BitLocker 在没有 TPM 的情况下安全吗?
rv54ntjwfm3ug8 · 2021-04-09 15:36:01 +08:00 via iPhone · 5034 次点击这是一个创建于 1316 天前的主题,其中的信息可能已经有所发展或是发生改变。
一直用 Bitwarden 生成的 64 位含符号随机密码加密放在移动硬盘中的 Windows 虚拟机全盘,今天注意到了一个名为 BitCracker 的项目,可以对 BitLocker 强制创建的纯数字恢复代码进行暴力破解。由于恢复代码的复杂度比我的密码低得多,想问一问 BitLocker 在没有 TPM 的情况下安全吗?
 |
1
qbqbqbqb 2021-04-09 17:11:13 +08:00
Bitlocker 在有 TPM 的时候也是会创建数字恢复代码的。TPM 仅仅是一种免人工干预的解锁手段而已。
|
|
2
qbqbqbqb 2021-04-09 17:14:37 +08:00  1
如果觉得默认的 48 位数字恢复代码不安全的话,可以配置组策略,改成使用 256 位 U 盘文件恢复密钥。
|
 |
3
Stain5 2021-04-09 17:28:36 +08:00 via Android 2
独立的 TPM 不安全,电脑开机的时候 TPM 会将直接密钥明文传递给 CPU,要是有个数字信号分析器的话,TPM 跟裸奔没区别
|
 |
4
x1aoYao 2021-04-09 17:48:57 +08:00
@Stain5 我的电脑有 TPM, 然后 BitLocker 加密了系统盘, 但设置为开机后自动解锁(也加密了其他磁盘, 设置为系统盘解锁则自动解锁) 这样情况下偷走整机是不是可以绕过系统开机密码读取磁盘数据了?
|
 |
5
nosugar 2021-04-09 17:50:20 +08:00 4
|
|
6
nosugar 2021-04-09 17:54:35 +08:00 1
@theklf4
你的上一个帖子“iOS 上有什么让数据 100% 不会被系统读取和上传的笔记软件? https://www.v2ex.com/t/768799”,苹果系统可以仅从应用商店登录 Apple ID,从而仅使用 App Store,你这是一个非常正常且合理的需求。记得从应用商店登录后,在设置里面提示让你打开 iCloud 的时候选择“否”,这个是我之前打算回归安卓的时候探索出来的,其它苹果服务都有第三方替代方案,你自己摸索下。 |
|
7
qbqbqbqb 2021-04-09 17:57:52 +08:00 2
@x1aoYao 可以 BIOS 里禁止 U 盘启动并且设置 BIOS 管理员密码,这样就没法用启动盘绕开机密码了。
Bitlocker 在使用 TPM 时会测量启动环境,如果环境发生了变化(例如放电清除 BIOS 设置,或者修改 SecureBoot 等安全设置),TPM 就会拒绝释放密钥,然后强制进入需要输入恢复代码的解锁流程。 |
|
8
qbqbqbqb 2021-04-09 18:00:21 +08:00
而且大多数可以绕密码的 WinPE 盘本身也不支持自动解锁 Bitlocker
|
|
9
nosugar 2021-04-09 18:02:09 +08:00
|
|
10
nosugar 2021-04-09 18:06:51 +08:00
另外我上面回复的两个步骤需要在你磁盘关闭 Bitlocker (解密状态)的时候操作,已经开启 Bitlocker 了会不起作用。
|
|
11
nosugar 2021-04-09 18:12:16 +08:00 1
macOS 没有 T2 芯片的型号 FileVault 磁盘加密逻辑是用用户密码作为密钥(应该是解密磁盘 AES 的主密钥的密钥),苹果聪明的做法是在开机启动的时候展示一个桌面一样的壁纸和密码输入 UI,让用户以为系统已经启动等待输入密码进入系统,其实这时候系统还没加载,加载的是一个类似于引导系统的东西,具体的情况没有深究,有大佬知道欢迎指正,谢谢!
|
|
12
nosugar 2021-04-09 18:15:34 +08:00
TPM 不是加密,是放篡改机制,#7 楼 qbqbqbqb 说的非常好,另外我个人觉得 BIOS 密码不见得安全,这个可能不同 PC 厂商不同型号版本实现不一样。
|
 |
13
kikikiabc 2021-04-09 18:25:48 +08:00 via iPhone
这个加密看似很厉害 但有一个致命 bug,系统更新时会自动禁用,形同虚设
|
|
14
nosugar 2021-04-09 18:49:39 +08:00
@kikikiabc Windows 10 上并不会,正常更新驱动及补丁,这是微软的企业数据管理方案,微软官方文档有介绍的。
|
|
16
kikikiabc 2021-04-09 19:36:09 +08:00 via iPhone
windows10 官方文档也提到会自动禁用的。最新版好像有选项可以不禁用,但默认还是会自动禁用的
|
|
17
kikikiabc 2021-04-09 19:40:40 +08:00 via iPhone
有兴趣的可以搜索一下 windows10 update disabled bitlocker bug 之类的关键词。我是实际碰到这种问题的,很无语
|
 |
18
whee1 2021-04-09 19:52:43 +08:00
最先考慮的不是 BitLocker,而是該選哪個版本的 window10 。
|
|
19
Stain5 2021-04-09 20:06:40 +08:00 via Android
@nosugar 用 TPM 不就是不想输密码吗,这么麻烦 还是上 vTPM 吧,内嵌在处理器里,没那么容易破解
|
 |
20
sky96111 2021-04-09 20:13:02 +08:00
@kikikiabc 自动更新只是临时禁用,下次启动又会重新启用,而且遇到需要禁用 bitlocker 的大更新,设备会自动重启安装更新并启用 bitlocker 。除非你更新了系统之后从强制关机然后丢失设备,不然还是安全的。
|
|
21
Stain5 2021-04-09 20:22:32 +08:00 via Android
@qbqbqbqb 都上数字信号分析器了,把主板上的 CMOS RAM 拆了用编程器读一下也不是不可能
|
 |
22
dingwen07 2021-04-09 20:42:26 +08:00 via Android
你要是怕数字密码(恢复密钥)被暴力破解,直接用 manage-bde 把它删了不就得了
|
 |
23
mmlmml1 2021-04-09 20:51:05 +08:00
别忘了 BitLocker 在支持硬件加密的情况下是直接交给硬件负责的,但有部分 SSD 的加密形同虚设,根本就不加密...
|
 |
24
Greatshu 2021-04-09 21:03:30 +08:00
不敢用 TPM,要是 CPU 或者主板 TPM 挂了,资料就全完了
|
|
25
kikikiabc 2021-04-09 21:26:48 +08:00 via iPhone
所谓的 bug 都是在你最意想不到的地方冒出来。不要小看这个看上去好像没啥的临时禁用操作,关键时刻是致命的。bug 都是以比千分之一万分之一还要小得多的机会才会触发,但遇到就没机会了
|
 |
26
rv54ntjwfm3ug8 OP 1
|
 |
27
Rocketer 2021-04-10 00:42:25 +08:00 via iPhone
TPM 在物理安全的情况下是可靠的,所以我司对存有敏感数据的主机都放在有保险设施的机房里,使用者只能使用远程桌面访问。局域网环境下与使用物理机体验几乎一致。
|
|
28
qbqbqbqb 2021-04-10 01:01:18 +08:00 1
@theklf4 管理模板 /Windows 组件 /BitLocker 驱动器加密 /操作系统驱动器 /选择如何才能恢复受 BitLocker 保护的操作系统驱动器
|
|
30
rv54ntjwfm3ug8 OP 1
|
|
31
dingwen07 2021-04-25 05:09:53 +08:00 via iPhone
@theklf4 #30 先列出所有 protectors,找到数字密码,可以看到你的回复密钥明文,然后删除对应 ID
|
 |
32
davidpi 2023-01-19 20:14:19 +08:00
楼主是不是对数字恢复密码的强度有什么误解。
那个数字恢复密码的长度是 48 位,一共有 10^48 种组合,大致相当于 160 Bit 密钥:log2(10^48) = 159.45 Bitlocker 的默认加密是 128 Bit AES 。那个数字密码的强度已经比 AES128 高 2^(160-128) = 42 亿倍了。攻击那个不如直接攻击 AES 。 对于 AES128 加密,你的密码最终会变成一个 128 Bit 的密钥。如果你的密码是大小写字母+数字组合( 62 种字符),高于 22 位都没有意义了,因为 log(2^128, 62) = 21.49 。 在现有(以及可以预见的未来,量子计算机成为现实)以前,AES128 都不可能被暴力破解。 |
Select Language