J'ai fait une analyse plus poussée et je pense avoir déterminé qu'une attaque par force brutale sur le mot de passe de récupération ne serait pas une bonne utilisation du temps de quiconque ... c'est-à-dire en supposant que mes calculs soient corrects.
Le mot de passe de récupération est créé à partir d'une clé de 128 bits, divisée en 8 groupes de 16 bits d'entropie, écrite avec une valeur comprise entre 0 et 65 535 (2 ^ 16 - 1). Chaque groupe de six chiffres doit être divisible par 11, ce qui sert à vérifier les clés mal saisies par l'utilisateur lors de la saisie des groupes.
Chacun des 8 groupes de 6 chiffres doit être inférieur à 720 896 (ce qui correspond à 2 ^ 16 * 11); indiquant que chacun des huit groupes a 2 ^ 16 valeurs possibles, ce qui signifie qu'il y a (2 ^ 16) ^ 8 combinaisons possibles; qui est ~ 3,4028 x 10 ^ 38 combinaisons.
En supposant que nous puissions d'une manière ou d'une autre traiter 500 trillions de mots de passe par heure (ce qui représente 3 623 fois plus que la capacité d'environ 138 milliards de mots de passe par heure d'un ordinateur de bureau en 2008 avec une charge de 10% ), cela nous prendrait toujours environ 7,7 x 10 ^ 19 ans. forcer brutalement à craquer ce mot de passe de récupération numérique de 48 caractères.
De toute évidence, les attaquants ne prendraient probablement pas en considération les attaques par force brute contre le mot de passe de récupération BitLocker et auraient plutôt recours à une attaque contre les maillons les plus faibles de la chaîne.