Windows 10 专业版和 Windows 11 专业版等高端版本配备了存储加密功能“BitLocker”,纵然 PC 被攻击者拆走了存储设备(如硬盘),也可以防止信息被查看。但安全 YouTuber stacksmashing 在视频《Breaking Bitlocker - Bypassing the Windows Disk Encryption – YouTube》中先容了一种可以快速获取用来解密BitLocker的规复密钥的设备。
下面是破解操作过程演示是一台采取 BitLocker 存储加密的遐想条记本电脑。
Stacksmashing开始取下条记本电脑的后盖。
取下盖子后,将规复密钥破解设备靠在主板上的引脚上。
当将破解设备插入引脚上时,瞬间读取了BitLocker规复密钥。 从开始拆卸条记本电脑到拿到BitLocker规复密钥只用了 42.9 秒。
◆ 获取BitLocker规复密钥的事理如下:遐想条记本电脑搭载了被称为“TPM”的安全芯片。
在TPM中,BitLocker的规复密钥以加密状态保存。TPM在系统启动时确认硬件的正常后,将规复密钥解密并发送给CPU,但TPM和CPU之间的通信没有加密。stacksmashing把稳到这一点后,设计了通过剖析LPC总线的通信来截获规复密钥的方法。
由于遐想条记本电脑的电路板上有一个用于测试的连接器,于是在连接器上连接了一个电极。
通过剖析通信内容,我们成功捕获了规复密钥。
在上述方法中,须要“将电极连接到连接器”和“剖析通信内容并推导出规复密钥”。 为了简化这些操作,stacksmashing用树莓派(Raspberry Pi Pico)设计了一种带有连接器的设备来处理通信内容。
完成的设备的外不雅观如下所示。 该设备的名称是“Pico TPM Sniffer”,总本钱约为 10 美元。
另一边是树莓派(Raspberry Pi Pico)。
它还配备了连接器,为您省去了连接电极的麻烦。
通过利用Pico TPM Sniffer,实现了文章开头的“42.9秒获取BitLocker规复密钥”的操作。
获取BitLocker规复密钥后,您所要做的便是提取存储设备,将其连接到另一台打算机,然后利用BitLocker规复密钥对其进行解密。
stacksmashing 实际上已经成功地解密了利用 BitLocker 加密的存储设备。
其余,近年来的CPU大多内置TPM,像这次测试中利用的遐想条记本电脑那样搭载专用TPM芯片的条记本电脑正在减少。只管如此,在某些模型中,依然可以用同样的方法获取BitLocker规复密钥。
stacksmashing 在以下链接中发布了 Pico TPM Sniffer的设计蓝图。
GitHub-stacksmashing/pico-tpmsniffer:Asimple,very experimental TPM sniffer for LPC bus
https://github.com/stacksmashing/pico-tpmsniffer
