BitLocker con Gestione chiavi di crittografia DPAPI di Windows

4

Dichiarazione di non responsabilità: mi rendo conto che ho postato questa domanda su ServerFault, ma non ho ricevuto alcuna risposta lì. Spero che questo forum potrebbe essere un posto più appropriato per postare questo per una risposta. Se non sono corretto, fatemelo sapere e cancellerò questo post.

Abbiamo la necessità di applicare la crittografia a riposo su un LUN iSCSI accessibile da una macchina virtuale Hyper-V.

Abbiamo implementato una soluzione funzionante utilizzando BitLocker, utilizzando Windows Server 2012 su un server virtuale Hyper-V con accesso iSCSI a un LUN sulla nostra SAN. Siamo stati in grado di farlo con successo utilizzando la funzione di "archiviazione delle chiavi del disco floppy" come definito in QUESTO POST . Tuttavia, questo metodo mi sembra "hokey".

Nella mia continua ricerca, ho scoperto che il team IT di Amazon Corporate ha pubblicato un WHITEPAPER che ha delineato esattamente ciò che stavo cercando in una soluzione più elegante, senza il "floppy disk hack". Nella pagina 7 di questo white paper, dichiarano di aver implementato Gestione chiavi di crittografia DPAPI di Windows per gestire in modo sicuro le loro chiavi BitLocker. Questo è esattamente quello che sto cercando di fare, ma hanno dichiarato che dovevano scrivere uno script per farlo, ma non forniscono lo script o anche alcun suggerimento su come crearne uno.

Qualcuno ha dettagli su come creare uno script "insieme a un servizio e un file keystore protetto dalla chiave DPAPI dell'account macchina del server" (come dichiarano nel white paper) a gestire e auto-sbloccare i volumi di BitLocker? Qualsiasi consiglio è apprezzato.

    
posta bigmac 08.07.2013 - 20:10
fonte

1 risposta

3

DPAPI funziona fondamentalmente in due modi: le informazioni che stai proteggendo sono crittografate a livello di macchina o a livello di utente.

Se sei in esecuzione come servizio, devi utilizzare il livello della macchina. Se stai utilizzando un utente, puoi utilizzare il livello utente. La differenza è che a livello di utente, la password dell'utente fornisce fondamentalmente la crittografia per i dati che si passano all'API. A livello di macchina ha qualcosa a che fare con l'hardware o l'installazione di Windows (non sono sicuro).

Se qualcuno avesse accesso fisico al computer, non sarebbe in grado di decrittografare la tua password BitLocker senza conoscere la tua password di Windows (o di aver effettuato il login come già tu). Con la crittografia a livello macchina, è un po 'più debole. Chiunque abbia accesso fisico può ottenere la chiave. Ma protegge da scenari in cui l'autore dell'attacco si trova in una posizione remota.

Questo è il tuo link per usare DPAPI con .NET:

link

Ed ecco un link per l'API Win32 di BitLocker:

link

Dovrai lavorare su come utilizzare l'API di BitLocker, perché devi chiamare le funzioni Win32 non gestite dal .NET Framework gestito.

    
risposta data 16.07.2013 - 19:42
fonte

Leggi altre domande sui tag