web-dev-qa-db-ja.com

マスターボリュームキーはBitLockerでどのような追加機能を提供しますか?

このことから [〜#〜] faq [〜#〜] 、BitLockerがハードドライブを暗号化するために次のキーを使用することを理解しています。

  • フルボリューム暗号化キー(FVEK)(生データの暗号化に使用され、ボリュームマスターキーによって暗号化され、ディスクに保存されます)
  • ボリュームマスターキー(VMK)(キープロテクターによって暗号化され、ディスクに保存されます)
  • キープロテクター(KP)(TPMまたは数値パスワード)

VMKが提供するセキュリティ値がわかりません。 KPを使用してFVEKを直接暗号化しないのはなぜですか?

いずれにせよ、KPがリークした場合、とにかくFVEKを取得できますか?

1
Shuzheng

記事をご覧ください BitLockerドライブ暗号化の技術概要

セクション BitLockerアーキテクチャ には、ニース図と次のテキストが含まれています。

図1は、BitLockerで保護されたボリュームがフルボリューム暗号化キーで暗号化され、フルボリューム暗号化キーがボリュームマスターキーで暗号化される方法を示しています。ボリュームマスターキーを保護することは、ボリューム上のデータを保護する間接的な方法です。ボリュームマスターキーを追加すると、トラストチェーンの上流のキーが失われたり、侵害されたりした場合に、システムのキーを簡単に再設定できます。システムのキーを再生成するこの機能により、ボリューム全体を再度復号化および暗号化するコストを節約できます。

認証メカニズムはすべてボリュームマスターキー(VMK)を復号化でき、VMKはフルボリューム暗号化キー(FVEK)のロックを解除できるという考え方です。これは、個々の認証部分が危険にさらされた場合、VMKを変更してFVEKを再暗号化することにより、VMKを変更できることを意味しますなしディスク上のすべてのデータを再暗号化します。

BitLocker自体は、ボリューム全体の復号化と再暗号化が必要になるため、FVEKを変更する機能を提供しませんが、VMKを変更することは可能です。

1
harrymc