web-dev-qa-db-ja.com

暗号化パスワードを変更することは、すべてのデータを書き換えることを意味しますか?

BitLocker、TrueCrypt、またはVeraCryptで暗号化されたパーティションに1 TBのデータがあるとしましょう。

暗号化パスワードの変更は、すべてのデータの書き換えを意味しますか(つまり、数時間/数日かかりますか)。

49
Basj

いいえ。パスワードはマスターキーのみを暗号化するために使用されます。パスワードを変更すると、マスターキーは再暗号化されますが、それ自体は変更されません。

(これが、BitLockerやLUKSなどの一部のシステムで同じディスクに複数のパスワードを設定できることです。すべてのデータに単一のマスターキーを使用しますが、異なるパスワードで暗号化されたマスターキーのコピーを複数保存するだけです)

79
grawity

Grawityの answer は正しいです。データの暗号化は比較的高価なプロセスであるため、暗号化されたデータの有効期間中に変更されない単一のマスターキーを作成する方が合理的です。次にこのマスターキーを1つまたは複数のセカンダリキーで暗号化し、それを自由に変更することができます。

たとえば、BitLockerがこれを実装する方法は次のとおりです(実際には3つの "レイヤー"のキーを使用します)。

  1. BitLockerで保護されたボリュームに書き込まれたデータは、フルボリューム暗号化キー(FVEK)で暗号化されます。このキーは、BitLockerが完全にからボリュームから削除されるまで変わりません。
  2. FVEKはボリュームマスターキー(VMK)で暗号化されてから、(暗号化された形式で)ボリュームのメタデータに格納されます。
  3. VMKは、PIN /パスワードなど、1つ以上のキープロテクタで暗号化されています。

次の図は、BitLockerフルボリューム暗号化が有効になっているコンピューター上の暗号化されたシステムディスクにアクセスするプロセスを示しています。

Scheme of disk decryption

このプロセスに関する詳細情報は TechNet にあります。

35