क्या एन्क्रिप्शन पासवर्ड बदलने से सभी डेटा फिर से लिखना है?


49

मान लें कि मेरे पास BitLocker, TrueCrypt या VeraCrypt के साथ एन्क्रिप्ट किए गए विभाजन पर 1 टीबी डेटा है।

क्या एन्क्रिप्शन पासवर्ड बदलने से सभी डेटा फिर से लिखना होगा (यानी, इसमें घंटे / दिन लगेंगे)?


1
रिकॉर्ड के लिए: Windows Bitlocker में डेटा को स्पष्ट रूप से "रीराइट" करने की कोई प्रक्रिया नहीं है। आपको डिस्क को फिर से एन्क्रिप्ट और एन्क्रिप्ट करना होगा
usr-local-

1
वस्तुतः यह पूरी तरह से मिटाकर एक पूरी एन्क्रिप्टेड डिस्क को पोंछने से संबंधित है, जैसे कुछ एन्क्रिप्टिंग हार्ड ड्राइव टेराबाइट्स के लगभग तात्कालिक "पोंछ" कर सकते हैं
Xen2050

3
इससे संबंधित (हालांकि न तो इसका उल्लेख करते हैं): उपयोगकर्ता द्वारा चुने गए पासवर्ड दोनों बहुत कम होंगे, और भयानक एंट्रोपी (बहुत आसानी से अनुमान लगाने योग्य) होगा। तो ड्राइव को एक अच्छी कुंजी के साथ एन्क्रिप्ट किया गया है ... और फिर एन्क्रिप्शन कुंजी एक भयानक एक (आह अच्छी तरह से) के साथ सुरक्षित है।
क्लॉकवर्क-

1
@ क्लॉकवर्क-म्यूज़िक फिर भी मूल लघु कुंजी के साथ उन्हें एन्क्रिप्ट करने से बेहतर है।
19

जवाबों:


79

नहीं। आपका पासवर्ड केवल मास्टर कुंजी को एन्क्रिप्ट करने के लिए उपयोग किया जाता है। जब आप पासवर्ड बदलते हैं, तो मास्टर कुंजी को फिर से एन्क्रिप्ट किया जाता है लेकिन स्वयं नहीं बदलता है।

(यह है कि कैसे कुछ सिस्टम, जैसे कि BitLocker या LUKS, एक ही डिस्क के लिए कई पासवर्ड रखने में सक्षम हैं: वे अभी भी सभी डेटा के लिए एक ही मास्टर कुंजी का उपयोग करते हैं, लेकिन बस अलग-अलग पासवर्डों के साथ एन्क्रिप्टेड मास्टर कुंजी की कई प्रतियां संग्रहीत करते हैं।)


आपका बहुत बहुत धन्यवाद! क्या आपके पास उसके बारे में विवरण के साथ लिंक होगा? विभाजन की शुरुआत (बहुत पहले बाइट्स) में मास्टर कुंजी (पासवर्ड द्वारा एन्क्रिप्ट किया गया) सहेजा गया है?
बसज

1
मेरे पास कोई उपयोगी लिंक नहीं है, लेकिन उस बारे में ट्विस्टी का जवाब देखें।
ग्रैविटी

7
फिर अगला प्रश्न स्पष्ट है: क्या मास्टर कुंजी को बदलना संभव है?
gvgramazio

@gvgramazio: संभवतः, लेकिन यह एक अलग धागा होना चाहिए - और आपको यह उल्लेख करना चाहिए कि आप किस विशिष्ट fde प्रोग्राम का उपयोग कर रहे हैं और जो OS पर है। (यह तकनीकी रूप से संभव है, लेकिन वास्तव में ऐसा करने के लिए कोई भी उपकरण उपलब्ध नहीं हो सकता है।) इसके अलावा इस कारण का उल्लेख करें कि आपको लगता है कि इसे बदलना आवश्यक हो सकता है ...
विशालता

कारण लगभग एक ही हो सकता है कि कोई पासवर्ड क्यों बदलना चाहता है। शायद पासवर्ड खोज लिया गया है, इस प्रकार मास्टर कुंजी की खोज की गई है। बेशक, किसी को एन्क्रिप्टेड मास्टर कुंजी तक पहुंच होनी चाहिए, लेकिन शायद यह संभव है। यदि किसी को संदेह है कि मास्टर कुंजी को केवल पासवर्ड बदलने का पता चला है तो इसका कोई प्रभाव नहीं है।
gvgramazio

35

ग्रैविटी का जवाब सही है। क्योंकि डेटा को एन्क्रिप्ट करना एक अपेक्षाकृत महंगी प्रक्रिया है, यह एकल मास्टर कुंजी बनाने के लिए अधिक समझ में आता है जो एन्क्रिप्टेड डेटा के जीवनकाल के दौरान नहीं बदलता है। यह मास्टर कुंजी तब बदले में एक या अधिक माध्यमिक कुंजी द्वारा एन्क्रिप्ट की जा सकती है, जिसे बाद में इच्छानुसार बदल दिया जा सकता है।

उदाहरण के लिए, यहां BitLocker इसे कैसे लागू करता है (यह वास्तव में कुंजियों के तीन "परतों" का उपयोग करता है):

  1. बिटक्लोअर -संरक्षित वॉल्यूम में लिखा गया डेटा पूर्ण-मात्रा एन्क्रिप्शन कुंजी (FVEK) के साथ एन्क्रिप्ट किया गया है । यह कुंजी तब तक नहीं बदलती है जब तक BitLocker एक वॉल्यूम से पूरी तरह से हटा नहीं दिया जाता है।
  2. FVEK को वॉल्यूम मास्टर कुंजी (VMK) के साथ एन्क्रिप्ट किया जाता है, फिर वॉल्यूम के मेटाडेटा में संग्रहीत (इसके एन्क्रिप्टेड रूप में) किया जाता है।
  3. बदले में VMK को एक या एक से अधिक कुंजी रक्षक के साथ एन्क्रिप्ट किया गया है , जैसे पिन / पासवर्ड।

निम्न चित्र एक मशीन पर एन्क्रिप्टेड सिस्टम डिस्क तक पहुँचने की प्रक्रिया को दिखाता है जिसमें BitLocker फुल वॉल्यूम एन्क्रिप्शन सक्षम है:

डिस्क डिक्रिप्शन की योजना

इस प्रक्रिया के बारे में अधिक जानकारी TechNet पर देखी जा सकती है ।


9
नोट: इसका मतलब यह भी है कि अगर किसी ने डिक्रिप्टेड FVEK की प्रतिलिपि प्राप्त करने के लिए पर्याप्त झुकाव किया है, जबकि उनके पास (शायद वैध) पहुंच एन्क्रिप्टेड डेटा के लिए अप्रतिबंधित पहुंच जारी रहेगी यदि वे उस एन्क्रिप्टेड डिस्क के संपर्क में आते हैं, तो कोई परिवर्तन नहीं कितनी बार आप। आपका पिन / पासवर्ड / वीएमके। जो कि दुर्भाग्यपूर्ण है (IOW, ज्यादातर बार जब आप अपना पासफ़्रेज़ बदलते हैं, तो आपको ऐसे मामलों से सुरक्षा चाहते हुए मैन्युअल रूप से पूर्ण बैकअप / वाइप /
रीक्रिएशन

यह सच है, हालांकि इस मामले के लिए प्रशासनिक अधिकारों के साथ भौतिक पहुंच या रिमोट एक्सेस की आवश्यकता होगी । यदि किसी हमलावर के पास इनमें से कोई भी है ... तो, पर्याप्त है।
मैं

2
हाँ, मैं भौतिक पहुँच के बारे में सोच रहा था। मशीन चलने के दौरान सुरक्षा के दृष्टिकोण से अप्रासंगिक में पूर्ण डिस्क एन्क्रिप्शन और वैसे भी डिस्क को अनलॉक किया जाता है। हालाँकि, यह माना जाता है कि यदि मशीन बंद है और खो गई है या चोरी हो गई है (टैक्सी या हवाई अड्डे में लैपटॉप के बारे में सोचें), तो छेड़छाड़ के बारे में सोचें (होटल मालिक के कमरे में पहुँच देने के लिए भुगतान की गई नौकरानी का भुगतान करें), या हार्डवेयर-विफल या के बारे में decommissioned किया जा करने के लिए - अब आप अभी भी इसे हटाने (या कर्मचारियों को देने या eBay पर बेचने आदि) के बजाय हार्डवेयर के घटाव, भौतिक श्रेडिंग और incinerating करना होगा
Matija Nalis

3
@TwistyImpersonator डिस्क को एन्क्रिप्ट करने का पूरा उद्देश्य आपके डेटा की सुरक्षा करना है जब किसी की शारीरिक पहुंच होती है। तो परिदृश्य मूक नहीं है; यह पूरी बात है।
मोनिका

1
@LightnessRacesinOrbit मुझे एहसास है कि। एन्क्रिप्शन पूरा होने से पहले VMK की सुझाई गई भेद्यता के संदर्भ में मेरी टिप्पणी की गई थी । उस विशिष्ट विंडो में, एन्क्रिप्शन भौतिक पहुंच या दूरस्थ व्यवस्थापक अधिकारों के साथ एक हमलावर के खिलाफ सुरक्षा नहीं करता है।
मैं कहता हूं कि मोनिका
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.