BitLocker от Microsoft - один из самых популярных инструментов шифрования полного диска, встроенный в Windows 10 и 11 Pro и обеспечивающий простой вариант шифрования для миллионов пользователей Windows по всему миру. Однако репутация BitLocker как ведущего инструмента шифрования может оказаться под угрозой после того, как один из пользователей YouTuber успешно похитил ключи шифрования и расшифровал конфиденциальные данные всего за 43 секунды, используя Raspberry Pi Pico стоимостью 6 долларов.
Как было взломано шифрование BitLocker?
Шифрование BitLocker было взломано ютубером Stacksmashing, который опубликовал видео с подробным описанием того, как он перехватил данные BitLocker, извлек ключи дешифрования и успешно использовал процесс шифрования BitLocker.
Эксплойт Stacksmashing задействует внешний модуль Trusted Platform Module (TPM) - тот самый чип TPM, который препятствует обновлению Windows 11, - встречающийся на некоторых ноутбуках и компьютерах. Хотя во многие материнские платы встроен чип TPM, а современные процессоры интегрируют TPM в свою конструкцию, другие машины все еще используют внешний TPM.
Итак, вот в чем проблема и эксплойт, обнаруженный Stacksmashing. Внешние TPM взаимодействуют с процессором с помощью так называемой шины LPC (Low Pin Count), которая позволяет устройствам с низкой пропускной способностью поддерживать связь с другим оборудованием, не создавая избыточной производительности.
Однако Stacksmashing обнаружил, что хотя данные на TPM защищены, во время процесса загрузки каналы связи (шина LPC) между TPM и процессором совершенно не зашифрованы. При наличии соответствующих инструментов злоумышленник может перехватить данные, передаваемые между TPM и процессором, содержащие незащищенные ключи шифрования.
Такие инструменты, как Raspberry Pi Pico, одноплатный компьютер за 6 долларов. который имеет множество применений. В данном случае Stacksmashing подключил Raspberry Pi Pico к неиспользуемым разъемам на тестовом ноутбуке и смог считать двоичные данные при загрузке машины. Полученные данные содержали мастер-ключ тома, хранящийся на TPM, который он мог использовать для расшифровки других данных.
Пришло ли время отказаться от BitLocker?
Интересно, Microsoft уже знала о возможности такой атаки. Однако это первый случай практической атаки, которая наглядно демонстрирует, как быстро можно украсть ключи шифрования BitLocker.
В связи с этим возникает важный вопрос: стоит ли вам переходить на альтернативу BitLocker, например на бесплатный VeraCrypt с открытым исходным кодом. Хорошая новость заключается в том, что по нескольким причинам вам не нужно переходить на новую систему.
Во-первых, эксплойт работает только с внешними TPM, которые запрашивают данные у модуля по шине LPC. В большинстве современных аппаратных средств TPM интегрирован. Хотя теоретически можно использовать TPM на материнской плате, это потребует больше времени, усилий и длительной работы с целевым устройством. Извлечение данных BitLocker Volume Master Key из TPM становится еще сложнее, если модуль интегрирован в процессор.
В процессоры AMD TPM 2.0 интегрирован с 2016 года (с выходом AM4, известен как fTPM), а в процессоры Intel TPM 2.0 интегрирован с выходом процессоров 8-го поколения Coffee Lake в 2017 году (известен как PTT). Достаточно сказать, что если вы используете машину с процессором AMD или Intel, выпущенным после этих дат, то, скорее всего, вы в безопасности.
Стоит также отметить, что, несмотря на этот эксплойт, BitLocker остается безопасным, а само шифрование, лежащее в его основе, AES-128 или AES-256, по-прежнему надежно.
Если вам понравилась эта статья, подпишитесь на меня, чтобы не пропустить еще много полезных статей!
Также вы можете прочитать меня здесь:
- Telegram: https://t.me/gergenshin
- яндекс Дзен: https://dzen.ru/gergen
- официальный сайт: https://www-genshin.ru