Назад | Перейти на главную страницу

BitLocker с TPM: как заменить предохранитель ключа восстановления цифрового пароля на предохранитель ключа восстановления буквенно-цифрового пароля?

C:\Windows\system32>manage-bde -status
BitLocker Drive Encryption: Configuration Tool version 10.0.17763
Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Disk volumes that can be protected with
BitLocker Drive Encryption:
Volume C: [OS]
[OS Volume]

Size:                 77.62 GB
BitLocker Version:    2.0
Conversion Status:    Fully Encrypted
Percentage Encrypted: 100.0%
Encryption Method:    XTS-AES 128
Protection Status:    Protection On
Lock Status:          Unlocked
Identification Field: Unknown
Key Protectors:
    TPM
    Numerical Password


C:\Windows\system32>

Могу ли я заменить предохранитель ключа цифрового пароля на предохранитель буквенно-цифрового пароля, поскольку он более безопасен (больше возможных перестановок со всеми символами, а не только с цифрами 0-9)?

Нет необходимости заменять ключ восстановления пароля буквенно-цифровым. Для этого также нет никаких настроек, потому что это не в форме, которую можно было бы заменить буквенно-цифровым ключом.

  • Если бы ключ восстановления пароля был 48-значным числом, он имел бы log₂ (10⁴⁸) ≈ 159 бит энтропии. Но на самом деле это 8 групп по 16 бит энтропии (8 значений от 0 до 65 535), то есть 128 бит энтропии. Это сравнимо с 21-символьным буквенно-цифровым случайным паролем, сочетающим строчные и заглавные буквы с числами, имеющими log₂ ((26 + 26 + 10) ²¹) ≈ 125 бит энтропии; 22 символа имеют 131 бит энтропии.

  • Encryption Method: XTS-AES 128. Все, что превышает 128 бит, в любом случае ничего не добавит.

Цифровой пароль - это пароль восстановления. Ключ восстановления теоретически более безопасен. Например, я считаю, что в государственном секторе федерального правительства не разрешены средства защиты паролем восстановления, а разрешены только средства защиты ключей восстановления.

Однако с вашей текущей конфигурацией вы должны знать, что если ваш компьютер был потерян или украден, защитное средство восстановления не требуется для разблокировки жесткого диска. Для подключения к шине LPC и перехвата защитного ключа TPM при запуске компьютера можно использовать простое и недорогое аппаратное устройство. Затем это можно использовать с открытым исходным кодом для разблокировки тома.

Так, добавление Защитник паролей будет намного безопаснее, чем ваша текущая конфигурация.

Больше информации:

https://pulsesecurity.co.nz/articles/TPM-sniffing
https://github.com/libyal/libbde

https://blogs.technet.microsoft.com/askcore/2014/12/29/how-to-make-your-existing-bitlocker-encrypted-environment-fips-complaint/