क्या एन्क्रिप्शन पासवर्ड बदलने से सभी डेटा फिर से लिखना है?

मान लें कि मेरे पास BitLocker, TrueCrypt या VeraCrypt के साथ एन्क्रिप्ट किए गए विभाजन पर 1 टीबी डेटा है।

क्या एन्क्रिप्शन पासवर्ड बदलने से सभी डेटा फिर से लिखना होगा (यानी, इसमें घंटे / दिन लगेंगे)?

— Basj
स्रोत

रिकॉर्ड के लिए: Windows Bitlocker में डेटा को स्पष्ट रूप से "रीराइट" करने की कोई प्रक्रिया नहीं है। आपको डिस्क को फिर से एन्क्रिप्ट और एन्क्रिप्ट करना होगा

— usr-local-

वस्तुतः यह पूरी तरह से मिटाकर एक पूरी एन्क्रिप्टेड डिस्क को पोंछने से संबंधित है, जैसे कुछ एन्क्रिप्टिंग हार्ड ड्राइव टेराबाइट्स के लगभग तात्कालिक "पोंछ" कर सकते हैं

— Xen2050

इससे संबंधित (हालांकि न तो इसका उल्लेख करते हैं): उपयोगकर्ता द्वारा चुने गए पासवर्ड दोनों बहुत कम होंगे, और भयानक एंट्रोपी (बहुत आसानी से अनुमान लगाने योग्य) होगा। तो ड्राइव को एक अच्छी कुंजी के साथ एन्क्रिप्ट किया गया है ... और फिर एन्क्रिप्शन कुंजी एक भयानक एक (आह अच्छी तरह से) के साथ सुरक्षित है।

— क्लॉकवर्क-

@ क्लॉकवर्क-म्यूज़िक फिर भी मूल लघु कुंजी के साथ उन्हें एन्क्रिप्ट करने से बेहतर है।

— 19

जवाबों:

नहीं। आपका पासवर्ड केवल मास्टर कुंजी को एन्क्रिप्ट करने के लिए उपयोग किया जाता है। जब आप पासवर्ड बदलते हैं, तो मास्टर कुंजी को फिर से एन्क्रिप्ट किया जाता है लेकिन स्वयं नहीं बदलता है।

(यह है कि कैसे कुछ सिस्टम, जैसे कि BitLocker या LUKS, एक ही डिस्क के लिए कई पासवर्ड रखने में सक्षम हैं: वे अभी भी सभी डेटा के लिए एक ही मास्टर कुंजी का उपयोग करते हैं, लेकिन बस अलग-अलग पासवर्डों के साथ एन्क्रिप्टेड मास्टर कुंजी की कई प्रतियां संग्रहीत करते हैं।)

— grawity
स्रोत

आपका बहुत बहुत धन्यवाद! क्या आपके पास उसके बारे में विवरण के साथ लिंक होगा? विभाजन की शुरुआत (बहुत पहले बाइट्स) में मास्टर कुंजी (पासवर्ड द्वारा एन्क्रिप्ट किया गया) सहेजा गया है?

— बसज

मेरे पास कोई उपयोगी लिंक नहीं है, लेकिन उस बारे में ट्विस्टी का जवाब देखें।

— ग्रैविटी

फिर अगला प्रश्न स्पष्ट है: क्या मास्टर कुंजी को बदलना संभव है?

— gvgramazio

@gvgramazio: संभवतः, लेकिन यह एक अलग धागा होना चाहिए - और आपको यह उल्लेख करना चाहिए कि आप किस विशिष्ट fde प्रोग्राम का उपयोग कर रहे हैं और जो OS पर है। (यह तकनीकी रूप से संभव है, लेकिन वास्तव में ऐसा करने के लिए कोई भी उपकरण उपलब्ध नहीं हो सकता है।) इसके अलावा इस कारण का उल्लेख करें कि आपको लगता है कि इसे बदलना आवश्यक हो सकता है ...

— विशालता

कारण लगभग एक ही हो सकता है कि कोई पासवर्ड क्यों बदलना चाहता है। शायद पासवर्ड खोज लिया गया है, इस प्रकार मास्टर कुंजी की खोज की गई है। बेशक, किसी को एन्क्रिप्टेड मास्टर कुंजी तक पहुंच होनी चाहिए, लेकिन शायद यह संभव है। यदि किसी को संदेह है कि मास्टर कुंजी को केवल पासवर्ड बदलने का पता चला है तो इसका कोई प्रभाव नहीं है।

— gvgramazio

ग्रैविटी का जवाब सही है। क्योंकि डेटा को एन्क्रिप्ट करना एक अपेक्षाकृत महंगी प्रक्रिया है, यह एकल मास्टर कुंजी बनाने के लिए अधिक समझ में आता है जो एन्क्रिप्टेड डेटा के जीवनकाल के दौरान नहीं बदलता है। यह मास्टर कुंजी तब बदले में एक या अधिक माध्यमिक कुंजी द्वारा एन्क्रिप्ट की जा सकती है, जिसे बाद में इच्छानुसार बदल दिया जा सकता है।

उदाहरण के लिए, यहां BitLocker इसे कैसे लागू करता है (यह वास्तव में कुंजियों के तीन "परतों" का उपयोग करता है):

बिटक्लोअर -संरक्षित वॉल्यूम में लिखा गया डेटा पूर्ण-मात्रा एन्क्रिप्शन कुंजी (FVEK) के साथ एन्क्रिप्ट किया गया है । यह कुंजी तब तक नहीं बदलती है जब तक BitLocker एक वॉल्यूम से पूरी तरह से हटा नहीं दिया जाता है।
FVEK को वॉल्यूम मास्टर कुंजी (VMK) के साथ एन्क्रिप्ट किया जाता है, फिर वॉल्यूम के मेटाडेटा में संग्रहीत (इसके एन्क्रिप्टेड रूप में) किया जाता है।
बदले में VMK को एक या एक से अधिक कुंजी रक्षक के साथ एन्क्रिप्ट किया गया है , जैसे पिन / पासवर्ड।

निम्न चित्र एक मशीन पर एन्क्रिप्टेड सिस्टम डिस्क तक पहुँचने की प्रक्रिया को दिखाता है जिसमें BitLocker फुल वॉल्यूम एन्क्रिप्शन सक्षम है:

इस प्रक्रिया के बारे में अधिक जानकारी TechNet पर देखी जा सकती है ।

— मैं कहता हूं कि मोनिका को बहाल करो
स्रोत

नोट: इसका मतलब यह भी है कि अगर किसी ने डिक्रिप्टेड FVEK की प्रतिलिपि प्राप्त करने के लिए पर्याप्त झुकाव किया है, जबकि उनके पास (शायद वैध) पहुंच एन्क्रिप्टेड डेटा के लिए अप्रतिबंधित पहुंच जारी रहेगी यदि वे उस एन्क्रिप्टेड डिस्क के संपर्क में आते हैं, तो कोई परिवर्तन नहीं कितनी बार आप। आपका पिन / पासवर्ड / वीएमके। जो कि दुर्भाग्यपूर्ण है (IOW, ज्यादातर बार जब आप अपना पासफ़्रेज़ बदलते हैं, तो आपको ऐसे मामलों से सुरक्षा चाहते हुए मैन्युअल रूप से पूर्ण बैकअप / वाइप /

— रीक्रिएशन

यह सच है, हालांकि इस मामले के लिए प्रशासनिक अधिकारों के साथ भौतिक पहुंच या रिमोट एक्सेस की आवश्यकता होगी । यदि किसी हमलावर के पास इनमें से कोई भी है ... तो, पर्याप्त है।

— मैं

हाँ, मैं भौतिक पहुँच के बारे में सोच रहा था। मशीन चलने के दौरान सुरक्षा के दृष्टिकोण से अप्रासंगिक में पूर्ण डिस्क एन्क्रिप्शन और वैसे भी डिस्क को अनलॉक किया जाता है। हालाँकि, यह माना जाता है कि यदि मशीन बंद है और खो गई है या चोरी हो गई है (टैक्सी या हवाई अड्डे में लैपटॉप के बारे में सोचें), तो छेड़छाड़ के बारे में सोचें (होटल मालिक के कमरे में पहुँच देने के लिए भुगतान की गई नौकरानी का भुगतान करें), या हार्डवेयर-विफल या के बारे में decommissioned किया जा करने के लिए - अब आप अभी भी इसे हटाने (या कर्मचारियों को देने या eBay पर बेचने आदि) के बजाय हार्डवेयर के घटाव, भौतिक श्रेडिंग और incinerating करना होगा

— Matija Nalis

@TwistyImpersonator डिस्क को एन्क्रिप्ट करने का पूरा उद्देश्य आपके डेटा की सुरक्षा करना है जब किसी की शारीरिक पहुंच होती है। तो परिदृश्य मूक नहीं है; यह पूरी बात है।

— मोनिका

@LightnessRacesinOrbit मुझे एहसास है कि। एन्क्रिप्शन पूरा होने से पहले VMK की सुझाई गई भेद्यता के संदर्भ में मेरी टिप्पणी की गई थी । उस विशिष्ट विंडो में, एन्क्रिप्शन भौतिक पहुंच या दूरस्थ व्यवस्थापक अधिकारों के साथ एक हमलावर के खिलाफ सुरक्षा नहीं करता है।

— मैं कहता हूं कि मोनिका