Przyznam, że nigdy nie myślałem, że coś takiego może mi sie przydarzyć… ale jednak. Klucze do bitlockera miałem zapisane na karcie micro-SD włożonej do miniaturowego czytnika USB. W pewnym momencie pojawił się nowy element w pobliżu komputera w postaci drukarki, “głównej winowajczyjni” ;). Drukarka była niestety zbyt blisko czytnika i prawdopodobnie za którymś razem spowodowała jakieś większe przesunięcie się czytnika, co zakończyło się strukturą katalogów na karcie jak poniżej. Oczywiście mogłem to sprawdzić tylko na ja jakimś innym komputerze ponieważ komputer który zabezpieczała ta karta w ogóle nie miał zamiaru się z nią uruchomić.

W sumie zbytnio się tym nie przejąłem dopóki nie wyszło na jaw, że zapasowe klucze przechowywane “gdzieś” w sieci pochodzą sprzed ostatniej instalacji Windows-a. Następnie zaczęło się gorączkowe poszukiwanie papierowej kopii “Bitlocker Recovery Key”. Nie trudno się domyśleć, że ukryłem ją dobrze. Ostatecznie okazało się, że nawet za dobrze. Poza tym miałem silne przeczucie, że znajdę tam te same klucze co w sieci. Plecy były mokre, ileś tam lat zdjęć o ironio zabezpieczonych RAID-em wydawały się stracone na dobre.

Niestety żaden program do odzyskiwania danych nie odnalazł interesujących mnie plików, jak to zwykle bywa bez problemu można było odtworzyć rzeczy zupełnie archaiczne i kompletnie zbędne. Zacząłem nawet szukać czy jakoś nie da się “złamać” Bitlockera i jedyne co znalazłem to możliwość odzyskania kluczy z obrazu pamięci wyciągniętego przez FireWire z działającej maszyny za pomocą Passware Kit. Mój komputer był już po restarcie czyli nawet taka ekwilibrystyka nie wchodziła w grę.

W akcie desperacji pomyślałem, że przeszukam jakimś edytorem HEX tą kartę i może coś tam znajdę. Skorzystałem z całkiem przyjemnego i darmowego edytora wxHexEditor. Wyszukiwanie ciągu znaków takich jak “bitlocker”, “recovery” nic nie dawało. Dopiero przy przeglądaniu PGUP/PGDOWN trafiłem na coś co spowodowało, że serce “nabrało obrotów”:

Kiedy zobaczyłem, że “Recovery key identification” pokrywa się z tym o który jestem proszony na ekranie a na dodatek po “BitLocker Recovery Key” są jakieś cyfry o mało nie zemdlałem ;). To i tak był dopiero jeden z dysków… Z drugim poszło już znacznie łatwiej, po prostu wyszukałem ciągu HEX:

4200690074004C006F0063006B00650072 = B.i.t.l.o.c.k.e.r
5200650063006F0076006500720079 = R.e.c.o.v.e.r.y

Jeśli Twój napęd USB na którym były zapisane informacje dot. Bitlockera się uszkodził ale da się jeszcze go odczytać, można spróbować wyszukać jednego z powyższych ciągów znaków. W okolicy powinny być cyfry umożliwiajace uruchomienie komputera.

Wnioski z tej sytuacji nasunęły mi się następujące:

• Coś co niesie za sobą jakieś ryzyko i jest wykonywane po raz pierwszy, jest wykonywane starannie. Za pierwszym razem miałem kopię w sieci i wydrukowane klucze. Kiedy drugi raz użyłem Bitlockera zapomniałem o tym jak ważny jest backup tych informacji.

• Naprawdę miałem szczęście, że plik z “recovery key” przetrwał na karcie SD w sposób nie naruszony. Ciekawe, że żaden z programów nie był w stanie go znaleźć (ostatecznie znalazłem wszystkie cztery pliki w wxHexEditor - dwa z pierwszego użycia Bitlockera i kolejne, po reinstalacji systemu).

• Całkiem sensowne wydaje się zrobienie kilku katalagów w których będą zapisane klucze. Dzięki temu znacząco zwiękaszmy szansę, na ich odzyskanie. Chociaż zdecydowanie lepiej mieć po prostu więcej ich kopii na innych nośnikach.