新的BitLocker攻击使存储敏感数据的笔记本电脑处于危险之中

安全研究人员提出了一种从计算机的可信平台模块(TPM)提取BitLocker加密密钥的新方法,该方法只需要27美元的FPGA板和一些开源代码即可。

需要明确的是,这种新的BitLocker攻击需要对设备进行物理访问,并且由于攻击者需要将设备硬线连接到计算机的主板中,因此会导致设备的损坏。

尽管如此,攻击仍会产生预期的结果,对于存储高度有价值的信息(例如机密材料,专有业务文档,加密货币钱包密钥或其他类似敏感数据)的设备的所有者,应将其视为威胁向量。

攻击目标为TPM LPC总线

今天,Pulse Security的新西兰安全研究员Denis Andzakovic 在一份报告中首次详细介绍了该攻击。

他的方法不同于以往的BitLocker攻击,因为它需要硬接线到计算机的TPM芯片中,并需要通过低引脚数(LPC)总线嗅探通信。

TPM是专用的微控制器(也称为芯片,密码处理器),通常部署在高价值的计算机上,例如企业或政府网络中使用的计算机,但也部署在数据中心,有时甚至是个人计算机上。

TPM具有不同的角色,其中之一是支持Microsoft的BitLocker,这是一种完全卷磁盘加密功能,早在Windows Vista中就已添加。

在他的研究中,Andzakovic详细介绍了一种新的攻击例程,该例程可从TPM 1.2和TPM 2.0芯片上的LPC总线提取BitLocker加密密钥。

他在运行TPM 1.2芯片的HP笔记本电脑(使用昂贵的逻辑分析仪进行攻击)和运行TPM 2.0芯片的Surface Pro 3(使用便宜的FPGA板和开放源代码进行攻击)上测试了他的研究。

在这两次攻击中,BitLocker均以其标准配置运行。

研究人员和MICROSOFT:使用预启动身份验证

Andzakovic的研究再次表明了为什么使用标准BitLocker部署是一个非常糟糕的主意,以及为什么即使在Microsoft的官方BitLocker文档中也对此加以警告的原因。

研究人员和Microsoft均建议使用BitLocker PIN,这是在操作系统启动之前甚至需要的密码,这种保护措施应防止BitLocker密钥到达TPM并被这种新攻击所闻。

Andzakovic的发现加入的,涉及直接存储器存取(DMA)方法[其他BitLocker的攻击队伍1,2,3 ],蛮力攻击,而且漏洞自加密固态硬盘和Windows更新程序。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。