想象一下启用 BitLocker 的 Windows 10 笔记本电脑被盗并且小偷想要读取硬盘驱动器上的数据的情况。他知道取出并读取另一台计算机上的硬盘驱动器是不可能的,因为存在 BitLocker。但他可以简单地尝试暴力破解 Windows 登录密码以进入操作系统,这样他仍然可以读取数据。
如果是本地帐户,这似乎是非常可行的。即使是微软账户,如果我没记错的话,用户仍然可以在没有互联网连接的情况下登录,所以我可以假设密码的哈希值也在硬盘上,暴力密码破解方法也可以应用。
那么在笔记本电脑被盗的情况下,BitLocker 有用吗?
它通常很有用。如果您有自动解锁功能,某些系统可能会允许有决心的攻击者绕过它,但它需要的技能远远多于启动 USB 记忆棒。但是,您应该有一个BitLocker PIN来实际锁定它。
是的,但他们无法读取它,因为硬盘驱动器已加密。
新笔记本电脑上的 BitLocker 使用 TPM 芯片实现自动解锁。一个密钥存储在 TPM 中,因此只有在系统以完全相同的方式引导时才能读回它——相同的固件设置、相同的 PCI 硬件、相同的引导设备、相同的数字签名 BOOTMGR。
(这意味着您的登录密码不用于解锁磁盘;当您盯着登录屏幕时,磁盘已经解锁,因此可以从中加载操作系统。系统分区上的所有内容,包括操作系统本身——除了 BOOTMGR——是加密的。)
如果您尝试从 U 盘启动(或进行任何其他更改,例如禁用安全启动签名验证),系统磁盘将不再自动解锁,即使它仍然是同一台笔记本电脑;访问它的唯一方法是知道恢复密钥。
所以小偷无法获得你的 Windows 密码哈希(这确实很容易暴力破解),并且他们仅限于在实际的 Windows 登录屏幕上戳,或执行某种硬件攻击(例如“冷启动”和读取 BitLocker键出 RAM)。
注意:如果笔记本电脑有一个独立的 TPM 芯片(而不是 fTPM),它们可以相当容易地截取 TPM 和 CPU 之间的实际信号,并通过这种方式找出 BitLocker 密钥。我相信 BitLocker 的“TPM + PIN”模式可以防止这种情况,因为 TPM 需要 PIN 来显示密钥(并且 TPM 本身具有锁定机制)。
最后,BitLocker 不会阻止笔记本电脑被擦除或重复使用。TPM 在设计上始终可以由任何可以访问固件设置屏幕的人清除和重新初始化。(除非制造商也像惠普那样将固件密码存储在 TPM 中……但显然它并不能阻止人们通过更换整个芯片来解锁笔记本电脑。)
这是TPM芯片的设计场景。
对 TPM 支持的 Bitlocker 安全性的攻击(如果它是自动启动的)必然是对系统总线或 RAM 的攻击。
在台式机上,由于添加了 PCI 设备,TPM 已经下降(等等?TPM 哈希检查……;当然不是),但是您不能合理地将 PCI 设备添加到笔记本电脑。冷 RAM 攻击应该适用于笔记本电脑,但仅此而已。
六个月前,在桌面上对 TPM 的攻击花费了几百美元;对笔记本电脑上的 TPM 的攻击超出了我们的能力范围,公平的估计可能是几万。
如果您不希望您的数据被访问,这很有用。但是,为了防止使用实际的笔记本电脑,它不会有太大的不同。他们可以简单地更换硬盘驱动器,或者只是将其擦拭并压平,然后将其设置为就好像它是新的一样。尽管如此,这样做是个好主意,这样没有人可以访问您的数据。