ビットロッカーを使用しているときに「悪魔のメイドアタック」ブートパスの改ざんをシミュレートする信頼できる方法はありますか?
OSドライブがbitlockerで暗号化されており、 TPM + PIN authentication を使用して改ざんに対するブートパスを認証するシステムがあるとします。私が理解しているように、このセットアップは理論的には bootkits から保護します。そうしないと、OSドライブの復号化に使用されるパスワードまたはキーを不正にログに記録する可能性があります。つまり、 このタイプの「悪意のある攻撃」 から保護します。
ブートパスの改ざんを確実にシミュレートして、ブートパス認証が実際に機能しているかどうかをテストする方法はありますか?
私は この悪魔の攻撃の実装 について知っていますが、ビットロッカーではなく、truecryptを攻撃するように設計されていました。
システム予約済みボリューム(SRV)を簡単に編集することで、独自のブートパスの改ざんを実行できます。
ボリューム編集が可能ないくつかのソフトウェアでは、ブータブルメディアを使用する必要があります。Windowsは、起動に使用されたSRVを保護しているようです。この編集には、Acronis Disk DirectorブートCDを使用しました。
再起動すると、BitLockerは次の画面を表示しました。
Bitlockerは、ほとんど同じ攻撃に対して脆弱です。
このペーパー は、PINに対する攻撃について説明しています。「次の起動時に、MBRブートローダーがこのファイルをロードして制御をそこに移します。偽のBitLockerプロンプトが表示されます(図1を参照)。 PINはNTFSパーティションに保存され、元のMBRが復元されてシステムが再起動します。後で、入力したPINはNTFSパーティションから読み取ることができます。 "
主要な発見:「TPMをキー管理に直接使用しても、専用の攻撃者に対する保護は非常に限られています。私たちの攻撃戦略はTPM自体を対象としていません。これらはすべて、TPMの特定の実装での使用方法を悪用しています。ディスク暗号化」。これにより、TPMは原則的に壊れていないが、物理的に存在する敵に対して安全なシステムをまだ開発していないと私は信じるようになります。