V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
changwei
V2EX  ›  问与答

微软的 BitLocker 和 Apple 的“文件保险柜”原理是什么?

  •  
  •   changwei · 2018-09-09 09:21:56 +08:00 · 4152 次点击
    这是一个创建于 2269 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我記得我以前在老电脑上啟用 BitLocker 的時候會讓我輸入一個密碼,然后每次访问这个磁盘,都要输入那个密码。但是现在是直接启用,并且访问和读写都没有提示让我输入密码。我从网上了解到我的电脑有 TPM 模块,是不是这个模块在启用加密的时候自动生成了一个密码,然后使用 TPM 内置的一个密钥再次对他加密一次并且把密码保存到微软账户上?

    这是否意味着如果我的电脑和手机同时被偷了,并且对方拆下我的 SIM 卡收个验证码找回了我的微软账户密码,并且拥有我电脑主板上的 TPM 模块,就能解密我所有文件?手机上目前有和 BitLocker 类似的安全方案吗?

    这个文件保险柜的原理是什么呢?是不是 Hook 了硬盘的 IO 读写接口,然后每次读写都要经过一次加密解密的过程?这样会影响运行速度吗?

    15 条回复    2018-09-10 01:16:23 +08:00
    geelaw
        1
    geelaw  
       2018-09-09 09:39:07 +08:00   ❤️ 7
    你可以选择不备份 BitLocker 密钥到微软账户。在有 TPM 的电脑上使用 BitLocker,会把 BitLocker 密钥交给 TPM,TPM 在电脑“正常启动”的时候提供该密钥,因此你不需要自己输入密钥,安全性由如下逻辑链条保证:

    正常启动 → 启动的是设置 BitLocker 的 Windows → Windows 实施 LSA 和 NTFS 安全措施 → 内容安全

    如果不是正常启动(例如通过外置设备),则 TPM 不提供该密钥,只有知道密钥的人才可以解密 BitLocker。

    从你的描述来看,你使用微软账户登录 Windows (这样才能把密钥备份到微软账户)。如果别人得到了你的电脑且控制了你的微软账户,则可以直接登录你的电脑。备不备份 BitLocker 密钥在这个情况下影响不大。

    Windows 10 的 device encryption (适用于 Windows 10 Mobile 手机)就是 BitLocker。自从 iPhone 3GS 起,设置了锁屏密码的 iPhone 都是有加密的,没有锁屏密码就无法访问内容。

    我不用 Apple 的文件保险柜,所以不知道这方面的内容。
    zn
        2
    zn  
       2018-09-09 09:45:33 +08:00 via iPhone
    每次读写都要加解密,会有性能影响,不过一般来说优化得还不错,不是高端玩家基本感受不出来。
    wohenyingyu03
        3
    wohenyingyu03  
       2018-09-09 10:04:20 +08:00 via iPhone
    什么电脑有 TPM ?我电脑有 TPM 接口,却发现全淘宝都没有卖 TPM 模块,难道国内禁止这玩意儿?
    mmdsun
        4
    mmdsun  
       2018-09-09 11:48:57 +08:00 via Android
    @wohenyingyu03 专业版 win 支持 Bitlocker。现在电脑都有 TPM
    ysc3839
        5
    ysc3839  
       2018-09-09 12:49:14 +08:00 via Android
    说个题外话,担心 SIM 卡被盗的话可以给 SIM 卡设置 PIN 码。
    choury
        6
    choury  
       2018-09-09 12:51:05 +08:00 via Android
    @wohenyingyu03 中国的 TPM 要求给 zf 留后门,所以不少型号国内版本都是直接阉割的
    kokutou
        7
    kokutou  
       2018-09-09 13:08:41 +08:00 via Android
    @wohenyingyu03 过渡时间段有部分电脑是 BIOS 默认禁用,启用就行。
    Miary
        8
    Miary  
       2018-09-09 13:19:25 +08:00 via Android
    @choury surfacebook 在此之列?
    wohenyingyu03
        9
    wohenyingyu03  
       2018-09-09 13:23:47 +08:00 via iPhone
    @kokutou 我电脑没有 TPM,怎么启用,主板上插口是空的。
    choury
        10
    choury  
       2018-09-09 13:31:17 +08:00 via Android
    @Miary 具体型号的我也不知道,如果有的话就是专门生产的符合标准的模块,像 surface 这高端产品应该付得起这个成本吧
    mmdsun
        11
    mmdsun  
       2018-09-09 13:32:27 +08:00 via Android
    @choury TPM+外置 u 盘模式就可以了。只要不被拿到 u 盘
    xyfan
        12
    xyfan  
       2018-09-09 14:23:03 +08:00 via Android
    TPM 涉及到保密法,有诸多限制,不过新的英特尔 CPU 都自带 TPM。
    g531956119
        13
    g531956119  
       2018-09-09 23:00:20 +08:00 via Android
    目前国内销售的主板上 TPM 模块是“选购”,不让直接附带。像我的华硕 b350m 上就有相应的接口 之前看淘宝上确实有卖 tpm 的,但都是代购价格,eBay 上基本都是 60 刀一个,有点小贵但是大多数人也不需要。国外水货的笔记本会带 tpm,比如我的日版 tp x230,不知道现在国行笔记本上有没有
    changwei
        14
    changwei  
    OP
       2018-09-10 00:32:20 +08:00 via iPhone
    @geelaw 非常感謝您的回答。但是我還是不明白 tpm 在這裡起到什麼作用?

    如果我選擇不用 tpm,而是直接設置一個密碼,並且把恢復密鑰文件保存到 u 盤上隨身帶走。竊賊盜走了我的電腦,即使他把我電腦硬盤拆下來裝到別的電腦上一樣無法解密啊!這樣的話,tpm 有和沒有的區別是什麼呢?
    geelaw
        15
    geelaw  
       2018-09-10 01:16:23 +08:00   ❤️ 1
    @changwei #14

    > TPM 在电脑“正常启动”的时候提供该密钥

    这里的正常启动包括:硬盘必须连接到原来的 TPM 上,且启动分区没有被篡改。

    此外,有 USB 密钥时,若 USB 密钥也被盗取,则可以绕过 Windows 的安全措施访问内容。但仅使用 TPM 时,只有同时通过 TPM 和 Windows 的安全措施才能访问数据。

    最后,TPM 比密码 + USB 密钥方便。使用 TPM 时,在欢迎屏幕之前你不需要输入密码。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3368 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 12:01 · PVG 20:01 · LAX 04:01 · JFK 07:01
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.