对双锁Windows PC的离线暴力攻击

Question

我目前正在从对存储密码的离线攻击(用于保护整个磁盘加密密钥)的角度来评估Bit训练有素的安全性。我的假设是，用于解密/确定FDE密钥的密码必须以某种方式存储在磁盘上，否则就不可能确定FDE密钥是否正确。

我的问题是，比方说，如果一台笔记本电脑被偷了，而且它用比特储物柜来保护用来解锁操作系统卷的密码，那么为了恢复密码，它对离线攻击有多大的抵抗力呢？它用什么技术/算法来防止这样的攻击？

请注意，我对恢复磁盘或FDE键上的数据不太感兴趣。我对此完全感兴趣，是基于用户的密码本身如何抵挡对拥有被盗笔记本电脑的熟练攻击者的离线攻击。

Answer 1

您概述的攻击是所有类型加密的基本问题:如果您想使用密码作为加密密钥的(来源)，则密码必须具有与所需加密强度相同的熵，否则就容易受到脱机暴力的影响。

所以是的，如果比特储物柜只是使用你输入的密码作为密钥的(来源)，它就容易受到这种攻击。

Bitlocker提供了多种身份验证机制，它们以不同的方式解决了这个问题。

• 推荐的机制(AFAIK)是使用计算机的可信平台模块。通过TPM身份验证(称为透明操作模式，使用比特锁)，TPM芯片存储比特锁密钥。TPM是专门设计的，只在提供了某些密码/PIN的情况下才释放该密钥，并限制身份验证尝试的次数。因此，比较弱的密码/PIN就足够了，因为密码不能离线攻击，因为它存储在TPM中。
• 另一种解决方案是使用USB密钥模式。在这种模式下，要么将密钥存储在USB密钥(可选地由密码保护)上，要么使用特殊的USB设备执行安全身份验证(类似于TPM芯片)。同样，离线攻击是不可能的，因为密钥存储在USB设备上.但是，如果USB设备只是一个简单的存储设备，则有可能对其进行离线攻击(因此必须非常安全地存储它)。

USB密钥模式和TPM可以结合起来，以获得更好的安全性。

请注意，在没有TPM芯片的情况下使用Bitlocker是可能的(尽管这显然不是微软推荐的)。如果这样做，那么您确实容易受到密码强制攻击，因此您需要一个具有足够熵的密码，即至少128位，更好的168位。

有关比特锁的设计选择、安全性权衡和技术的广泛讨论，请参阅http://go.microsoft.com/fwlink/?LinkId=80598提供的AES-CBC +大象扩散器，Niels弗格森的“Windows磁盘加密算法”。

Answer 2

BitLocker使用“卷主密钥”加密驱动器，该密钥从未直接放置在任何地方的持久存储中。卷元数据中存在一个或多个“密钥保护器”，每个元数据都提供获取VMK的方法。对于基于PIN/密码的保护程序，密码是通过一个非常慢的密钥派生函数传递的(类似bcrypt，但我不确定确切的参数是什么函数或确切参数)。参数可能因硬件而异，但在我的工作机器上需要超过半秒钟。

我相信，该派生密钥随后将根据存储的哈希进行检查，如果匹配，则用于解密VMK (即PIN/密码保护器包含VMK的一个版本，该版本使用KDF发出的密钥加密，以及用于检查派生密钥的正确性的派生密钥的哈希)。

要试图强行执行密码，您需要计算出算法及其参数(salt、工作因子等)。除非您有大量的计算资源可用，否则野蛮搜索需要很长时间才能找到任何由于KDF慢而造成的结果。

据我所知，BL最公开的代码实现是dislockergit回购，dislocker是BitLocker (作为保险丝驱动程序编写)的开源(部分)实现。我不知道有任何现成的针对BitLocker的强制工具，但是您可能可以在dislocker的S代码的基础上构建一个工具，不过可能需要一段时间才能运行！

Answer 3

全磁盘加密工具依赖AES，至今仍被认为是安全的。因此，大多数攻击集中于操作系统本身，而不是这些工具使用的加密机制。

如果你的机器被偷，你可能面临的攻击取决于几个因素。首先，关于您如何配置它。在启动操作系统之前需要身份验证的配置防止黑客立即攻击操作系统。因此，首先，使用预引导身份验证选项设置Bitlocker。

在对磁盘进行加密之前，请确保您的计算机对存在的rootkit和引导包是安全的，它们可能具有与操作系统相同的权限，甚至可能危及您的完整卷加密密钥，因为它是由卷主密钥加密并存储在加密卷中的。请注意，UEFI旨在再次保护您的系统--rootkit和bootkit的存在，但这并不是万无一失的。

另一件要考虑的事情是蛮力登录攻击，甚至可以针对我们前面提到的启动前认证器执行。

此外，攻击者可能使用雷电将其他设备连接到您的膝上型计算机。由于DMA (直接内存访问)端口不提供身份验证或访问控制来保护设备只有读访问权限的计算机内存的内容，因此您可以想象基于这些事实(称为DMA攻击)的攻击。请注意，如果您正在运行Windows 8，那么您可能知道Windows 8 InstantGo认证的设备没有DMA端口，从而消除了DMA攻击的风险。

因此，在配置预引导身份验证时，您还可以使用USB设备(如闪存驱动器)存储BitLocker启动密钥，并使用它与PIN/密码一起进行身份验证:这是另一层安全性，即使您的PIN/密码是强制的，比特锁启动密钥仍然是安全的(假设您的膝上型计算机和USB设备不会被同一攻击者窃取)。