내 노트북에는 TPM이 없습니다. USB 썸 드라이브와 함께 BitLocker를 사용하도록 바이 패스 그룹 정책을 활성화했습니다.
특정 상황 에서 기존의 암호화 된 시스템 드라이브에 PIN을 추가 하여 인증을 업그레이드하고 싶습니다 . 또는 나중에 PIN / 암호 만 사용하여 USB 썸 드라이브 인증을 제거하십시오.
이러한 설정을 허용하도록 그룹 정책을 이미 설정했지만 BitLocker 설정 화면에서 시스템 드라이브의 보안을 업그레이드하기위한 옵션을 찾을 수 없습니다. 대신 보조 드라이브에서 사용할 수 있습니다 (시스템 부팅시 자동 해독 됨).
전체 드라이브의 암호를 해독하고 새로운 설정으로 다시 암호화를 수행 할 수 있다고 생각합니다.
이것을 달성하는 더 짧은 방법이 있는지 묻고 싶습니다
답변
글쎄, 그것에 대해 조금 생각한 후에 나는 좋은 의미의 대답을 결론지었습니다.
TPM이없는 상태에서 USB 키로 잠금 해제 된 기존 Bitlocker 암호화 시스템 드라이브에 PIN을 추가 할 수있는 경우 추가 된 보안은 정확히 0 입니다. 안전한 절차만이 디스크를 완전히 해독하고 강력한 보안을 사용하여 다시 암호화하는 것입니다
왜 USB 전원 암호화로 (또는 그 반대로)이 작업을 수행 할 수 없습니까?
BitLocker는 대칭 암호화를 사용합니다. 세부 사항을 다루지 않았지만 드라이브 또는 PIN 이 키 라고 가정 할 때 보안 관점에서 볼 때 암호화 키와 동일한 비밀 키가있는 PIN 또는 썸 드라이브를 사용합니다 .
따라서 키 를 USB 드라이브로 이미 내보내 거나 PIN / 암호 형식으로 기억되는 친숙한 설정이 있습니다 . 해당 키 가 존재하며 해당 키 는 디스크를 해독 할 수 있습니다. 키가 손상되었다고 가정하십시오. 시스템은 추가 암호를 요구합니다. 그러나 키 가 썸 드라이브에 포함되어 있기 때문에 대칭 키 는 정보를 해독하는 데 필요한 모든 정보 이므로 물리적 디스크 액세스 권한이있는 공격자는 여전히 키 를 사용 하여 드라이브 를 해독 할 수 있습니다. 공격자는 자신의 통제하에 바보 같은 추가 인증이 필요없는 소프트웨어를 사용할 수 있습니다
왜 TPM 설정에서이 작업을 수행 할 수 있습니까?
TPM은 다른 장치입니다. 키 또는 암호 해독 키를 유도하는 데 사용되는 비밀 정보는 볼트로 작동하는 활성 컴퓨터 시스템의 경계 내에 존재한다. 볼트의 잠금을 변경하면 새로운 인증없이 볼트가 열리지 않습니다.
TPM 을 제어 ( 소유 )하는 OS 는 추가 인증이 제공되지 않으면 TPM에서 더 이상 키를 해제하지 않도록 친절하게 요청할 수 있습니다 . BitLocker가 생성하는 에스크로 키를 제외하고 TPM을 사용하면 키를 노출 할 수 없습니다. 사용자는 원하는대로 PIN / 암호를 변경할 수 있지만 여전히 byte array사용 가능한 비밀 키 가있는 매체는 없습니다.