In che modo Bitlocker + TPM mi impedisce di vedere i contenuti dell'HDD con un altro sistema operativo?

Naviga le tue risposte
6

Ho cercato su Google e ho letto più domande correlate su questo sito, ma mi manca ancora un pezzo cruciale del puzzle.

Ho un laptop (di lavoro) con Win10 Pro che è crittografato con Bitlocker. Per un po 'non mi sono nemmeno reso conto che è stato crittografato perché non richiede una password su un avvio a freddo. (Usavamo TrueCrypt su tutti i nostri laptop, quindi ero abituato a usare una password.) Ho quindi deciso di controllare il sistema e l'ho avviato con un live CD di Linux. Sono stato in grado di vedere le partizioni sul disco ma non sono stato in grado di montare quello principale - un rapido bit di dumping in esadecimale mi ha mostrato che la partizione NTFS principale era effettivamente crittografata.

Ora, il sistema operativo si avvierà tranquillamente fino alla schermata di login di Windows senza input da parte dell'utente (cioè senza PIN / password), che dal mio googling ho imparato succede a forza di OS che estrae automagicamente il chiave di crittografia dal TPM.

Ciò che mi infastidisce è questo: che cosa impedisce a un altro bit di codice (ad esempio Linux) di chiedere al TPM la chiave di crittografia dell'HDD? Anche supponendo che sia richiesta una chiave MS segreta, questa chiave sicuramente deve essere presente nella partizione di avvio da qualche parte, e la mia idea semplicistica di come ciò potrebbe essere ottenuto sarebbe per una VM (su una chiave USB?) Per eseguire il boot loader fino a quando il la sequenza di avvio interagisce con il TPM e il bingo la chiave di crittografia non è più segreta ... Non è comunque una scienza missilistica, e chiaramente non può essere così facile o Bitlocker + TPM sarebbe una perdita di tempo. Quindi, non posso avere un'immagine corretta di quello che sta succedendo, ma ho provato e non sono riuscito a scoprire come funziona really ...

Qualcuno può fornire l'intuizione che mi manca? Grazie in anticipo!

[Modifica: per chiarezza, penso principalmente al caso in cui il portatile viene rubato. Come molte persone, il mio portatile passa molto del suo tempo nella mia borsa in modalità sleep, quindi supponiamo che stia dormendo quando viene rubato - questo ha implicazioni su quanto una mossa al TPM + PIN possa essere d'aiuto, ma non la penso direttamente cambia i fondamenti della domanda .]

    
posta Neilski 28.07.2018 - 15:09
fonte

3 risposte

0

Penso che molti dei commenti manchino di un punto chiave. Se utilizzi Windows 10 con firmware di avvio protetto e protetto da password, non puoi semplicemente avviare Linux e vedere il disco. Il TPM non rilascerà le chiavi di decodifica a un O / S modificato. Suggerirei di leggere questo post:

Can un attaccante fisico compromette una macchina Windows con UEFI, avvio sicuro e bitlocker? in quanto vi sono alcune buone informazioni.

    
risposta data 02.08.2018 - 22:27
fonte
2

Niente può fermarlo. Ciò che sta facendo il TPM è controllare l'integrità dei vari componenti del tempo di avvio e solo rimuovere la password interna se questi componenti non sono stati manomessi. Può inoltre essere configurato per richiedere un codice PIN, ma non è strettamente necessario. Il motivo per cui l'unità non decodifica automaticamente su un sistema Linux è semplicemente perché Windows sta comunicando con il TPM, chiedendogli di attestare lo stato del sistema.

La chiave viene tenuta chiusa all'interno del TPM stesso. Lo scopo non è quello di impedire la decrittografia del disco se si dispone sia del computer sia dell'unità, ma di rendere impossibile la decodifica del disco se si dispone solo dell'unità di archiviazione ma non del computer stesso. Se si dispone dell'accesso fisico all'intero dispositivo, inclusi sia l'unità che il TPM, sarà possibile decodificare l'unità.

    
risposta data 03.08.2018 - 08:58
fonte
1

Quando un TPM viene inizializzato, il sistema operativo ne acquisisce la proprietà e utilizza una password del proprietario del TPM per proteggerne l'accesso. Su Linux, questa password viene inserita manualmente (vedi tpm_takeownership). Su Windows, viene generato automaticamente e memorizzato internamente, anche se ci sono alcuni metodi per recuperarlo. Questa risposta ( link ) ha alcuni dettagli su come farlo.

    
risposta data 01.08.2018 - 09:29
fonte

Leggi altre domande sui tag

Qual è il rischio di modificare le autorizzazioni della chiave del registro di EventLog di sicurezza nelle operazioni IT? Dispositivo contro crittografia basata su file in TrueCrypt per un'unità flash?