什么是BitLocker?如何操作?

2020.06.16 -

   

从Windows Vista开始,Microsoft Windows版本附带的BitLocker是全卷加密功能。它旨在通过为整个卷提供加密来保护数据。默认情况下,它在128位或256位密钥的密码块链接(CBC)或XTS模式中使用AES加密算法。 CBC不在整个磁盘上使用;它适用于每个部门。

BitLocker

BitLocker的加密模式

可以将三种身份验证机制用作实现BitLocker加密的构建块:[26]

  • 透明操作模式:此模式使用TPM 1.2硬件的功能来提供透明的用户体验-用户正常启动并登录Windows。用于磁盘加密的密钥由TPM芯片密封(加密),并且仅在早期启动文件似乎未修改的情况下才会释放给OS加载程序代码。BitLocker的OS之前的组件通过实现静态信任根度量(一种由可信计算组(TCG)指定的方法)来实现此目的。
  • 此模式很容易受到冷启动攻击,因为它允许关闭电源的计算机启动由攻击者。它也容易受到嗅探攻击,因为在成功引导期间,卷加密密钥以纯文本格式从TPM传输到CPU。
  • 用户身份验证模式:此模式要求用户以预引导PIN或密码的形式向预引导环境提供一些身份验证。
  • USB密钥模式:用户必须将包含启动密钥的USB设备插入计算机,才能启动受保护的操作系统。请注意,此模式要求受保护机器上的BIOS支持在OS之前的环境中读取USB设备。
  • 密钥也可以由CCID提供,以读取加密智能卡。使用CCID不仅将密钥文件存储在外部USB拇指驱动器上,还提供了其他好处,因为CCID协议使用嵌入在智能卡中的加密处理器来隐藏私钥。这可以防止仅通过从存储密钥的介质上读取密钥就可以窃取密钥。

支持上述身份验证机制的以下组合,所有组合都带有可选的托管恢复密钥:

  • 仅TPM
  • TPM + PIN
  • TPM + PIN + USB 密钥
  • TPM + USB密钥[
  • USB 密钥
  • 仅密码

如何操作?

BitLocker是逻辑卷加密系统。(一个卷跨越一个硬盘驱动器的一部分,整个驱动器或一个以上的驱动器。)启用后,TPM和BitLocker可以确保受信任的引导路径(例如BIOS和引导扇区)的完整性,以防止大多数脱机物理攻击和引导扇区恶意软件。

为了使BitLocker可以加密保存操作系统的卷,至少需要两个NTFS格式的卷:一个用于操作系统(通常为C :),另一个最小大小为100 MB,该大小保持未加密状态并引导操作系统。(但是,对于Windows Vista和Windows Server 2008,该卷的最小大小为1.5 GB,并且必须具有驱动器号。)

与以前的Windows版本不同,Vista的“ diskpart”命令行工具具有缩小NTFS卷大小的功能,以便可以从已分配的空间中创建该卷。Microsoft还提供了一种称为BitLocker驱动器准备工具的工具,该工具允许收缩Windows Vista上的现有卷,以便为新的引导卷和将必要的引导文件传输到其中的空间。

一旦创建了备用引导分区,就需要初始化TPM模块(假设正在使用此功能),然后配置所需的磁盘加密密钥保护机制,例如TPM,PIN或USB密钥。然后,将卷加密为后台任务,这对于大型磁盘可能会花费大量时间,因为每个逻辑扇区均会被读取,加密并重新写回到磁盘。

仅当整个卷被视为安全时,才在加密整个卷之后才对密钥进行保护。BitLocker使用低级设备驱动程序来加密和解密所有文件操作,从而使与加密卷的交互对平台上运行的应用程序透明。

加密文件系统(EFS)可以与BitLocker结合使用,以在操作系统运行后提供保护。只能使用Windows内运行的加密软件(例如EFS)来保护文件免受操作系统中的进程和用户的侵害。因此,BitLocker和EFS提供了针对不同类别攻击的保护。

在Active Directory环境中,BitLocker支持对Active Directory的可选密钥托管,尽管要使其正常工作可能需要架构更新(即,如果Active Directory服务托管在Windows Server 2008之前的Windows版本上)。

流氓启动管理器可能会攻击BitLocker和其他全盘加密系统。一旦恶意的引导加载程序捕获了机密,它就可以解密卷主密钥(VMK),然后该卷将允许访问来解密或修改加密硬盘上的任何信息。通过配置TPM来保护包括BIOS和引导扇区在内的受信任的引导路径,BitLocker可以缓解这种威胁。

本站文章禁止转载,违者必究
阅 157
0

从Windows Vista开始,Microsoft Windows版本附带的BitLocker是全卷加密功能 […]

湘公网安备 43011102001693号

    湘ICP备19003021号-1