考虑使用 Bitlocker 加密驱动器的设置。
我需要保护已经 Bitlocker 加密的驱动器免受冷启动/DMA 攻击。我假设我有两个选择:
- 为计算机启动时创建启动密码(在 BIOS/UEFI 中配置)
- 为 Bitlocker 创建 PIN
该启动密码(在 BIOS/UEFI 中配置)是否具有与 Bitlocker 的针对冷启动/DMA 的 PIN 相同的安全级别?
答案1
(这个答案绝不是完整的,但应该会给你一些思考的东西。)
启动密码本身并不能提供任何数据保护。我可以拧开侧面板,断开驱动器并读取所有文件。它所做的只是阻止我启动该特定主板。
如果密码还用于在硬件/固件级别加密磁盘,那就更好了如果 BIOS 正确实现它某些 BIOS 总是对所有磁盘使用相同的硬编码密码(您的密码仅用于授权使用硬编码密码进行解密),这仅提供了一种安全的假象。这种方案从根本上是有缺陷的,因为每个人都可以通过知道固定的硬编码密码来解密磁盘。一旦您知道了密码,我们就回到了原点。
最后,您必须相信硬件加密是可靠的。从历史上看,这在许多磁盘中都是一个问题,例如由于使用可预测的 RNG。如果没有昂贵的硬件和大量的时间投入,您无法真正亲自测试这一点。
Bitlocker 和 VeraCrypt 等解决方案提供了专家验证的可靠全盘加密实现。这会对性能产生轻微影响,您可能需要使用其他方法来确保引导加载程序的完整性,例如 UEFI 安全启动。Bitlocker 还可能决定使用驱动器的内置加密而不是软件加密,这同样取决于驱动器加密实现的质量。如果您想避免这种情况,则需要配置适当的组策略。