このことから [〜#〜] faq [〜#〜] 、BitLockerがハードドライブを暗号化するために次のキーを使用することを理解しています。
VMKが提供するセキュリティ値がわかりません。 KPを使用してFVEKを直接暗号化しないのはなぜですか?
いずれにせよ、KPがリークした場合、とにかくFVEKを取得できますか?
記事をご覧ください BitLockerドライブ暗号化の技術概要 。
セクション BitLockerアーキテクチャ には、ニース図と次のテキストが含まれています。
図1は、BitLockerで保護されたボリュームがフルボリューム暗号化キーで暗号化され、フルボリューム暗号化キーがボリュームマスターキーで暗号化される方法を示しています。ボリュームマスターキーを保護することは、ボリューム上のデータを保護する間接的な方法です。ボリュームマスターキーを追加すると、トラストチェーンの上流のキーが失われたり、侵害されたりした場合に、システムのキーを簡単に再設定できます。システムのキーを再生成するこの機能により、ボリューム全体を再度復号化および暗号化するコストを節約できます。
認証メカニズムはすべてボリュームマスターキー(VMK)を復号化でき、VMKはフルボリューム暗号化キー(FVEK)のロックを解除できるという考え方です。これは、個々の認証部分が危険にさらされた場合、VMKを変更してFVEKを再暗号化することにより、VMKを変更できることを意味しますなしディスク上のすべてのデータを再暗号化します。
BitLocker自体は、ボリューム全体の復号化と再暗号化が必要になるため、FVEKを変更する機能を提供しませんが、VMKを変更することは可能です。