Windows Bitlocker und automatische Passwortspeicherung

19

Ich habe meine externe Festplatte mit einem Bitlocker verschlüsselt und nach dem Neustart des Computers habe ich versucht, das Laufwerk zu öffnen und die folgende Meldung erhalten:

Bildbeschreibung hier eingeben

Wenn ich "Automatisch von jetzt an auf diesem Computer entsperren" wähle, bedeutet dies, dass Windows mein Kennwort irgendwo in der Registrierung speichert?

PS. Oder sind sie bei Microsoft schlau genug, um nur den Hash zu speichern - am besten gesalzen?

ahmd1
quelle

Antworten:

24

Wie ich sehe, haben Sie hier und hier dieselbe Anfrage gestellt und bereits eine Standardantwort erhalten. Wie auch immer, es ist eine interessante Frage und hier ist, was ich gefunden habe. Da die BitLocker - Laufwerkverschlüsselung in Windows 7: Häufig gestellte Fragen Seite Staaten,

Für das automatische Entsperren von festen Datenlaufwerken muss das Betriebssystemlaufwerk ebenfalls durch BitLocker geschützt sein. Wenn Sie einen Computer ohne BitLocker-geschütztes Betriebssystemlaufwerk verwenden, kann das Laufwerk nicht automatisch entsperrt werden.

Dies gilt natürlich nicht für Sie, da Sie BitLocker To Go zum Verschlüsseln von Wechseldatenlaufwerken verwenden. Für Sie ist Folgendes relevant:

In Windows 7 können Sie Wechseldatenträger mithilfe eines Kennworts oder einer Smartcard entsperren. Nachdem Sie die Verschlüsselung gestartet haben, kann das Laufwerk auf einem bestimmten Computer für ein bestimmtes Benutzerkonto automatisch entsperrt werden . Systemadministratoren können konfigurieren, welche Optionen für Benutzer verfügbar sind, sowie die Komplexität des Kennworts und die Mindestlängenanforderungen.

Ebenfalls,

Bei Wechseldatenlaufwerken können Sie die automatische Entsperrung hinzufügen, indem Sie im Windows Explorer mit der rechten Maustaste auf das Laufwerk und dann auf BitLocker verwalten klicken. Sie können weiterhin das Kennwort oder die Smartcard-Anmeldeinformationen verwenden, die Sie beim Aktivieren von BitLocker angegeben haben, um das Wechsellaufwerk auf anderen Computern zu entsperren.

und

Wechseldatenlaufwerke können so eingestellt werden, dass sie auf einem Computer unter Windows 7 automatisch entsperrt werden, nachdem das Kennwort oder die Smartcard zum Entsperren des Laufwerks verwendet wurden. Wechseldatenträger müssen jedoch zusätzlich zur automatischen Entsperrungsmethode immer eine Kennwort- oder eine Smartcard-Entsperrungsmethode aufweisen.

Jetzt wissen wir, wie die automatische Entsperrung für Wechseldatenlaufwerke konfiguriert werden kann und wie solche Laufwerke auch auf anderen PCs entsperrt werden können. Aber welche Schlüssel werden von BitLocker verwendet und wo werden sie gespeichert? Im Abschnitt " BitLocker-Schlüssel " des Artikels " Schlüssel zum Schützen von Daten mit BitLocker-Laufwerkverschlüsselung" heißt es:

Die Sektoren des [Volumes] selbst werden mit einem Schlüssel verschlüsselt, der als Full-Volume Encryption Key (FVEK) bezeichnet wird . Der FVEK wird jedoch nicht von Benutzern verwendet oder ist für diese nicht zugänglich. Der FVEK wird wiederum mit einem Schlüssel verschlüsselt, der als Volume Master Key (VMK) bezeichnet wird.. Diese Abstraktionsebene bietet einige einzigartige Vorteile, kann jedoch das Verständnis des Prozesses erschweren. Das FVEK wird als streng gehütetes Geheimnis gehütet, da im Falle einer Kompromittierung alle Sektoren neu verschlüsselt werden müssten. Da dies eine zeitaufwendige Operation wäre, möchten Sie sie vermeiden. Stattdessen arbeitet das System mit dem VMK. Das FVEK (mit dem VMK verschlüsselt) wird auf der Festplatte selbst als Teil der Volume-Metadaten gespeichert. Obwohl der FVEK lokal gespeichert ist, wird er niemals unverschlüsselt auf die Festplatte geschrieben. Das VMK ist ebenfalls verschlüsselt oder "geschützt", jedoch durch einen oder mehrere mögliche Schlüsselschützer. Der Standardschlüsselschutz ist das TPM.

Das VMK wird also erneut von einem oder mehreren Schlüsselschützern verschlüsselt. Dies können das TPM , ein Kennwort, eine Schlüsseldatei, ein Datenwiederherstellungsagentenzertifikat, eine Smartcard usw. sein. Wenn Sie nun die automatische Entsperrung für ein Wechseldatenlaufwerk aktivieren, wird der folgende Registrierungsschlüssel für die automatische Entsperrung erstellt:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\FveAutoUnlock

Als nächstes wird ein weiterer Schlüsselschutz vom Typ "Externer Schlüssel" erstellt und an diesem Registrierungsort gespeichert als:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\FveAutoUnlock\{GUID}

1

Der Schlüssel und die Metadaten, die in der Registrierung gespeichert werden sollen, werden mit der DPAPI- Funktion CryptProtectData () unter Verwendung der Anmeldeinformationen des aktuellen Benutzers und Triple DES (OTOH) verschlüsselt. Die tatsächlichen Daten auf dem verschlüsselten Volume werden entweder mit 128-Bit- oder 256-Bit- AES und geschützt optional mit einem Algorithmus namens Elephant verbreitet ).

Der externe Schlüssel kann nur mit dem aktuellen Benutzerkonto und Computer verwendet werden. Wenn Sie zu einem anderen Benutzerkonto oder Computer wechseln, unterscheiden sich die FveAutoUnlock-GUID-Werte.

Karan
quelle
Ich schätze deine Forschung, mein Freund! Im Gegensatz zu der BS-Antwort, die ich vom Microsoft-Forum erhalten habe, gibt mir Ihre Antwort die Hoffnung, dass das Kennwort nach dem Speichern nicht einfach wieder in eine Textform umgewandelt werden kann.
Nochmals vielen
Gern geschehen, und ich wollte die Antwort selbst wissen. Die gebotene Sicherheit sollte ausreichen, um Ihre Daten vor den neugierigen Blicken der meisten Benutzer zu schützen. Wenn Sie ein Geheimagent sind, sollten Sie sich natürlich mehr mit kugelsicheren Methoden zum Schutz Ihrer Daten befassen. Andererseits, wenn Sie ein Spion sind, müssen Sie sich um wichtigere Dinge kümmern, wie zum Beispiel, wie Sie sich kugelsicher machen können . ;-)
Karan
Karan, wenn Sie eine Chance haben, können Sie sich den ServerFault-Beitrag ansehen, den ich unter serverfault.com/questions/520356/… gepostet habe . Meine Frage scheint eine Erweiterung Ihrer Antwort zu sein (mithilfe von DPAPI wird BitLocker FIXED (nicht entfernbare) Volumes automatisch entsperrt). Ihre Eingabe wäre sehr dankbar!
Bigmac