我的计算机没有 TPM
如果我使用 USB 存储私钥,则可以选择启用 bitlocker
在这种情况下,安全性会受到怎样的影响?
它会和 TPM 一样安全吗?
例如,如果我的家遭到 FBI 或伊斯兰警察突袭,他们找到了 USB 但不知道我的 Windows 密码,我的数据会没事吗?
如果我很少关闭计算机而只让其进入睡眠状态,我可以将 USB 藏在某个地方吗?
我该如何解释这一点
在没有兼容 TPM 的计算机上,BitLocker 可以提供加密,但不能提供使用 TPM 锁定密钥的额外安全性。在这种情况下,用户需要创建存储在 USB 闪存驱动器上的启动密钥。
http://windows.microsoft.com/en-id/windows-vista/bitlocker-drive-encryption-overview
答案1
USB 记忆棒仍然需要与 Bitlocker 密码结合使用才能解密驱动器,而 TPM 模块所做的就是将其存储在模块上,因此您无需携带容易丢失的 USB 记忆棒。
如果你不告诉他们你的 Bitlocker 密码,你同样受到保护
答案2
安全模型不同。(这个答案还在进行中。)
USB 闪存盘上的启动密钥
优点:
- 无需 TPM。
- 2FA:用户需要启动键(默认存储在U盘中)和PC端,才能解密系统盘。
缺点:
- 您可能会意外覆盖或格式化您的 USB 闪存驱动器,需要您手动输入恢复密钥以便能够启动 Windows。使用具有硬件写保护的 USB 闪存驱动器可以降低这种风险。
- 如果您的 USB 闪存驱动器丢失或被盗,那么攻击者可以读取(并复制)启动键从中。可以使用硬件加密的 USB 闪存驱动器(例如这;还有其他品牌可供选择)。
- 如果你的电脑被入侵,那么攻击者可能会读取启动键在启动过程中将 USB 闪存驱动器插入 PC 时,系统会从 USB 闪存驱动器中获取数据。即使是硬件加密的 USB 闪存驱动器也是如此,因为必须解锁它们才能启动 PC。但是,如果你的 PC 被入侵到了这种程度,那么入侵者很可能已经能够读取 BitLocker 所保护的所有内容,即启动键对他们来说可能是多余的。
可信平台管理
优点:
- 无需购买 USB 闪存盘。
- USB 闪存驱动器不存在丢失或被盗的风险。
- 与 USB 闪存驱动器不同,TPM 旨在防止其存储的私人数据被读取。相反,它们使用质询-响应机制。因此,没有高级技能或设备的攻击者将无法从 TPM 中检索私钥。
缺点:
拥有先进技能或设备且能够通过电子或物理方式访问 PC 的攻击者可能能够从 TPM 检索私钥,例如通过以下方式:
技能足够高超的攻击者或许能够欺骗 TPM 成功执行质询-响应即使 Windows 已被攻击者修改(这更像是针对“安全启动”的攻击,而不是针对 BitLocker 的攻击本身。然而,如果您的 PC 被入侵到这种程度,那么入侵者可能已经能够读取 BitLocker 保护的所有内容。
如果将受 BitLocker 保护的驱动器移至另一台 PC,则需要手动输入恢复密钥。
答案3
任何“基于 USB 的 Bitlocker 加密驱动器”[1] 都不如使用 TPM 加密驱动器安全,因为:
与之前的答案相反(过期了?),没有 TPM 的 Bitlocker 不支持多因素。因此,USB 上的启动密钥和 Bitlocker 密码两个独立的访问“钥匙”到驱动器。您只需要一个即可解锁驱动器。
此类键称为“保护者'。系统驱动器的保护器与数据驱动器的保护器不同。操作系统驱动器可以有一个启动密钥。由于数据驱动器不是从中启动的,因此在这种情况下可以使用“RecoveryKey”保护器。两者都创建一个 *.bek 文件,该文件根据以下命令...
manage-bde -protectors -add -help
... 可以互换使用,因为它们都是“外部密钥文件”保护器。该命令将列出所有可能的保护器。(密码、智能卡、密钥文件、TPM 等)
为什么 TPM 更安全?
因为有了 TPM,你可以添加一个保护器,而该保护器本身依赖于多个“秘密”。可能的选项:
- 密钥和PIN码
- TPM 和启动密钥
- TPM 和 PIN 和启动密钥
- 可信平台管理
尽管 TPM 部分与机器绑定,而不是移动设备,但前三个在某种程度上模仿了多因素行为。
基于 USB 的体验基于没有 TPM 的系统。如果启动系统在启动期间没有看到带有启动密钥的 USB 驱动器,Bitlocker 将要求您输入密码,前提是存在“密码保护器”。如果它看到启动密钥,它将直接启动 Windows。带有 LED 的 USB 驱动器将允许您验证系统是否正在读取 USB 驱动器;除非您调整某些 BIOS 设置,否则某些 USB 端口可能不会在启动前处于活动状态。
结论
如果仅使用 -TPM 加密驱动器,则仅当驱动器本身移动到另一台机器时,它才会保护驱动器。任何人都可以启动原始机器,不需要额外的秘密。这几乎相当于将非 TPM 机器的 USB 驱动器插入 USB 端口的情况。
如果您使用 -TPMAndPIN,则需要在启动期间输入 PIN这比非 TPM USB 驱动器更安全,因为秘密是你知道的,而不是你拥有的;前提是你的 PIN 不是你的生日而且很长。
需要说明的是,您不能将 TPM 用于数据驱动器。但您可以将驱动器以菊花链形式连接到原始受 TPM 保护的 OS 驱动器。
建议添加多个保护器,以防丢失或忘记主要保护器。数字密码 (-RecoveryPassword) 可以保存在安全位置。
如果您只能访问非 TPM 系统:配置一个 Yubikey,使用一个 25-30 个字符的长静态密码。将该密码与静态密码之前或之后连接的内容(5-10)一起使用,作为 Bitlocker 的密码保护器。这模仿了多因素身份验证,但对于纯粹主义者来说,这不是真正的 MFA。
[1] = 来自主题发起者:使用 Bitlocker(无 TPM)加密的驱动器,并使用 USB 驱动器上的启动密钥。
我使用了“驱动器”这个词;您可能将其读作“分区”,因为 Bitlocker 是按分区启用的,而不是按驱动器启用的。