¿Cómo me impide Bitlocker + TPM ver los contenidos del disco duro con otro sistema operativo?

6

He buscado en Google y he leído varias preguntas relacionadas en este sitio, pero todavía me falta una pieza crucial del rompecabezas.

Tengo una computadora portátil (de trabajo) con Win10 Pro que está cifrada con Bitlocker. Durante un tiempo no me di cuenta de que estaba encriptado porque no pide una contraseña en un arranque en frío. (Solíamos usar TrueCrypt en todas nuestras computadoras portátiles, así que estaba acostumbrado a usar una contraseña). Entonces decidí revisar el sistema y arrancarlo con un CD en vivo de Linux. Pude ver las particiones en el disco, pero no pude montar la principal. Un poco de volcado hexadecimal me mostró que la partición NTFS principal estaba encriptada.

Ahora, el sistema operativo estará encantado de reiniciar todo el camino hasta la pantalla de inicio de sesión de Windows SIN entrada del usuario (es decir, sin PIN / contraseña), que a partir de Google he aprendido que sucede a fuerza del sistema operativo que extrae automáticamente clave de cifrado del TPM.

Lo que me molesta es esto: ¿qué impide que otro fragmento de código (por ejemplo, Linux) solicite al TPM la clave de cifrado de HDD? Incluso suponiendo que se requiera una clave secreta de MS, esta clave seguramente debe estar presente en la partición de arranque en algún lugar, y mi idea simplista de cómo se podría lograr esto sería que una VM (¿en una llave USB?) Ejecute el cargador de arranque hasta el la secuencia de inicio interactúa con el TPM y el bingo la clave de cifrado ya no es secreta ... Sin embargo, esto no es una ciencia de cohetes, y claramente no puede ser tan fácil o Bitlocker + TPM sería una completa pérdida de tiempo. Entonces, no puedo tener una imagen correcta de lo que está pasando, pero he intentado y no he podido averiguar cómo funciona realmente ...

¿Puede alguien proporcionar la información que me estoy perdiendo? Gracias de antemano!

[Editar: para mayor claridad, estoy pensando principalmente en el caso en que la computadora portátil es robada. Al igual que muchas personas, mi computadora portátil pasa mucho tiempo en mi maleta en modo de suspensión, así que supongamos que está durmiendo cuando se la roban. Esto tiene implicaciones sobre cuánto ayudaría un cambio a TPM + PIN, pero no creo que sea directamente cambia los fundamentos de la pregunta .]

    
pregunta Neilski 28.07.2018 - 15:09
fuente

3 respuestas

0

Creo que muchos de los comentarios pierden un punto clave. Si está utilizando Windows 10 con un arranque seguro y un firmware protegido con contraseña, no puede simplemente iniciar Linux y ver el disco. El TPM no liberará las claves de descifrado a un O / S modificado. Sugiero tener una lectura a través de este post:

puede un atacante físico compromete una máquina Windows con UEFI, ¿arranque seguro y bitlocker? ya que hay buena información allí.

    
respondido por el user_al 02.08.2018 - 22:27
fuente
2

Nada detiene esto. Lo que está haciendo el TPM es verificar la integridad de varios componentes de tiempo de arranque y solo desbloquear una contraseña interna si estos componentes no han sido manipulados. Puede configurarse adicionalmente para requerir un código PIN, pero eso no es estrictamente necesario. La razón por la que la unidad no se descifra automáticamente en un sistema Linux es simplemente porque Windows se está comunicando con el TPM, pidiéndole que certifique el estado del sistema.

La clave se mantiene sellada dentro del propio TPM. El propósito no es evitar que descifre el disco si tiene la computadora y la unidad, sino hacer que sea imposible descifrar el disco si solo tiene la unidad de almacenamiento pero no la computadora en sí. Si tiene acceso físico a todo el dispositivo, incluidos tanto la unidad como el TPM, podrá descifrar la unidad.

    
respondido por el forest 03.08.2018 - 08:58
fuente
1

Cuando se inicializa un TPM, el sistema operativo toma posesión de él y usa una contraseña de propietario de TPM para proteger su acceso. En Linux, esta contraseña se ingresa manualmente (ver tpm_takeownership). En Windows, se genera automáticamente y se almacena internamente, aunque hay algunos métodos para recuperarlo. Esta respuesta ( enlace ) tiene algunos detalles sobre cómo hacerlo.

    
respondido por el Filipe Rodrigues 01.08.2018 - 09:29
fuente

Lea otras preguntas en las etiquetas