最近想给台式机的机械硬盘上 BitLocker,不巧的是我的 UPS 电源还坏了。3.5 寸的 4T 机械硬盘,加密起来我估计得两天,万一中途意外断电,我怕我的数据就挂了。
我有一个电池正常的笔记本电脑,可以把硬盘拆下来用笔记本执行加密,但是硬盘易驱线带 3.5 寸硬盘需要 DC12v 独立电源供电。我有个 PD 45w 移动电源,我本来打算买个 PD 诱骗线,用移动电源给硬盘供电。但是移动电源的充电和 PD 放电是同一个接口,供电的时候没法给移动电源充电。
有啥(廉价的)硬件或者软件方案,能避免 BitLocker 加密时意外断电造成数据损失吗?
另外,电脑本身支持固件 TPM(fTPM),我想买个独立 TPM 模块插上。从防范软件攻击和硬件物理攻击的角度分析,哪种方案安全性更好些?我查资料,似乎在攻击者可以物理接触到设备时,可以用专门设计的模块,窃听独立 TPM 的通信得到加密密钥?
1
tanghongkai 2021-10-13 19:16:56 +08:00 3
前面的不知道,最后一条大可不必,攻击者能接触到你的台式机的大部分时候,你应该考虑的是你的人身安全
|
2
cxh116 2021-10-13 19:21:35 +08:00
BitLocker 应该是分组加密,在硬盘没坏的情况下,断电最多也是损失部分.
你看可看一下描述里面提到的 CBC https://zh.wikipedia.org/wiki/BitLocker https://zh.wikipedia.org/wiki/%E5%88%86%E7%BB%84%E5%AF%86%E7%A0%81%E5%B7%A5%E4%BD%9C%E6%A8%A1%E5%BC%8F |
3
ysc3839 2021-10-13 19:28:02 +08:00 via Android
dTPM 任何情况下都不如 fTPM 安全,原因就是你说的那样,dTPM 和 CPU 通信的渠道是不安全的。
不过 fTPM 也有不安全的实现,比如把密钥存在固件闪存芯片中。也有安全的实现,比如存在南桥、ME 或 CPU 中。 |
4
Explr OP |
6
yujiang 2021-10-13 21:56:12 +08:00 via Android
先把数据完整拷贝到另外个盘上,把要加密的盘格式化,用空盘进行 bitlocker 加密,加密完再把数据拷回来,因为是空盘,所以加密速度会快很多
|
7
yujiang 2021-10-13 21:59:43 +08:00 via Android
TPM 这玩意也就骗骗自己,如果 LZ 处于水深火热随时会被抄家的地方,不如把系统盘用延长线外接,当成 wintogo,盘随人走🐶
|
8
dingwen07 2021-10-13 22:01:51 +08:00 via iPhone
你设置一个 BitLocker 开机 PIN 比什么都安全了
|
9
lsylsy2 2021-10-13 22:15:08 +08:00
tpm 更常见的目的是我把服务器托管在机房,担心机房的临时工搞破坏。
自家的话并不是最强的需求,你挡不住严刑拷打破解密码 |
10
XiLingHost 2021-10-13 22:15:25 +08:00
相比起 TPM,我觉得更安全的方案是 VeraCrypt
|
11
jim9606 2021-10-13 22:44:51 +08:00
你的盘是装满的吗?如果是半盘或者有周转盘的话可以先压缩卷或者备份后执行加密,以及选择“仅加密已用空间”。
通常认为 fTPM 是足够的,除非你不信任 AMD/Intel 的 fTPM 实现。Windows 默认 TPM 保护只验证 PCR7+11,你可以考虑通过组策略增加更多的验证 PCR 。当然验证 PCR 越多,对平台变更越敏感。以前我是因为买不到 dTPM 所以才不愿意用 Bitlocker 的。最安全的方法是不使用 TPM 只使用智能卡 /PIN 保护,不过这样用起来很麻烦。 无论何种方式都一定要保管好恢复代码。 @tanghongkai 对于大容量机械硬盘,使用 TPM+Bitlocker 的一个好处是硬盘或者设备送去维修的时候不用担心泄密,也包括楼主 4 楼所说的场景。 |
12
Explr OP @yujiang 先把数据复制出来再加密空盘这个主意好;以及没有水深火热,目的是当攻击者能在无限长的时间内接触设备时,难以在加密算法的保密期限内解出数据。
我这是琢磨琢磨技术层面上的最佳实践,暂时只考虑了对设备,没考虑对使用者的物理攻击。我知道技术和他的使用者是分不开的,短板是使用者。不过这动不动就抄家可还行🤣 |
13
Explr OP @jim9606 几乎装满了。有移动硬盘可以周转一下。
不知道是不是 Win11 的原因,万能的某宝上出了好多卖 dTPM 的,价格几十到数百不等。几十块钱的看着像是买来安全芯片以后,然后自己做的 PCB 板,我也不知道这么搞有没有啥安全隐患,也许还不如 fTPM 。 我有个智能卡,但是 BitLocker 好像不能用智能卡加密 OS 卷,TPM 也只能用在 OS 卷上。数据盘不开自动解锁而用智能卡单独加密的话,每次开机后再插卡-输 PIN,远程唤醒-连接就没法用了,手机上的 RDP-Client 目前好像不能重定向智能卡。另外还有自启动程序依赖数据盘上的数据。不过智能卡加密移动硬盘用真是极好的。 主题有点没说清楚,断电问题主要是数据盘;操作系统在固态硬盘上,容量小速度快,断电问题我觉着我可以用人品硬抗一下(数据无价大家别学我🤣); fTPM 和 dTPM 主要是用来解锁 OS 卷。 |
14
carlist 2021-10-14 11:04:41 +08:00
刚做完 bitlocker implement 项目的表示,TPM 真 TM 讨厌,我不用 Pin 了,我要用 Password
其实重启问题非常好解决,管理员权限暂停 Bitlocker 然后重启就直接进系统并恢复保护了 |
15
2i2Re2PLMaDnghL 2021-10-14 11:04:59 +08:00
@yujiang 你这么说着我想起来,某暗网控制者被 FBI 抓的时候,两名特工假装情侣吵架吸引一瞬间注意力,并瞬间控制双手。
|
16
Explr OP @carlist Password 要避免暴破就得足够长,代价就是开机的时候要输入一个很长的密码。而且也不能用 WOL 从关机状态下唤醒。要是关机前暂停 BitLocker 的话,啊这....
@2i2Re2PLMaDnghL 搞事儿的人得想搞事儿的办法,比如可否认加密之类的。 |