BitLocker、TrueCrypt、VeraCryptで暗号化されたパーティションに1TBのデータがあるとします
暗号化パスワードを変更することは、すべてのデータを書き換えることを意味するのでしょうか(つまり、何時間/何日もかかるのでしょうか)?
48 Basj 2018-11-22
ベストアンサー
パスワードはマスターキーのみを暗号化するために使用されます。パスワードを変更すると、マスターキーは再暗号化されますが、マスターキー自体は変更されません
(これは、BitLockerやLUKSのようないくつかのシステムが、同じディスクに複数のパスワードを持つことができる方法です。)
78 user1686 2018-11-22
Grawityの回答が正しい。データを暗号化することは比較的高価なプロセスであるため、暗号化されたデータの寿命の間に変更されない単一のマスターキーを作成することは、より理にかなっています。このマスターキーは、その後、1つ以上のセカンダリキーで暗号化することができ、そのセカンダリキーは自由に柔軟に変更することができます
例えば、BitLockerがこれをどのように実装しているかを説明します(実際には3つの鍵の「レイヤー」を使用しています)
- BitLocker で保護されたボリュームに書き込まれたデータは、フルボリューム暗号化キー (FVEK) で暗号化されます。このキーは、ボリュームからBitLockerが完全に削除されるまで変更されません
- FVEKはボリュームマスターキー(VMK)で暗号化され、ボリュームのメタデータに(暗号化された形で)保存されます
- VMKは、PIN/パスワードなどの1つ以上のキープロテクタで暗号化されます
次の図は、BitLocker のフルボリューム暗号化が有効になっているマシンで、暗号化されたシステム ディスクにアクセスするプロセスを示しています
このプロセスの詳細については、TechNetを参照してください
35 I say Reinstate Monica 2018-11-22
