암호화 비밀번호를 변경하면 모든 데이터를 다시 쓰게됩니까?

BitLocker, TrueCrypt 또는 VeraCrypt로 암호화 된 파티션에 1TB의 데이터가 있다고 가정합니다.

암호화 비밀번호를 변경하면 모든 데이터를 다시 쓰게됩니까 (즉, 시간 / 일이 소요됩니까)?

— 바즈
소스

레코드 : Windows Bitlocker에는 명시 적으로 데이터를 "다시 작성"하는 절차가 없습니다. 당신은 해야한다 디스크의 암호를 해독하고 다시 암호화

— USR-로컬 ΕΨΗΕΛΩΝ

일부 암호화 하드 드라이브는 거의 즉각적으로 테라 바이트의 "닦아 내기"를 수행 할 수있는 것처럼 키를 지우는 것만으로 전체 암호화 된 디스크를 사실상 지우는 것과 관련

— Xen2050

이와 관련하여 (답이 언급되지는 않지만) 사용자가 선택한 암호는 너무 짧고 엔트로피가 너무 큽니다 (너무 쉽게 추측 할 수 있음). 따라서 드라이브 는 좋은 키로 암호화 된 다음 암호화 키는 끔찍한 키로 보호됩니다 (아아).

— Clockwork-Muse

@ Clockwork-Muse 원래 단축 키로 암호화하는 것보다 낫습니다.

— gvgramazio

답변:

비밀번호는 마스터 키만 암호화하는 데 사용됩니다. 비밀번호를 변경하면 마스터 키는 다시 암호화되지만 자체는 변경되지 않습니다.

(BitLocker 또는 LUKS와 같은 일부 시스템은 동일한 디스크에 대해 여러 개의 암호를 가질 수있는 방법입니다. 모든 데이터에 대해 단일 마스터 키를 사용하지만 다른 암호로 암호화 된 여러 마스터 키 사본 만 저장합니다.)

— 횡령
소스

대단히 감사합니다! 당신은 그것에 대한 자세한 내용과 링크가 있습니까? 마스터 키가 파티션의 시작 부분 (매우 첫 바이트)에 저장 (암호로 암호화)되어 있습니까?

— Basj

유용한 링크가 없지만 Twisty의 답변을 참조하십시오.

— grawity

다음 질문은 명백합니다. 마스터 키를 변경할 수 있습니까?

— gvgramazio

@gvgramazio : 가능하지만 별도의 스레드 여야합니다. 사용중인 특정 fde 프로그램과 운영 체제를 언급해야합니다. (기술적으로는 가능하지만 실제로는 사용할 수있는 도구가 없을 수도 있습니다.) 또한 변경이 필요할 수 있다고 생각하는 이유를 언급하십시오.

— grawity

그 이유는 암호를 변경하려는 이유와 거의 같습니다. 암호가 발견되어 마스터 키가 발견되었을 수 있습니다. 물론 암호화 된 마스터 키에 액세스 할 수 있어야하지만 가능할 수도 있습니다. 마스터 키가 발견되었다고 의심되는 경우 비밀번호 만 변경해도 아무런 영향이 없습니다.

— gvgramazio

Grawity의 답변 이 맞습니다. 데이터 암호화는 상대적으로 비용이 많이 드는 프로세스이므로 암호화 된 데이터 수명 동안 변경되지 않는 단일 마스터 키를 만드는 것이 더 합리적입니다. 그런 다음이 마스터 키는 하나 이상의 보조 키에 의해 암호화 된 다음 원하는대로 유연하게 변경할 수 있습니다.

예를 들어, BitLocker가이를 구현하는 방법은 다음과 같습니다 (실제로 세 개의 "레이어"키 사용).

BitLocker로 보호 된 볼륨에 기록 된 데이터는 FVEK ( 전체 볼륨 암호화 키 )로 암호화됩니다 . 이 키는 볼륨에서 BitLocker가 완전히 제거 될 때까지 변경되지 않습니다 .
FVEK는 볼륨 마스터 키 (VMK)로 암호화 된 다음 볼륨의 메타 데이터에 암호화 된 형식으로 저장됩니다.
VMK 는 PIN / 암호와 같은 하나 이상의 키 보호기로 암호화됩니다 .

다음 그림은 BitLocker 전체 볼륨 암호화가 활성화 된 시스템에서 암호화 된 시스템 디스크에 액세스하는 프로세스를 보여줍니다.

이 프로세스에 대한 자세한 정보는 TechNet 에서 찾을 수 있습니다 .

— 복직 자 모니카
소스

참고 : 이는 또한 (합법적 인) 액세스 권한이있는 동안 해독 된 FVEK의 복사본을 얻을 정도로 기울어 진 사람이 암호화 된 디스크와 접촉 할 경우 암호화 된 데이터에 계속 제한없이 액세스 할 수 있음을 의미합니다. PIN / 비밀번호 / VMK. 다소 안타깝습니다 (IOW, 암호를 변경하는 대부분의 경우, 그러한 경우로부터 보호를 받으려면 수동으로 새 암호 구 / 복원주기를 사용하여 전체 백업 / 삭제 / 재 작성을 수행해야합니다.)

— Matija Nalis

그러나 실제로는 실제 액세스 권한이나 관리 권한을 가진 원격 액세스 권한이 필요합니다 . 공격자가 이것들 중 하나를 가지고 있다면, 충분히 말했다.

— 나는 말한다 Reinstate Monica

예, 물리적 접근을 생각하고있었습니다. 컴퓨터가 실행 중이고 디스크가 잠금 해제되어있는 동안 보안 관점에서 무관 한 전체 디스크 암호화. 그러나 기계가 꺼져 있거나 도난 당했을 때 (택시 또는 공항에서 랩탑을 생각하십시오), (소유자가없는 동안 호텔 방에 액세스를 제공하기 위해 하녀를 지불 한 것으로 간주) 또는 하드웨어 고장 또는 약을 해제합니다 - 지금 당신은 아직도 하드웨어의 전자기장, 물리적 파쇄 및 소각을해야 할 것이다 대신 그냥 재활용 (또는 직원들에게 제공이나 이베이 등의 판매)의

— 마티 Nalis

@TwistyImpersonator 디스크 암호화의 전체 목적은 누군가가 물리적으로 액세스 할 때 데이터를 보호하는 것입니다. 따라서 시나리오는 헛되지 않습니다. 요점입니다.

— Monica와의 가벼움 경주

@LightnessRacesinOrbit 나는 그것을 알고있다. 암호화가 완료 되기 전에 VMK의 제안 된 취약점과 관련하여 의견이 작성 되었습니다. 이 특정 시간 창에서 암호화는 물리적 액세스 권한이나 원격 관리자 권한이있는 공격자로부터 보호 되지 않습니다 .

— 나는