BitLocker 在没有 TPM 的情况下安全吗?

2021-04-09 15:36:01 +08:00
 rv54ntjwfm3ug8
一直用 Bitwarden 生成的 64 位含符号随机密码加密放在移动硬盘中的 Windows 虚拟机全盘,今天注意到了一个名为 BitCracker 的项目,可以对 BitLocker 强制创建的纯数字恢复代码进行暴力破解。由于恢复代码的复杂度比我的密码低得多,想问一问 BitLocker 在没有 TPM 的情况下安全吗?
5053 次点击
所在节点    Windows
32 条回复
qbqbqbqb
2021-04-09 17:11:13 +08:00
Bitlocker 在有 TPM 的时候也是会创建数字恢复代码的。TPM 仅仅是一种免人工干预的解锁手段而已。
qbqbqbqb
2021-04-09 17:14:37 +08:00
如果觉得默认的 48 位数字恢复代码不安全的话,可以配置组策略,改成使用 256 位 U 盘文件恢复密钥。
Stain5
2021-04-09 17:28:36 +08:00
独立的 TPM 不安全,电脑开机的时候 TPM 会将直接密钥明文传递给 CPU,要是有个数字信号分析器的话,TPM 跟裸奔没区别
x1aoYao
2021-04-09 17:48:57 +08:00
@Stain5 我的电脑有 TPM, 然后 BitLocker 加密了系统盘, 但设置为开机后自动解锁(也加密了其他磁盘, 设置为系统盘解锁则自动解锁) 这样情况下偷走整机是不是可以绕过系统开机密码读取磁盘数据了?
nosugar
2021-04-09 17:50:20 +08:00
@qbqbqbqb
@Stain5
说的是对的,TPM 开机会把磁盘密钥传给 CPU 。

你需要下面两个步骤保证正确加密:
1. 搜索关键词“bitlocker pin special characters”,允许 BitLocker 使用字母等特殊字符作为密码,默认是数字。
2. 搜索关键词“Require startup PIN with TPM”,启动的时候 TPM 保存一部分密钥加上你手动输入的密钥,来让电脑磁盘解密。

上面两个组策略都配置好后,电脑启动需要 TPM 和你手动输入密钥磁盘才能解密,二者缺一不可。
nosugar
2021-04-09 17:54:35 +08:00
@theklf4
你的上一个帖子“iOS 上有什么让数据 100% 不会被系统读取和上传的笔记软件? https://www.v2ex.com/t/768799”,苹果系统可以仅从应用商店登录 Apple ID,从而仅使用 App Store,你这是一个非常正常且合理的需求。记得从应用商店登录后,在设置里面提示让你打开 iCloud 的时候选择“否”,这个是我之前打算回归安卓的时候探索出来的,其它苹果服务都有第三方替代方案,你自己摸索下。
qbqbqbqb
2021-04-09 17:57:52 +08:00
@x1aoYao 可以 BIOS 里禁止 U 盘启动并且设置 BIOS 管理员密码,这样就没法用启动盘绕开机密码了。

Bitlocker 在使用 TPM 时会测量启动环境,如果环境发生了变化(例如放电清除 BIOS 设置,或者修改 SecureBoot 等安全设置),TPM 就会拒绝释放密钥,然后强制进入需要输入恢复代码的解锁流程。
qbqbqbqb
2021-04-09 18:00:21 +08:00
而且大多数可以绕密码的 WinPE 盘本身也不支持自动解锁 Bitlocker
nosugar
2021-04-09 18:02:09 +08:00
https://github.com/e-ago/bitcracker
@theklf4 你提到的这个项目我有时间的时候研究下,或者你发现什么结论的记得补充恢复,节省大家时间。
nosugar
2021-04-09 18:06:51 +08:00
另外我上面回复的两个步骤需要在你磁盘关闭 Bitlocker (解密状态)的时候操作,已经开启 Bitlocker 了会不起作用。
nosugar
2021-04-09 18:12:16 +08:00
macOS 没有 T2 芯片的型号 FileVault 磁盘加密逻辑是用用户密码作为密钥(应该是解密磁盘 AES 的主密钥的密钥),苹果聪明的做法是在开机启动的时候展示一个桌面一样的壁纸和密码输入 UI,让用户以为系统已经启动等待输入密码进入系统,其实这时候系统还没加载,加载的是一个类似于引导系统的东西,具体的情况没有深究,有大佬知道欢迎指正,谢谢!
nosugar
2021-04-09 18:15:34 +08:00
TPM 不是加密,是放篡改机制,#7 楼 qbqbqbqb 说的非常好,另外我个人觉得 BIOS 密码不见得安全,这个可能不同 PC 厂商不同型号版本实现不一样。
kikikiabc
2021-04-09 18:25:48 +08:00
这个加密看似很厉害 但有一个致命 bug,系统更新时会自动禁用,形同虚设
nosugar
2021-04-09 18:49:39 +08:00
@kikikiabc Windows 10 上并不会,正常更新驱动及补丁,这是微软的企业数据管理方案,微软官方文档有介绍的。
silymore
2021-04-09 19:22:30 +08:00
@nosugar 原来是这个原因,我说为啥要登陆两遍,还以为是遇到钓鱼了
kikikiabc
2021-04-09 19:36:09 +08:00
windows10 官方文档也提到会自动禁用的。最新版好像有选项可以不禁用,但默认还是会自动禁用的
kikikiabc
2021-04-09 19:40:40 +08:00
有兴趣的可以搜索一下 windows10 update disabled bitlocker bug 之类的关键词。我是实际碰到这种问题的,很无语
whee1
2021-04-09 19:52:43 +08:00
最先考慮的不是 BitLocker,而是該選哪個版本的 window10 。
Stain5
2021-04-09 20:06:40 +08:00
@nosugar 用 TPM 不就是不想输密码吗,这么麻烦 还是上 vTPM 吧,内嵌在处理器里,没那么容易破解
sky96111
2021-04-09 20:13:02 +08:00
@kikikiabc 自动更新只是临时禁用,下次启动又会重新启用,而且遇到需要禁用 bitlocker 的大更新,设备会自动重启安装更新并启用 bitlocker 。除非你更新了系统之后从强制关机然后丢失设备,不然还是安全的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/769463

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX