web-dev-qa-db-ja.com

Bitlocker + TPMを使用すると、別のOSでHDDのコンテンツを表示できなくなりますか?

私はこのことをググってググって、そしてこのサイトで複数の関連した質問を読みました、しかし私はまだパズルの重要な部分を見逃しています。

Bitlockerで暗号化されたWin10 Proを搭載した(仕事用の)ラップトップを持っています。コールドブート時にパスワードを要求しないため、暗号化されていることに気づかなかったことがかなり前からありました。 (以前はすべてのラップトップでTrueCryptを使用していたため、パスワードを使用することに慣れていました。)次に、システムを確認し、LinuxライブCDで起動することにしました。ディスク上のパーティションを確認できましたが、メインのパーティションをマウントできませんでした。16進ダンプを少し表示すると、メインのNTFSパーティションが実際に暗号化されていることがわかりました。

これで、OSはユーザーからの入力なし(つまり、PIN /パスワードなし)でWindowsログイン画面まで幸せにコールドブートします。これは、私のグーグルから、OSが自動的に暗号化キーを自動的に抽出することにより発生したことを学びました。 TPM。

気になるのはこれです。別のコード(Linuxなど)がTPMにHDD暗号化キーを要求するのを止めるにはどうすればよいですか。秘密のMSキーが必要であると仮定しても、このキーは必ずブートパーティションのどこかに存在する必要があり、これがどのように実現されるかについての私の単純な考えは、VM(USBキー上) ?)ブートシーケンスがTPMとやり取りし、暗号化キーがビンゴになるまでブートローダーを実行する...これはロケット科学ではありませんが、明らかにこれは簡単ではありません、またはBitlocker + TPMは時間の無駄です。つまり、何が起こっているのかを正確に把握することはできませんが、試してみましたがどのように動作するかはわかりません本当に ...

誰かが私が見逃している洞察を提供できますか?前もって感謝します!

[編集:わかりやすくするために、私は主にラップトップが盗まれた場合について考えています。多くの人と同様に、私のラップトップはスリープモードでバッグの中で多くの時間を費やしているので、盗まれたときにスリープ状態であると想定しましょう。これは、TPM + PINへの移行がどれほど役立つかを意味しますが、直接は考えていません。実際の基本を変更します質問。]

11
Neilski

コメントの多くは重要な点を欠いていると思います。セキュアブートおよびパスワード保護されたファームウェアを備えたWindows 10を使用している場合、Linuxを起動してディスクを表示することはできません。 TPMは、変更されたO/Sに復号化キーを解放しません。この投稿を一読することをお勧めします。

物理的な攻撃者は、UEFI、セキュアブート、ビットロッカーを使用してWindowsマシンを危険にさらすことができますか? そこにはいくつかの良い情報があるためです。

1
user_al

何もこれを止めていません。 TPMが実行していることは、さまざまな起動時コンポーネントの整合性をチェックし、これらのコンポーネントが改ざんされていない場合にのみ内部パスワードを開封することです。 PINコードを要求するようにさらに構成できますが、厳密には必要ありません。Linuxシステムでドライブが自動的に復号化されないのは、WindowsがTPMと通信していて、システムの状態を証明します。

キーはTPM自体の内部に封印されています。目的は、コンピュータとドライブの両方がある場合にディスクを復号化できないようにすることではなく、ストレージドライブのみがあり、コンピュータ自体がない場合にディスクを復号化できないようにすることです。ドライブとTPMの両方を含むデバイス全体に物理的にアクセスできる場合は、ドライブを復号化できます。

3
forest

TPMが初期化されると、OSはTPMの所有権を取得し、TPM所有者パスワードを使用してそのアクセスを保護します。 Linuxでは、このパスワードは手動で入力されます(tpm_takeownershipを参照)。 Windowsでは、自動的に生成されて内部に保存されますが、回復する方法はいくつかあります。この回答( https://stackoverflow.com/questions/48762602/tpm-owner-password-and-lockout-password-with-windows-10-linux )には、それを行う方法に関するいくつかの詳細があります。

1