任何人都可以评论如何bitlocker的自动解锁function的作品。 具体而言,我想知道的是解锁密钥是如何被encryption和存储以及解锁过程何时发生的。
如果机器本身受到威胁,并且可以访问根驱动器(未encryption)。 他们获得钥匙有多容易? 如果没有用户密码,这几乎是不可能的?
编辑:机器在EC2上
Bitlocker是坚实的技术。 它符合FIPS 140-2标准,并没有发现任何后门程序(某些执法机构的惊愕之下,谁想要后门进入你的数据)。我强烈推荐它。
但它是否防黑客? 那当然不是。 没有什么是黑客certificate。
在你所说的“透明操作模式”中,计算机将使用TPM(可信平台模块)芯片。 该芯片焊接在主板上,无法拆卸。 该芯片存储使用AES和128位或256位密钥进行encryption的密钥。 (如果您没有本机的物理占有权,您将不会使用透明操作或“自动解锁”模式,任何存储在未encryption的驱动器(如encryption密钥)中的内容都可由攻击者恢复,然后他们可以使用钥匙可以解锁以前用这些钥匙保护的任何东西。)
用户通过操作系统初始化TPM芯片后,TPM芯片分析一定的预引导环境条件。 例如,它将分析BIOS,MBR等,并logging该状态。 当操作系统(如Windows 7或8)开始加载时,它会要求TPM释放密钥,以便可以解密驱动器的内容。 (这是您的操作系统驱动器上未encryption的100MB分区的function之一,它开始在Windows Vista时代左右出现)。如果TPM检测到任何预启动条件已被更改或修改,则不会释放键。
这意味着某人不能将受Bitlocker保护的驱动器从笔记本电脑或PC中取出,将其移植到另一台计算机上并读取。 由于它是encryption的,只有在连接到与原始主板焊接的原始TPM时才能解密,并且TPM检测到自上次快照以来没有任何预启动状态已被更改。
如果您在笔记本电脑上使用Bitlocker,我将无法携带笔记本电脑,进入BIOS,更改启动顺序,从USB密钥或Ubuntu DVD或其他软件启动,然后使用它读取您的磁盘。 因为在这种情况下TPM芯片不会释放encryption密钥。
对Bitlocker的可能的攻击是非常奇特的,例如所谓的“冷启动攻击”,涉及用压缩空气喷射内存芯片来冷却它们,使得RAM的易失性内容可读取较长时间,然后执行操作系统上的“冷启动”变成一个允许恶意用户读取操作系统运行时遗留的RAM内容的环境。 这些数据的持续时间将是毫秒,甚至几秒钟。
编辑:即使您没有物理访问机器,仍然可以使用Bitlocker-To-Go作为可移动驱动器。 您的Microsoft Live帐户或Active Directory可以为您托pipe密钥。
物理访问是完全访问。 假设如果有人可以访问你的机器,他们可以访问所有的东西和任何东西。 因为,实际上,他们至less可以在你的机器上放一个rootkit,在你下次login时logging下你的密码(或者从内存中取出密钥),然后通过networking发送给自己,或者返回以后收集它,如果失败了。
如果你的机器已经被破坏,唯一安全的方法就是从轨道上摧毁。 擦除所有数据,并希望在受损之前进行适当的备份。
如果您的机器已启动并且启用了自动解锁function,那么只要您有机器login,您就可以访问bitlocker驱动器上的数据。 此外,还有一些实用程序会删除密码,使您无需密码即可login并访问BitLocker驱动器上的数据。 基本上自动解锁破坏Bitlocker的目的,并用标准的Windows安全取代它。