Changer le mot de passe de chiffrement implique-t-il la réécriture de toutes les données?
Disons que j'ai 1 TB de données sur une partition chiffrée avec BitLocker, TrueCrypt ou VeraCrypt.
Changer le mot de passe de chiffrement implique-t-il la réécriture de toutes les données (cela prendra-t-il des heures/des jours)?
Non. Votre mot de passe est utilisé pour chiffrer uniquement la clé principale. Lorsque vous modifiez le mot de passe, la clé principale est recryptée mais elle-même ne change pas.
(C’est ainsi que certains systèmes, tels que BitLocker ou LUKS, peuvent avoir plusieurs mots de passe pour le même disque: ils utilisent toujours une clé principale unique pour toutes les données, mais ne stockent que plusieurs copies de la clé principale chiffrée avec des mots de passe différents.)
Le answer de Grawity est correct). Le chiffrement des données étant un processus relativement coûteux, il est plus logique de créer une clé principale unique qui ne change pas pendant la durée de vie des données chiffrées. Cette clé principale peut ensuite être chiffrée par une ou plusieurs clés secondaires, qui peuvent ensuite être modifiées à volonté.
Par exemple, voici comment BitLocker implémente cela (il utilise en réalité trois "couches" de clés):
- Les données écrites sur un volume protégé par BitLocker sont cryptées avec un clé de cryptage de volume complet (FVEK). Cette clé ne change pas jusqu'à ce que BitLocker soit complètement supprimé d'un volume.
- La clé FVEK est cryptée avec le clé principale du volume (VMK), puis stockée (sous sa forme cryptée) dans les métadonnées du volume.
- La VMK à son tour est cryptée avec un ou plusieurs protecteurs de clé, tels qu'un code PIN/mot de passe.
L'illustration suivante montre le processus d'accès à un disque système chiffré sur une machine sur laquelle le chiffrement de volume total BitLocker est activé:
Plus d'informations sur ce processus sont disponibles sur TechNet .