如何保护您的 BitLocker 加密文件免受攻击者的攻击

Windows 中内置的加密技术 BitLocker 最近受到了一些打击。 最近的一个漏洞展示了移除计算机的 TPM 芯片以提取其加密密钥,并且许多硬盘驱动器正在破坏 BitLocker。 这是避免 BitLocker 陷阱的指南。

请注意,这些攻击都需要对您的计算机进行物理访问。 这就是加密的全部意义——阻止盗窃您的笔记本电脑的小偷或其他人在未经您许可的情况下查看您的文件以访问您的台式电脑。

标准 BitLocker 在 Windows 主页上不可用

尽管几乎所有现代消费者操作系统都默认提供加密功能,但 Windows 10 仍然没有在所有 PC 上提供加密功能。 Mac、Chromebook、iPad、iPhone 甚至 Linux 发行版都为其所有用户提供加密。 但微软仍然没有将 BitLocker 与 Windows 10 Home 捆绑在一起。

某些 PC 可能带有类似的加密技术,微软最初将其称为“设备加密”,现在有时称为“BitLocker 设备加密”。 我们将在下一节中介绍。 但是,此设备加密技术比完整的 BitLocker 更受限制。

攻击者如何利用这一点:没有必要利用! 如果您的 Windows Home PC 没有加密,攻击者可以移除硬盘驱动器或在您的 PC 上启动另一个操作系统来访问您的文件。

解决方案:支付 99 美元升级到 Windows 10 专业版并启用 BitLocker。 您还可以考虑尝试另一种加密解决方案,例如 TrueCrypt 的继任者 VeraCrypt,它是免费的。

BitLocker 有时会将您的密钥上传到 Microsoft

许多现代 Windows 10 PC 都带有一种名为“设备加密”的加密。 如果您的 PC 支持此功能,则在您使用 Microsoft 帐户(或公司网络上的域帐户)登录 PC 后,它将自动加密。 然后,恢复密钥会自动上传到 Microsoft 的服务器(或域中您组织的服务器)。

这可以保护您不丢失文件 – 即使您忘记了 Microsoft 帐户密码并且无法登录,您也可以使用帐户恢复过程并重新获得对加密密钥的访问权限。

攻击者如何利用这一点:这比没有加密要好。 但是,这意味着 Microsoft 可能会被迫通过搜查令向政府披露您的加密密钥。 或者,更糟糕的是,理论上攻击者可以滥用 Microsoft 帐户的恢复过程来访问您的帐户并访问您的加密密钥。 如果攻击者可以物理访问您的 PC 或其硬盘驱动器,他们就可以使用该恢复密钥来解密您的文件,而无需您的密码。

解决方案:支付 99 美元升级到 Windows 10 专业版,通过控制面板启用 BitLocker,并在出现提示时选择不将恢复密钥上传到 Microsoft 的服务器。

许多固态驱动器破坏了 BitLocker 加密

一些固态驱动器宣传支持“硬件加密”。 如果您在系统中使用这样的驱动器并启用 BitLocker,Windows 将信任您的驱动器来完成这项工作,而不是执行其通常的加密技术。 毕竟,如果驱动器可以在硬件中完成工作,那应该会更快。

只有一个问题:研究人员发现许多 SSD 没有正确实现这一点。 例如,Crucial MX300 默认使用空密码保护您的加密密钥。 Windows 可能会说 BitLocker 已启用,但实际上它在后台可能并没有做太多事情。 这很可怕:BitLocker 不应该默默地信任 SSD 来完成工作。 这是一项较新的功能,因此此问题仅影响 Windows 10 而不会影响 Windows 7。

攻击者如何利用这一点:Windows 可能会说 BitLocker 已启用,但 BitLocker 可能会袖手旁观,让您的 SSD 无法安全地加密您的数据。 攻击者可能会绕过固态驱动器中实施不当的加密来访问您的文件。

解决方案:将 Windows 组策略中的“为固定数据驱动器配置基于硬件的加密”选项更改为“禁用”。 您必须在之后取消加密并重新加密驱动器才能使此更改生效。 BitLocker 将停止信任驱动器,并将在软件而不是硬件中完成所有工作。

可移除 TPM 芯片

一位安全研究人员最近演示了另一次攻击。 BitLocker 将您的加密密钥存储在计算机的可信平台模块 (TPM) 中,该模块是一种应该是防篡改的特殊硬件。 不幸的是,攻击者可以使用 27 美元的 FPGA 板和一些开源代码 从 TPM 中提取它。 这会破坏硬件,但会允许提取密钥并绕过加密。

攻击者如何利用这一点:如果攻击者拥有您的 PC,理论上他们可以通过篡改硬件并提取密钥来绕过所有那些花哨的 TPM 保护,而这是不可能的。

解决方案:将 BitLocker 配置为在组策略中要求预启动 PIN。 “需要 TPM 的启动 PIN”选项将强制 Windows 在启动时使用 PIN 来解锁 TPM。 在 Windows 启动之前,您必须在 PC 启动时输入 PIN。 但是,这将通过额外的保护锁定 TPM,并且攻击者将无法在不知道您的 PIN 的情况下从 TPM 中提取密钥。 TPM 可防止暴力攻击,因此攻击者不仅能够一一猜出每个 PIN。

睡眠中的 PC 更容易受到攻击

Microsoft 建议在使用 BitLocker 时禁用睡眠模式以获得最大的安全性。 休眠模式很好 — 当您将 PC 从休眠状态唤醒或正常启动时,您可以让 BitLocker 要求输入 PIN。 但是,在睡眠模式下,PC 仍保持开机状态,其加密密钥存储在 RAM 中。

攻击者如何利用这一点:如果攻击者拥有您的 PC,他们可以唤醒它并登录。在 Windows 10 上,他们可能必须输入数字 PIN。 通过物理访问您的 PC,攻击者还可以使用直接内存访问 (DMA) 来获取系统 RAM 的内容并获取 BitLocker 密钥。 攻击者还可以执行冷启动攻击——重新启动正在运行的 PC 并在密钥消失之前从 RAM 中获取密钥。 这甚至可能涉及使用冰箱来降低温度并减慢该过程。

解决方案:休眠或关闭您的 PC,而不是让它处于休眠状态。 使用预启动 PIN 使启动过程更安全并阻止冷启动攻击 – 如果设置为在启动时需要 PIN,BitLocker 在从休眠状态恢复时也需要 PIN。 Windows 还允许您“当这台计算机被锁定时禁用新的 DMA 设备” 通过组策略设置,即使攻击者在运行时获取您的 PC,也可以提供一些保护。

如果您想对该主题进行更多阅读,Microsoft 有详细的文档 保护 Bitlocker 在其网站上。