Aggiornamento dell'anniversario con Bitlocker Riavvia senza chiave di crittografia

4

Ho installato Windows 10 Professional e ho evitato l'Anniversary Update fino a ieri. Il computer ha installato l'aggiornamento nonostante i miei migliori sforzi per fermarlo. Ma questo è un problema diverso.

Ho configurato Bitlocker per richiedere una chiave memorizzata nel TPM, un'altra chiave memorizzata su una pen drive USB Apricorn e un pin alfanumerico da 20 caratteri per avviare il sistema operativo. Quando l'Anniversary Update ha avuto bisogno di riavviare la macchina, mi sono preparato a fornire la chiave e il pin necessari ma ho visto il computer continuare il processo di aggiornamento senza il file chiave o il pin necessari. Ho visto la schermata della scheda grafica, la schermata di posta raid e la schermata di post della scheda madre, ma non lo schermo di pin di Bitlocker. Com'è possibile? Un riavvio dovrebbe cancellare la RAM, dove sono memorizzate le chiavi di crittografia. Come ha fatto l'applicazione Anniversary Update a leggere il disco rigido crittografato senza il file chiave o il pin?

È stata scritta una chiave di ripristino nel settore di avvio o nella partizione di avvio di Windows in uno stato non crittografato? O Bitlocker era temporaneamente disabilitato? Se é cosi, come? Decifrare un file system richiede molto tempo, anche con quattro SSD in esecuzione RAID 0 (930 GB di spazio utilizzabile). Il processo di installazione per l'aggiornamento non ha richiesto abbastanza tempo per tale operazione, né alla fine è stato eseguito un lungo processo di re-encryption.

Se una chiave di ripristino è stata scritta nel settore di avvio / partizione, come posso determinare se è stata cancellata in modo sicuro? Bare in mente, queste sono unità di stato vendute che cercano di pareggiare le scritture su disco per far durare più a lungo il supporto di memorizzazione. Ho bisogno di blocchi specifici azzerati che memorizzassero la chiave di ripristino. Ho dati estremamente sensibili memorizzati su questa macchina, e il minimo rischio di questo tipo di vulnerabilità richiederebbe la distruzione fisica di tutti e quattro gli SSD.

    
posta krwendland 23.01.2017 - 04:20
fonte

1 risposta

3

So che hai già una risposta altrove .

Tuttavia, nel caso in cui qualcun altro si imbattesse nella tua domanda, proverò a fornire una breve spiegazione:

In Windows 10, l'Anniversary Update (1607), così come gli altri "Aggiornamenti delle funzionalità" (Aggiornamento di Novembre [1511], Aggiornamento dei Creatori [1703], ...) sono in effetti aggiornamenti importanti , in qualche modo simile a un aggiornamento da Windows 7/8 a Windows 10 (si finisce con una cartella Windows.old , per esempio).

Durante questi importanti aggiornamenti di sistema, Bitlocker non è disabilitato : l'unità non viene decrittografata prima dell'aggiornamento e quindi crittografata nuovamente dopo l'aggiornamento, come è stato correttamente dedotto.

Invece, Bitlocker è sospeso .

La differenza tra sospendere e decrittografare è spiegata in Domande frequenti su Bitlocker :

Decrypt completely removes BitLocker protection and fully decrypts the drive.

Suspend keeps the data encrypted but encrypts the BitLocker volume master key with a clear key. The clear key is a cryptographic key stored unencrypted and unprotected on the disk drive. By storing this key unencrypted, the Suspend option allows for changes or upgrades to the computer without the time and cost of decrypting and re-encrypting the entire drive. After the changes are made and BitLocker is again enabled, BitLocker will reseal the encryption key to the new values of the measured components that changed as a part of the upgrade, the volume master key is changed, the protectors are updated to match and the clear key is erased.

    
risposta data 27.07.2017 - 15:14
fonte

Leggi altre domande sui tag