BitLocker - одно из самых продвинутых и наиболее часто используемых решений для шифрования томов. BitLocker - это хорошо изученное и широко документированное решение с несколькими известными уязвимостями и ограниченным числом возможных векторов атаки. Тома BitLocker могут быть защищены одним или несколькими предохранителями, такими как TPM с аппаратной привязкой, выбираемый пользователем пароль, USB-ключ или их комбинация. Атака на пароль возможна только в одном из этих случаев, в то время как другие средства защиты требуют совсем другого набора атак. Узнайте, как использовать тома BitLocker в зависимости от типа предохранителя.
Под капотом
Введение в BitLocker: защита системного диска описывает, как BitLocker работает с точки зрения пользователя. Давайте подробнее рассмотрим различные ключи шифрования, используемые BitLocker для защиты ваших данных и ключа шифрования.
BitLocker реализует поэтапную защиту и использует несколько ключей, каждый из которых служит своей цели.
По заявлению Microsoft, необработанные данные шифруются с помощью ключа шифрования полного тома (FVEK), который затем шифруется с помощью главного ключа тома (VMK). Главный ключ тома, в свою очередь, шифруется одним из нескольких возможных методов в зависимости от выбранного типа проверки подлинности (то есть предохранителей ключа или TPM) и сценариев восстановления.
Не выглядит ли VMK в этой схеме избыточным? У него есть свое предназначение. Использование промежуточного ключа (VMK между FVEK и любыми предохранителями ключей) позволяет изменять ключи без необходимости повторного шифрования необработанных данных в случае взлома или изменения данного предохранителя ключа. При изменении предохранителя ключа будет создан новый VMK, который будет использоваться для шифрования старого FVEK с помощью нового VMK.
Где хранятся все эти ключи? Ключ шифрования полного тома (FVEK) зашифровывается главным ключом тома (VMK) и сохраняется на зашифрованном диске. Главный ключ тома зашифрован соответствующим предохранителем ключа и также хранится на зашифрованном диске.
Дело в том, что было бы невозможно получить доступ к зашифрованным данным, если бы соответствующий ключ шифрования не был сохранен в энергозависимой памяти (RAM) компьютера. Пока том BitLocker смонтирован, главный ключ тома (VMK) находится в оперативной памяти компьютера. Создав дамп памяти и извлекая VMK из этого дампа с помощью Elcomsoft Forensic Disk Decryptor, специалисты могут мгновенно смонтировать или быстро расшифровать содержимое тома независимо от типа используемого предохранителя.
Типы BitLocker Protector
Тома BitLocker (или, скорее, главные ключи томов) можно защитить с помощью различных методов, называемых протекторами. С некоторыми из этих протекторов защита связана с аппаратным обеспечением. В результате, чтобы разблокировать том и расшифровать данные, вам понадобится либо исходное оборудование (и, возможно, другие учетные данные); атака грубой силой будет невозможна. Давайте проверим, какие предохранители ключей существуют, как они используются и как подходить к атаке тома BitLocker, защищенного с помощью данного типа предохранителя.
Вы можете определить типы предохранителей, включенные для данного тома BitLocker, выполнив следующую команду во время монтирования тома:
управление-bde -protectors -get X:
где X: будет буквой диска. (Источник: BitLocker: используйте средства шифрования диска BitLocker для управления BitLocker).
Только TPM
Это, безусловно, наиболее часто используемый тип защиты на портативных устройствах, таких как ноутбуки, планшеты Windows и моноблоки «два в одном». Ваша система загрузится до запроса входа в систему; VMK будет расшифрован с помощью корневого ключа хранилища (SRK), который хранится в модуле TPM (или Intel PTT), и освобождается только в том случае, если система проходит проверку безопасной загрузки. Это наиболее удобный вариант, который эффективно защищает жесткие диски, но обеспечивает более слабую защиту, если злоумышленник имеет доступ ко всей системе (компьютеру с TPM и жесткому диску).
Важно понимать, что полностью зашифрованный том BitLocker будет автоматически монтироваться и разблокироваться в процессе загрузки Windows, задолго до того, как пользователь войдет в систему со своими учетными данными Windows. Модуль TPM выпустит метаданные шифрования и автоматически расшифрует главный ключ защищенного тома (VMK) во время загрузки, как показано на изображении ниже.
Это позволяет выполнять совершенно уникальную атаку, часто называемую атакой «холодной загрузки». Злоумышленник запустит компьютер и будет ждать, пока система загрузится. К тому времени, когда компьютер отобразит приглашение на вход, том BitLocker будет уже смонтирован, а VMK расшифрован и сохранен в оперативной памяти компьютера. Затем злоумышленник будет сбрасывать содержимое энергозависимой памяти компьютера (используя стороннюю атаку или физически удаляя модули), извлекает VMK и расшифровывает том.
