BitLocker的【密码】和【恢复密钥】的区别是啥？

jim9606

一般一个bitlocker卷会配置多个protector，每种解锁方式一个，可以通过任意一个protector解锁。
例如无PIN的TPM保护的系统盘会有: 数字密码（aka恢复代码）、TPM 两个protector
启用自动解锁和PIN解锁的非系统盘会有：数字密码、外部密钥（自动解锁）、PIN 三个protector
备份至微软账户就是记录一下恢复代码而已，不会创建新的protector
U盘密码（在U盘存一个.BEK）、非系统盘自动解锁、AD网络解锁，各算一个protector
运行 manage-bde -protectors -get <盘符> 查看有效的protector
manage-bde -protectors -add -? 查看可选的解锁方法，例如可以要求TPM+PIN组合验证
顺带一提Linux LUKS也是类似设计。

jim9606

wjqok 发表于 2024-3-4 18:14
没巨硬账号的怎么搞？因为不喜欢用巨硬账号，所以对这加密抵制，但是现在新电脑新系统莫名其妙就给你锁了 ...

manage-bde -protectors -get c:
把恢复代码和卷ID记下来（放手机/抽屉的手账都行，反正别存电脑里）
这种等于自己管理密钥而不是微软代管了。

jim9606

ysc3839 发表于 2024-3-4 11:25
解锁密码和恢复密钥都是第一级的密钥(这不是专有名词，是我自己的说法)，因为真正用于加密算法的密钥(第二 ...

是的
主密钥都不会直接用PIN派生出来，随机性不足也不能支持原地改PIN。
即使是TPM也是如此，这样TPM支持的密码原语就不会影响硬盘可用的加密方法。

https://zhuanlan.zhihu.com/p/29840740