如题所述
BitLocker为啥能加密系统盘,其实和UEFI、TPM没有必然关系……用组策略启用额外的验证(开机时需要输入解锁密码)即可在没有TPM的机器上开启BitLocker。
回到一开始的问题:为啥可以加密Windows所在的分区?
因为Windows Boot Manager可以在Windows启动前“独立”解密BitLocker分区。
BitLocker、磁盘有关的驱动也是在引导时被加载的(和内核一起被加载),然后Windows就可以自己读写BitLocker分区,不再需要Windows Boot Manager提供拐棍了。
UEFI的SecureBoot,还有TPM,有了它们,BitLocker可以变得更安全便捷。
有了TPM,就可以不用输入解锁密码了,密钥由TPM负责保管,并由TPM来保证不会有人用WinPE偷窥硬盘里的文件。如果你尝试用WinPE启动,TPM就不会解锁BitLocker加密的C盘。
既然Ubuntu LiveCD、WinPE、拆机换硬盘等等威胁已经被TPM干掉了,只要Windows登录密码靠谱,那差不多就固若金汤了。
但据说这样并不是完全没有弱点:冷冻内存等Cold boot attack仍然可能奏效;如果恶意代码得以在内核中运行,可能也有机会直接拿到密钥。
这些攻击能奏效的前提是:硬盘数据加密仍然是操作系统在CPU上完成的,所以在那根插在主板上的内存条里,还是可以直接找到密钥。
如果把加密交给硬盘的主控芯片等硬件来做,让硬盘主控去抵抗冷冻内存攻击,那么内存条里就再也不需要保留密钥,那……也许就真的固若金汤了……
如果硬盘没有这种高端功能,有一个缓解方法是让TPM在开机时,多验证一个PIN,必须输对PIN才给密钥,甚至在多次错误后毁掉密钥。
这样一来,如果电脑被偷时,就已经关机了,那么就没法等到Windows傻乎乎地问登录密码时,再偷偷冷冻内存干猥琐的事情了。但如果偷到的电脑还没关机,那说不定有可乘之机。
我实际上只是个小白用户,以上理解可能有误……还是需要真大神来科普一下 : - )
所以你想到了什么?
没错……你不能把引导文件也放在BitLocker加密的分区里……就是这样。
回到一开始的问题:为啥可以加密Windows所在的分区?
因为Windows Boot Manager可以在Windows启动前“独立”解密BitLocker分区。
BitLocker、磁盘有关的驱动也是在引导时被加载的(和内核一起被加载),然后Windows就可以自己读写BitLocker分区,不再需要Windows Boot Manager提供拐棍了。
UEFI的SecureBoot,还有TPM,有了它们,BitLocker可以变得更安全便捷。
有了TPM,就可以不用输入解锁密码了,密钥由TPM负责保管,并由TPM来保证不会有人用WinPE偷窥硬盘里的文件。如果你尝试用WinPE启动,TPM就不会解锁BitLocker加密的C盘。
既然Ubuntu LiveCD、WinPE、拆机换硬盘等等威胁已经被TPM干掉了,只要Windows登录密码靠谱,那差不多就固若金汤了。
但据说这样并不是完全没有弱点:冷冻内存等Cold boot attack仍然可能奏效;如果恶意代码得以在内核中运行,可能也有机会直接拿到密钥。
这些攻击能奏效的前提是:硬盘数据加密仍然是操作系统在CPU上完成的,所以在那根插在主板上的内存条里,还是可以直接找到密钥。
如果把加密交给硬盘的主控芯片等硬件来做,让硬盘主控去抵抗冷冻内存攻击,那么内存条里就再也不需要保留密钥,那……也许就真的固若金汤了……
如果硬盘没有这种高端功能,有一个缓解方法是让TPM在开机时,多验证一个PIN,必须输对PIN才给密钥,甚至在多次错误后毁掉密钥。
这样一来,如果电脑被偷时,就已经关机了,那么就没法等到Windows傻乎乎地问登录密码时,再偷偷冷冻内存干猥琐的事情了。但如果偷到的电脑还没关机,那说不定有可乘之机。
我实际上只是个小白用户,以上理解可能有误……还是需要真大神来科普一下 : - )
所以你想到了什么?
没错……你不能把引导文件也放在BitLocker加密的分区里……就是这样。
温馨提示:答案为网友推荐,仅供参考
第1个回答 2017-07-14
你是不会弄吗追答
我会
很简单
