Windows Bitlocker et sécurité de stockage de mot de passe de déverrouillage automatique

19

J'ai crypté mon disque dur externe avec un Bitlocker et après avoir redémarré l'ordinateur, j'ai essayé d'ouvrir ce lecteur et j'ai reçu ce message:

entrez la description de l'image ici

Par exemple, si je choisis de "Déverrouiller automatiquement sur cet ordinateur à partir de maintenant", cela signifie-t-il que Windows stockera mon mot de passe quelque part dans le registre?

PS. Ou, sont-ils suffisamment intelligents chez Microsoft pour stocker uniquement le hachage - de préférence salé?

ahmd1
la source

Réponses:

24

Je vois que vous avez également posté la même requête ici et ici , et que vous avez déjà reçu une sorte de réponse standard. Quoi qu'il en soit, c'est une question intéressante et voici ce que j'ai trouvé. Comme l'indique la page BitLocker Drive Encryption dans Windows 7: Foire aux questions ,

Le déverrouillage automatique pour les lecteurs de données fixes nécessite que le lecteur du système d'exploitation soit également protégé par BitLocker. Si vous utilisez un ordinateur qui n'a pas de lecteur de système d'exploitation protégé par BitLocker, le lecteur ne peut pas être déverrouillé automatiquement.

Bien sûr, cela ne s'applique pas à vous car vous utilisez BitLocker To Go pour crypter les lecteurs de données amovibles. Pour vous, ce qui suit est pertinent:

Sous Windows 7, vous pouvez déverrouiller des lecteurs de données amovibles à l'aide d'un mot de passe ou d'une carte à puce. Après avoir commencé le cryptage, le lecteur peut également être déverrouillé automatiquement sur un ordinateur spécifique pour un compte d'utilisateur spécifique . Les administrateurs système peuvent configurer les options disponibles pour les utilisateurs, ainsi que la complexité des mots de passe et les exigences de longueur minimale.

Aussi,

Pour les lecteurs de données amovibles, vous pouvez ajouter le déverrouillage automatique en cliquant avec le bouton droit sur le lecteur dans l'Explorateur Windows et en cliquant sur Gérer BitLocker. Vous pourrez toujours utiliser le mot de passe ou les informations d'identification de carte à puce que vous avez fournis lorsque vous avez activé BitLocker pour déverrouiller le lecteur amovible sur d'autres ordinateurs.

et

Les lecteurs de données amovibles peuvent être configurés pour se déverrouiller automatiquement sur un ordinateur exécutant Windows 7 après que le mot de passe ou la carte à puce est initialement utilisé pour déverrouiller le lecteur. Cependant, les lecteurs de données amovibles doivent toujours avoir un mot de passe ou une méthode de déverrouillage par carte à puce en plus de la méthode de déverrouillage automatique.

Alors maintenant, nous savons comment le déverrouillage automatique peut être configuré pour les lecteurs de données amovibles, et comment ces lecteurs peuvent également être déverrouillés sur d'autres PC. Mais quelles sont les clés utilisées par BitLocker et où sont-elles stockées? Comme l'indique la section BitLocker Keys de l' article Keys to Protecting Data with BitLocker Drive Encryption :

Les secteurs [du volume] eux-mêmes sont chiffrés à l'aide d'une clé appelée clé de chiffrement à volume complet (FVEK) . Le FVEK, cependant, n'est pas utilisé par ou accessible aux utilisateurs. Le FVEK est à son tour crypté avec une clé appelée Volume Master Key (VMK). Ce niveau d'abstraction offre des avantages uniques, mais peut rendre le processus un peu plus difficile à comprendre. Le FVEK est gardé comme un secret bien gardé car, s'il devait être compromis, tous les secteurs devraient être rechiffrés. Étant donné que ce serait une opération longue, c'est celle que vous voulez éviter. Au lieu de cela, le système fonctionne avec le VMK. Le FVEK (chiffré avec le VMK) est stocké sur le disque lui-même, dans le cadre des métadonnées de volume. Bien que le FVEK soit stocké localement, il n'est jamais écrit sur le disque non chiffré. Le VMK est également chiffré, ou «protégé», mais par un ou plusieurs protecteurs de clés possibles. Le protecteur de clé par défaut est le TPM.

Le VMK est donc à nouveau chiffré par un ou plusieurs protecteurs de clés. Ceux-ci peuvent être le TPM , un mot de passe, un fichier de clé, un certificat d'agent de récupération de données, une carte à puce, etc. Maintenant, lorsque vous choisissez d'activer le déverrouillage automatique pour un lecteur de données amovible, la clé de registre de déverrouillage automatique suivante est créée:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\FveAutoUnlock

Ensuite, un autre protecteur de clé de type "Clé externe" est créé et stocké à cet emplacement de registre en tant que:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\FveAutoUnlock\{GUID}

1

La clé et des métadonnées devant être stockées dans le registre sont cryptées en utilisant la CryptProtectData () DPAPI fonction en utilisant les informations d'identification de l' utilisateur actuel et Triple DES (OTOH les données réelles sur le volume crypté est protégé avec soit 128 bits ou 256 bits AES et éventuellement diffusé à l'aide d'un algorithme appelé Elephant ).

La clé externe ne peut être utilisée qu'avec le compte utilisateur et la machine actuels. Si vous basculez vers un autre compte d'utilisateur ou ordinateur, les valeurs GUID FveAutoUnlock sont différentes.

Karan
la source
J'apprécie vos recherches, mon ami! Contrairement à cette réponse BS que j'ai reçue du forum Microsoft, votre réponse me donne l'espoir --- que le mot de passe ne peut pas être facilement inversé sous forme de texte une fois qu'il est stocké. Merci encore ...
ahmd1
Je vous en prie, et je voulais moi-même connaître la réponse. La sécurité fournie devrait suffire à protéger vos données des regards indiscrets de la plupart des utilisateurs. Bien sûr, si vous êtes un agent secret, vous devriez probablement rechercher des méthodes plus à l'épreuve des balles pour protéger vos données. Là encore, si vous êtes un espion, vous devriez vous soucier de choses plus importantes, telles que la façon de vous protéger des balles. ;-)
Karan
Karan, si vous en avez l'occasion, seriez-vous en mesure de consulter le post ServerFault que j'ai publié sur: serverfault.com/questions/520356/… . Ma question semble être une extension de votre réponse (en utilisant DPAPI pour déverrouiller automatiquement les volumes BitLocker FIXED, non amovibles). Votre contribution serait grandement appréciée!
bigmac