答主只是外行,建议大家去看专业人士的科普:
============================================================================
BitLocker为啥能加密系统盘,其实和UEFI、TPM没有必然关系……用组策略启用额外的验证(开机时需要输入解锁密码)即可在没有TPM的机器上开启BitLocker,无论走UEFI引导还是BIOS引导都是这样。
回到一开始的问题:为啥可以加密Windows所在的分区?
因为Windows Boot Manager可以在Windows启动前“独立”解密BitLocker分区。
Windows Boot Manager先把内核和各种驱动(包括BitLocker、磁盘有关的驱动)解密出来,然后就把控制权转交给Windows。借助BitLocker驱动(fvevol.sys),Windows也可以自由读写被加密的分区了,然后可以继续照常启动,不再需要Windows Boot Manager提供拐棍。
PS:解密密钥的来源取决于你的配置,可以是:TPM、数字密码即“恢复密钥”、存有密钥文件的U盘。实际上这些东西并不是真正的密钥,都不能直接解密数据。它们是用来解密FVEK的(实际上还不止一层加密),FVEK才是真正执行数据加密的密钥,它被上面这些东西加密保存在硬盘上——可想而知,如果有关的扇区损坏了,那整个盘的数据就被判了死刑——当然,微软的东西还是靠谱的,有做冗余,并没有那么脆弱。
TPM可以让BitLocker变得更安全便捷。
有了TPM,就可以不用输入解锁密码了,密钥由TPM负责保管,并由TPM来保证不会有人用WinPE偷窥硬盘里的文件,WinPE、KonBoot这些手段在TPM面前都会露馅:如果TPM发现启动方式不对,就不会释放密钥。
没有密钥就无法解锁BitLocker加密的C盘,正常情况下Windows就会报错,无法正常启动;WinPE的话,虽然能正常启动,但缺少TPM里的密钥,C盘无法解密,仍然是一堆乱码。
既然Ubuntu LiveCD、WinPE、拆机换硬盘等等威胁已经被TPM干掉了,只要Windows登录密码靠谱,那差不多就固若金汤了。
(开脑洞的话,这里还有一个隐含的信任关系:Windows Boot Manager、Winlogon这些程序不能爆安全漏洞,比如CVE-2015-2552,还有类似Linux 爆新漏洞,长按回车 70 秒可获得 root 权限这种,如果爆了安全漏洞,那不需要Windows登录密码也可以直接访问被加密的数据了)
但这样并不是完全没有弱点:
冷冻内存等Cold boot attack仍然可能奏效。内存被液氮冷却后,即使断电也可以让数据保留一段时间。而且系统正常运行时,随时需要读写被加密的盘,那内存里肯定能找到密钥,因为读写时肯定需要执行加密/解密。所以,可以趁电脑没关机时冷冻内存,然后把内存接到别的电脑上,再运行一个程序把密钥搜出来。
冷冻内存攻击能奏效的前提是:硬盘数据加密仍然是操作系统在CPU上完成的,所以在那根插在主板上的内存条里,还是可以直接找到密钥。
如果把加密交给硬盘的主控芯片等硬件来做,让硬盘主控去抵抗冷冻内存攻击,那么内存条里就再也不需要保留密钥,那……也许就真的固若金汤了?好像还没有。
如果系统中木马了,那木马自然也有机会访问那些被加密的数据,拿到整个盘的解密密钥也不是难事儿(这甚至有点多余了,因为种了木马以后,无论攻击者想偷什么文件,都已经可以直接拿到了)。
如果硬盘没有AES加密之类高端功能,有一个缓解方法是让TPM在开机时,多验证一个PIN。必须输对PIN才给密钥,甚至在多次错误后毁掉密钥。
这样一来,如果电脑被偷时,就已经关机了,那么就没法等到Windows傻乎乎地问登录密码时,再偷偷冷冻内存干猥琐的事情了。但如果偷到的电脑还没关机,那说不定有可乘之机。
所以你想到了什么?
没错……你不能把引导文件也放在BitLocker加密的分区里……就是这样。
7726
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
