Siempre estoy en modo de hibernación de mi computadora portátil, para un arranque más rápido, cifré el disco sensible de BitLocker, ¿qué pasaría si mi computadora portátil me robara y el atacante supiera que estaba en modo de hibernación, puede descifrar mi información?
Usando el antiguo arte marcial de Google-Fu logré encontrar estos dos comentarios en la primera y segunda página después de proporcionar los parámetros de búsqueda: "hibernación de Bitlocker".
Desde el sitio web de Microsoft :
¿Cuáles son las implicaciones de usar el poder de hibernación o suspensión? opciones de administración?
BitLocker en las unidades del sistema operativo en sus Configuración básica (con un TPM pero sin autenticación avanzada) Proporciona seguridad adicional para el modo de hibernación. Sin embargo, BitLocker proporciona mayor seguridad cuando está configurado para usar un modo de autenticación avanzada (TPM + PIN, TPM + USB o TPM + PIN + USB) con El modo de hibernación. Este método es más seguro porque al regresar de La hibernación requiere la autenticación de BitLocker. Como una buena práctica, nosotros recomienda que se desactive el modo de suspensión y que use TPM + PIN para el método de autentificación.
De la sitio web msdn :
Use los modos avanzados de BitLocker con hibernación Nota:
Esta es la Forma primaria y más efectiva de proteger su sistema de DRAM Remanencia y otros ataques de plataforma. Ataques de plataforma que acceden. Las claves de cifrado en DRAM obviamente dependen de esas claves para estar presentes en DRACMA. Al igual que con todos los enfoques prácticos de encriptación de disco, estos Las claves de cifrado deben existir en la memoria del sistema para proporcionar la Rendimiento que hace que el cifrado de disco sea utilizable. Cuando BitLocker es configurados en sus modos avanzados, las claves de cifrado no se cargan en Memoria del sistema hasta después de que el usuario autorizado haya proporcionado las credenciales. como un PIN, dongle, o ambos. Un atacante sin estas credenciales. no podrá arrancar el sistema a un estado donde sea confidencial La información, incluidas las claves de cifrado, está en DRAM. Hay algunos advertencias sin embargo; Una es una amenaza muy práctica, la otra menos. Si un atacante obtiene acceso al sistema después de que el usuario autorizado haya autenticado con sus credenciales de BitLocker, pero antes de su propietario la desactiva o hiberna, las claves de cifrado están en DRAM y una El atacante podría usar uno de los "DRAM remanence" de los investigadores de Princeton. ataques u otros ataques de plataforma como el acceso directo a memoria (DMA) Para acceder a esas claves. Por eso es importante cuando se usa Los modos avanzados de BitLocker para usar "hibernación" en lugar de "dormir". Para proporcionar un alto rendimiento para las transiciones del sueño, BitLocker no lo hace no cifre el contenido de la RAM ni requiere la autenticación de BitLocker al despertar del sueño. Con la hibernación, un sistema es efectivamente 'Off', y las claves no residirán en la memoria física (llegaré a La segunda advertencia que se discute esto en breve). En resumen de hibernación, BitLocker requerirá las credenciales que comenté antes, y sin esas credenciales, las claves de cifrado no serán cargado en la DRAM. Durante el diseño e implementación, el BitLocker El equipo trabajó con otros equipos dentro de Microsoft para permitir una completa Control de configuración de suspensión del sistema por administradores locales y de dominio. A través de la política de grupo. Instrucciones sobre cómo configurar este y otros. La configuración de BitLocker se puede encontrar en las guías de diseño e implementación disponible en la documentación en línea de BitLocker. Ahora déjame abordar la Segunda advertencia, que es una amenaza menos práctica. Como se describe en El documento de los investigadores de Princeton y en otros lugares, DRAM puede retener Bajo temperaturas normales durante varios segundos o unos pocos minutos. Si una el atacante obtiene acceso a una computadora portátil dentro de esta ventana, pueden ser capaces de Para acceder a la información ubicada en DRAM. De nuevo, el riesgo de un atacante. explotar esto es bajo en relación con otras amenazas de la plataforma. De nuevo, este es la forma principal y más efectiva de proteger su sistema de DRAM Remanencia y otros ataques de plataforma.
La mejor práctica depende de lo que le preocupa.
El peligro del modo de Suspensión es que su clave todavía está en la memoria y puede ser extraída por un atacante con esa experiencia. La hibernación reduce significativamente ese riesgo en todos los escenarios. Como indica la respuesta de Lucas Kauffman, el uso de los modos avanzados de implementación de BitLocker proporciona seguridad adicional, así como la toma de medidas como deshabilitar mecanismos para obtener fácilmente el acceso a DMA o evitar esos mecanismos (es decir, Firewire).
Sus controles para los riesgos dependen de usted. Si está preocupado por un ladrón principalmente interesado en el dispositivo físico, no tiene que preocuparse demasiado por él. Si está protegiendo secretos comerciales, etc., debe leer cuidadosamente la documentación, implementar y operar la computadora de manera adecuada.
Lea otras preguntas en las etiquetas physical encryption windows bitlocker