关于 bitlocker 加密，破解真的很难吗？成本又有多高？

只要不是开机状态被 DMA 了,问题不大吧

当然还要考虑 TPM 的问题,这个貌似在大陆销售地都是国产?

简单说：破解 bitlocker 是不可能的。
复杂一点说，看你电脑上 bitlocker 的设置有没有漏洞。UEFI 有没有安全启动，UEFI 有没有密码，有没有 TPM 芯片，你说的开机 PIN 码应该是 windows 登录 PIN 码。
bitlocke 不是对磁盘加密，是每个分区分别加密，就会有多个密码和恢复密钥。设置 bitlocker 的时候 windows 会让你备份恢复密钥，你备份到哪的？
最后一个问题，这电脑是你的吗。

@YGHMXFAL 你是说怕 TPM 留下后门吗

@allplay 当然是我的，我指的全磁盘竟然磁盘里的所有分区，密码备份在了自己的云端存储里（不用担心被盗，因为文件被加密过，服务器也是我的），UEFI 锁我好像一点也不了解，甚至不知道还有这个锁的存在，一直对 UEFI 的理解就是快速启动，没有 Windows 登录 PIN 码就会要求输入 bitlocker 恢复密钥。

@allplay bitlocker 应该如何正确设置才能最安全呢？前几天论坛里看见了一篇关于某公司协助公安局破解了一台 bitlocker 加密的计算机，不过那个并不是破解，而是找到了漏洞

@Jasonboy 那从你的云端存储里面找到恢复密钥就可以了啊
TPM 目前没有后门的报道，只有可能存在漏洞

@allplay 你不是说存在设置漏洞吗？我查了一下，找不到关于 UEFI 上锁的资料，你的意思还能给 UEFI 单独设置一个密码？

在避免 BitLocker 自动解锁的情况下, 概率较低.

@Jasonboy 就相当于 BIOS 的 administrator 密码，还有 boot 密码，UEFI 安全启动还要配置是否允许其它操作系统的启动，比如说第二硬盘上还有个操作系统，其它的启动介质（优盘 光驱 网络）

@allplay 难道对方还能插入第二块硬盘来启动？那和 winpe 有什么区别？可是用别的途径进入，是无法访问被加密的磁盘的，要打开还得输入密钥啊？

前几天有帖子讨论这件事了，似乎可以曲线破解？ https://www.v2ex.com/t/953530#reply106

@lslqtz BitLocker 还存在自动解锁？开机不是要输入 Windows PIN 码吗？这个没办法跳过吧？在忘记 PIN 码得情况下好像只能通过微软账户登录修改密码或是输入 BitLocker 密钥

@sakisaki 这篇帖子我看过，仔细看了并不是破解，而是找到了漏洞，侧入吧

@Jasonboy 有其它启动介质或启动程序的话，既可以模拟一个假的启动界面骗你输入密码

@Jasonboy 从结果上看，它不再是完美的加密方案了。

@Jasonboy 感觉你概念有点混淆没有用过 bitlocker 。
开机密码是载入操作系统以前。windows pin 码的时候，开机早已完成，pin 码是用户登录密码。
如果 bitlocker 没有自动解锁，那么你开机的过程就要输入两个密码，
一个是 bitlocker 密码，在 UEFI 开机之，交给操作系统之前，因为要解锁 C 盘
一个是 windows 登录 pin 码。
你回忆一下你开机要输入几个密码

@sakisaki 确实如此啊，我最近在研究反取证，对取证和反取证都很感兴趣，看看目前在已知技术和成本的前提下能破解多少 BitLocker ，又该如何去破解？而使用者又该如何去更安全的去使用和加密保护数据

@allplay 我当然使用过，不过我一直都是指纹解锁，好像我一直都没有在 BitLocker 加密配置里启用过解锁密码？都是依赖 TPM 自动解锁？

最简单的方式是设置成那个每次开机需要输入 bitloker 密码的模式，不用自动解锁。这个要更安全一点

@allplay 要想开机的时候要求 bitlocker 输入解锁密码是不是要在策略配置里启用？设置启动时需要附加身份验证？