Se abilito Bitlocker su un normale computer Windows 10, come funziona il processo di sblocco? Presumo di aver inserito la mia password di Windows e a quel punto inizia il processo di sblocco. Perché esiste un'opzione di pre-avvio aggiuntiva e in che modo ciò contribuisce alla sicurezza?
No, non è così che funziona BitLocker. BitLocker ha una partizione aggiuntiva che memorizza le informazioni sul processo di crittografia / decrittografia insieme ad alcuni metadati. Contiene il codice utilizzato, la modalità blocco, la dimensione della chiave, il numero di slot utilizzati e il metodo di autenticazione (tra le altre cose).
Con informazioni sufficienti da questa partizione può iniziare il processo di decodifica. All'utente viene richiesto il suo passphrase o il file della chiave privata (in caso di USB) e può decifrare i moduli, i driver e gli eseguibili bootstrap per caricare il kernel.
Il disco non viene decifrato all'avvio, ma Windows utilizza un ulteriore livello IO. Questo livello si aggancia tra il driver del file system e il driver del disco e decrittografa le informazioni sul recupero (e crittografa su scrittura). Finché i sistemi operativi vengono eseguiti, il segreto viene archiviato nella memoria protetta (kernel). Pertanto è importante spegnere il computer con garbo e dare a Windows il tempo di annullare la memoria. Lo stesso vale per altri sistemi.
Non mi piace la risposta di @Yorick. Questa affermazione:
The disk is not decrypted at boot, but instead Windows makes use of an additional IO layer
È fuorviante * . Una volta montato il volume crittografato, i contenuti sono accessibili in modo trasparente al software in esecuzione sul dispositivo come se non fosse affatto crittografato.
FDE protegge contro il furto di dati offline . Una volta montato, il volume viene decifrato efficacemente e oltre la protezione FDE.
Per quanto riguarda la domanda di follow-up dell'OP su pre-boot pin:
Bitlocker ha 5 diversi modi di operare :
Il meno sicuro è solo TPM, in cui il TPM viene utilizzato per sbloccare l'unità all'avvio senza ulteriore intervento. Questo protegge i dati nel caso in cui l'unità venga rimossa dal dispositivo, poiché non può essere sbloccata senza il TPM del dispositivo. Non protegge l'unità se l'intero dispositivo viene rubato o utilizzato in altro modo da un utente malintenzionato.
La modalità TPM + PIN, che è la domanda a cui si fa riferimento, aggiunge un pin al processo, quindi per poter utilizzare il TPM per sbloccare l'unità, l'utente deve inserire un pin. Questo protegge anche dal furto del dispositivo, aggiungendo maggiore sicurezza alla modalità precedente. Il compromesso è che richiede la presenza fisica all'avvio. Di solito non è un problema per i laptop, un grosso problema per i server.
Poi ci sono password, smartcard e chiavetta USB contenenti la chiave di sblocco (quest'ultima utile quando non c'è tpm sul dispositivo). Sono consentite anche alcune combinazioni dei diversi metodi.
* Non sto dicendo che la risposta sia sbagliata, ma quella affermazione è fuorviante e confonde inutilmente i principianti
Leggi altre domande sui tag disk-encryption bitlocker