V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Explr
V2EX  ›  信息安全

没有 UPS 如何避免 BitLocker 加密时意外断电造成数据损失?以及 fTPM 和 dTPM 的安全性如何?

  •  
  •   Explr · 2021-10-13 18:48:54 +08:00 · 2610 次点击
    这是一个创建于 1127 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近想给台式机的机械硬盘上 BitLocker,不巧的是我的 UPS 电源还坏了。3.5 寸的 4T 机械硬盘,加密起来我估计得两天,万一中途意外断电,我怕我的数据就挂了。

    我有一个电池正常的笔记本电脑,可以把硬盘拆下来用笔记本执行加密,但是硬盘易驱线带 3.5 寸硬盘需要 DC12v 独立电源供电。我有个 PD 45w 移动电源,我本来打算买个 PD 诱骗线,用移动电源给硬盘供电。但是移动电源的充电和 PD 放电是同一个接口,供电的时候没法给移动电源充电。

    有啥(廉价的)硬件或者软件方案,能避免 BitLocker 加密时意外断电造成数据损失吗?

    另外,电脑本身支持固件 TPM(fTPM),我想买个独立 TPM 模块插上。从防范软件攻击和硬件物理攻击的角度分析,哪种方案安全性更好些?我查资料,似乎在攻击者可以物理接触到设备时,可以用专门设计的模块,窃听独立 TPM 的通信得到加密密钥?

    17 条回复    2021-10-14 13:13:46 +08:00
    tanghongkai
        1
    tanghongkai  
       2021-10-13 19:16:56 +08:00   ❤️ 3
    前面的不知道,最后一条大可不必,攻击者能接触到你的台式机的大部分时候,你应该考虑的是你的人身安全
    cxh116
        2
    cxh116  
       2021-10-13 19:21:35 +08:00
    BitLocker 应该是分组加密,在硬盘没坏的情况下,断电最多也是损失部分.
    你看可看一下描述里面提到的 CBC

    https://zh.wikipedia.org/wiki/BitLocker
    https://zh.wikipedia.org/wiki/%E5%88%86%E7%BB%84%E5%AF%86%E7%A0%81%E5%B7%A5%E4%BD%9C%E6%A8%A1%E5%BC%8F
    ysc3839
        3
    ysc3839  
       2021-10-13 19:28:02 +08:00 via Android
    dTPM 任何情况下都不如 fTPM 安全,原因就是你说的那样,dTPM 和 CPU 通信的渠道是不安全的。
    不过 fTPM 也有不安全的实现,比如把密钥存在固件闪存芯片中。也有安全的实现,比如存在南桥、ME 或 CPU 中。
    Explr
        4
    Explr  
    OP
       2021-10-13 20:04:04 +08:00 via Android
    @tanghongkai 这个我同意。暂时没对抄家攻击设防,这个得用专门的一键销毁密钥之类的方案。

    主要是考虑笔记本电脑丢失,台式机交给不可靠的人运输或代为保管的场景。
    Explr
        5
    Explr  
    OP
       2021-10-13 20:10:35 +08:00 via Android
    @ysc3839 感谢。之前一直有点思维定势,觉着独立安全硬件更安全。
    yujiang
        6
    yujiang  
       2021-10-13 21:56:12 +08:00 via Android
    先把数据完整拷贝到另外个盘上,把要加密的盘格式化,用空盘进行 bitlocker 加密,加密完再把数据拷回来,因为是空盘,所以加密速度会快很多
    yujiang
        7
    yujiang  
       2021-10-13 21:59:43 +08:00 via Android
    TPM 这玩意也就骗骗自己,如果 LZ 处于水深火热随时会被抄家的地方,不如把系统盘用延长线外接,当成 wintogo,盘随人走🐶
    dingwen07
        8
    dingwen07  
       2021-10-13 22:01:51 +08:00 via iPhone
    你设置一个 BitLocker 开机 PIN 比什么都安全了
    lsylsy2
        9
    lsylsy2  
       2021-10-13 22:15:08 +08:00
    tpm 更常见的目的是我把服务器托管在机房,担心机房的临时工搞破坏。
    自家的话并不是最强的需求,你挡不住严刑拷打破解密码
    XiLingHost
        10
    XiLingHost  
       2021-10-13 22:15:25 +08:00
    相比起 TPM,我觉得更安全的方案是 VeraCrypt
    jim9606
        11
    jim9606  
       2021-10-13 22:44:51 +08:00
    你的盘是装满的吗?如果是半盘或者有周转盘的话可以先压缩卷或者备份后执行加密,以及选择“仅加密已用空间”。

    通常认为 fTPM 是足够的,除非你不信任 AMD/Intel 的 fTPM 实现。Windows 默认 TPM 保护只验证 PCR7+11,你可以考虑通过组策略增加更多的验证 PCR 。当然验证 PCR 越多,对平台变更越敏感。以前我是因为买不到 dTPM 所以才不愿意用 Bitlocker 的。最安全的方法是不使用 TPM 只使用智能卡 /PIN 保护,不过这样用起来很麻烦。

    无论何种方式都一定要保管好恢复代码。

    @tanghongkai 对于大容量机械硬盘,使用 TPM+Bitlocker 的一个好处是硬盘或者设备送去维修的时候不用担心泄密,也包括楼主 4 楼所说的场景。
    Explr
        12
    Explr  
    OP
       2021-10-14 09:42:06 +08:00
    @yujiang 先把数据复制出来再加密空盘这个主意好;以及没有水深火热,目的是当攻击者能在无限长的时间内接触设备时,难以在加密算法的保密期限内解出数据。

    我这是琢磨琢磨技术层面上的最佳实践,暂时只考虑了对设备,没考虑对使用者的物理攻击。我知道技术和他的使用者是分不开的,短板是使用者。不过这动不动就抄家可还行🤣

    Explr
        13
    Explr  
    OP
       2021-10-14 10:39:16 +08:00
    @jim9606 几乎装满了。有移动硬盘可以周转一下。

    不知道是不是 Win11 的原因,万能的某宝上出了好多卖 dTPM 的,价格几十到数百不等。几十块钱的看着像是买来安全芯片以后,然后自己做的 PCB 板,我也不知道这么搞有没有啥安全隐患,也许还不如 fTPM 。

    我有个智能卡,但是 BitLocker 好像不能用智能卡加密 OS 卷,TPM 也只能用在 OS 卷上。数据盘不开自动解锁而用智能卡单独加密的话,每次开机后再插卡-输 PIN,远程唤醒-连接就没法用了,手机上的 RDP-Client 目前好像不能重定向智能卡。另外还有自启动程序依赖数据盘上的数据。不过智能卡加密移动硬盘用真是极好的。

    主题有点没说清楚,断电问题主要是数据盘;操作系统在固态硬盘上,容量小速度快,断电问题我觉着我可以用人品硬抗一下(数据无价大家别学我🤣); fTPM 和 dTPM 主要是用来解锁 OS 卷。
    carlist
        14
    carlist  
       2021-10-14 11:04:41 +08:00
    刚做完 bitlocker implement 项目的表示,TPM 真 TM 讨厌,我不用 Pin 了,我要用 Password
    其实重启问题非常好解决,管理员权限暂停 Bitlocker 然后重启就直接进系统并恢复保护了
    2i2Re2PLMaDnghL
        15
    2i2Re2PLMaDnghL  
       2021-10-14 11:04:59 +08:00
    @yujiang 你这么说着我想起来,某暗网控制者被 FBI 抓的时候,两名特工假装情侣吵架吸引一瞬间注意力,并瞬间控制双手。
    Explr
        16
    Explr  
    OP
       2021-10-14 11:24:42 +08:00
    @carlist Password 要避免暴破就得足够长,代价就是开机的时候要输入一个很长的密码。而且也不能用 WOL 从关机状态下唤醒。要是关机前暂停 BitLocker 的话,啊这....

    @2i2Re2PLMaDnghL 搞事儿的人得想搞事儿的办法,比如可否认加密之类的。
    jim9606
        17
    jim9606  
       2021-10-14 13:13:46 +08:00
    @Explr 你这种用法就必须要用 TPM 了,对于系统启动和 RDP 不依赖的数据盘可以考虑不启用自动解锁。
    dTPM 就是 SPI 和 LPC 两种通信界面,自制 PCB 本身又不复杂,不会引入什么额外的问题(除非你信了彭博社那份排容当成间谍芯片的报道),主要看 TPM 芯片本身是否可靠。
    微软推荐的做法就是 fTPM->OS 卷->数据卷(自动解锁)
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5759 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 03:11 · PVG 11:11 · LAX 19:11 · JFK 22:11
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.