我研究过的所有严肃的全盘加密方案都使用静态密码进行身份验证。例如,TrueCrypt 支持使用密钥文件进行双重身份验证,但不支持系统分区。可以在静态模式下使用 Yubikey 作为TrueCrypt 全盘模式的第二个因素。但在这两种情况下,第二个因素实际上只是用户选择不记住的静态密码的一部分。
显然,全盘加密需要在操作系统启动之前对用户进行身份验证,因此涉及远程主机的交互式质询-响应协议将不起作用。但我认为实施安全的预启动一次性密码机制没有任何不可逾越的障碍。
为什么在全盘方案中不支持强多因素身份验证?有没有可行的实现?静态密码是否被认为足够好,因为能够在预引导上下文中击败它们的对手可能也能够在任何形式的身份验证后恢复加密密钥(而不是身份验证密钥),无论有多少因素?
问题是大多数多因素身份验证方法都只是--身份验证。他们通常需要一些代码来验证您提供的令牌或信息的有效性。
但是,通过磁盘加密,您的密码是实际的加密密钥。不涉及看门人,您的密钥可以解密数据或不加密。
我使用了 Yubikey 的静态密码功能,可以让你创建一个 32 位字符的密码,这很好,但就像你说的那样,那里真的没有真正的“你所拥有的”,它仍然只是一个静态密码,可能是在没有物理令牌存在的情况下被拦截并进入。
您可能会找到一种方法来使用执行实际身份验证的 HSM(例如要求您输入 PIN)进行真正的双因素身份验证,或者您可以将密钥文件存储在提供双因素身份验证的设备上。但最终您所做的只是提供更长的密码或静态密钥文件。
我在这里不同意您的前提:我认为无论是静态响应还是挑战响应,两个因素都是两个因素,并且两者之间没有根本的安全差异,只是实际差异使一个或另一个成为特定的更好选择执行。
例如,如果您不是对本地计算机本身进行身份验证,而是通过该计算机对远程服务器进行身份验证,那么质询响应可能会变得更安全一些,因为您在本地计算机上执行的操作较少(与服务器。)但这是一个实际的实现问题,而不是基本问题。
我预计您在 FDE 产品中看到的大多数静态的原因是商业决策。开发支持多种类型的静态令牌的系统比支持多种类型的质询/响应的系统要容易一些,并且由于 FDE 供应商通常将二因素定位为可选附加项,因此它支持多种品牌的令牌有利于销售
Microsoft BitLocker 支持 TPM + PIN 解锁,其中存储在硬件中的解密密钥(您拥有的东西)和启动时输入的密码/PIN(您知道的东西)的组合一起用于解密启动卷。
因此,如果您的硬件包括 TPM 和支持 BitLocker 的 Windows 版本,那么答案是肯定的。
虽然 BitLocker 具有非多因素的恢复密钥功能,但正确的密钥管理(轮换 - 例如,通过 Microsoft BitLocker 管理和监控 - MBAM)可以有效地使这一点变得毫无意义。