Кто-нибудь может прокомментировать, как работает функция автоматической разблокировки битлокера. В частности, я хотел бы знать, как ключ разблокировки шифруется и хранится и когда происходит процесс разблокировки.
Если каким-то образом сама машина скомпрометирована и у них есть доступ к корневому диску (который не зашифрован). Насколько легко им было бы получить ключи? Было бы почти невозможно обойтись без пароля пользователя?
Изменить: машина находится на EC2
Bitlocker - это надежная технология. Он соответствует стандарту FIPS 140-2, и в нем не было обнаружено никаких бэкдоров (к ужасу некоторых правоохранительных органов, которые хотеть бэкдоры в ваши данные.) Я очень рекомендую это.
Но насколько это защищено от взлома? Нет, конечно, нет. Ничто не является доказательством взлома.
В «прозрачном режиме работы», о котором вы говорите, компьютер будет использовать микросхему TPM (доверенный платформенный модуль). Этот чип припаян к материнской плате и не может быть удален. Этот чип хранит ключ, используемый для шифрования с использованием AES со 128-битным или 256-битным ключом. (Если у вас нет физического владения машиной, вы не будете использовать прозрачную операцию или режим "автоматической разблокировки". Все, что хранится на незашифрованном диске, например ключи шифрования, будет восстановлено злоумышленником, и он сможет затем использовать это ключ, чтобы разблокировать все, что вы ранее защищали этими ключами.)
После того, как пользователь инициализирует микросхему TPM через операционную систему, микросхема TPM анализирует определенные условия среды перед загрузкой. Например, он проанализирует BIOS, MBR и т. Д. И сделает запись этого состояния. Когда операционная система (скажем, Windows 7 или 8) начинает загружаться, она просит TPM освободить ключ, чтобы он мог расшифровать содержимое диска. (Это одна из функций того незашифрованного раздела размером 100 МБ на диске вашей ОС, который начал появляться примерно в эпоху Windows Vista.) Если TPM обнаруживает, что какое-либо из условий предварительной загрузки было изменено или изменено, он не освободит ключ.
Это означает, что кто-то не может извлечь диск, защищенный Bitlocker, из ноутбука или ПК, перенести его на другой компьютер и прочитать его. Потому что он зашифрован и может быть расшифрован только в том случае, если он подключен к исходному TPM, который припаян к исходной материнской плате, и TPM обнаруживает, что ни одно из предзагрузочных состояний не было изменено с момента последнего снимка.
Если вы используете Bitlocker на своем ноутбуке, я не смогу взять ваш ноутбук, войти в BIOS, изменить порядок загрузки, загрузиться с USB-ключа или Ubuntu DVD или чего-то подобного и использовать это для чтения вашего диска. Поскольку микросхема TPM не выпускает ключ шифрования в этом сценарии.
Возможные атаки на Bitlocker довольно экзотичны, например, так называемая «атака с холодной загрузкой», включающая опрыскивание микросхем памяти сжатым воздухом для их охлаждения, чтобы изменчивое содержимое ОЗУ было доступно для чтения в течение более длительного периода времени, затем «холодная перезагрузка» операционной системы в среду, которая позволяет злоумышленнику читать содержимое ОЗУ, оставшееся после работы ОС. Такие данные сохраняются от миллисекунд до секунд, а может быть, даже до нескольких минут.
Изменить: вы все равно можете использовать Bitlocker-To-Go для съемных дисков, даже если у вас нет физического доступа к машине. Ваша учетная запись Microsoft Live или Active Directory может передать вам ключ на хранение.
Физический доступ - это полный доступ. Предположим, что если кто-то может получить физический доступ к вашей машине, он сможет получить доступ ко всему и ко всему на ней. Потому что на самом деле они могут - по крайней мере, они могут сбросить руткит на вашу машину, записать ваш пароль (или выгрузить ключ из памяти) при следующем входе в систему и отправить его себе по сети или вернуться позже забрать, если не получится.
Если ваша машина взломана, единственный безопасный способ - нанести ядерный удар с орбиты. Сотрите все данные и надейтесь, что у вас есть надлежащие резервные копии, сделанные до того, как они были взломаны.
Если ваша машина запущена и функция автоматической разблокировки включена, то, пока у вас есть логин на машине, вы можете получить доступ к данным на диске bitlocker. Кроме того, существуют утилиты, которые стирают пароль, позволяя вам войти в систему без пароля и получить доступ к данным на диске битлокатора. По сути, автоматическая разблокировка отменяет назначение Bitlocker и заменяет его стандартной системой безопасности Windows.