¿Bitlocker está protegido contra el robo, incluso si el TPM está pirateado (suponiendo que la máquina está en hibernación)?

3

¿Bitlocker encripta la unidad solo con la clave de recuperación de Bitlocker, o también encripta la unidad con la contraseña de inicio de sesión de Windows (para que el atacante también tenga que adivinar la contraseña de inicio de sesión, lo que no sería factible para un complejo uno): obviamente, esto describe los casos en que se deshabilitan otras formas de inicio de sesión como PIN y tarjeta inteligente.

Fondo:

Al parecer, es posible que un atacante bien financiado extraiga claves criptográficas de un TPM. Obviamente, esto solo sería una amenaza realista si el sistema tuviera muchos millones de dólares en información, pero sigue siendo una amenaza para muchas compañías grandes que permiten a sus empleados llevar computadoras de trabajo fuera de la oficina.

EDITAR: Esto supone un robo absoluto de la computadora, en lugar de un ataque de criada malvada (de lo contrario, el atacante podría usar un keylogger o algo así)

    
pregunta genealogyxie 10.07.2016 - 06:39
fuente

2 respuestas

2

En primer lugar, para el comentario de André, por lo que entiendo, los cifrados completos del disco son exactamente para el caso de un atacante que obtiene acceso físico completo al hardware, como en el caso de un robo (portátil).

En cuanto al resto: una computadora en proceso de hibernación debe ser vulnerable.

Después de una investigación, el mejor artículo sobre el tema: enlace .

Si el sistema está en hibernación, se puede volver a activar, y luego debería funcionar cualquiera de los ataques descritos como "arranque en frío".

Además, si el TPM se piratea (aunque no estoy seguro de que sea muy realista, o si existen puntos débiles conocidos en algunos TPM), eso también sería algo malo.

Aún así, creo que esos ataques no son un hilo para la seguridad diaria, ya que su esfuerzo es bastante grande, lo que significa que en la mayoría de los casos, los atacantes no realizarán esos esfuerzos a menos que haya recompensas (información) razonablemente altas.

    
respondido por el Andreas Reiff 17.03.2018 - 22:31
fuente
0
  1. ASUMIENDO QUE USTED UTILIZA LA PROTECCIÓN SOLO PARA TPM (una suposición errónea; no haga esto), descifrar el TPM permitirá que un usuario descifre la unidad. La contraseña del usuario no se utiliza, y no se puede usar, para proteger una unidad BitLocker (gran parte de lo que hace Windows ocurre antes de iniciar sesión). Los archivos individuales en la unidad pueden protegerse de otras maneras (por ejemplo, al utilizar el Sistema de archivos cifrados, que utiliza una clave que su contraseña debe desempaquetar, aunque el atacante puede intentar forzar con fuerza los hashes de contraseña NTLMv2 débiles para obtenerla) o usando algo como VeraCrypt o GPG).
  2. El supuesto de seguridad en el modo solo TPM es "el atacante puede iniciar la máquina, pero se bloqueará en la pantalla de inicio de sesión". Entonces, sí, en este modo, es esencial usar una contraseña de inicio de sesión segura. Sin embargo, un atacante todavía puede intentar varios ataques sofisticados contra el sistema en ejecución (BitLocker intenta bloquearlos tanto como sea posible, pero no puede hacer nada en contra de, por ejemplo, que la RAM se bloquee y se elimine físicamente de un sistema en ejecución). / li>
  3. Si realmente desea estar seguro contra un ataque como este, BitLocker debe usarse en un modo que requiera un "PIN" (nombre inapropiado; puede ser una frase de contraseña arbitraria a menos que su BIOS sea muy viejo) o clave externa (generalmente llevada en una unidad flash USB).
respondido por el CBHacking 18.03.2018 - 11:54
fuente

Lea otras preguntas en las etiquetas