Windows NTFSパーティションの復号化のためにインストールされたBitlockerをプログラムするのはどれほど危険ですか?

Windows NTFSパーティションの復号化のためにインストールされたBitlockerをプログラムするのはどれほど危険ですか?

Windows11とLinuxでマルチOSシステムを構築しました。マウントできることがわかりましたビットロック 暗号化 NTFSLinuxのWindowsパーティション(rootとして/ dev / sda3):

cryptsetup bitlkDump /dev/sda3
cryptsetup open -y --readonly --type=bitlk /dev/sda3 bitlk-65536
mount -t ntfs -o,ro /dev/mapper/bitlk-65536 /mnt/
# ...
umount /dev/mapper/bitlk-65536 
cryptsetup close bitlk-65536

私はいつも使う読み取り専用 バナーお互いにパスワード設定 開いているそして オプションマッパーのため。これは可能です ビットロック 暗号化 NTFS分割読み書き、よい:

/dev/mapper/bitlk-65536 /mnt 型 ntfs3(rw,nosuid,nodev,relatime,uid=1000,gid=1000,iocharset=utf8,windows_names,uhelper=udisks2)

インストール時の書き込み(削除)作業はどれほど危険ですか?ビットロック NTFS3分割?文書によると、追加することはすでに危険で実験的です。ビットロックWindowsNTFS/etc/crypttabでパーティションを分割し、Linuxの起動時にWindowsパーティションを復号化してマウントします。

Windows11をリセットする前に尋ねたいです。可能なファイルシステムのクラッシュ後)。

ありがとう、

[Eメール保護]

答え1

短い答え:

安全ですが、必ずバックアップしてください(関連するストレージテクノロジに関係なく、失いたくないデータはすべてバックアップする必要があります)。

長い答え:

BitLockerは独自の技術であり、ディスクメタデータ仕様は公開されていません。

これは、LinuxでBitLockerのすべてのサポートが次のように行われることを意味します。リバースエンジニアリングしたがって、Linuxでは常に問題が発生する可能性があります。良いニュースは、実際にデータを読み書きするのではなく、ディスクメタデータを読み取って解析するときに問題が主に存在することです。これは、LUKSも使用する標準のAES-XTS(以前のバージョンのBitLockerを持つAES-CBC)暗号化です。したがって、実際にディスクからのデータの読み書きを処理するカーネルコードは、よくテストされ安全である。

また、BitLockerのNTFSは標準のNTFSなので、メタcryptsetupデータが解析され、BitLockerデバイスがロック解除され、NTFSファイルシステムをマウントする準備ができた場合、データの損失を引き起こす可能性のあるエラーはあまりありません。 (または少なくともBitLockerなしで通常のNTFSに書き込むよりも危険ではありません)。

BitLockerメタデータを解析してボリューム暗号化キーを復号化するのは難しいことであり、エラーが発生してもプレーンテキストcryptsetupデバイスにはガベージ(マウントできません。は、メタデータに不明なコンテンツや予期しない内容がある場合に早期エラーが発生するように書かれています。

cryptsetupのBitLockerサポートはまだ実験的であるとマークされていますが、2.3.0、約4年前なので、多くの人がテストしたので(今まで)データを失った人は誰もいません。だからおそらくかなり安全に使用できるようです。

答え2

暗号化の性質のため、暗号化されたボリュームに書き込むことは、復号化が正しい場合に暗号化されていないボリュームに書き込むよりも危険ではありません。最新の暗号化は、復号化の部分的な失敗を許さず、意図的にすべてまたは専務作業です。

しかし、Linuxで暗号化されていないNTFSボリュームをマウントすることは非常に危険です。特に、システムをマウント解除せずに再起動する可能性がある場合は、さらにそうです。暗号化をしなくてもアンマウントに問題がある場合、通常の再起動を行ってもボリュームが破損する危険性が高くなります。 (このような状況では、Windowsが自分のボリュームを損傷する可能性もありますが、これはあまり一般的ではありません。)

また、暗号化キーをファイルに保存すると、セキュリティ上のリスクが発生します。通常、bitlockerはキーをTPMに保存するため、キーをファイルに保存するとbitlockerを使用する目的はまったく無効になります。 Linuxボリュームを暗号化してそのキーをTPMに保存すると、この問題はある程度緩和される可能性がありますが、これらの脆弱なセキュリティ状態と2つのオペレーティングシステム間でNTFSを共有するリスクがあるため、人々は暗号化されたボリュームを共有することに注意してください。知恵に疑問を抱くようになります。

関連情報