dav*_*lfs 1 windows bitlocker amazon-ec2 windows-server-2012
任何人都可以评论 bitlocker 的自动解锁功能是如何工作的。具体来说,我想知道解锁密钥是如何加密和存储的,以及解锁过程何时发生。
如果机器本身以某种方式受到损害,并且他们可以访问根驱动器(未加密)。他们获得钥匙有多容易?如果没有用户密码,这几乎是不可能的吗?
编辑:机器在 EC2 上
Bitlocker 是可靠的技术。它符合 FIPS 140-2 标准,并且没有在其中发现任何类型的后门(令某些执法机构感到震惊,他们希望后门进入您的数据。)我强烈推荐它。
但它是防黑客的吗?不,当然不是。没有什么是黑客证明。
在您所说的“透明操作模式”下,计算机将使用 TPM(可信平台模块)芯片。此芯片焊接在主板上,无法拆卸。该芯片使用 128 位或 256 位密钥存储用于使用 AES 加密的密钥。(如果您没有实际拥有这台机器,您将不会使用透明操作或“自动解锁”模式。存储在未加密驱动器上的任何内容(例如加密密钥)都可以被攻击者恢复,然后他们可以使用它密钥来解锁您之前用这些密钥保护的任何东西。)
用户通过操作系统对TPM芯片进行初始化后,TPM芯片会分析某些预启动环境条件。例如,它会分析 BIOS、MBR 等,并记录该状态。当操作系统(比如 Windows 7 或 8)开始加载时,它会要求 TPM 释放密钥,以便它可以解密驱动器的内容。(这是在 Windows Vista 时代开始出现的操作系统驱动器上未加密的 100MB 分区的功能之一。)如果 TPM 检测到任何预启动条件已被更改或修改,它不会释放钥匙。
这意味着有人无法从笔记本电脑或 PC 中取出受 Bitlocker 保护的驱动器,将其移植到另一台计算机上并读取它。因为它是加密的,而且只有连接到焊接在原始主板上的原始 TPM 才能解密,并且 TPM 检测到自上次快照以来没有任何预启动状态被更改。
如果您在笔记本电脑上使用 Bitlocker,我将无法拿走您的笔记本电脑,进入 BIOS,更改启动顺序,从 USB 密钥或 Ubuntu DVD 或其他类似设备启动,并使用它来读取您的磁盘。因为在这种情况下 TPM 芯片不会释放加密密钥。
对 Bitlocker 的可能攻击非常奇特,例如所谓的“冷启动攻击”,包括用压缩空气喷洒内存芯片以冷却它们,以便 RAM 的易失性内容在更长的时间内可读,然后执行将操作系统“冷重启”到一个允许恶意用户读取操作系统运行时遗留下来的 RAM 内容的环境中。此类数据的持久性可能是几毫秒、几秒,甚至几分钟。
编辑:您仍然可以将 Bitlocker-To-Go 用于可移动驱动器,即使您无法物理访问该机器。您的 Microsoft Live 帐户或 Active Directory 可以为您托管密钥。