Windows 如何使用 TPM 进行 BitLocker 加密而不被攻击者所利用?

Windows 如何使用 TPM 进行 BitLocker 加密而不被攻击者所利用?

Windows 如何使用 TPM 进行 BitLocker 加密而不被攻击者所利用?

由此常问问题,我了解 BitLocker 使用以下密钥来加密硬盘:

  • 全卷加密密钥(用于加密原始数据;由卷主密钥加密并存储在磁盘上)
  • 卷主密钥(由密钥保护器加密并存储在磁盘上)
  • 密钥保护器(TPM 或数字密码)

以下输出manage-bde(带有隐藏数据)表明系统同时使用 TPM 和数字密码(恢复密码) 作为关键保护者:

    C:\WINDOWS\system32>manage-bde -protectors -get C:
    BitLocker Drive Encryption: Configuration Tool version 10.0.16299
    Copyright (C) 2013 Microsoft Corporation. All rights reserved.

    Volume C: [Windows]
    All Key Protectors

    Numerical Password:
      ID: {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
      Password:
        XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX

    TPM:
      ID: {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
      PCR Validation Profile:
        0, 2, 4, 11

在这种情况下,使用什么密钥保护器来加密卷主密钥?

另外,如何防止攻击者像 Windows 那样使用 TPM,或者从磁盘读取恢复密码(后者保护器必须以明文形式存在)?

相关内容