根据 Bitlocker 常见问题解答:“挂起会保持数据加密,但会使用明文密钥对 BitLocker 卷主密钥进行加密。明文密钥是未加密且不受保护地存储在磁盘驱动器上的加密密钥。通过未加密存储此密钥,挂起选项允许用于对计算机进行更改或升级,而无需解密和重新加密整个驱动器的时间和成本。进行更改并再次启用 BitLocker 后,BitLocker 会将加密密钥重新封装为更改为的测量组件的新值作为升级的一部分,卷主密钥被更改,保护器被更新以匹配,并且清除密钥被删除。”
我的问题是关于最后一部分。有谁知道清除密钥是如何“擦除”的?
它是否只是从文件系统中删除,但在驱动器上保持物理完整?(这意味着它可以通过数据恢复应用程序恢复?)
或者它是否也以某种方式被覆盖/破坏/变得无用?
基本上我正在考虑在 SSD 上的操作系统驱动器上启用 Bitlocker。但我担心任何小偷或攻击者需要做的就是在驱动器上运行数据恢复应用程序,然后可能恢复过去暂停后留下的工作清除密钥。
Bitlocker 密钥存储在三个位置,其在磁盘上的位置不会改变\xe2\x80\x99。一旦清除密钥被删除,包含剩余密钥(恢复密钥、TPM 等)的数据集就会缩小(剩余的用 00 填充)并写入同一位置。
\n而且,这三个数据集在数据最初加密时会定期更新,因为当前加密数据结束和未加密数据开始的位置也记录在这64k数据中。
\n如果有问题的设备采用磨损均衡,或者如果您能够恢复以前在固定位置写入的数据(并从那时起被覆盖),那么理论上您可以 \xe2\x80\x93 \xe2\x80\x93 取回清除密钥。(稀疏)文档没有提及任何特殊规定,以确保数据被多次覆盖或保存在闪存盘上的同一扇区。最早的 Bitlocker 实现早于闪存盘的广泛使用,因此这也不是一个问题。
\n尽管如此,对已被覆盖的数据进行数据恢复对于普通小偷来说仍然是遥不可及的,因为它需要专门的工具(以及磁盘的拆卸)。 \n在闪存驱动器上,在备用闪存驱动器之一中找到清除密钥的机会磨损均衡的扇区理论上是存在的(特别是因为它被发现了 3 次),但根据此后已经过去了多少时间,它的机会可能相当渺茫。
\n| 归档时间: |
|
| 查看次数: |
1206 次 |
| 最近记录: |