Estoy usando Bitlocker, que usa un TPM para desbloquear la unidad. Mi pregunta es que, aunque el TPM proporciona seguridad contra la manipulación, ¿de qué manera es útil para defenderse contra ataques que involucran acceso físico? Un atacante puede simplemente encender la computadora y luego puede realizar otros ataques como un arranque en frío o ataques basados en DMA para extraer la clave. La solución ideal es usar Bitlocker con un PIN, ¿verdad?
Como con cualquier medida de seguridad, esto reduce el riesgo, no lo elimina.
Sin TPM, un atacante con acceso físico puede simplemente agarrar el disco, alejarse y leer los datos a su gusto. Si el disco está cifrado con una clave en un TPM, el atacante debe retirarse con toda la computadora (o al menos extraer la RAM y almacenarla de manera segura, para intentar un ataque de remanencia de RAM que no sea completamente confiable). / p>
Esto no hace ninguna diferencia si el atacante tiene acceso físico no controlado, pero hace una diferencia si el atacante tiene acceso limitado, por ejemplo. Están caminando en un entorno de oficina o en una cafetería y son observados. En tales circunstancias, puede ser muy fácil agarrar una unidad extraíble, se necesita menos de un minuto con un destornillador para extraer un disco duro, mientras que extraer RAM tiende a requerir un poco más de tiempo y alejarse con toda la PC es menos discreto .
Si el atacante tiene acceso físico completo, ha perdido de todas formas, aunque un TPM a prueba de manipulaciones más un PIN para desbloquear la clave puede dificultar las cosas al atacante si la máquina está apagada antes de que lo alcancen. Básicamente, quien tenga acceso físico a la computadora es el propietario de la computadora, pero eso solo es cierto para el acceso físico sin restricciones, no en escenarios más restringidos. En algunos escenarios, la protección parcial es útil.
El uso de una clave basada en TPM debe combinarse con un arranque seguro, negándose a desbloquear la unidad si no está arrancando el sistema operativo prístino desde esa unidad, de modo que alguien que pase por allí no pueda simplemente reiniciar en su dispositivo USB. También debe combinarse con el borrado de la memoria en el momento del arranque (al menos si el último ciclo de alimentación no se terminó de forma limpia) para evitar ataques de arranque en frío.
Lea otras preguntas en las etiquetas physical-access disk-encryption tpm bitlocker