BitLocker, crypter plusieurs disque avec le même MDP - Sécurité - Windows & Software
Marsh Posté le 28-05-2012 à 17:25:06
Parles-tu de BitLocker ou BitLocker To Go ?
Dans BitLocker To Go le mot de passe permet de décrypter la clef de cryptage du volume (VMK ou Volume Master Key). Il est stocké nulle part. Enfin pour être exact tu en trouveras une trace en clair du mot de passe dans mémoire vive de ta machine après l'avoir saisi pour décrypter un disque... trace qui peut potentiellement perdurer quelques heures même après avoir tiré la prise électrique mais bon ce n'est pas du stockage dans le sens où tu l'entends...
Que ce soit avec BitLocker ou BitLocker To Go chaque disque possède en principe sa clef de cryptage (et donc de récupération).
Utiliser le même mot de passe permet, moyennant que celui-ci soit connu, avec BitLocker To Go l'accès à toutes tes clefs... et donc de décrypter tous tes volumes qui auraient ce mot de passe. Par contre si le mot de passe est inconnu, utiliser le même mot de passe ne rend pas vraiment la tâche plus facile pour le retrouver.
Néanmoins pour éviter une réutilisation du mot de passe tu peux "saler" ce dernier en ajoutant un élément variable. Par exemple si une de tes clefs USB est nommée "transfert" et l'autre "prive" et supposons que ton mot de passe est "password" (ce que je n'espère pas )... tu peux très bien saisir "transfert-password" pour la première et "prive-password" pour la seconde (ou toute autre variation un peu plus intelligente que celle très basique que je suggère ci-dessus)... pour toi c'est facile à retenir et cela évite une réutilisation stricte du même mot de passe.
Marsh Posté le 28-05-2012 à 21:10:55
Requin a écrit : Parles-tu de BitLocker ou BitLocker To Go ? |
Mon mot de passe n'est pas password bien sur, mais motdepasse .
Je plaisante.
Comment est crypté le mot de passe pour bitlocker ?
Je "sale" comme tu dis, mais après plusieurs disques ça devient plus salé pour s'y retrouver .
Je me suis dis, autant mettre le même partout, si et seulement si, le fait que cela ne facilite pas la tâche du décryptage de ce dernier.
Marsh Posté le 28-05-2012 à 23:43:21
Comme dit précédemment ce n'est pas le mot de passe qui est crypté.
La faiblesse réside avant tout dans ton mot de passe, la limite minimale imposée par BitLocker To Go est de 8 caractères (qui a dit date de naissance ?). C'est pour cela que choisir un mot de passe long et complexe est nécessaire pour éviter des attaques par dictionnaire ou force brute. Microsoft a néanmoins bien fait les choses en appliquant systématiquement un salage pour éviter des attaques par "rainbow table".
En clair si tu prends le problème le premier élément de la chaîne est le "key protector". Ce "key protector" permet de décrypter la clef VMK (Volume Master Key), qui elle permet de décrypter la clef VFEK (Volume Ful Encryption Key), qui elle permet de décrypter les données du disque.
Utiliser le même mot de passe sur plusieurs support ne permet pas de retrouver plus simplement ce dernier. Par contre une fois tombé il permet d'accéder à l'ensemble des données protégées par ce dernier (en soit c'est un peu logique).
Il existe bon nombre de "key protectors" supportés par BitLocker : mot de passe, smart card, module TPM, clef de démarrage (stockée sur un media externe qui est typiquement une clef USB), clef de récupération, ...
Pour un "key protector" de type mot de passe bitlocker fonctionne comme ceci (je suppose de l'AES 256 bits) :
1) Il prend ton mot de passe et l'encode pour donner la clef intermédiaire 1 de 256 bits via SHA-256.
2) Il ajoute un "salt" en clair de 128 bits, puis réduit la taille via un algorithme mathématique (hachage 2^16 fois de ta clef 1 à l'aide du "salt" ) pour dériver la clef intermédiaire 2 de 256 bits.
3) Il utilise la clef intermédiaire 2 pour décrypter via AES la VMK
4) Il utilise la VMK pour décrypter via AES la FVEK
5) Il utilise la FVEK pour décrypter via AES tes données
Pour un "key protector" de type TPM avec utilisation d'une clef USB supplémentaire ça fonctionne ainsi :
1) le module TPM vérifie la config (TPM SRK RSA 2048 bits) ce qui fourni la clef intermédiaire 1 de 256 bits
2) la clef de 256 bits stockée sur la clef USB via un XOR fourni la clef intermédiaire 2
3) idem que ci-dessus
4) idem que ci-dessus
5) idem que ci-dessus
Pour un "key protector" de type clef de démarrage (clef USB) ou clef de récupération, cette dernière est utilisée directement pour décrypter la VMK (les points 4 et 5 ci-dessus sont identiques avec tous les type de "key protector" )
Il existe encore d'autre combinaisons (code PIN via touche de fonction, utilisation du TPM sans clef USB additionnelle, Smartcard avec code PIN, ...). Mais le principe est plus ou moins toujours le même il faut déterminer la clef qui permet de décrypter la VMK.
Marsh Posté le 28-05-2012 à 23:46:20
J'ai retrouvé à l'instant la doc technique de MS qui a permis l'élaboration de BitLocker : https://www.microsoft.com/en-us/dow [...] x?id=13866
Marsh Posté le 29-05-2012 à 00:05:29
J'ai encore pensé à un truc il est vrai que tu peux demander sur une machine qu'un media soit automatiquement déverrouillé lors de l'insertion... personnellement je ne le ferais pas (sauf éventuellement si ton disque de boot est lui aussi crypté avec BitLocker) car la tu as dans HKCU\Software\Microsoft\Windows\CurrentVersion\ FveAutoUnlock\
{GUID} tes clefs et les métadonnées (pas en clair, mais c'est un algorithme symétrique assez faible qui est utilisé : 3DES). Ces dernières sont accessibles via la fonction CryptProtectData du système d'exploitation et par conséquent l'accès repose essentiellement sur la sécurisation de ton volume de boot et de ta session utilisateur.
Marsh Posté le 29-05-2012 à 00:58:08
Merci poru toutes ces informations.
Bitlocker to go c'est pour XP non ?
Car sous 7 je n'ai jamais été limité, que ce soit pour un périphérique interne ou externe.
Je vais essayer de lire la doc de cro .
Bitlocker n'autorise le dévrouillage automatique d'un disque qu'à condition que le disque système soit lui même bitlocké, sinon il refusera d'enregistrer la clé dans les registres.
Merci pour ces informations .
Marsh Posté le 29-05-2012 à 07:54:03
BitLocker To Go c'est la version pour crypter tes medias amovibles. Il existe en effet un BitLocker To Go Reader (si ma mémoire est bonne je crois qu'il est depuis Win7 copié sur les medias amovibles pour permettre la lecture sur des machines qui n'auraient pas BitLocker et sous Vista c'était un téléchargement séparé... mais pas 100% sûr )
Marsh Posté le 29-05-2012 à 13:46:33
Requin a écrit : BitLocker To Go c'est la version pour crypter tes medias amovibles. Il existe en effet un BitLocker To Go Reader (si ma mémoire est bonne je crois qu'il est depuis Win7 copié sur les medias amovibles pour permettre la lecture sur des machines qui n'auraient pas BitLocker et sous Vista c'était un téléchargement séparé... mais pas 100% sûr ) |
ok, cependant, média amovible ou non je n'ai jamais été limité à 8 caractères .
En tous cas merci pour ces infos.
Marsh Posté le 28-05-2012 à 15:37:19
Bonjour,
Question concernant bitlocker, ce dernier nous propose de crypter le disque et de pouvoir le décrypter via un mot de passe que l'on saisie.
Ce mot de passe, où est il stocké ? Comment est il crypté ?
Si je crypte plusieurs disque, et j'indique toujours le même mot de passe, n'est il pas plus facile de casser le mot de passe si le hacker a accès à plusieurs disques ?
Merci.
---------------
"PAR LE POUVOIR DU CRÂNE ANCESTRAL, JE DETIENS LA FORCE TOUTE PUISSANTE".