新的BitLocker攻击使存储敏感数据的笔记本电脑面临风险

一位安全研究人员提出了一种从计算机的可信平台模块(TPM)中提取BitLocker加密密钥的新方法，该模块只需要27美元的FPGA板和一些开源代码。

需要明确的是，这种新的BitLocker攻击需要对设备进行物理访问，并且会导致设备遭到破坏，因为攻击者需要将设备硬连接到计算机的主板上。

尽管如此，攻击产生了预期的结果，并且应该被视为存储高价值信息的设备所有者的威胁载体，例如分类材料，专有商业文档，加密钱包密钥或其他类似敏感数据。

攻击目标是TPM LPC总线

这次袭击事件是今天首次在Pulse Security的新西兰安全研究员Denis Andzakovic的一份报告中详述的。

他的方法与过去的BitLocker攻击不同，因为它需要硬连接到计算机的TPM芯片并通过低引脚数(LPC)总线嗅探通信。

TPM是专用微控制器(也称为芯片，加密处理器)，通常部署在高价值的计算机上，例如企业或政府网络中使用的那些，但也包括数据中心，有时也包括个人计算机。

TPM具有不同的角色，其中之一是支持Microsoft的BitLocker，这是一种全面的磁盘加密功能，已在Windows Vista中添加。

在他的研究中，Andzakovic详细介绍了一个新的攻击例程，它在TPM 1.2和TPM 2.0芯片上从LPC总线中提取BitLocker加密密钥。

他在运行TPM 1.2芯片的HP笔记本电脑(使用昂贵的逻辑分析仪进行攻击)和运行TPM 2.0芯片的Surface Pro 3(使用廉价的FPGA板和开源代码进行攻击)上测试了他的研究。

在这两种攻击中，BitLocker都在其标准配置中运行。

RESEARCHER&MICROSOFT：使用预启动身份验证

Andzakovic的研究再次表明，为什么使用标准的BitLocker部署是一个非常糟糕的想法，甚至微软也会在官方BitLocker文档中警告它。

研究人员和Microsoft都建议在操作系统启动之前通过设置TPM / BIOS密码来使用预启动身份验证方法，该密码应防止BitLocker密钥到达TPM并使用此新攻击进行嗅探。

Andzakovic的发现加入的，涉及直接存储器存取(DMA)方法[其他BitLocker的攻击队伍1，2，3]，蛮力攻击，而且漏洞自加密固态硬盘和Windows更新程序。