Vista BitLocker 驱动器加密原理
2008-08-22 17:23:00 来源:WEB开发网您可以将 TPM 与数字 PIN 或存储在 USB 驱动器上的部分密钥组合使用,从而获得更高的安全性。上述每种方法都是某种形式的双因素身份验证。如果您的计算机没有兼容的 TPM 芯片和 BIOS,BitLocker 可配置为将密钥保护程序完全存储在 USB 驱动器上。这称为“启动密钥”。
BitLocker 无需解密数据便可禁用,在此情况下,VMK 仅由未加密存储的新密钥保护程序进行保护。请注意,此透明密钥允许系统访问驱动器,好像该驱动器未受保护一样。
启动时,系统会通过查询 TPM,检查 USB 端口或者在必要情况下提示用户(称为恢复),来搜寻适当的密钥保护程序。查找密钥保护程序会让 Windows 解密 VMK,这会解密 FVEK,而这又会解密存储在磁盘上的数据。图 1 显示了这一过程。
图 1 BitLocker 默认启动过程
完整性检查
由于启动过程最初阶段的组件必须是未加密可用的,以便计算机能够启动,而攻击者可能会趁机更改早期启动组件中的代码(想一想 rootkit),从而能够访问计算机,即使磁盘中的数据已被加密。
通过这种攻击,入侵者很有可能获得机密信息的访问权,比如 BitLocker 密钥或用户密码,并利用该信息避开其他安全保护措施。
防止这种攻击是该程序和团队创建 BitLocker 的最初目标之一。在某些方面,加密几乎是达到目的的一种手段。整卷加密允许 BitLocker 保护系统的完整性,并防止在早期启动组件被更改的情况下启动 Windows。
在具备兼容的 TPM 的计算机上,每次计算机启动时,每个早期启动组件(比如 BIOS、主引导记录 (MBR)、引导扇区和启动管理器代码)都会检查要运行的代码,计算哈希值,并将该值存储于 TPM 中的特定注册表,它称为平台配置注册表 (PCR)。一旦将值存储到 PCR,除非系统重新启动,否则就不能替换或清除该值。BitLocker 使用 TPM 和存储在 PCR 中的值来保护 VMK。
更多精彩
赞助商链接