Hlavní navigace

Vlákno názorů k článku Kde má Microsoft můj recovery key z BitLockeru? Opravdu v cloudu? od P2010 - Za prve je treba rozlisovat (plny) BitLocker kde...

  • Článek je starý, nové názory již nelze přidávat.
  • 30. 12. 2015 16:36

    P2010 (neregistrovaný)

    Za prve je treba rozlisovat (plny) BitLocker kde zadavate heslo a Device Encryption. BitLocker je k dispozici pouze na vyssich edicich nez Home https://technet.microsoft.com/en-us/library/dn306081.aspx#BKMK_Encryption

    Ta "senzace" o ktere se zde pise se tyka Windows 8.1 a novejsich, vcetne Home verze http://windows.microsoft.com/en-gb/windows-8/using-device-encryption Pokud zarizeni splnuje podminky pro InstantGo (drive Connected Standby) a zaroven mate zrizeny Microsoft ucet (coz je zvlaste u tabletu pohodlne) a zaroven se prihlasite pod administratorskym uctem, spusti se Device Encryption (coz neni zcela totez co BitLocker) a klic se ulozi do Microsoft uctu. Vse jasne vidite, dokonce se zmeni ikona disku v Exploreru.

    Smyslem je poskytnout pro Home/Bing edice sifrovani dat na prenosnem zarizeni a zaroven ulozit tento klic tak, aby o nej clovek neprisel. Porad mi mene vadi kdyz ma klic Microsoft, nez podvodnik v zastavarne, ktery na falesny doklad vykoupil kradene zarizeni od fetaka.

    Daleko vetsi problem ciha jinde. Totiz ze diky chybam v BIOSech se muze stat, ze BitLocker znenadani prestane fungovat a pak budete radi, ze klic najdete v Microsoft uctu :-) Opravy techto chyb nekteri alespon priznaji a delaji.

  • 31. 12. 2015 10:49

    P2010 (neregistrovaný)

    Drtiva vetsina zarizeni s InstantGo / Connected Standby (levnych tabletu) se zacla objevovat az s prichodem Windows 8.1 with Bing edice, coz je vlastne Home ktera byla zdarma pro OEM vyrobce. Prave na tyto zarizeni je Device Encryption mirene.

    Detailni popis kroku co se stane je zde https://technet.microsoft.com/en-us/library/dn306081.aspx Ten automaticky proces lze vypnout.

  • 31. 12. 2015 0:27

    Cohen (neregistrovaný)

    A to já jsem naopak po přečtení uvedených odkazů (především toho prvního) přesvědčen, že se senzace koná. Především jde o BitLocker, jen je v módu "device encryption". To znamená, že BL mají i "home" edice, což je poměrně dobrá zpráva. Horší zprávou je, že jde právě jen o zařízení, která mají TPM a jsou schopna fungovat jako connected standby, tedy se jedná zásadně o tablety. Connected standby umí pouze ARMy a pro tablety určené Atomy.

    Za mnohem horší zprávu považuji nejasnosti ohledně fungování. Z uvedených dokumentů například zřejmě plyne, že disky jsou u těchto zařízení šifrovány vždy, ale je použit tzv. "clear key", tedy hlavní šifrovací klíč není chráněn žádným heslem (pravděpodobně z výkonových důvodů). TPM čip je použit až ve chvíli, kdy se admin přihlásí MS účtem, načež je "clear key" vymazán a nahrazen záznamem, používajícím TPM. Ve spojení se skutečností, že se hlavní šifrovací klíč nedá v podstatě nějak rozumně změnit, je jisté, že když MS mluví o bezpečnosti, mluví o něčem úplně jiném, než si pod tímto pojmem představuji já.

    A teď je otázka, co se stane, když na takto šifrovaném zařízení uživatel či organizace zapne plný BitLocker - bude disk přešifrován s novým hlavním šifrovacím klíčem, nebo bude využit již existující? A co klonování/sysprep?

    Pro mne z toho vyplývá jedna věc - dávat si pozor na connected standby zařízení a kde objevím device encryption, tuto nejprve vypnout, nechat dešifrovat a teprve následně zapínat BitLocker.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).