BitLocker: как заменить числовой ключ защиты восстановления паролем на алфавитно-цифровой ключ защиты паролем?

Вопрос или проблема

manage-bde -status
Инструмент настройки шифрования диска BitLocker: версия 10.0.17763
Авторское право (C) 2013 Microsoft Corporation. Все права защищены.

Диски, которые можно защитить с помощью
шифрования диска BitLocker:
Объем C: [ОС]
[Объем ОС]

Размер: 77.62 ГБ
Версия BitLocker: 2.0
Статус конверсии: Полностью зашифрован
Процент зашифрованного: 100.0%
Метод шифрования: XTS-AES 128
Статус защиты: Защита включена
Статус блокировки: Разблокирован
Поле идентификации: Неизвестно
Защитники ключа:
TPM
Цифровой пароль

Можно ли заменить защитник ключа с цифровым паролем на защитник пароля с алфавитно-цифровым кодом, поскольку они более безопасны (больше возможных перестановок со всеми символами вместо только чисел 0-9)?

Нет необходимости заменять ключ восстановления пароля на алфавитно-цифровой ключ. Также нет никаких настроек для этого, поскольку он не представлен в форме, которая могла бы быть заменена алфавитно-цифровым ключом.

– Если бы ключ восстановления пароля был 48-значным числом, он имел бы log₂(10⁴⁸) ≈ 159 бит энтропии. Но на самом деле это 8 групп по 16 бит энтропии (8 значений между 0 и 65,535), т.е. 128 бит энтропии. Это сопоставимо с 21-символьным алфавитно-цифровым случайным паролем, который сочетает строчные и заглавные буквы с цифрами, имеющим log₂((26+26+10)²¹) ≈ 125 бит энтропии; 22 символа имеют 131 бит энтропии.
– Метод шифрования: XTS-AES 128. Все, что больше 128 бит, в любом случае ничего не добавит.

Цифровой пароль — это ‘пароль восстановления’. Ключ восстановления теоретически более безопасен. Например, я полагаю, что федеральное правительство в государственном секторе не допускает защитников пароля восстановления, только защитников ключа восстановления.

Однако с вашей текущей конфигурацией вам следует знать, что если ваш компьютер будет потерян или украден, защитник восстановления не требуется для разблокировки жесткого диска. Простое, недорогое аппаратное устройство может быть использовано для подключения к шине LPC и перехвата защитника ключа TPM, когда компьютер запускается. Это затем можно использовать с открытым исходным кодом для разблокировки объема.

Таким образом, добавление защитника пароля будет значительно более безопасным, чем ваша текущая конфигурация.

Дополнительная информация:

https://pulsesecurity.co.nz/articles/TPM-sniffing
https://github.com/libyal/libbde

https://blogs.technet.microsoft.com/askcore/2014/12/29/how-to-make-your-existing-bitlocker-encrypted-environment-fips-complaint/

Ответ или решение

Как заменить числовой пароль восстановления BitLocker на алфавитно-цифровой пароль

BitLocker является мощным инструментом для защиты данных на дисках. Однако, когда дело доходит до защиты с использованием паролей восстановления, многие пользователи задаются вопросом о возможности замены числового пароля на более безопасный алфавитно-цифровой. В этом руководстве вы получите подробную информацию о том, как заменить числовой пароль восстановления на алфавитно-цифровой, а также о том, насколько это оправдано с точки зрения безопасности.

1. Обобщение текущей конфигурации

Согласно предоставленным данным, у вас включено шифрование BitLocker на системном диске (объем C:) с использованием следующих ключевых защитников:

• TPM (Trusted Platform Module)
• Числовой пароль

Состояние шифрования: полностью зашифрованный объем с использованием метода XTS-AES 128.

BitLocker Drive Encryption: Configuration Tool version 10.0.17763
Disk volumes that can be protected with BitLocker Drive Encryption:
Volume C: [OS]
Protection Status: Protection On
Key Protectors:
    TPM
    Numerical Password

2. Безопасность паролей восстановления

Как указывает ваша информация, числовой пароль восстановления основан на 48-цифровом числе. Каждый из сегментов этого числа ограничен диапазоном от 0 до 9, что в итоге дает 128 бит энтропии. Однако стоит упомянуть, что алфавитно-цифровые пароли имеют потенциал для генерирования значительно более сложных комбинаций. Например, 21-символьный пароля из малых и больших букв, а также цифр может иметь до 125 бит энтропии. Таким образом, вы теоретически можете использовать 22-символьный пароль для достижения еще большей надежности.

Миф о «безопасности» числового пароля

Существует мнение, что числовой пароль более безопасен. Однако учитывая, что простые устройства могут быть использованы для перехвата ключей TPM, использование числового пароля может оказаться уязвимым вариантом. В таких условиях добавление пароля значительно повысит уровень безопасности вашего шифрования.

3. Процесс замены пароля

Важно отметить, что, согласно существующим настройкам BitLocker, замена числового пароля восстановления на алфавитно-цифровой вариант не поддерживается напрямую. Вместо этого вы можете добавить новый алфавитно-цифровой пароль проду로нись новым ключом.

Шаги для добавления алфавитно-цифрового пароля:

1. Открыть командную строку с правами администратора:

   • Нажмите Win + X и выберите "Командная строка (администратор)".

2. Выполнить команду для добавления пароля:

   manage-bde -protectors -add C: -pw

   Здесь, C: – это буква вашего зашифрованного диска. Вам будет предложено ввести новый алфавитно-цифровой пароль.

3. Проверить настройку защитников:
   После добавления пароля, вы можете проверить ключевые защитники с помощью команды:

   manage-bde -status

4. Заключение

В заключение стоит отметить, что, заменив (или добавив) алфавитно-цифровой пароль, вы существенно повысите уровень безопасности ваших данных. Хотя прямой замены числового пароля не предусмотрено, возможность добавления более сложного пароля обеспечивает дополнительный слой защиты, чего недостаточно при использовании только числового пароля. Учитывайте текущие угрозы безопасности и принимайте осознанные решения для защиты ваших данных.