Desbloqueio automático do Bitlocker

1

Alguém pode comentar como funciona o recurso de desbloqueio automático do bitlocker. Especificamente, o que eu gostaria de saber é como a chave de desbloqueio é criptografada e armazenada e quando o processo de desbloqueio ocorre.

Se, de alguma forma, a própria máquina for comprometida e eles tiverem acesso à unidade raiz (que não está criptografada). Quão fácil seria para eles obterem as chaves? Isso seria quase impossível sem a senha do usuário?

Editar: a máquina está no EC2

    
por davewolfs 18.04.2014 / 01:15

3 respostas

6

O Bitlocker é uma tecnologia sólida. É compatível com FIPS 140-2 e não houve nenhum tipo de backdoor descoberto (para a consternação de certas agências de aplicação da lei, que querem backdoors em seus dados.) Eu recomendo strongmente. / p>

Mas é à prova de hackers? Não, claro que não. Nada é prova de hack.

No "modo de operação transparente", como você está falando, o computador estará usando um chip TPM (módulo de plataforma confiável). Este chip é soldado à placa-mãe e não pode ser removido. Este chip armazena a chave usada para criptografia usando o AES com uma chave de 128 bits ou 256 bits. (Se você não tiver posse física da máquina, não estará usando a operação transparente ou o modo de "desbloqueio automático". Qualquer item armazenado em uma unidade não criptografada, como chaves de criptografia, poderá ser recuperado por um invasor e eles poderão usá-lo. para desbloquear qualquer coisa que você tenha protegido anteriormente com essas chaves.)

Após o usuário inicializar o chip do TPM através do sistema operacional, o chip do TPM analisa determinadas condições do ambiente de pré-inicialização. Por exemplo, ele analisará o BIOS, o MBR, etc. e fará um registro desse estado. Quando o sistema operacional (digamos, Windows 7 ou 8) começa a carregar, ele pede ao TPM para liberar a chave para que ela possa descriptografar o conteúdo da unidade. (Essa é uma das funções dessa partição não criptografada de 100 MB na sua unidade do sistema operacional que começou a aparecer em torno da era do Windows Vista.) Se o TPM detectar que alguma das condições de pré-inicialização foi alterada ou modificada, ele não liberará a chave.

O que isto significa é que alguém não pode tirar uma unidade protegida por Bitlocker de um laptop ou PC, transplantá-la para outro computador e lê-la. Porque é criptografado, e só pode ser descriptografado se estiver conectado ao TPM original, que é soldado à placa-mãe original, e o TPM detecta que nenhum estado de pré-inicialização foi alterado desde o último instantâneo.

Se você estiver usando o Bitlocker em seu laptop, não poderei levar seu laptop, entrar na BIOS, alterar a ordem de inicialização, arrancar de uma chave USB ou DVD do Ubuntu ou algo assim, e usá-lo para ler seu disco. Porque o chip do TPM não liberará a chave de criptografia nesse cenário.

Possíveis ataques ao Bitlocker são bem exóticos, como o chamado "ataque de inicialização a frio", envolvendo a pulverização dos chips de memória com ar comprimido para resfriá-los, de modo que o conteúdo volátil da RAM seja legível por um longo período de tempo. em seguida, executar uma "reinicialização a frio" no sistema operacional em um ambiente que permita que um usuário mal-intencionado leia o conteúdo da RAM remanescente de quando o sistema operacional estava em execução. A persistência de tais dados seria de milissegundos, para segundos, talvez até alguns minutos.

Editar: você ainda pode usar o Bitlocker-To-Go para unidades removíveis, mesmo que você não tenha acesso físico à máquina. Sua conta do Microsoft Live ou um Active Directory pode garantir a chave para você.

    
por 18.04.2014 / 03:22
2

O acesso físico é acesso total. Suponha que, se alguém conseguir acesso físico à sua máquina, ela poderá acessar tudo e qualquer coisa nela. Porque, na realidade, eles podem - no mínimo, podem lançar um rootkit em sua máquina, gravar sua senha (ou copiar a chave da memória) na próxima vez que você fizer o login, e enviá-la para si por 'net ou voltar mais tarde para coletá-lo, se isso falhar.

Se a sua máquina tiver sido comprometida, a única abordagem segura é a de bombardear a partir de órbita. Limpe todos os dados e espere que você tenha backups adequados antes que ele tenha sido comprometido.

    
por 18.04.2014 / 03:23
0

Se sua máquina for inicializada e o recurso de desbloqueio automático estiver ativado, contanto que você tenha um login na máquina, poderá acessar os dados na unidade de bloqueio de bits. Além disso, existem utilitários que apagam a senha, permitindo que você faça o login sem uma senha e acesse os dados na unidade do bitlocker. Basicamente, o Auto-Unlock derrota o propósito do Bitlocker e o substitui pela segurança padrão do Windows.

    
por 02.12.2014 / 00:57