Windows Bitlocker 및 자동 잠금 해제 암호 저장 안전

19

외부 HDD를 Bitlocker로 암호화했으며 컴퓨터를 재부팅 한 후 해당 드라이브를 열려고 시도했지만 다음 메시지가 나타납니다.

여기에 이미지 설명을 입력하십시오

"지금부터이 컴퓨터에서 자동으로 잠금 해제"를 선택하면 Windows가 레지스트리 어딘가에 레지스트리에 암호를 저장한다는 의미입니까?

추신. 또는 Microsoft에서 해시 만 저장하기에 충분히 똑똑합니까?

windows-7  windows  passwords  encryption  bitlocker 
ahmd1
소스

답변:

24

여기여기에 동일한 쿼리를 게시했으며 이미 표준 응답을 받았습니다. 어쨌든, 그것은 흥미로운 질문이며 여기에 내가 찾은 것이 있습니다. Windows 7BitLocker 드라이브 암호화 : 질문과 대답 페이지에 나와 있는 것처럼 ,

고정 데이터 드라이브를 자동으로 잠금 해제하려면 운영 체제 드라이브도 BitLocker로 보호해야합니다. BitLocker로 보호 된 운영 체제 드라이브가없는 컴퓨터를 사용하는 경우 드라이브를 자동으로 잠금 해제 할 수 없습니다.

물론 BitLocker To Go 를 사용하여 이동식 데이터 드라이브를 암호화 할 때는이 기능이 적용되지 않습니다 . 귀하에게는 다음이 관련됩니다.

Windows 7에서는 암호 또는 스마트 카드를 사용하여 이동식 데이터 드라이브의 잠금을 해제 할 수 있습니다. 암호화를 시작한 후에 는 특정 컴퓨터에서 특정 사용자 계정에 대해 드라이브의 잠금을 자동으로 해제 할 수도 있습니다 . 시스템 관리자는 사용자가 사용할 수있는 옵션과 암호 복잡성 및 최소 길이 요구 사항을 구성 할 수 있습니다.

또한,

이동식 데이터 드라이브의 경우 Windows 탐색기에서 드라이브를 마우스 오른쪽 단추로 클릭하고 BitLocker 관리를 클릭하여 자동 잠금 해제를 추가 할 수 있습니다. BitLocker를 켤 때 제공 한 암호 또는 스마트 카드 자격 증명을 사용하여 다른 컴퓨터에서 이동식 드라이브의 잠금을 해제 할 수 있습니다.

암호 또는 스마트 카드를 사용하여 드라이브 잠금을 해제 한 후 Windows 7을 실행하는 컴퓨터에서 이동식 데이터 드라이브를 자동으로 잠금 해제하도록 설정할 수 있습니다. 그러나 이동식 데이터 드라이브에는 자동 잠금 해제 방법 외에 항상 암호 또는 스마트 카드 잠금 해제 방법이 있어야합니다.

이제 이동식 데이터 드라이브에 대해 자동 잠금 해제를 구성하는 방법과 다른 PC에서도 이러한 드라이브를 잠금 해제하는 방법을 알았습니다. 그러나 BitLocker가 사용하는 키는 무엇이며 어디에 저장됩니까? BitLocker 드라이브 암호화를 사용하여 데이터를 보호하기 위한 BitLocker 키 섹션 기사에 다음과 같이 나와 있습니다.

[볼륨] 섹터 자체는 FVEK (전체 볼륨 암호화 키)라는 키를 사용하여 암호화 됩니다. 그러나 FVEK는 사용자가 사용하거나 액세스 할 수 없습니다. FVEK는 볼륨 마스터 키 (VMK) 라는 키로 암호화됩니다.. 이 수준의 추상화는 몇 가지 고유 한 이점을 제공하지만 프로세스를 좀 더 이해하기 어렵게 만들 수 있습니다. FVEK는 훼손 될 경우 모든 섹터를 다시 암호화해야하기 때문에 기밀로 유지됩니다. 시간이 많이 걸리는 작업이므로 피하고 싶은 작업입니다. 대신 시스템이 VMK와 함께 작동합니다. FVEK (VMK로 암호화)는 볼륨 메타 데이터의 일부로 디스크 자체에 저장됩니다. FVEK는 로컬로 저장되지만 암호화되지 않은 디스크에는 기록되지 않습니다. VMK는 또한 하나 이상의 가능한 키 보호기에 의해 암호화 또는 "보호"됩니다. 기본 키 보호기는 TPM입니다.

따라서 VMK는 하나 이상의 키 보호기에 의해 다시 암호화됩니다. 이들은이 될 수 TPM 등, 암호, 키 파일, 데이터 복구 에이전트 인증서, 스마트 카드 이제 이동식 데이터 드라이브 자동 잠금 해제를 사용하도록 선택할 경우, 다음과 같은 자동 잠금 해제 레지스트리 키가 생성됩니다 :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\FveAutoUnlock

다음으로 "외부 키"유형의 또 다른 키 보호기가 작성되어 해당 레지스트리 위치에 다음과 같이 저장됩니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\FveAutoUnlock\{GUID}

1

키와 메타 데이터는 CryptProtectData ()를 사용하여 암호화되는 레지스트리에 저장 될 DPAPI의 현재 사용자의 로그인 정보 등을 이용하여 기능을 트리플 DES (OTOH 암호화 된 볼륨의 실제 데이터가 보호되는 128 비트 또는 256 비트 중 하나와 AESElephant 라는 알고리즘을 사용하여 선택적으로 확산됩니다 .

외부 키는 현재 사용자 계정 및 컴퓨터에서만 사용할 수 있습니다. 다른 사용자 계정이나 컴퓨터로 전환하면 FveAutoUnlock GUID 값이 다릅니다.

카란
소스
연구 해 주셔서 감사합니다, 친구! Microsoft 포럼에서 얻은 BS 답변과 달리 귀하의 답변은 암호가 저장되면 쉽게 텍스트 형식으로 되돌릴 수 없다는 희망을줍니다. 다시 감사합니다 ...
ahmd1
천만에요. 답을 직접 알고 싶습니다. 제공되는 보안은 대부분의 사용자의 감시 대상으로부터 데이터를 안전하게 보호하기에 충분해야합니다. 물론 비밀 요원이라면 아마도 데이터를 안전하게 유지하는 더 방탄 방법을 고려해야합니다. 그런 다음 다시 한 번 스파이 추측이라면 자신을 방탄 으로 만드는 방법과 같이 더 중요하게 고려해야 할 사항이 있습니다 . ;-)
Karan
Karan, 기회가 생기면 serverfault.com/questions/520356/…에 게시 한 ServerFault 게시물을 살펴볼 수 있습니다 . 내 질문은 귀하의 답변을 확장 한 것처럼 보입니다 (DPAPI를 사용하여 자동으로 BitLocker FIXED를 자동 잠금 해제하고 볼륨을 잠금 해제). 귀하의 의견은 대단히 감사하겠습니다!
bigmac
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.