web-dev-qa-db-ja.com

自分のAESディスク暗号化キーを抽出することはできますか?

私はCheckPoint Full Disk Encryptionを使用していますが、この質問に一般的に答えられることを願っています。自分の256ビットAESキーを取得または抽出することは可能ですか?ちなみに、復号化自体には特別なパスワードは使用していません。そのため、このキーはWindowsのログインパスワードのみに基づいている必要があります(クラックを防ぐのに十分な長さであると想定できます)。

(なぜですか?何か問題が発生した場合に備えて、キーを書き留めておくと便利です。キーを「クラウド」にプッシュできることを理解しており、問題が発生した場合は会社の誰かに連絡できますが、いくつかあります。家に書き留めておけば安心です。これにより、泥棒がそのメモとハードディスクを盗んですべての情報を入手できることは理解していますが、ここでこの哲学的な議論を始めたくはありません。 )

私が見ているように、Check Pointは、必要に応じてプルダウンメニュー内のキーを表示できますが、おそらく表示しないことを選択します。さらに、Windows 7 DPAPIは、ログインした後でも他のソフトウェアがキーを抽出するのを防ぐと思います(したがって、そのソフトウェアには、ハードドライブの物理アクセスや復号化アクセスなど、あらゆることを行うための完全なアクセス許可が与えられます)。

ここでの私の目標は、実際には上記の段落の両方の文を確認することです。より一般的には、ログインパスワードのみを使用するDPAPIが、(完全なアクセス許可と物理ハードディスクアクセスを備えた)いたずらアプリケーションが他のアプリケーションの保護されたデータを決定するのを本当に防ぐことができるかどうかについて興味があります...しかし、おそらくマイクロソフトの設計目標でした。

2
bobuhito

はい、原則として、フルディスク暗号化ソフトウェア(特にチェックポイントなどのビジネス製品)には、リカバリキーをバックアップする何らかの方法が含まれています。ドキュメントを確認するか、IT部門に問い合わせてください。

ちなみに、それはあなたのWindowsログオンを使用していません。結局のところ、Windowsも暗号化されたディスク上にありますなので、ログオンプロンプトが表示されるずっと前にロックを解除する必要があります。パスワードの入力を求められない場合は、マシンの電源を入れるたびにドライブを自動的に復号化するTPMチップを使用している可能性が高いため、キーはディスクに保存されません。

2
Graham Hill