为什么BitLocker不使用RSA？

Question

如果从这个帖子以及BitLocker和TPM的维基百科页面中正确理解，默认情况下，BitLocker会使用对称加密技术，比如AES。然而，TPM能够执行RSA加密。既然RSA密钥存储在TPM中，为什么BitLocker不使用非对称加密(即RSA)？通过使用这种加密技术，我们可能能够抵御冷启动攻击或在LPC总线上嗅探。

Answer 1

非对称加密远不如对称加密。也就是说，在所有方面，除了一个--不对称。很明显，当需要财产时，就没有办法绕过它了。

非对称加密要慢得多。在给定非随机输入的情况下，它更容易显示某种可识别的模式。您需要更大的密钥大小才能提供足够的保护，而且在当前和未来的技术中，系统总体上更加脆弱(合理大小的量子计算机对RSA来说基本上意味着即时死亡，但AES在这方面基本上是“是的，那又怎么样”)。

这就是为什么不对称加密几乎从来没有用于对大量数据进行加密的原因。

没有什么可以阻止您使用2048位块使用RSA加密一兆字节的数据，就像您用AES在128位块中加密一个in一样。只是，这样做是没有意义的，因为它比以前慢了几千倍，同时也更加不安全。

Answer 2

只要密钥驻留在内存中，就可以对任何加密方案执行冷引导攻击。对于具有对称算法(如AES )的全磁盘加密(FDE)，您需要从TPM中取出密钥，在TPM中您将容易受到冷启动攻击。

尽管TPM具有RSA加密和解密的能力，但由于FDE RSA存在问题，简而言之，速度：

1. RSA必须使用OAEP方案来确保消息大小为减缩的安全。
2. 为了加速公钥加密，选择公钥作为3，5，.。但是，即使使用CRT来获得4倍的速度，访问一个块的解密也要慢得多。
3. 尽管TPM可以在芯片上执行RSA加密，但对于全磁盘加密(FDE)来说，速度要慢得多。

因此，基于TPM的FDEs使用TPM作为密钥存储。

Answer 3

TPMs不执行用于全磁盘加密的实际加密。他们所做的就是在系统关闭或处于暂停状态时加密密钥。密钥通过LPC总线被解密并传递给操作系统一次，然后LPC总线在执行加密时将密钥保存在内存中。TPM是安全加速全磁盘加密的糟糕选择的原因有三个：

1. TPM通过极慢的LPC总线进行通信(在33 MHz时宽度为4位)。
2. TPM硬件通常非常慢，是为了安全性而设计的，而不是速度。
3. TPMs不是采用任意密钥的通用加密协处理器.

如果您确实希望使用它以减轻冷引导攻击的方式执行实际加密，则需要通过LPC总线将明文(或密文)从磁盘传递到TPM以加密(或解密)它，然后将密文(或明文)通过LPC总线传回给计算机。这个过程将是避免冷引导攻击的一种极其缓慢的方法，而且考虑到篡改LPC总线上的信号的能力，可能很容易绕过( TPM将是一个解密预言！)

尽管理论上可以使用RSA进行批量加密，但只要使用适当的填充(如PKCS#1v1.5或OAEP )，它将扩展消息(密文将比明文大)，而且速度极慢，效率极低。尽管其他一些答案声称，如果使用适当的填充方案，它不会不安全，但它将是一个愚蠢和低效的使用RSA。