我記得我以前在老电脑上啟用 BitLocker 的時候會讓我輸入一個密碼,然后每次访问这个磁盘,都要输入那个密码。但是现在是直接启用,并且访问和读写都没有提示让我输入密码。我从网上了解到我的电脑有 TPM 模块,是不是这个模块在启用加密的时候自动生成了一个密码,然后使用 TPM 内置的一个密钥再次对他加密一次并且把密码保存到微软账户上?
这是否意味着如果我的电脑和手机同时被偷了,并且对方拆下我的 SIM 卡收个验证码找回了我的微软账户密码,并且拥有我电脑主板上的 TPM 模块,就能解密我所有文件?手机上目前有和 BitLocker 类似的安全方案吗?
这个文件保险柜的原理是什么呢?是不是 Hook 了硬盘的 IO 读写接口,然后每次读写都要经过一次加密解密的过程?这样会影响运行速度吗?
1
geelaw 2018-09-09 09:39:07 +08:00 7
你可以选择不备份 BitLocker 密钥到微软账户。在有 TPM 的电脑上使用 BitLocker,会把 BitLocker 密钥交给 TPM,TPM 在电脑“正常启动”的时候提供该密钥,因此你不需要自己输入密钥,安全性由如下逻辑链条保证:
正常启动 → 启动的是设置 BitLocker 的 Windows → Windows 实施 LSA 和 NTFS 安全措施 → 内容安全 如果不是正常启动(例如通过外置设备),则 TPM 不提供该密钥,只有知道密钥的人才可以解密 BitLocker。 从你的描述来看,你使用微软账户登录 Windows (这样才能把密钥备份到微软账户)。如果别人得到了你的电脑且控制了你的微软账户,则可以直接登录你的电脑。备不备份 BitLocker 密钥在这个情况下影响不大。 Windows 10 的 device encryption (适用于 Windows 10 Mobile 手机)就是 BitLocker。自从 iPhone 3GS 起,设置了锁屏密码的 iPhone 都是有加密的,没有锁屏密码就无法访问内容。 我不用 Apple 的文件保险柜,所以不知道这方面的内容。 |
2
zn 2018-09-09 09:45:33 +08:00 via iPhone
每次读写都要加解密,会有性能影响,不过一般来说优化得还不错,不是高端玩家基本感受不出来。
|
3
wohenyingyu03 2018-09-09 10:04:20 +08:00 via iPhone
什么电脑有 TPM ?我电脑有 TPM 接口,却发现全淘宝都没有卖 TPM 模块,难道国内禁止这玩意儿?
|
4
mmdsun 2018-09-09 11:48:57 +08:00 via Android
@wohenyingyu03 专业版 win 支持 Bitlocker。现在电脑都有 TPM
|
5
ysc3839 2018-09-09 12:49:14 +08:00 via Android
说个题外话,担心 SIM 卡被盗的话可以给 SIM 卡设置 PIN 码。
|
6
choury 2018-09-09 12:51:05 +08:00 via Android
@wohenyingyu03 中国的 TPM 要求给 zf 留后门,所以不少型号国内版本都是直接阉割的
|
7
kokutou 2018-09-09 13:08:41 +08:00 via Android
@wohenyingyu03 过渡时间段有部分电脑是 BIOS 默认禁用,启用就行。
|
9
wohenyingyu03 2018-09-09 13:23:47 +08:00 via iPhone
@kokutou 我电脑没有 TPM,怎么启用,主板上插口是空的。
|
10
choury 2018-09-09 13:31:17 +08:00 via Android
@Miary 具体型号的我也不知道,如果有的话就是专门生产的符合标准的模块,像 surface 这高端产品应该付得起这个成本吧
|
12
xyfan 2018-09-09 14:23:03 +08:00 via Android
TPM 涉及到保密法,有诸多限制,不过新的英特尔 CPU 都自带 TPM。
|
13
g531956119 2018-09-09 23:00:20 +08:00 via Android
目前国内销售的主板上 TPM 模块是“选购”,不让直接附带。像我的华硕 b350m 上就有相应的接口 之前看淘宝上确实有卖 tpm 的,但都是代购价格,eBay 上基本都是 60 刀一个,有点小贵但是大多数人也不需要。国外水货的笔记本会带 tpm,比如我的日版 tp x230,不知道现在国行笔记本上有没有
|