Hard-Drive

擦除 Bitlocker 驅動器密鑰扇區

  • January 27, 2019

我有一個 4TB 驅動器,從第一天開始就已經被 bitlocker 加密(通過密碼),我想在我賣掉它之前把它擦掉。這個過程看起來通過 nwipe 需要 100 多個小時,但我想知道是否有任何關於儲存 bitlocker 加密資訊的扇區的公共資訊,所以我可以擦除這些。據我了解,密碼只是實際加密密鑰的加密密鑰,加密密鑰儲存在驅動器的某個位置。任何人都可以參考這是否是一個正確的假設和/或哪些部門擁有該資訊,以便我可以擦除這些資訊並出售驅動器?提前感謝您的幫助!

實際上有多個鍵。

用於進行加密的密鑰,即完整捲加密密鑰 (FVEK),儲存在受保護卷上的 BitLocker 元數據中。每個扇區都是獨立加密的。

FVEK 使用另一個密鑰加密,即卷主密鑰 (VMK)。VMK 的三個副本也儲存在元數據中。

VMK 的每個副本都使用一個或多個外部提供的密鑰/密碼保護器進行加密,例如 TPM、PIN、使用者密碼、恢復密碼、恢復密鑰、啟動密鑰或智能卡。

如果外部提供的密鑰保護器未知,則無法使用 FVEK 或 VMK。因此,如果保護未暫停(使用中的清除密鑰)或密碼較弱,則此練習對您沒有多大幫助。驅動器現在也可能被丟棄到無法辨識卷元數據中的 FVEK 或 VMK 的程度。

您可以下載一個工具來驗證元數據:

https://www.m3datarecovery.com/bitlocker-drive-data-recovery/how-to-decrypt-bitlocker-encrypted-drive.html

更多資訊:

https://www.forensicswiki.org/wiki/BitLocker_Disk_Encryption

libbde - BitLocker 驅動器加密 (BDE) 格式規範:

https://github.com/libyal/libbde/blob/master/documentation/BitLocker%20Drive%20Encryption%20(BDE)%20format.asciidoc

請參閱第 4 節,卷標題。這具有 FVE 元數據塊的起始位置。第 5 節具有 FVE 元數據塊的格式。第 5.3 節有 FVE 元數據類型。

BitLocker 卷標頭:

BitLocker 卷標頭

BitLocker FVE 元數據塊標頭:

BitLocker 元數據塊標頭

BitLocker FVE 元數據標頭:

BitLocker FVE 元數據標頭

引用自:https://serverfault.com/questions/950786