantenido el control sobre el disco (y nadie hizo una copia de seguridad de su encabezado antes de tiempo), simplemente cambiando la contraseña vuelve a cifrar MVK y MVK cifrados por la contraseña anterior se elimina.

    
respondido por el DRF 28.04.2015 - 16:03
fuente

Lea otras preguntas en las etiquetas