Encryption

沒有來自 WinPE 的 PIN 的 BitLocker 的安全性?

  • June 12, 2012

假設您有一台系統驅動器由 BitLocker 加密的電腦,並且您沒有使用 PIN,因此電腦將在無人看管的情況下啟動。如果攻擊者將系統啟動到 Windows 預安裝環境會發生什麼?他們可以訪問加密驅動器嗎?

如果您有 TPM 與僅使用 USB 啟動密鑰,它會改變嗎?

我要確定的是 TPM / USB 啟動密鑰是否可以在不從原始作業系統啟動的情況下使用。換句話說,如果您使用 USB 啟動密鑰並且機器正常重新啟動,那麼除非攻擊者能夠登錄,否則數據仍然會受到保護。但是如果黑客只是將伺服器啟動到 Windows 預安裝環境中呢?插入 USB 啟動密鑰?然後他們可以訪問數據嗎?還是需要恢復密鑰?

理想情況下,像這樣啟動時需要恢復密鑰,但我還沒有在任何地方看到這一點。

TPM 是安全的,因為它“監視”啟動過程;當您的正常 Windows 安裝啟動時,它會遵循“正常”啟動路徑,TPM 會辨識這一點,並且只會在遵循此過程時儲存/檢索密鑰。如果您以任何其他方式啟動,即使只是安全模式,您將“更改”該程序並且 TPM 不會“解鎖”。

從技術上講,密鑰儲存在 TPM 晶片中,理論上可以切開該晶片並獲取數據。TPM 與任何其他保險庫一樣,理論上總是有可能在足夠的時間和資源下闖入保險庫。據公開所知,這從未發生過。但這就是存在 PIN 和 USB 密鑰選項的一半原因。嘗試暴力破解實際的 AES-256 加密密鑰將花費大量時間。

如果您的驅動器只需要 USB 密鑰,那麼即使從 WinPE 也可以僅使用該 USB 密鑰來解鎖驅動器。

我們在我工作的地方使用 BitLocker。每個驅動器都必須有保護器、TPM 密鑰和自動發佈到 Active Directory 的恢復密鑰。電腦正常啟動,使用者不知道它是加密的,除非他們看。當我將電腦送入進行維修/擦除/等操作時,我使用manage-bdeWinPE 中的命令行工具來解鎖和訪問驅動器,使用恢復密鑰來解鎖驅動器。

另請記住,GUI 並未提供所有可用的 BitLocker 選項。命令行工具manage-bde可以。對於大多數人來說,GUI 足以開始使用,但 CLI 工具將是高級設置所必需的,並且可能會讓您更好地了解該技術。

引用自:https://serverfault.com/questions/397842