¿Cambiar la contraseña de cifrado implica reescribir todos los datos?

49

Digamos que tengo 1 TB de datos en una partición cifrada con BitLocker, TrueCrypt o VeraCrypt.

¿Cambiar la contraseña de cifrado implica reescribir todos los datos (es decir, tomará horas / días)?

Basj
fuente
1
Para el registro: Windows Bitlocker no tiene ningún procedimiento para "reescribir" explícitamente los datos. Usted debe descifrar y volver a cifrar el disco
ΕΨΗΕΛΩΝ usr-local-
1
Relacionado con la limpieza virtual de un disco cifrado completo con solo borrar su clave, como algunos discos duros de cifrado pueden hacer un "borrado" casi instantáneo de terabytes
Xen2050
3
Relacionado con esto (aunque ninguna de las respuestas lo menciona): las contraseñas elegidas por el usuario serán demasiado cortas y tendrán una entropía terrible (demasiado fácil de adivinar). Entonces, la unidad está encriptada con una buena clave ... y luego la clave de encriptación está protegida con una clave terrible (ah bueno).
Clockwork-Muse el
1
@ Clockwork-Muse Aún mejor que cifrarlos con la clave corta original.
gvgramazio

Respuestas:

79

No. Su contraseña se usa para cifrar solo la clave maestra. Cuando cambia la contraseña, la clave maestra se vuelve a cifrar pero no cambia.

(Así es como algunos sistemas, como BitLocker o LUKS, pueden tener múltiples contraseñas para el mismo disco: todavía usan una sola clave maestra para todos los datos, pero solo almacenan múltiples copias de la clave maestra cifrada con diferentes contraseñas).

Gravedad
fuente
¡Muchas gracias! ¿Tendría un enlace con detalles sobre eso? ¿Se guarda la clave maestra (cifrada por contraseña) al principio (primeros bytes) de la partición?
Basj
1
No tengo ningún enlace útil a la mano, pero vea la respuesta de Twisty al respecto.
Grawity
77
Entonces la siguiente pregunta es obvia: ¿es posible cambiar la clave maestra?
gvgramazio
@gvgramazio: Posiblemente, pero eso debería ser un hilo separado, y debe mencionar qué programa fde específico está utilizando y en qué sistema operativo. (Es posible técnicamente, pero puede que no haya necesidad de herramientas disponibles para hacerlo realmente.) También menciona la razón por la que cree cambiando podría ser necesario ...
grawity
La razón podría ser casi la misma por la que uno quiere cambiar la contraseña. Tal vez se ha descubierto la contraseña, por lo tanto, se ha descubierto la clave maestra. Por supuesto, uno debe tener acceso a la clave maestra cifrada, pero tal vez sea posible. Si uno sospecha que se ha descubierto la clave maestra, cambiar solo la contraseña no tiene ningún efecto.
gvgramazio
35

La respuesta de Grawity es correcta. Debido a que el cifrado de datos es un proceso relativamente costoso, tiene más sentido crear una sola clave maestra que no cambie durante la vida útil de los datos cifrados. Esta clave maestra se puede cifrar a su vez con una o más claves secundarias, que luego se pueden cambiar de forma flexible a voluntad.

Por ejemplo, así es como BitLocker implementa esto (en realidad usa tres "capas" de claves):

  1. Los datos escritos en un volumen protegido con BitLocker se cifran con una clave de cifrado de volumen completo (FVEK). Esta clave no cambia hasta que BitLocker se elimine por completo de un volumen.
  2. El FVEK se cifra con la clave maestra de volumen (VMK) y luego se almacena (en su forma cifrada) en los metadatos del volumen.
  3. El VMK a su vez está encriptado con uno o más protectores de clave , como un PIN / contraseña.

La siguiente imagen muestra el proceso de acceso a un disco de sistema cifrado en una máquina con el cifrado de volumen completo BitLocker habilitado:

Esquema de descifrado de disco

Se puede encontrar más información sobre este proceso en TechNet .

Yo digo reinstalar a Mónica
fuente
99
Nota: esto también significa que si alguien se inclina lo suficiente como para obtener una copia de FVEK descifrado mientras tenía acceso (quizás legítimo) continuará teniendo acceso sin restricciones a datos cifrados si entran en contacto con ese disco cifrado, sin importar cuántas veces cambie su PIN / contraseña / VMK. Lo cual es bastante desafortunado (OIA, la mayoría de veces que cambie su contraseña, en su lugar debe hacer copia de seguridad completa / borrar / recrear con la nueva frase de contraseña / ciclo de restauración manualmente si desea protegerse de este tipo de casos.)
Matija Nalis
Es cierto, aunque para que este sea el caso, se necesitaría acceso físico o acceso remoto con derechos administrativos. Si un atacante tiene cualquiera de estos ... bueno, dicho lo suficiente.
Digo reinstalar a Mónica el
2
Sí, estaba pensando en el acceso físico. El cifrado de disco completo es irrelevante desde la perspectiva de seguridad mientras la máquina está funcionando y el disco está desbloqueado, de todos modos. Sin embargo, se supone que protege sus datos confidenciales si la máquina está apagada y se pierde o es robada (piense en una computadora portátil en un taxi o en el aeropuerto), sea manipulada (piense que la criada pagó para dar acceso a la habitación del hotel mientras el propietario está fuera), o falla el hardware o a punto de ser dado de baja; ahora aún tendrá que desmagnetizar, triturar físicamente e incinerar el hardware en lugar de simplemente reciclarlo (o dar a los empleados o vender en eBay, etc.)
Matija Nalis
3
@TwistyImpersonator El propósito completo de cifrar un disco es proteger sus datos cuando alguien tiene acceso físico. Entonces el escenario no es discutible; Es todo el punto.
Lightness compite con Monica el
1
@LightnessRacesinOrbit Me doy cuenta de eso. Mi comentario se hizo en el contexto de la vulnerabilidad sugerida de VMK antes de que se complete el cifrado. En ese período de tiempo específico, el cifrado no protege contra un atacante con acceso físico o derechos de administrador remoto.
Digo reinstalar a Mónica el