En pasados días al final del evento ”Una mirada al kernel de windows vista” uno de los asistentes se acerco a mi a pedir una aclaración.

Era una duda respecto a que pasa cuando yo monto un disco con BitLocker  en otra máquina, le explique que con tan solo utilizar el PIN ( que es opcional ) o mover los certificados (en el caso de que tal cosa se pueda hacer de manera ‘manual’ ) no lograria recuperarlo sino que necesita además varios elementos adicionales.

El PIN es solo complementario para el funcionamiento de BitLocker como si fuera uno más de los PCR (registros de configuración de la plataforma), y por otro lado no es posible obtener todos las llaves necesarias puesto que  la llave de cifrado de volumen completo (FVEK) es de igual forma cifrada ( en la documentación hablan de sellamiento ) con la llave maestra de volumen (VMK) la cual , a su vez también se encuentra cifrada con el TPM (Trusted Platform Module)

Cuando se utiliza BitLocker y ocurre un cambio inesperado en los componentes de inicio, el sistema no permitirá el arranque y solicitará el acceso por uno de los medios de restauración, es decir conectando una USB de backup o ingresando la llave de recuperación de 48 digitos, la cual solo se genera al crear un backup previo.

La usb de restauración y la llave de 48 digitos no son : Ni el PIN opcional al iniciar TPM NI una copia de la llave de cifrado.

Si se pasa el disco cifrado a una máquina diferente, este tampoco se puede leer, recuerden que BitLocker realiza una verificación de la plataforma y si se conecta en otra maquina BitLokcer encontrara un TPM Totalmente diferente al que se utilizo para cifrar el volumen, por lo cual inmediatamente se pasa a modo de recuperación y necesitaran los medios de backup descritos anteriormente de tal forma que BitLocker pueda ingresar a los metadatos en el volumen y recuperar las llaves VMK y FVEK.

Para evitar que un atacante trate de violar la integridad de los metadatos, inmediatamente BitLocker detecta que ha habido un cambio no autorizado en los metadatos o que se esta tratando de violar la integridad del sistema ( recuerden que hace verifiaciones con Hash SHA-1 ), procederá a denegar de manera permanente el acceso al dispositivo y no bastará ni con la USB ni con la llave de recuperación para acceder a los datos.

Para este caso particular se requiere adicionalmente:

Se puede hacer backup de las llaves de cifrado modificando una politica de grupo de tal manera que utilice los servicios de Active Directory para almacenar la contraseña y copia de las llaves.

Saludos, cualquier inquietud no duden en preguntarme.