未分類
31 3 月 2021

BitLocker 在没有 TPM 的情况下安全吗?

BitLocker 在没有 TPM 的情况下安全吗?

資深大佬 : theklf4 5

一直用 Bitwarden 生成的 64 位含符号随机密码加密放在移动硬盘中的 Windows 虚拟机全盘,今天注意到了一个名为 BitCracker 的项目,可以对 BitLocker 强制创建的纯数字恢复代码进行暴力破解。由于恢复代码的复杂度比我的密码低得多,想问一问 BitLocker 在没有 TPM 的情况下安全吗?
大佬有話說 (29)

  • 資深大佬 : qbqbqbqb

    Bitlocker 在有 TPM 的时候也是会创建数字恢复代码的。TPM 仅仅是一种免人工干预的解锁手段而已。

  • 資深大佬 : qbqbqbqb

    如果觉得默认的 48 位数字恢复代码不安全的话,可以配置组策略,改成使用 256 位 U 盘文件恢复密钥。

  • 資深大佬 : Stain5

    独立的 TPM 不安全,电脑开机的时候 TPM 会将直接密钥明文传递给 CPU,要是有个数字信号分析器的话,TPM 跟裸奔没区别

  • 資深大佬 : x1aoYao

    @Stain5 我的电脑有 TPM, 然后 BitLocker 加密了系统盘, 但设置为开机后自动解锁(也加密了其他磁盘, 设置为系统盘解锁则自动解锁) 这样情况下偷走整机是不是可以绕过系统开机密码读取磁盘数据了?

  • 資深大佬 : nosugar

    @qbqbqbqb
    @Stain5
    说的是对的,TPM 开机会把磁盘密钥传给 CPU 。

    你需要下面两个步骤保证正确加密:
    1. 搜索关键词“bitlocker pin special characters”,允许 BitLocker 使用字母等特殊字符作为密码,默认是数字。
    2. 搜索关键词“Require startup PIN with TPM”,启动的时候 TPM 保存一部分密钥加上你手动输入的密钥,来让电脑磁盘解密。

    上面两个组策略都配置好后,电脑启动需要 TPM 和你手动输入密钥磁盘才能解密,二者缺一不可。

  • 資深大佬 : nosugar

    @theklf4
    你的上一个帖子“iOS 上有什么让数据 100% 不会被系统读取和上传的笔记软件? https://www.v2ex.com/t/768799”,苹果系统可以仅从应用商店登录 Apple ID,从而仅使用 App Store,你这是一个非常正常且合理的需求。记得从应用商店登录后,在设置里面提示让你打开 iCloud 的时候选择“否”,这个是我之前打算回归安卓的时候探索出来的,其它苹果服务都有第三方替代方案,你自己摸索下。

  • 資深大佬 : qbqbqbqb

    @x1aoYao 可以 BIOS 里禁止 U 盘启动并且设置 BIOS 管理员密码,这样就没法用启动盘绕开机密码了。

    Bitlocker 在使用 TPM 时会测量启动环境,如果环境发生了变化(例如放电清除 BIOS 设置,或者修改 SecureBoot 等安全设置),TPM 就会拒绝释放密钥,然后强制进入需要输入恢复代码的解锁流程。

  • 資深大佬 : qbqbqbqb

    而且大多数可以绕密码的 WinPE 盘本身也不支持自动解锁 Bitlocker

  • 資深大佬 : nosugar

    https://github.com/e-ago/bitcracker
    @theklf4 你提到的这个项目我有时间的时候研究下,或者你发现什么结论的记得补充恢复,节省大家时间。

  • 資深大佬 : nosugar

    另外我上面回复的两个步骤需要在你磁盘关闭 Bitlocker (解密状态)的时候操作,已经开启 Bitlocker 了会不起作用。

  • 資深大佬 : nosugar

    macOS 没有 T2 芯片的型号 FileVault 磁盘加密逻辑是用用户密码作为密钥(应该是解密磁盘 AES 的主密钥的密钥),苹果聪明的做法是在开机启动的时候展示一个桌面一样的壁纸和密码输入 UI,让用户以为系统已经启动等待输入密码进入系统,其实这时候系统还没加载,加载的是一个类似于引导系统的东西,具体的情况没有深究,有大佬知道欢迎指正,谢谢!

  • 資深大佬 : nosugar

    TPM 不是加密,是放篡改机制,#7 qbqbqbqb 说的非常好,另外我个人觉得 BIOS 密码不见得安全,这个可能不同 PC 厂商不同型号版本实现不一样。

  • 資深大佬 : kikikiabc

    这个加密看似很厉害 但有一个致命 bug,系统更新时会自动禁用,形同虚设

  • 資深大佬 : nosugar

    @kikikiabc Windows 10 上并不会,正常更新驱动及补丁,这是微软的企业数据管理方案,微软官方文档有介绍的。

  • 資深大佬 : silymore

    @nosugar 原来是这个原因,我说为啥要登陆两遍,还以为是遇到钓鱼了

  • 資深大佬 : kikikiabc

    windows10 官方文档也提到会自动禁用的。最新版好像有选项可以不禁用,但默认还是会自动禁用的

  • 資深大佬 : kikikiabc

    有兴趣的可以搜索一下 windows10 update disabled bitlocker bug 之类的关键词。我是实际碰到这种问题的,很无语

  • 資深大佬 : whee1

    最先考慮的不是 BitLocker,而是該選哪個版本的 window10 。

  • 資深大佬 : Stain5

    @nosugar 用 TPM 不就是不想输密码吗,这么麻烦 还是上 vTPM 吧,内嵌在处理器里,没那么容易破解

  • 資深大佬 : sky96111

    @kikikiabc 自动更新只是临时禁用,下次启动又会重新启用,而且遇到需要禁用 bitlocker 的大更新,设备会自动重启安装更新并启用 bitlocker 。除非你更新了系统之后从强制关机然后丢失设备,不然还是安全的。

  • 資深大佬 : Stain5

    @qbqbqbqb 都上数字信号分析器了,把主板上的 CMOS RAM 拆了用编程器读一下也不是不可能

  • 資深大佬 : dingwen07

    你要是怕数字密码(恢复密钥)被暴力破解,直接用 manage-bde 把它删了不就得了

  • 資深大佬 : mmlmml1

    别忘了 BitLocker 在支持硬件加密的情况下是直接交给硬件负责的,但有部分 SSD 的加密形同虚设,根本就不加密…

  • 資深大佬 : Greatshu

    不敢用 TPM,要是 CPU 或者主板 TPM 挂了,资料就全完了

  • 資深大佬 : kikikiabc

    所谓的 bug 都是在你最意想不到的地方冒出来。不要小看这个看上去好像没啥的临时禁用操作,关键时刻是致命的。bug 都是以比千分之一万分之一还要小得多的机会才会触发,但遇到就没机会了

  • 資深大佬 : theklf4

    @nosugar #6 感谢您的建议,但目前是 Apple 全家桶用户,iCloud 还是有必要打开的。
    @qbqbqbqb #2 没有找到相关的组策略项目,能否提供下路径?

  • 資深大佬 : Rocketer

    TPM 在物理安全的情况下是可靠的,所以我司对存有敏感数据的主机都放在有保险设施的机房里,使用者只能使用远程桌面访问。局域网环境下与使用物理机体验几乎一致。

  • 資深大佬 : qbqbqbqb

    @theklf4 管理模板 /Windows 组件 /BitLocker 驱动器加密 /操作系统驱动器 /选择如何才能恢复受 BitLocker 保护的操作系统驱动器

  • 資深大佬 : leafleave

    @Greatshu 保存好恢复密钥就行