[请教] windows bitlocker 仅通过恢复密钥能解密磁盘吗?

2022-02-12 00:09:02 +08:00
 zddwj

前两天电脑主板坏了拿去维修,今天去提电脑的时候,售后的工作人员给我的 bitlocker 恢复密钥拍了照片,由于之前没有这方面的经验,当时也是想着赶紧按他的流程提机器走人,没考虑这方面的问题,回来之后才想起来这个问题,假如售后克隆了我的磁盘,然后又搞到了我的恢复密钥,但是没有我的 windows 账户密码,这种情况会造成数据泄露的风险吗?(虽然遇到坏人只是小概率事件,但总归心里有些不爽。)

4348 次点击
所在节点    Windows
39 条回复
visitant
2022-02-12 00:16:38 +08:00
可以,恢复密钥就是用来解密磁盘的
zddwj
2022-02-12 00:21:12 +08:00
@visitant 这么一说我更闹心了,就没有跟账户密码联合加密吗-_-!
docx
2022-02-12 03:02:43 +08:00
不懂就问,售后是什么原因需要拍这个密钥?
zddwj
2022-02-12 04:10:54 +08:00
@dzyou2007 他在另外一台展示机上让我登录 windows 账户获取恢复密钥,受桌子布局限制,这台机器跟我的机器之间呈 90 度夹角,还隔了一小段距离,他就直接拿手机拍了张照片过来我的机子上输入密钥。
而且我感觉那个工作人员专业度太差,解锁电脑之后问都不问直接给我设备加密关了,害我回来打开加密又等了半天,还多了两次全盘写入。
他还跟我说每次用完电脑都要关机,否则会影响电脑寿命,我都无语了..
dingwen07
2022-02-12 05:06:59 +08:00
把旧的密钥删掉再增加一个就好了
用 manage-bde 命令行
131
2022-02-12 09:35:02 +08:00
如果担心的话,建议不要把密钥上传至巨硬,可以自己加密 /打印存储(
acess
2022-02-12 11:42:11 +08:00
恢复密钥又名数字密码,其实也是可以用 manage-bde 删掉的,删了就解不了了。
Telegram
2022-02-12 11:47:23 +08:00
一、维修人员不会这么闲,去特意看你磁盘内容。
除非:1 、你特别漂亮,2 、你是陈冠希这种明星
二、作为维修人员,应该是遇到过太多次客户不知道 bitlocker 加密,导致数据无法解锁的情况,所以默认情况都是直接给他关闭加密。
三、不关机影响寿命这个,理论上来说确实可能是。(关机完全不工作,休眠或者睡眠至少要维持内存供电,或者磁盘存储当初状态)不过基本忽略不计的把,反正我从来不关机,让他自己休眠。
ysc3839
2022-02-12 11:58:53 +08:00
这种情况就不应该在别的机子上登录自己的账号。而且维修时完全可以不管 BitLocker ,全程保持锁定状态,一般来说售后不需要用你的硬盘你的系统做测试,甚至可以把硬盘带走,不留在售后,除非硬盘是不可拆卸的。
ysc3839
2022-02-12 12:01:49 +08:00
把硬盘带走的另一个好处是可以防止售后误操作删除了数据。比如可能售后的人没沟通好,以为不需要保留数据,就格式化重装系统了。
zddwj
2022-02-12 13:35:58 +08:00
@ysc3839 售后可能完全拿我当小白了,(当然我自己也担心有什么我不知道的东西,所以任由他来主导最后的流程)
zddwj
2022-02-12 13:47:29 +08:00
@Telegram 我说一个邪恶一点的想法,假如售后工作人员受到不法分子的利益诱惑收集用户磁盘数据,一套数据奖励几十几百甚至上万不等,售后工作人员利用职业人员在特定场景下的权威感,可以很轻松的使大多数普通客户乖乖就范(相当于一种社会工程学攻击)。而这些数据还能跟客户的个人信息(姓名,电话号码)结合起来,一旦被售卖,就相当于受害者在黑市处于半裸奔状态
duke807
2022-02-12 14:39:17 +08:00
我的電腦只加密敏感的目錄,用字符串生成 aes256 的 key ,用開源軟件配合自己寫的腳本,解密成功才把加密的 image 文件和目錄做映射,image 文件方便拷貝,自己只要記得字符串密碼就行,用的時候才解密

https://github.com/dukelec/cde/blob/master/tools/aes-mount.sh (僅測試 linux 系統)

反而用 key 加密不安全,特別是國行 tpm 2.0 的一堆問題
zddwj
2022-02-12 16:24:09 +08:00
@duke807 tpm 的安全性我倒不是很担心,这种级别的攻击应该也不是我这种吊丝能享受到的😄
duke807
2022-02-12 17:05:02 +08:00
@zddwj 主要是擔心各種情況下,被人檢查電腦,你們用的方法沒法保護自己,他們會讓你自己輸入密碼。而我喜歡沒有任何特徵的裸式加密,無法通過文件內容和文件名確認是加密數據,更加無法得知是用哪款軟件加的密。

譬如 BitLocker 的特徵之一是:
A BitLocker encrypted volume starts with the "-FVE-FS-" signature.
zddwj
2022-02-12 17:32:57 +08:00
@duke807 这种极端场景我确实没考虑过,遇到这种情况就认栽了吧😂
KoMAsS121
2022-02-12 20:35:29 +08:00
有密钥解密倒是可以解密,但是他们官方售后还有这闲心搞黑产,咱们的信息都从其他途径漏成啥样了,咱们电脑上的那点东西,能值几个钱 2333 。不过题外话,bitlocker 感觉没必要开的,误删文件用第三方软件恢复时很麻烦,有软件经常自动备份另说。关键文件自己加密就是了 2333 (比如 veracrypt 啊,7z 压缩加密啊,用 7z 是因为他是唯一压缩包加密文件名字的)。并且貌似 bitlocker 是能破解的?看淘宝不少收费破这玩意的,就是不知道真假。
zddwj
2022-02-12 21:23:24 +08:00
@KoMAsS121 脱敏的数据不值钱,但是能跟个人身份精准匹配性质就变了,有人想搞你的话可以买一份慢慢研究,这种情况你的个人数据就值钱了
jim9606
2022-02-12 21:31:27 +08:00
售后能获得恢复代码的前提是能登进机器里的管理员账户(可以是本地账户也可以是微软账户),否则无法获得这个恢复代码。不想让售后接触数据就不要提供账户密码。从你的情况看售后已经是最低限度接触你的密码了,而且你完全可以要求你自行操作解锁机器。
如果你追求更高的安全性,可以在组策略选择对操作系统驱动器启用 PIN 或 PIN+TPM 联合保护,这个坏处就是每次开机 Bootloader 阶段要再输一次密码。

因为现在符合设备加密硬件要求的机器会在 OOBE 后自动启用加密,网上能搜到一堆因为解密不了对微软或者厂商破口大骂的帖子,售后顺手关掉减少售后压力实在太正常了,在意的最好预先叮嘱一下。


@duke807 你说的这种是可否认加密,目前 VeraCrypt 有这种实现。不过没有任何实践案例验证可行。例如你怎么让调查者相信你在用 VeraCrypt 但不拥有秘密? Bitlocker 反而好一些,因为有很多人在用着 Bitlocker 而浑然不知,宣称不知道恢复代码很有可能是真的。你说的这个问题不是一个技术问题。
zddwj
2022-02-12 21:35:45 +08:00
@jim9606 也就是说登不进系统还是拿不到数据吗?我昨天找了一晚上的 windows 文档都没看到具体这方面的说明

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/833327

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX