想象一下,当一台启用了 BitLocker 的 Windows 10 笔记本电脑被盗时,小偷想要读取硬盘上的数据。他知道不可能从另一台计算机上取出并读取硬盘,因为存在 BitLocker。但他可以简单地尝试强行破解 Windows 登录密码以进入操作系统,这样他仍然可以读取数据。
如果是本地账户的话,这似乎非常可行。即使是微软账户,如果我没记错的话,用户仍然可以在没有互联网连接的情况下登录,所以我可以假设密码的哈希值也在硬盘上,暴力破解密码的方法也可以适用。
那么,如果笔记本电脑被盗,BitLocker还有用吗?
答案1
它通常很有用。如果你有自动解锁功能,一些系统可能会允许有决心的攻击者绕过它,但这需要比仅仅启动 USB 棒更多的技能。然而,你应该有一个BitLocker PIN将其真正锁定。
密码的哈希值也在硬盘上,
是的,但是他们无法读取,因为硬盘已加密。
新笔记本电脑上的 BitLocker 使用 TPM 芯片实现自动解锁。TPM 中存储了一个密钥,因此可以读取除非系统以完全相同的方式启动 - 相同的固件设置、相同的 PCI 硬件、相同的启动设备、相同的数字签名的 BOOTMGR。
(这意味着您的登录密码不用于解锁磁盘;当您盯着登录屏幕时,磁盘是已经解锁,以便可以从中加载操作系统。系统分区上的所有内容(包括操作系统本身,BOOTMGR 除外)都已加密。
如果您尝试从 USB 记忆棒启动(或进行任何其他更改,例如禁用安全启动签名验证),系统磁盘将不再自动解锁,即使它仍然是同一台笔记本电脑;访问它的唯一方法是知道恢复密钥。
因此,窃贼无法获取您的 Windows 密码哈希(这确实很容易被暴力破解),他们只能攻击实际的 Windows 登录屏幕,或执行某种硬件攻击(例如“冷启动”和从 RAM 中读取 BitLocker 密钥)。
注意:如果笔记本电脑有独立的 TPM 芯片(而不是 fTPM),他们可以相当容易地拦截 TPM 和 CPU 之间的实际信号,并以此方式找出 BitLocker 密钥。我相信 BitLocker 的“TPM + PIN”模式可以防止这种情况,因为 TPM 需要 PIN 才能显示密钥(并且 TPM 本身具有锁定机制)。
最后,BitLocker 不会阻止笔记本电脑被擦除或重复使用。从设计上讲,任何能够访问固件设置屏幕的人都可以清除并重新初始化 TPM。(除非制造商也将固件密码存储在 TPM 中,就像 HP 那样……但显然它无法阻止人们通过更换整个芯片来解锁笔记本电脑。)
答案2
这就是TPM芯片的设计场景。
对由 TPM 支持的 Bitlocker 安全性的攻击(如果它自动启动)本质上一定是对系统总线或 RAM 的攻击。
在台式机上,TPM 因添加 PCI 设备而下降(等等什么?TPM 哈希检查……;其实不是),但您无法合理地将 PCI 设备添加到笔记本电脑。冷 RAM 攻击应该可以对笔记本电脑起作用,但仅此而已。
我们六个月前就估计过,针对台式机 TPM 的攻击要花费几百美元;而针对笔记本电脑 TPM 的攻击则超出了我们的承受范围,合理估计可能需要花费几万美元。
答案3
如果您不希望数据被访问,这很有用。但是,对于防止实际使用笔记本电脑来说,这不会有太大区别。他们可以简单地更换硬盘,或者只是擦拭并压平它,然后像新的一样设置它。不过,这样做是个好主意,这样就没有人可以访问您的数据。