Daten, aber sicher
Die Verschlüsselung der Partitionen macht sich ebenfalls TMP zu Nutze. Zunächst wird die angegebene Partition mit dem Full Volume Encryption Key (FVEK) verschlüsselt; dieser nutzt einen 256-Bit-AES-Algorithmus. Anschließend wird der FVEK erneut verschlüsselt, diesmal mit dem Volume Master Key (VMK), ebenfalls in 256 Bit AES.
Der Volume Master Key wird also als zusätzliche Schicht zwischen dem Anwender und den verschlüsselten Daten eingeführt. Das hat mehrere Vorteile. Der Anwender kommuniziert nie direkt mit dem Basisschlüssel, kann diesen also nicht mitloggen oder auslesen. Wenn die Sicherheit kompromittiert wurde, muss zudem nur der VMK neu erzeugt werden. Ein Ent- und anschließendes Neuverschlüsseln sämtlicher Partitionen mit geändertem Key ist daher nicht notwendig.
Aus dem VMK schließlich werden alle Schlüsselwerte für den Nutzer und die Recovery-Optionen erstellt. Löscht man also einen kompromittierten VMK, haben alle damit erstellten Schlüssel keinen Zugriff mehr.
IT-Administratoren können BitLocker künftig wahlweise lokal oder per Remote-Zugriff kontrollieren. Neben der Management-Funktion gibt es verschiedene Assistenten und Scripts. BitLocker wird sowohl in Vista als auch in der kommenden Server-Version „Longhorn“ enthalten sein.