Tengo un sistema Windows y protegí la unidad con el cifrado de BitLocker.
¿Se puede eludir el cifrado de BitLocker mediante el arranque en vivo con Linux o cualquier otro sistema operativo?
Tengo un sistema Windows y protegí la unidad con el cifrado de BitLocker.
¿Se puede eludir el cifrado de BitLocker mediante el arranque en vivo con Linux o cualquier otro sistema operativo?
En primer lugar, debes escribir "cómo funciona Bitlocker" en Google y leer algunos artículos. Probablemente aprenderá la respuesta a su pregunta (¡y muchas más cosas interesantes además!).
Si desea una respuesta rápida, encontré un artículo de Microsoft que dice:
Durante el proceso de inicio, el TPM libera la clave que desbloquea la partición cifrada solo después de comparar un hash de valores de configuración importantes del sistema operativo con una instantánea tomada anteriormente. Esto verifica la integridad del proceso de inicio de Windows. La clave no se libera si el TPM detecta que su instalación de Windows ha sido alterada.
Hay dos puntos importantes aquí:
Las claves para descifrar tu disco duro se almacenan en el chip TPM de tu placa base, por lo que necesitarás un arranque en vivo en la misma placa base, y tu sistema operativo de arranque en vivo deberá convencer al TPM para que libere las teclas.
No está claro al 100% de lo anterior, pero parece que el TPM comprueba la RAM durante el inicio para asegurarse de que el sistema operativo que se está iniciando sea el mismo que registró las claves de cifrado en primer lugar.
Por lo tanto, probablemente sería difícil "engañar" al TPM para que libere las claves de su Linux de arranque en vivo.
Dicho esto, Wikipedia tiene detalles sobre un ataque exitoso: enlace
En febrero de 2008, un grupo de investigadores de seguridad publicó detalles de un llamado "ataque de arranque en frío" que permite que los sistemas de cifrado de disco completo como BitLocker se vean comprometidos al arrancar la máquina desde medios extraíbles, como una unidad USB. en otro sistema operativo, luego descargando el contenido de la memoria de pre-arranque. [34]
Parece que no es tan simple como iniciar Linux y leer la unidad, pero si un pirata informático experto tiene acceso a su computadora mientras se ejecuta e inicia sesión en la unidad desencriptada , entonces es Es posible reiniciar en Linux lo suficientemente rápido como para que la memoria RAM aún tenga los datos anteriores, y extraiga la clave de descifrado directamente de la memoria, lo que omite el TPM por completo. Para obtener más información sobre este ataque, consulte: wikipedia / Cold_boot_attack .
Como @ AndréBorie señala en comentarios , si está dispuesto a hacer ingeniería eléctrica y detectar la conexión entre el TPM y el resto de la placa base, entonces puede iniciar el sistema normalmente y leer la clave de descifrado del cable. .
Supongo que el viejo adagio es correcto una vez más; Diez leyes inmutables de seguridad :
Ley # 3: si un malvado tiene acceso físico sin restricciones a tu computadora, ya no es tu computadora.
Lea otras preguntas en las etiquetas windows disk-encryption bitlocker