Şifreleme şifresini değiştirmek tüm verileri yeniden yazmak anlamına mı geliyor?


49

Diyelim ki BitLocker, TrueCrypt veya VeraCrypt ile şifrelenmiş bir bölümde 1 TB veri var.

Şifreleme şifresini değiştirmek tüm verileri yeniden yazmak anlamına mı geliyor (yani saat / gün alacak mı)?


1
Kayıt için: Windows Bitlocker'ın verileri açıkça "yeniden yazma" prosedürü yoktur. Sen gerekir diski şifresini çözmek ve yeniden şifrelenmesi
usr-yerel-ΕΨΗΕΛΩΝ

1
Neredeyse tamamen şifrelenmiş bir diski
silmekle ilgili

3
Bununla ilgili (cevaplarından hiçbiri bahsetmese de): kullanıcı tarafından seçilen şifreler hem çok kısa hem de korkunç bir entropiye sahip olacak (çok kolay tahmin edilebilir). Böylece sürücü iyi bir anahtarla şifrelenir ... ve sonra şifreleme anahtarı korkunç bir anahtarla korunur (tamam).
Clockwork-Muse

1
@ Clockwork-Muse Hala orijinal kısa anahtarla şifrelemekten daha iyi.
gvgramazio

Yanıtlar:


79

Hayır. Parolanız yalnızca ana anahtarı şifrelemek için kullanılır. Şifreyi değiştirdiğinizde, ana anahtar şifrelenir ancak kendisi değişmez.

(BitLocker veya LUKS gibi bazı sistemlerde aynı disk için birden çok parola bulunabilir: bu, tüm veriler için hala tek bir ana anahtar kullanır, ancak yalnızca ana anahtarın birden çok kopyasını farklı parolalarla şifrelenmiş olarak depolar.)


Çok teşekkür ederim! Bununla ilgili detayları içeren bir link var mı? Ana anahtar bölümün başında (çok ilk bayt) kaydedilmiş mi (şifre ile şifrelenmiş)?
Basj

1
Eldeki faydalı bağlantılarım yok, ancak bununla ilgili Twisty'nin cevabını görün.
yerçekimi

7
Sonra bir sonraki soru açıktır: ana anahtarı değiştirmek mümkün mü?
gvgramazio

@gvgramazio: Muhtemelen, ama bu ayrı bir konu olmalıdır - ve hangi işletim sistemini kullandığınızı ve hangi işletim sisteminden bahsetmelisiniz. (Teknik olarak mümkün, ancak gerçekte yapılabilecek hiçbir araç olmayabilir.) Ayrıca, değiştirmenin gerekli olabileceğini düşündüğünüzün nedenini de
belirtin

Sebep, birisinin şifreyi neden değiştirmek istediği ile hemen hemen aynı olabilir. Belki de şifre keşfedildi, bu yüzden ana anahtar keşfedildi. Tabii ki, kişi şifreli bir ana anahtara erişebilmeli ama belki de mümkün olmalıdır. Eğer bir ana anahtarın bulunduğundan şüpheleniliyorsa, sadece şifrenin değiştirilmesinin bir etkisi yoktur.
gvgramazio

35

Grawity'nin cevabı doğrudur. Verileri şifrelemek nispeten pahalı bir işlem olduğundan, şifreli verilerin kullanım ömrü boyunca değişmeyen tek bir ana anahtar oluşturmak daha mantıklı olur. Bu ana anahtar daha sonra istendiğinde esnek bir şekilde değiştirilebilen bir veya daha fazla ikincil anahtarla şifrelenebilir.

Örneğin, BitLocker bunu nasıl uygular (aslında üç anahtar "katmanını kullanır":

  1. BitLocker korumalı birime yazılan veriler, tam birim şifreleme anahtarıyla (FVEK) şifrelenir . Bu anahtar BitLocker bir birimden tamamen kaldırılıncaya kadar değişmez .
  2. FVEK, birim ana anahtarıyla (VMK) şifrelenir ve ardından birimin meta verilerinde (şifreli biçimde) depolanır.
  3. Sırasıyla VMK, PIN / şifre gibi bir veya daha fazla anahtar koruyucu ile şifrelenir .

Aşağıdaki resimde, BitLocker tam birim şifrelemesi etkinleştirilmiş bir makinede şifreli bir sistem diskine erişme süreci gösterilmektedir:

Disk şifre çözme şeması

Bu işlem hakkında daha fazla bilgi TechNet'te bulunabilir .


9
Not: Bu aynı zamanda (belki de meşru) erişimi olan şifresi çözülmüş FVEK kopyasını almaya yeteri kadar eğimli birinin, şifrelenmiş verilere, şifrelenmiş diske temas etmesi halinde, şifrelenmiş verilere sınırsız erişime devam edeceği anlamına gelir; PIN'iniz / şifreniz / VMK’niz Bu oldukça talihsiz bir durumdur (IOW, çoğu zaman parolanızı değiştirirseniz, bunun yerine tam olarak yedekleme / silme / yeniden yaratma işlemi yapmanız gerekir; böyle durumlarda korunmak istiyorsanız el ile yeni parola / geri yükleme döngüsü ile.)
Matija Nalis

Oldukça doğru, ancak bunun olması için, birinin fiziksel haklara veya idari haklara sahip uzaktan erişime ihtiyacı olacaktır . Eğer bir saldırgan bunlardan birine sahipse ... yeterince söylendi.
Monica

2
evet, fiziksel erişimi düşünüyordum. Makine çalışırken ve disk kilidi açılmış durumdayken, güvenlik açısından tam disk şifrelemesi önemsizdir. Bununla birlikte, makine kapalı ve kaybolmuş veya çalınmışsa (taksideki veya havaalanında dizüstü bilgisayarı düşünün), tahrif edilmiş (mal sahibi dışarıdayken otel odasına erişim sağlamak için ödenen hizmetçi olduğunu düşünün) veya donanım arızalıysa hassas verilerinizi korumanız gerekir görevden alınmak üzere - şimdi hala sadece geri dönüşümü yerine (veya çalışanlara vermek veya
ebay'da

3
@TwistyImpersonator Bir diski şifrelemenin tüm amacı, birisinin fiziksel erişimi olduğunda verilerinizi korumaktır. Dolayısıyla senaryo pek değildir; bütün mesele bu.
Monica

1
@LightnessRacesinOrbit Bunu anlıyorum. Yorumum, şifreleme tamamlanmadan önce VMK’nın önerilen güvenlik açığı bağlamında yapılmıştır . Zamanın bu özel penceresinde, şifreleme yok değil fiziksel erişim veya uzaktan yönetici haklarına sahip bir saldırgan karşı koruma sağlar.
Monica
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.