这是维基百科关于BitLocker的一段话
一旦受 BitLocker 保护的机器运行,其密钥就会存储在内存中,在那里它们可能容易受到能够访问物理内存的进程的攻击,例如,通过 1394 DMA 通道。内存中的任何加密材料都面临此攻击的风险,因此,这不是 BitLocker 特有的。
据我了解,据称 BitLocker 使用的可信平台模块 (TPM)专门用于防止此类攻击:
...当从 TPM 获得密钥的软件应用程序使用它来执行加密/解密操作时,密钥仍然容易受到攻击,如冷启动攻击的情况所示。如果 TPM 中使用的密钥无法通过总线或外部程序访问,并且所有加密/解密都在 TPM 中完成,则此问题将被消除
TPM 图暗示密钥存储和加密/解密引擎应该是模块的一部分。那么,为什么没有使用该功能的全盘加密产品呢?例如:为什么没有 FDE 软件,不容易受到冷启动攻击?
到目前为止,我看到的唯一好的建议是解密系统驱动器,然后使用 Acronis 或诸如此类的东西进行迁移,然后再加密回来。
这个建议是有效的,除了 SSD 你也可以让你的驱动器不加密。特别是,如果您在系统驱动器上有页面文件,而且您可能有,因为这是确保休眠工作的唯一方法,您的驱动器上有部分系统内存,其中包含加密密钥、密码和所有其他好东西。并且对于 SSD,没有可以想象的方法来保证它被覆盖。
我什至没有说其余的驱动器内容,这些内容可能也潜伏在不安全的地方。
所以,问题是:你做什么?这里有人成功完成了加密系统驱动器的安全迁移吗?
编辑:这个问题是关于将加密的操作系统从驱动器 A 迁移到驱动器 B而不在任一物理驱动器上生成未加密的副本。
