Ho un sistema Windows e ho protetto l'unità con la crittografia BitLocker.
La crittografia BitLocker può essere ignorata dal live-boot con Linux o qualsiasi altro sistema operativo?
Ho un sistema Windows e ho protetto l'unità con la crittografia BitLocker.
La crittografia BitLocker può essere ignorata dal live-boot con Linux o qualsiasi altro sistema operativo?
Per prima cosa, devi digitare "come funziona il bitlocker" in google e leggere alcuni articoli. Probabilmente imparerai la risposta alla tua domanda (e un mucchio di altre cose interessanti oltre!).
Se vuoi una risposta rapida, ho trovato un articolo di Microsoft che dice:
During the startup process, the TPM releases the key that unlocks the encrypted partition only after comparing a hash of important operating system configuration values with a snapshot taken earlier. This verifies the integrity of the Windows startup process. The key is not released if the TPM detects that your Windows installation has been tampered with.
Ci sono due punti importanti qui:
Le chiavi per decrittografare il tuo disco rigido sono memorizzate nel chip TPM sulla tua scheda madre, quindi avresti bisogno di eseguire il live-boot sulla stessa scheda madre, e il tuo sistema operativo live-boot dovrebbe convincere il TPM a rilasciare le chiavi.
Non è chiaro al 100% da quanto sopra, ma sembra che il TPM controlli la RAM durante l'avvio per assicurarsi che il sistema operativo sia il medesimo che ha registrato le chiavi di crittografia in primo luogo.
Quindi sarebbe probabilmente difficile "ingannare" il TPM nel rilasciare le chiavi per il tuo live-boot Linux.
Detto questo, Wikipedia ha dettagli su un attacco riuscito: link
In February 2008, a group of security researchers published details of a so-called "cold boot attack" that allows full disk encryption systems such as BitLocker to be compromised by booting the machine off removable media, such as a USB drive, into another operating system, then dumping the contents of pre-boot memory.[34]
Quindi sembra che non sia così semplice come fare il boot in Linux e leggere il disco, ma se un hacker esperto ha accesso al tuo computer mentre è in esecuzione e ha effettuato l'accesso all'unità decrittografata , allora è è possibile riavviare in Linux abbastanza velocemente che la RAM ha ancora i vecchi dati su di essa, estrarre la chiave di decrittazione direttamente dalla memoria, bypassando completamente il TPM. Per maggiori informazioni su questo attacco, vedi: wikipedia / Cold_boot_attack .
Come @ AndréBorie indica nei commenti , se sei disposto a fare un po 'di ingegneria elettrica e ad annusare la connessione tra il TPM e il resto della scheda madre, puoi avviare il sistema normalmente e leggere la chiave di decodifica dal cavo .
Credo che il vecchio adagio si sia dimostrato di nuovo giusto; Dieci leggi di sicurezza immutabili :
Law #3: If a bad guy has unrestricted physical access to your computer, it's not your computer anymore.
Leggi altre domande sui tag windows disk-encryption bitlocker