¿Cuál es la forma más segura de usar Bitlocker con TPM?

2

Comencé a usar bitlocker ayer y tengo un TPM2.0 en mi computadora portátil. Habilité la opción para ingresar un pin al iniciar y habilité la opción para usar AES256 antes de cifrar. Realmente no entiendo cómo es seguro que el TPM desbloquee la unidad automáticamente cuando se inicia. Tiene que iniciar el sistema operativo, por lo que tiene que descifrarlo antes de iniciar Windows, ¿no? Si esto se hace automáticamente, un atacante puede simplemente venir a mi computadora portátil e iniciarlo y mis datos no están encriptados, esto parece muy inseguro, así que probablemente lo entiendo mal. ¿Cuál es la forma más segura de usar Bitlocker?

    
pregunta Tanonic 22.07.2018 - 18:42
fuente

1 respuesta

2
  

Si esto se hace automáticamente, un atacante puede simplemente venir a mi computadora portátil e iniciarlo, y mis datos no están cifrados

Este es el procedimiento. No es seguro Para la persona promedio, BitLocker y TPM son más seguros que no usar el cifrado de disco completo. TPM is a secure microcontroller with cryptographic capabilities designed to provide basic security-related functions involving encryption keys. ahora los detalles BitLocker seals the master encryption key in the TPM and only allows the key to be released when code measurements have not changed from a previous secure boot. - Trusted Platform Module (TPM) y BitLocker Support

Esto se hace con soporte de arranque seguro. Por lo tanto, no se permite el arranque directo y eludir el procedimiento de arranque normal. Sin embargo, si puede encontrar una vulnerabilidad en Windows, puede sortearla, ya que no necesita físicamente la clave maestra de descifrado. P.ej. Windows se iniciará en la pantalla de bloqueo, si puede identificar una vulnerabilidad aquí (cuando se descifra la unidad), tiene acceso. La vulnerabilidad de las "teclas adhesivas de Windows explotó una vulnerabilidad en la que la recuperación de inicio imprimiría los diagnósticos dentro de Notepad.exe con privilegios de administrador elevados. El Bloc de notas podría abrir el Explorador de Windows y cambiar el nombre de un programa que se ejecutaría en la pantalla de inicio de sesión; las teclas adhesivas son un ejemplo. Cambiar el nombre de cmd.exe a sethc.exe permitió que cmd.exe se ejecutara con privilegios de administrador elevados en la pantalla de inicio de sesión.

  

¿Cuál es la forma más segura de usar Bitlocker

Use un fuerte contraseña en BitLocker o configure una llave USB. La llave USB será una unidad flash USB, al igual que TPM. Excepto que controlará el mecanismo de almacenamiento, también puede extraer fácilmente la unidad. Sin embargo, las dos opciones que dije aquí pueden introducir otros problemas. Esto es muy subjetivo dependiendo de sus requisitos de OpSec. Bitlocker: ¿Llave USB vs Contraseña?

    
respondido por el safesploit 22.07.2018 - 19:18
fuente

Lea otras preguntas en las etiquetas