Windows 10 专业版和 Windows 11 专业版等高端版本配备了存储加密功能「 BitLocker 」,即使 PC 被攻击者拆走了存储设备(如硬盘),也可以防止信息被查看。但安全 YouTuber stacksmashing 在视频【Breaking Bitlocker - Bypassing the Windows Disk Encryption – YouTube】中介绍了一种可以快速获取用来解密BitLocker的恢复密钥的设备。
下面是破解操作过程演示是一台采用 BitLocker 存储加密的联想笔记本电脑。
Stacksmashing开始取下笔记本电脑的后盖。
取下盖子后,将恢复密钥破解设备靠在主板上的引脚上。
当将破解设备插入引脚上时,瞬间读取了BitLocker恢复密钥。 从开始拆卸笔记本电脑到拿到BitLocker恢复密钥只用了 42.9 秒。
◆ 获取BitLocker恢复密钥的原理如下:联想笔记本电脑搭载了被称为「TPM」的安全芯片。
在TPM中,BitLocker的恢复密钥以加密状态保存。TPM在系统启动时确认硬件的正常后,将恢复密钥解密并发送给CPU,但 TPM和CPU之间的通信没有加密 。stacksmashing注意到这一点后,设计了通过分析LPC总线的通信来截获恢复密钥的方法。
由于联想笔记本电脑的电路板上有一个用于测试的连接器,于是在连接器上连接了一个电极。
通过分析通信内容,我们成功捕获了恢复密钥。
在上述方法中,需要「将电极连接到连接器」和「分析通信内容并推导出恢复密钥」。 为了简化这些操作,stacksmashing用树莓派(Raspberry Pi Pico)设计了一种带有连接器的设备来处理通信内容。
完成的设备的外观如下所示。 该设备的名称是「Pico TPM Sniffer」,总成本约为 10 美元。
另一边是树莓派(Raspberry Pi Pico)。
它还配备了连接器,为您省去了连接电极的麻烦。
通过使用Pico TPM Sniffer,实现了文章开头的「42.9秒获取BitLocker恢复密钥」的操作。
获取BitLocker恢复密钥后,您所要做的就是提取存储设备,将其连接到另一台计算机,然后使用BitLocker恢复密钥对其进行解密。
stacksmashing 实际上已经成功地解密了使用 BitLocker 加密的存储设备。
另外,近年来的CPU大多内置TPM,像这次测试中使用的联想笔记本电脑那样搭载专用TPM芯片的笔记本电脑正在减少。尽管如此,在某些模型中,依然可以用同样的方法获取BitLocker恢复密钥。
stacksmashing 在以下链接中发布了 Pico TPM Sniffer的设计蓝图。
GitHub-stacksmashing/pico-tpmsniffer:Asimple,very experimental TPM sniffer for LPC bus
https://github.com/stacksmashing/pico-tpmsniffer
