BitLocker 在笔记本电脑被盗的情况下有用吗？

Question

想象一下启用 BitLocker 的 Windows 10 笔记本电脑被盗并且小偷想要读取硬盘驱动器上的数据的情况。他知道无法取出并读取另一台计算机上的硬盘驱动器，因为存在 BitLocker。但他可以简单地尝试暴力破解 Windows 登录密码以进入操作系统，这样他仍然可以读取数据。

如果是本地帐户，似乎非常可行。即使在微软账户的情况下，如果我没记错的话，用户仍然可以在没有互联网连接的情况下登录，所以我可以假设密码的哈希也在硬盘驱动器上，暴力密码破解方法也可以应用。

那么 BitLocker 在笔记本电脑被盗的情况下有用吗？

Answer 1

它通常很有用。如果您有自动解锁功能，某些系统可能允许坚定的攻击者绕过它，但这需要比启动 USB 记忆棒更多的技巧。但是，您应该有一个BitLocker PIN来实际锁定它。

密码的哈希值也在硬盘上，

是的，但他们无法读取它，因为硬盘是加密的。

新笔记本电脑上的 BitLocker 使用 TPM 芯片实现自动解锁。一个密钥存储在 TPM 中，因此只有当系统以完全相同的方式启动时才可以回读——相同的固件设置、相同的 PCI 硬件、相同的启动设备、相同的数字签名 BOOTMGR。

（这意味着您的登录密码不是用于解锁磁盘；在您盯着登录屏幕时，磁盘已经解锁，因此可以从中加载操作系统。系统分区上的所有内容，包括操作系统本身——除了 BOOTMGR——是加密的。）

如果您尝试从 U 盘启动（或进行任何其他更改，例如禁用安全启动签名验证），系统磁盘将不再自动解锁，即使它仍然是同一台笔记本电脑；访问它的唯一方法是知道恢复密钥。

因此，小偷无法获取您的 Windows 密码哈希（这确实很容易暴力破解），而且他们只能在实际的 Windows 登录屏幕上戳一下，或执行某种硬件攻击（例如“冷启动”和读取 BitLocker RAM 中的密钥）。

注意：如果笔记本电脑有一个独立的 TPM 芯片（而不是 fTPM），他们可以很容易地拦截 TPM 和 CPU 之间的实际信号，并通过这种方式找出 BitLocker 密钥。我相信 BitLocker 的“TPM + PIN”模式可以防止这种情况发生，因为 TPM 需要 PIN 才能显示密钥（并且 TPM 本身具有锁定机制）。

最后，BitLocker 不会阻止笔记本电脑被擦除或重复使用。TPM 的设计始终可以由可以访问固件设置屏幕的任何人清除和重新初始化。（除非制造商也将固件密码存储在 TPM 中，就像惠普那样......但显然它并不能阻止人们通过更换整个芯片来解锁笔记本电脑。）

Answer 2

这是TPM芯片的设计场景。

对由 TPM 支持的 Bitlocker 安全性的攻击（如果它自动启动）必然是对系统总线或 RAM 的攻击。

在台式机上，由于添加 PCI 设备，TPM 已经下降（等等？TPM 散列检查……；其实不是），但您无法合理地将 PCI 设备添加到笔记本电脑。冷 RAM 攻击应该适用于笔记本电脑，但这真的是这样。

六个月前，在桌面上对 TPM 的攻击花费了几百美元；对笔记本电脑上的 TPM 的攻击超出了我们的能力范围，公平的估计可能是几万。