BitLocker 安全验证工作原理
1 BitLocker是什么BitLocker 是一种全盘加密(FDE)技术,最早在 Windows Vista 中引入,并在后续版本的 Windows 中得到了持续改进。BitLocker 使用高级加密尺度(AES)来加密整个磁盘分区,确保只有授权用户才能访问存储在装备上的数据。BitLocker 主要用于保护数据免受物理偷窃或丢失装备的情况下被非法读取。
2 BitLocker的作用
全盘加密:BitLocker 能够加密整个磁盘分区,包罗操作体系分区和数据分区。即使装备丢失或被盗,未经授权的人也无法读取加密的数据。
TPM 集成:BitLocker 与 TPM 芯片集成,提供硬件级别的安全性。TPM 芯片存储并管理加密密钥,确保只有颠末验证的体系才能访问加密的数据。
虽然 BitLocker 集成了 TPM,但也可在不启用 TPM 的情况下运行。
3 BitLocker加密防护原理
BitLocker会在用户获取加密密钥之前进行 Secure Boot 和 Preboot authentication 两个步骤
[*]Secure Boot 用于防范篡改过的固件或 bootloader 等在体系中启动。
[*]Preboot authentication 则用于验证用户身份。
3.1 Secure Boot
Secure Boot 用于防范篡改过的固件或 bootloader 等在体系 Boot 中启动,防止经篡改事后的固件窃取密钥从而导致数据走漏。
这个过程通过利用 TPM 的 PCRs (Platform Control Registers)实现。PCRs 存储用于测量(measure)后得到的体系状态。首先预先存储好一组安全状态下的 BIOS、固件(未篡改)的体系 PCRs。好比,PCR0 存储 BIOS的测量结果,PCR1 存储 Bootloader的测量结果。当体系Boot时,TPM 通过测量体系 BIOS 状态,得到当前的一组 PCRs,并验证当前 BIOS 的完备性。如果与预存的 PCRs 相符合则代表当前为安全状态,则将控制权交给 BIOS 然后继续执行 Boot 过程,否则,认为体系处于非安全状态,制止体系运行。
这个测量(measure)由密码散列函数得出。
3.2 Preboot Authentication身份验证
当使用 TPM 时可通过 PIn 或 password 方式进行验证
https://i-blog.csdnimg.cn/direct/926362ad22224f3d9a9c1c804c8748d8.pnghttps://i-blog.csdnimg.cn/direct/f6983e952ca743f6957e262842e17d04.png
当不使用 TPM 时,可以通过接入 存储了 start up Key 的 USB drive 进行验证,start up Key 以文件的形式进行存储
https://i-blog.csdnimg.cn/direct/6b1109af165945a89b7d6a7ddc59c801.png
当身份验证成功后,BitLocker 才会将加密密钥存储到体系内存中
4 总结
BitLocker 通过防止 Boot 过程导入被篡改的体系程序获取安全密钥以及对用户身份进行认证来完成体系安全防护。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]