Ubuntu 上的 BitLocker 加密驱动器

tag-icon tag-icon boot partitioning mount hard-drive encryption
Ubuntu 上的 BitLocker 加密驱动器

我想使用 dislocker。我没有密钥,但我在 dislocker 上找到了参数 -u。因此安装硬盘的方式如下:dislocker -r -V /dev/nvme0n1p3 -u123456789 -- /root/1

我收到一条错误消息,如下所示:2022 年 8 月 12 日星期五 09:20:25 [严重] 提供的任何解密方法均未解密密钥。中止。2022 年 8 月 12 日星期五 09:20:25 [严重] 无法获取 VMK 或 FVEK。Abort.free():在 tcache 2 中检测到双重释放 中断(存储过程说明)

我正在使用 Ubuntu 20.04.3 LTS

解密需要哪个密码?

我也尝试了参数 -p,结果相同。

欢迎一切帮助。

干杯,亨氏

答案1

man dislocker

-u, --user-password=[USER_PASSWORD]
使用用户密码方法解密卷。

“用户密码”-u选项并不意味着您先指定用户(也许是用词不当,当然!),然后再指定密码。您只指定密码,Bitlocker 不是通过“用户/密码”方法解锁的。当有人有密码时,他们要么输入,

  • -u[nothing] => 稍后会提示他们输入密码
  • -u space[他们的密码]

另外,我不会尝试将 dislocker 文件挂载在 /root/1 上,通常将其挂载在 /mnt/your-choice 上(例如 /mnt/ntfs)

如果您的 OEM 配置了 Bitlocker,而您没有密码,那么您可以从 Windows 计算机创建 FVEK 或 VMK 恢复文件。然后,您可以使用带有--fvek--vmk选项的 dislocker 使用它。

在 Windows shell 中,您可以使用manage-bde status(其中 BDE 代表 Bitlocker 磁盘加密)来了解有关保护者当前正在使用您的 Bitlocker 配置https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-use-bitlocker-drive-encryption-tools-to-manage-bitlocker。通常在 OEM(供应商)配置中,您会看到“TPM”,这意味着主板上的 TPM 芯片提供硬件保护。但可以有多个保护器。另请参阅manage-bde tpm

根据我的经验,通过 samba(Windows 计算机和 Linux 计算机之间的以太网电缆)的 dislocker 不起作用。(但我的设置不同:尝试安装外部的Bitlocker 驱动器插入 Windows 计算机,在通过以太网连接到 Windows 计算机的 Ubuntu 计算机上。)如果 Samba 不是一种选择,您可以物理移除内部硬盘,购买外部硬盘托盘并通过 USB 将其插入您的 ubuntu 计算机上。但 TPM 不喜欢这样,所以请先创建 Bitlocker 恢复文件(fvek 或 vmk)或恢复密码。

从 :https://pulsesecurity.co.nz/articles/TPM-sniffing(我知道您是 Windows 计算机的合法所有者,但是这个针对黑客的页面很好地解释了基础知识)

Windows 使用 BitLocker 加密驱动器。数据使用全卷加密密钥 (FVEK) 加密。FVEK 又使用卷主密钥 (VMK) 加密。VMK 由多个保护器加密。例如,在默认配置中有两个保护器。一个是 TPM,另一个是恢复密钥。所有这些存在的目的是,如果攻击者可以物理访问设备,他们就无法将笔记本电脑启动到 Linux 实时发行版(或移除驱动器)并访问您的数据。

证明你可以提取 TPM / Bitlocker 加密的驱动器并在另一个驱动器上使用它视窗计算机(作为 POC,概念证明):https://social.technet.microsoft.com/Forums/windows/en-US/dc4b0c7d-bb1b-4a74-bc06-7d084fb38926/moving-bitlocker-encrypted-drive-to-new-computer?forum=win10itprogeneral

所选答案 [此处未显示] 是错误的。
“如果您将加密硬盘移动到新 PC,它将无法工作。” - 错误。
您可以移动驱动器并在输入恢复密钥后从中启动 - 就这么简单。
启动时,您可以在删除旧的 TPM 保护器后添加新的保护器(如密码)。

警告:对于解锁器,不确定你是否必须删除 TPM 保护器(参见上文最后一段引文)或者您可以选择其中一个保护器。如果您删除它,那么如果您将磁盘放回 Windows 计算机,系统会在启动时提示您输入密码。

将恢复密钥作为新保护器添加到您的 TPM 配置中:https://docs.microsoft.com/en-us/powershell/module/bitlocker/add-bitlockerkeyprotector?view=windowsserver2022-ps
=> 示例 2:为所有 BitLocker 卷添加恢复密钥
PS C:\>Get-BitLockerVolume | Add-BitLockerKeyProtector -RecoveryKeyPath "E:\Recovery\" -RecoveryKeyProtector(PS:Powershell)

还请注意,您可能必须从(github)源代码编译 dislocker,因为最新的(相当旧的)dislocker 版本(看起来无人维护)无法处理最新的 Bitlocker 加密模式

相关内容