基于 USB 的 bitlocker 和基于 tpm 的一样安全吗?

tag-icon tag-icon windows usb security bitlocker tpm
基于 USB 的 bitlocker 和基于 tpm 的一样安全吗?

我的计算机没有 TPM

如果我使用 USB 存储私钥,则可以选择启用 bitlocker

在这种情况下,安全性会受到怎样的影响?

它会和 TPM 一样安全吗?

例如,如果我的家遭到 FBI 或伊斯兰警察突袭,他们找到了 USB 但不知道我的 Windows 密码,我的数据会没事吗?

如果我很少关闭计算机而只让其进入睡眠状态,我可以将 USB 藏在某个地方吗?

我该如何解释这一点

在没有兼容 TPM 的计算机上,BitLocker 可以提供加密,但不能提供使用 TPM 锁定密钥的额外安全性。在这种情况下,用户需要创建存储在 USB 闪存驱动器上的启动密钥。

http://windows.microsoft.com/en-id/windows-vista/bitlocker-drive-encryption-overview

答案1

USB 记忆棒仍然需要与 Bitlocker 密码结合使用才能解密驱动器,而 TPM 模块所做的就是将其存储在模块上,因此您无需携带容易丢失的 USB 记忆棒。

如果你不告诉他们你的 Bitlocker 密码,你同样受到保护

答案2

安全模型不同。(这个答案还在进行中。)

USB 闪存盘上的启动密钥

优点:

  • 无需 TPM。
  • 2FA:用户需要启动键(默认存储在U盘中)PC端,才能解密系统盘。

缺点:

  • 您可能会意外覆盖或格式化您的 USB 闪存驱动器,需要您手动输入恢复密钥以便能够启动 Windows。使用具有硬件写保护的 USB 闪存驱动器可以降低这种风险。
  • 如果您的 USB 闪存驱动器丢失或被盗,那么攻击者可以读取(并复制)启动键从中。可以使用硬件加密的 USB 闪存驱动器(例如;还有其他品牌可供选择)。
  • 如果你的电脑被入侵,那么攻击者可能会读取启动键在启动过程中将 USB 闪存驱动器插入 PC 时,系统会从 USB 闪存驱动器中获取数据。即使是硬件加密的 USB 闪存驱动器也是如此,因为必须解锁它们才能启动 PC。但是,如果你的 PC 被入侵到了这种程度,那么入侵者很可能已经能够读取 BitLocker 所保护的所有内容,即启动键对他们来说可能是多余的。

可信平台管理

优点:

  • 无需购买 USB 闪存盘。
  • USB 闪存驱动器不存在丢失或被盗的风险。
  • 与 USB 闪存驱动器不同,TPM 旨在防止其存储的私人数据被读取。相反,它们使用质询-响应机制。因此,没有高级技能或设备的攻击者将无法从 TPM 中检索私钥。

缺点:

  • 拥有先进技能或设备且能够通过电子或物理方式访问 PC 的攻击者可能能够从 TPM 检索私钥,例如通过以下方式:

  • 技能足够高超的攻击者或许能够欺骗 TPM 成功执行质询-响应即使 Windows 已被攻击者修改(这更像是针对“安全启动”的攻击,而不是针对 BitLocker 的攻击本身然而,如果您的 PC 被入侵到这种程度,那么入侵者可能已经能够读取 BitLocker 保护的所有内容。

  • 如果将受 BitLocker 保护的驱动器移至另一台 PC,则需要手动输入恢复密钥

答案3

任何“基于 USB 的 Bitlocker 加密驱动器”[1] 都不如使用 TPM 加密驱动器安全,因为:

与之前的答案相反(过期了?),没有 TPM 的 Bitlocker 不支持多因素。因此,USB 上的启动密钥和 Bitlocker 密码两个独立的访问“钥匙”到驱动器。您只需要一个即可解锁驱动器。

此类键称为“保护者'。系统驱动器的保护器与数据驱动器的保护器不同。操作系统驱动器可以有一个启动密钥。由于数据驱动器不是从中启动的,因此在这种情况下可以使用“RecoveryKey”保护器。两者都创建一个 *.bek 文件,该文件根据以下命令...

manage-bde -protectors -add -help

... 可以互换使用,因为它们都是“外部密钥文件”保护器。该命令将列出所有可能的保护器。(密码、智能卡、密钥文件、TPM 等)

为什么 TPM 更安全?

因为有了 TPM,你可以添加一个保护器,而该保护器本身依赖于多个“秘密”。可能的选项:

  • 密钥和PIN码
  • TPM 和启动密钥
  • TPM 和 PIN 和启动密钥
  • 可信平台管理

尽管 TPM 部分与机器绑定,而不是移动设备,但前三个在某种程度上模仿了多因素行为。

基于 USB 的体验基于没有 TPM 的系统。如果启动系统在启动期间没有看到带有启动密钥的 USB 驱动器,Bitlocker 将要求您输入密码,前提是存在“密码保护器”。如果它看到启动密钥,它将直接启动 Windows。带有 LED 的 USB 驱动器将允许您验证系统是否正在读取 USB 驱动器;除非您调整某些 BIOS 设置,否则某些 USB 端口可能不会在启动前处于活动状态。

结论

如果仅使用 -TPM 加密驱动器,则仅当驱动器本身移动到另一台机器时,它才会保护驱动器。任何人都可以启动原始机器,不需要额外的秘密。这几乎相当于将非 TPM 机器的 USB 驱动器插入 USB 端口的情况。

如果您使用 -TPMAndPIN,则需要在启动期间输入 PIN这比非 TPM USB 驱动器更安全,因为秘密是你知道的,而不是你拥有的;前提是你的 PIN 不是你的生日而且很长。

需要说明的是,您不能将 TPM 用于数据驱动器。但您可以将驱动器以菊花链形式连接到原始受 TPM 保护的 OS 驱动器。

建议添加多个保护器,以防丢失或忘记主要保护器。数字密码 (-RecoveryPassword) 可以保存在安全位置。

如果您只能访问非 TPM 系统:配置一个 Yubikey,使用一个 25-30 个字符的长静态密码。将该密码与静态密码之前或之后连接的内容(5-10)一起使用,作为 Bitlocker 的密码保护器。这模仿了多因素身份验证,但对于纯粹主义者来说,这不是真正的 MFA。

[1] = 来自主题发起者:使用 Bitlocker(无 TPM)加密的驱动器,并使用 USB 驱动器上的启动密钥。

我使用了“驱动器”这个词;您可能将其读作“分区”,因为 Bitlocker 是按分区启用的,而不是按驱动器启用的。

https://docs.microsoft.com/nl-nl/windows/security/information-protection/bitlocker/bitlocker-device-encryption-overview-windows-10

相关内容