web-dev-qa-db-ja.com

ノートパソコンが盗まれた場合、BitLockerは役に立ちますか?

BitLocker対応のWindows 10ラップトップが盗まれ、泥棒がハードドライブ上のデータを読み取ろうとするケースを想像してみてください。彼は、BitLockerが存在するため、別のコンピューターのハードドライブを取り出して読み取ることができないことを知っています。しかし、彼は単にWindowsログインパスワードをブルートフォース攻撃してOSに侵入させ、データを読み取れるようにするだけです。

それがローカルアカウントである場合、それは非常に実現可能であるようです。 Microsoftアカウントの場合でも、ユーザーがインターネットに接続しなくてもログインできることを正しく覚えていれば、パスワードのハッシュもハードドライブにあると想定できるので、ブルートフォースパスワードクラッキング方式も適用できます。

ラップトップが盗まれた場合、BitLockerは役に立ちますか?

23
bobo

一般的には便利です。自動ロック解除を使用している場合、一部のシステムでは、断固とした攻撃者がそれを迂回できる可能性がありますが、USBスティックを起動するだけの場合よりもかなり多くのスキルが必要になります。ただし、実際にロックダウンするには BitLocker PIN が必要です。

パスワードのハッシュもハードドライブにあり、

はい。ただし、ハードドライブは暗号化されているため、読み取ることはできません。

新しいラップトップのBitLockerは、TPMチップを使用して自動ロック解除を実装します。 1つのキーがTPMに保存され、読み戻すことができます次の場合のみシステムはまったく同じ方法で起動します-同じファームウェア設定、同じPCIハードウェア、同じ起動デバイス、同じデジタル署名されたBOOTMGR 。

(これは、ログインパスワードがディスクのロック解除に使用されないことを意味します。ログイン画面を見ているとき、ディスクはalreadyロック解除されているため、OSをロードできます。 OS自体を含む、システムパーティション上のすべてのもの(BOOTMGRを除く)が暗号化されます。)

USBスティックから起動しようとした場合(またはセキュアブートの署名検証を無効にするなど、その他の変更を加えた場合)、システムディスクは、同じラップトップであっても自動的にロック解除されなくなります。それにアクセスする唯一の方法は、回復キーを知ることです。

そのため、泥棒はWindowsパスワードハッシュを取得できず(実際、ブルートフォースでかなり簡単です)、実際のWindowsログイン画面でのポーキング、またはある種のハードウェア攻撃(「コールドブート」やBitLockerの読み取りなど)の実行に限定されます。 RAMからのキー)。

注:ラップトップに(TPMではなく)個別のTPMチップがある場合、TPMとCPUの間の実際の信号をかなり簡単に傍受し、この方法でBitLockerキーを見つけることができます。 PINはTPMがキーを公開するために必要であり、TPM自体にロックアウトメカニズムがあるため)、BitLockerの「TPM + PIN」モードがこれを防ぐと思います。


最後に、BitLockerはラップトップのワイプや再利用を防止しません。 TPMは、設計により、ファームウェア設定画面にアクセスできるすべてのユーザーがいつでもクリアして再初期化することが可能です。 (メーカーがHPのようにTPMにファームウェアパスワードも保存している場合を除いて...しかし、チップ全体を交換することによってラップトップのロックを解除することを妨げるものではないようです。)

29
user1686

これはTPMチップの設計シナリオです。

TPM(自動起動の場合)に支えられたBitlockerのセキュリティに対する攻撃は、本質的にシステムバスまたはRAMに対する攻撃である必要があります。

デスクトップでは、PCIデバイスの追加が原因でTPMが低下しています(待ってください。TPMハッシュチェック...、実際はそうではありません)が、ラップトップにPCIデバイスを合理的に追加することはできません。冷たいRAM攻撃はラップトップに対して動作するはずですが、それは本当にそれについてです。

デスクトップでのTPMに対する攻撃には、6か月前に調べた場合、数百ドルかかります。ラップトップ上のTPMに対する攻撃は私たちの手の届かない範囲であり、公正な見積もりはおそらく数万です。

8
Joshua

データにアクセスしたくない場合に便利です。ただし、実際のラップトップを使用できないようにするために、大きな違いはありません。彼らは単にハードドライブを交換するか、単にそれを拭いて平らにし、それを新品のようにセットアップすることができます。それでも、誰もあなたのデータにアクセスできないようにするためにそうするのは良い考えです。

2
Stanners