一位安全研究人員提出了一種從計(jì)算機(jī)的可信平臺(tái)模塊(TPM)中提取BitLocker加密密鑰的新方法，該模塊只需要27美元的FPGA板和一些開(kāi)源代碼。

需要明確的是，這種新的BitLocker攻擊需要對(duì)設(shè)備進(jìn)行物理訪問(wèn)，并且會(huì)導(dǎo)致設(shè)備遭到破壞，因?yàn)楣粽咝枰獙⒃O(shè)備硬連接到計(jì)算機(jī)的主板上。

盡管如此，攻擊產(chǎn)生了預(yù)期的結(jié)果，并且應(yīng)該被視為存儲(chǔ)高價(jià)值信息的設(shè)備所有者的威脅載體，例如分類材料，專有商業(yè)文檔，加密錢(qián)包密鑰或其他類似敏感數(shù)據(jù)。

攻擊目標(biāo)是TPM LPC總線

這次襲擊事件是今天首次在Pulse Security的新西蘭安全研究員Denis Andzakovic的一份報(bào)告中詳述的。

他的方法與過(guò)去的BitLocker攻擊不同，因?yàn)樗枰策B接到計(jì)算機(jī)的TPM芯片并通過(guò)低引腳數(shù)(LPC)總線嗅探通信。

TPM是專用微控制器(也稱為芯片，加密處理器)，通常部署在高價(jià)值的計(jì)算機(jī)上，例如企業(yè)或政府網(wǎng)絡(luò)中使用的那些，但也包括數(shù)據(jù)中心，有時(shí)也包括個(gè)人計(jì)算機(jī)。

TPM具有不同的角色，其中之一是支持Microsoft的BitLocker，這是一種全面的磁盤(pán)加密功能，已在Windows Vista中添加。

在他的研究中，Andzakovic詳細(xì)介紹了一個(gè)新的攻擊例程，它在TPM 1.2和TPM 2.0芯片上從LPC總線中提取BitLocker加密密鑰。

他在運(yùn)行TPM 1.2芯片的HP筆記本電腦(使用昂貴的邏輯分析儀進(jìn)行攻擊)和運(yùn)行TPM 2.0芯片的Surface Pro 3(使用廉價(jià)的FPGA板和開(kāi)源代碼進(jìn)行攻擊)上測(cè)試了他的研究。

在這兩種攻擊中，BitLocker都在其標(biāo)準(zhǔn)配置中運(yùn)行。

RESEARCHER&MICROSOFT：使用預(yù)啟動(dòng)身份驗(yàn)證

Andzakovic的研究再次表明，為什么使用標(biāo)準(zhǔn)的BitLocker部署是一個(gè)非常糟糕的想法，甚至微軟也會(huì)在官方BitLocker文檔中警告它。

研究人員和Microsoft都建議在操作系統(tǒng)啟動(dòng)之前通過(guò)設(shè)置TPM / BIOS密碼來(lái)使用預(yù)啟動(dòng)身份驗(yàn)證方法，該密碼應(yīng)防止BitLocker密鑰到達(dá)TPM并使用此新攻擊進(jìn)行嗅探。

Andzakovic的發(fā)現(xiàn)加入的，涉及直接存儲(chǔ)器存取(DMA)方法[其他BitLocker的攻擊隊(duì)伍1，2，3]，蠻力攻擊，而且漏洞自加密固態(tài)硬盤(pán)和Windows更新程序。