本文从行外人的角度谈谈BitLocker与DMA攻击。
没有什么东西是绝对安全的,做到相对安全就好。
某公司的旧文:
大概讲了个这样一个事:嫌疑人电脑被扣押,但由于BitLocker加密(TPM+PIN),警方向取证公司寻求技术支持。该公司工作人员使用专门设备,快速镜像硬盘后,采用DMA攻击技术,进行内存扫描,绕过锁屏密码,获取恢复密钥。
看完后的感想:
不会吧?不会吧?BitLocker好歹是微软出品,看这篇文章怎么感觉跟纸糊的一样呢?
虽然我的所有电脑为了方便都未启用BitLocker,但这还是让我感到一丝脊背发凉。
“MIUI内置反诈”的风浪后,我出于谨慎禁用了MIUI安全组件等内置应用。
“并夕夕利用安卓漏洞”后,我庆幸不用并夕夕之余,开始审视国产APP。
可巨硬的加密技术竟然被攻破了?我对此能做些什么来应对呢?
微软做的应对:
这篇旧文是在2020年发布的,我是在Loc最近才看到的,但它出现在V2EX等网站要更早。
在网友们的你一言我一语中,我被引导到了微软的BitLocker应对策略。
微软针对DMA攻击专门写了个小节,我概括一下:
- 内核DMA保护在较新的设备中默认启用。
- “锁定此计算机时禁用新的 DMA 设备”可在组策略中配置。
- 对于 Thunderbolt v1 和 v2 、SBP-2 和 1394 等设备也有缓解措施。
在我这个行外人看来,DMA攻击技术应该是失利了。
但几年时间过去了,道高一尺、魔高一丈,矛和盾总是在升级。
该公司依然在运营,公众号依然在发文,加密和解密技术依然在发展。
更昂贵的攻击:
一些网友提到了一些更高级的攻击方法:
- 旁路攻击(拦截TPM与CPU间的明文传输)
- 冷启动攻击(低温环境下截取内存中的数据)
技术上或许可行,但代价要相对高得多,应该免不了拆机。
总的来说,如果不限制攻击者的手段,破解很可能不是问题?
我能做的防范:
(不考虑强大且具有耐心的攻击者)
- 始终使用高强度密码或复杂的PIN。
- 启用BIOS中的TPM、安全启动,设置BIOS密码。
- 禁用备用电源管理,BitLocker配置需要附加身份验证。
- 运行msinfo32检查DMA内核保护,如无则需配置组策略。
另外,微软在文中推荐的加密措施仍然是:TPM+PIN……
好了,辛苦折腾了大半天后,希望别忘记自己设置的密码吧。
在最后的小结:
BitLocker的DMA攻击问题大抵应该是基本解决了。
但就普通人而言,高安全性的BitLocker并没那么重要。
- 高安全性不是绝对安全,可能只是增加攻击的代价。
- 很多应对攻击的缓解措施,会对性能和便利性造成影响。
- 大多数人都习惯对复杂的密码说不——忘记密码是极普遍的。
不过,技术就在那里。我们可以不用,但我们保留使用它的权利。