web-dev-qa-db-ja.com

TPMでBitlockerを使用する最も安全な方法は何ですか?

昨日bitlockerを使い始め、ラップトップにTPM2.0を搭載しています。起動時にピンを入力するオプションを有効にし、暗号化する前にAES256を使用するオプションを有効にしました。起動時にTPMが自動的にドライブのロックを解除するのがどのように安全であるかについては、本当に理解できません。 OSを起動する必要があるため、Windowsを起動する前に復号化する必要がありますか?これが自動的に行われる場合、攻撃者が私のラップトップに近づいて起動するだけでデータが暗号化されていない場合、これは非常に安全ではないように思われるため、おそらく間違っていると理解しているだけです。 Bitlockerを使用する最も安全な方法はどれですか。

2
Tanonic

これが自動的に行われる場合、攻撃者は私のラップトップに来てそれを起動するだけで、データは暗号化されません。

これが手順です。安全ではありません。平均的な人にとって、BitLockerとTPMは、フルディスク暗号化を使用しない場合よりも安全です。 TPM is a secure microcontroller with cryptographic capabilities designed to provide basic security-related functions involving encryption keys.詳細BitLocker seals the master encryption key in the TPM and only allows the key to be released when code measurements have not changed from a previous secure boot.- Trusted Platform Module(TPM)and BitLocker Support

これは、セキュアブートのサポートによって行われます。したがって、通常の起動手順を直接起動して回避することはできません。ただし、Windows内に脆弱性が見つかった場合は、復号化マスターキーを物理的に必要としないため、これを回避できます。例えば。 Windowsが起動してロック画面が表示されます。ここで脆弱性を特定できる場合(ドライブが復号化されている場合)、アクセスできます。 Windowsの「スティッキーキー」の悪用 起動時のリカバリが管理者特権でNotepad.exe内の診断を出力するという脆弱性を悪用しました。メモ帳でWindowsエクスプローラを開いて、ログイン画面で実行されるプログラムの名前を変更できます。固定キーはその一例です。 cmd.exeの名前をsethc.exeに変更すると、ログイン画面でcmd.exeを管理者特権で実行できます。

Bitlockerを使用する最も安全な方法はどれですか

強力な BitLockerのパスワード を使用するか、USBキーをセットアップします。 USBキーは、TPMと同様にUSBフラッシュドライブになります。ストレージメカニズムを制御する以外は、ドライブを簡単に取り外すことができます。ただし、ここで述べたどちらのオプションでも他の問題が発生する可能性があります。これは、OpSec要件に応じて非常に主観的です。 Bitlocker:USBキーvsパスワード?

2
safesploit