Windows 如何使用 TPM 进行 BitLocker 加密而不被攻击者所利用?
由此常问问题,我了解 BitLocker 使用以下密钥来加密硬盘:
- 全卷加密密钥(用于加密原始数据;由卷主密钥加密并存储在磁盘上)
- 卷主密钥(由密钥保护器加密并存储在磁盘上)
- 密钥保护器(TPM 或数字密码)
以下输出manage-bde(带有隐藏数据)表明系统同时使用 TPM 和数字密码(恢复密码) 作为关键保护者:
C:\WINDOWS\system32>manage-bde -protectors -get C:
BitLocker Drive Encryption: Configuration Tool version 10.0.16299
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: [Windows]
All Key Protectors
Numerical Password:
ID: {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
Password:
XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX
TPM:
ID: {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
PCR Validation Profile:
0, 2, 4, 11
在这种情况下,使用什么密钥保护器来加密卷主密钥?
另外,如何防止攻击者像 Windows 那样使用 TPM,或者从磁盘读取恢复密码(后者保护器必须以明文形式存在)?