有人能评论一下 bitlocker 的自动解锁功能是如何工作的吗?具体来说,我想知道解锁密钥是如何加密和存储的,以及解锁过程何时发生。
如果机器本身以某种方式受到攻击,并且他们可以访问根驱动器(未加密)。他们获得密钥有多容易?如果没有用户密码,这几乎不可能做到吗?
编辑:机器位于 EC2 上
答案1
Bitlocker 是一项可靠的技术。它符合 FIPS 140-2 标准,并且没有发现任何后门(这让某些执法机构感到震惊,他们想后门进入您的数据。)我强烈推荐它。
但它能防黑客吗?当然不能。没有什么东西是防黑客的。
在您所谈论的“透明操作模式”中,计算机将使用 TPM(可信平台模块)芯片。该芯片焊接在主板上,无法拆卸。该芯片存储使用 128 位或 256 位密钥的 AES 加密所用的密钥。(如果您没有实际拥有机器,则不会使用透明操作或“自动解锁”模式。存储在未加密驱动器上的任何内容(例如加密密钥)都可能被攻击者恢复,然后他们可以使用该密钥解锁您之前用这些密钥保护的任何内容。)
用户通过操作系统初始化 TPM 芯片后,TPM 芯片会分析某些预启动环境条件。例如,它将分析 BIOS、MBR 等,并记录该状态。当操作系统(例如 Windows 7 或 8)开始加载时,它会要求 TPM 释放密钥,以便它可以解密驱动器的内容。(这是操作系统驱动器上未加密的 100MB 分区的功能之一,该分区在 Windows Vista 时代开始出现。)如果 TPM 检测到任何预启动条件已被更改或修改,它将不会释放密钥。
这意味着,有人无法将受 Bitlocker 保护的驱动器从笔记本电脑或 PC 中取出,移植到另一台计算机并读取它。因为它是加密的,并且只有在连接到焊接到原始主板的原始 TPM 时才能解密,并且 TPM 检测到自上次快照以来预启动状态没有任何改变。
如果您在笔记本电脑上使用 Bitlocker,我将无法拿走您的笔记本电脑、进入 BIOS、更改启动顺序、从 USB 密钥或 Ubuntu DVD 或类似设备启动,然后使用它来读取您的磁盘。因为在这种情况下,TPM 芯片不会释放加密密钥。
Bitlocker 可能遭受的攻击非常奇特,例如所谓的“冷启动攻击”,即向内存芯片喷洒压缩空气以冷却它们,这样 RAM 中的易失性内容就可以在较长时间内读取,然后对操作系统执行“冷重启”,使恶意用户可以读取操作系统运行时遗留的 RAM 内容。此类数据的持久性可能是几毫秒、几秒,甚至可能是几分钟。
编辑:即使您无法物理访问机器,您仍然可以将 Bitlocker-To-Go 用于可移动驱动器。您的 Microsoft Live 帐户或 Active Directory 可以为您托管密钥。
答案2
物理访问是完全访问。假设如果有人可以物理访问您的计算机,他们就可以访问计算机上的所有内容。因为实际上,他们可以 - 至少他们可以在您的计算机上放置一个 rootkit,在您下次登录时记录您的密码(或从内存中转储密钥),并通过网络将其发送给他们自己,或者如果失败,稍后再回来收集它。
如果你的机器被入侵了,唯一安全的方法就是从轨道上进行核打击。清除所有数据,并希望你在入侵之前有适当的备份。
答案3
如果您的计算机已启动并且自动解锁功能已启用,那么只要您登录计算机,就可以访问 bitlocker 驱动器上的数据。此外,还有一些实用程序可以清除密码,让您无需密码即可登录并访问 bitlocker 驱动器上的数据。基本上,自动解锁违背了 Bitlocker 的目的,并用标准 Windows 安全性取而代之。