如果笔记本电脑被盗，BitLocker 有用吗？

Question 1

它通常很有用。如果你有自动解锁功能，一些系统可能会允许有决心的攻击者绕过它，但这需要比仅仅启动 USB 棒更多的技能。然而，你应该有一个BitLocker PIN将其真正锁定。

密码的哈希值也在硬盘上，

是的，但是他们无法读取，因为硬盘已加密。

新笔记本电脑上的 BitLocker 使用 TPM 芯片实现自动解锁。TPM 中存储了一个密钥，因此可以读取除非系统以完全相同的方式启动 - 相同的固件设置、相同的 PCI 硬件、相同的启动设备、相同的数字签名的 BOOTMGR。

（这意味着您的登录密码不用于解锁磁盘；当您盯着登录屏幕时，磁盘是已经解锁，以便可以从中加载操作系统。系统分区上的所有内容（包括操作系统本身，BOOTMGR 除外）都已加密。

如果您尝试从 USB 记忆棒启动（或进行任何其他更改，例如禁用安全启动签名验证），系统磁盘将不再自动解锁，即使它仍然是同一台笔记本电脑；访问它的唯一方法是知道恢复密钥。

因此，窃贼无法获取您的 Windows 密码哈希（这确实很容易被暴力破解），他们只能攻击实际的 Windows 登录屏幕，或执行某种硬件攻击（例如“冷启动”和从 RAM 中读取 BitLocker 密钥）。

注意：如果笔记本电脑有独立的 TPM 芯片（而不是 fTPM），他们可以相当容易地拦截 TPM 和 CPU 之间的实际信号，并以此方式找出 BitLocker 密钥。我相信 BitLocker 的“TPM + PIN”模式可以防止这种情况，因为 TPM 需要 PIN 才能显示密钥（并且 TPM 本身具有锁定机制）。

最后，BitLocker 不会阻止笔记本电脑被擦除或重复使用。从设计上讲，任何能够访问固件设置屏幕的人都可以清除并重新初始化 TPM。（除非制造商也将固件密码存储在 TPM 中，就像 HP 那样……但显然它无法阻止人们通过更换整个芯片来解锁笔记本电脑。）

Answer

它通常很有用。如果你有自动解锁功能，一些系统可能会允许有决心的攻击者绕过它，但这需要比仅仅启动 USB 棒更多的技能。然而，你应该有一个BitLocker PIN将其真正锁定。

密码的哈希值也在硬盘上，

是的，但是他们无法读取，因为硬盘已加密。

新笔记本电脑上的 BitLocker 使用 TPM 芯片实现自动解锁。TPM 中存储了一个密钥，因此可以读取除非系统以完全相同的方式启动 - 相同的固件设置、相同的 PCI 硬件、相同的启动设备、相同的数字签名的 BOOTMGR。

（这意味着您的登录密码不用于解锁磁盘；当您盯着登录屏幕时，磁盘是已经解锁，以便可以从中加载操作系统。系统分区上的所有内容（包括操作系统本身，BOOTMGR 除外）都已加密。

如果您尝试从 USB 记忆棒启动（或进行任何其他更改，例如禁用安全启动签名验证），系统磁盘将不再自动解锁，即使它仍然是同一台笔记本电脑；访问它的唯一方法是知道恢复密钥。

因此，窃贼无法获取您的 Windows 密码哈希（这确实很容易被暴力破解），他们只能攻击实际的 Windows 登录屏幕，或执行某种硬件攻击（例如“冷启动”和从 RAM 中读取 BitLocker 密钥）。

注意：如果笔记本电脑有独立的 TPM 芯片（而不是 fTPM），他们可以相当容易地拦截 TPM 和 CPU 之间的实际信号，并以此方式找出 BitLocker 密钥。我相信 BitLocker 的“TPM + PIN”模式可以防止这种情况，因为 TPM 需要 PIN 才能显示密钥（并且 TPM 本身具有锁定机制）。

最后，BitLocker 不会阻止笔记本电脑被擦除或重复使用。从设计上讲，任何能够访问固件设置屏幕的人都可以清除并重新初始化 TPM。（除非制造商也将固件密码存储在 TPM 中，就像 HP 那样……但显然它无法阻止人们通过更换整个芯片来解锁笔记本电脑。）

Question 2

这就是TPM芯片的设计场景。

对由 TPM 支持的 Bitlocker 安全性的攻击（如果它自动启动）本质上一定是对系统总线或 RAM 的攻击。

在台式机上，TPM 因添加 PCI 设备而下降（等等什么？TPM 哈希检查……；其实不是），但您无法合理地将 PCI 设备添加到笔记本电脑。冷 RAM 攻击应该可以对笔记本电脑起作用，但仅此而已。

我们六个月前就估计过，针对台式机 TPM 的攻击要花费几百美元；而针对笔记本电脑 TPM 的攻击则超出了我们的承受范围，合理估计可能需要花费几万美元。

Answer