【正文】 字符，且不包含用戶名、真實姓名或公司姓名，不包含完整地單詞組合。這種模式中，由于電腦不具備TPM模式，所以VMK也不存在密封/開啟操作。訪問磁盤扇區(qū)時，使用FVEK進行解密。這種模式的啟動和禁用，用戶應該在Windows的控制面板中依據(jù)向?qū)нM行操作。在早期引導環(huán)境時，使用不同的鍵盤進行不正確的PIN輸入，或是不匹配的鍵盤映射，使得系統(tǒng)對密碼輸入進行阻止時。丟失了存儲恢復密碼的設備（如USB驅(qū)動器），但是卻需要重新進行Bitlocker加密設置時。在升級到至關(guān)重要組件時沒有觸發(fā)Bitlocker的恢復模式。通過要求提供另一個非物理身份驗證元素（例如PIN或密碼），可以緩解用戶同時丟失計算機和USB設備的風險。配置了BitLocker、TPM和USB設備的計算機將會啟動操作系統(tǒng)并加載到Windows用戶憑據(jù)界面。緩解此風險最有效的方法是對可能在計算機上存放了敏感信息的用戶進行安全意識培訓。當計算機從睡眠模式恢復時，仍可訪問FVEK。此模式功能可幫助避免錯誤，防止用戶對是否應用加密作出錯誤決定。在Windows上，頁面文件使用計算機啟動時生成的臨時對稱密鑰進行加密，但該密鑰不會被寫入磁盤。通過休眠文件泄露純文本數(shù)據(jù)。通過脫機攻擊進行密鑰發(fā)現(xiàn)。發(fā)現(xiàn)本地/域密碼。但是，由于TPM芯片并不常見，所以這種模式并不太受歡迎。訪問磁盤扇區(qū)時，使用FVEK進行解密。系統(tǒng)將提示用戶插入包含BitLocker密鑰的USB設備。所以，這種模式中，值得用戶注意的就是用戶一定要記清楚自己設置好的PIN和恢復密鑰。這種模式與使用TPM的BitLocker或使用TPM和PIN的BitLocker基本模式不同，因為要將存儲在USB中的密鑰材料與TPM密鑰結(jié)合才能解密VMK。我們知道，在Bitlocker保護打開之后，如果不先解密磁盤和關(guān)閉Bitlocker保護功能啟動密鑰是不能添加的；且在啟動密鑰被建好和Bitlocker啟動之后，啟動密鑰是不能被刪除的；另一方面，在啟動密鑰和Bitlocker均啟動建好之后，啟動密鑰也是不能被更改的。而且，如果當用戶想要通過刪除啟動密鑰層來關(guān)閉雙層保護模式時，那么他就必須先禁用再重啟動Bitlocker才行。然而在成功輸入PIN之后，此類攻擊卻是可能會導致密鑰材料的泄露的。在這種加密模式中，是不能對此風險就行緩解的。 （2）處于登錄狀態(tài)且桌面未鎖定的計算機。 TPM和PIN模式的Bitlocker不能緩解的風險在沒有其他控件和策略的情況下，使用TPM和PIN來進行Bitlocker加密的這種模式不能緩解的風險為：（1）處于睡眠（待機）模式的計算機。PIN是另一個非物理身份驗證元素，不會隨計算機丟失，除非它被寫在某處，如一張紙上。啟用BitLocker之后，休眠文件自然而然的也就被加密了。系統(tǒng)已使用TPM硬件中的密鑰與PIN結(jié)合在一起，對VMK進行了加密。 通過脫機攻擊進行密鑰發(fā)現(xiàn)。內(nèi)部人員可以讀取加密數(shù)據(jù)。使用TPM和PIN的BitLocker可緩解此風險，因為便攜式計算機從休眠模式恢復時，系統(tǒng)會提示用戶輸入PIN。這種輸入延遲被稱為反沖擊保護。此功能限制了密鑰熵并使強力攻擊成為可能，盡管速度不是特別快。在此模式中，系統(tǒng)將提示用戶只有在輸入兩個密碼之后才能使用計算機，一個是BitLocker啟動時的密碼，另一個是計算機的密碼。為應用程序和過程提供純文本數(shù)據(jù)。提示用戶輸入PIN。而且，一旦PIN設置成功且Bitlocker也已啟動，那么PIN是不能去除的。其中一個元素就是TPM，而另一個元素則是PIN。RSA是被研究得最廣泛的公鑰算法，從提出到現(xiàn)在的三十多年里，經(jīng)歷了各種攻擊的考驗，逐漸為人們接受，普遍認為是目前最優(yōu)秀的公鑰方案之一。正是基于這種理論，1978年出現(xiàn)了著名的RSA算法，它通常是先生成一對RSA密鑰，其中之一是保密密鑰，由用戶保存；另一個為公開密鑰，可對外公開，甚至可在網(wǎng)絡服務器中注冊。RSA公開密鑰密碼體制：所謂的公開密鑰密碼體制就是使用不同的加密密鑰與解密密鑰，是一種“由已知加密密鑰推導出解密密鑰在計算上是不可行的”密碼體制。AES加密原理圖如下：圖24 AES加密原理圖有關(guān)RSA——RSA公鑰加密算法是在1977年由Ron Rivest、Adi Shamirh和LenAdleman開發(fā)的。它是一個迭代的、對稱密鑰分組的密碼，可以使用128位、192位和256位密鑰，并且用128位（16字節(jié)）分組加密和解密數(shù)據(jù)。大致步驟如下：密鑰擴展（KeyExpansion）；初始輪（Initial Round）；重復輪（Rounds）；最終輪（Final Round）。分組密碼算法通常由密鑰擴展算法和加密（解密）算法兩部分組成。這個標準用來替代原先的DES，已經(jīng)被多方分析且廣為全世界所使用。甲方只能用其專用密鑰解密由其公用密鑰加密后的任何信息。非對稱密碼體制又稱為雙鑰密碼體制或公開密鑰密碼體制。對稱密碼體制又包括分組密碼和序列密碼，典型的對稱算法體制有DES、3DES、AES、IDES、RCA5和SEAL等。在密碼學中，一個密碼體質(zhì)或密碼系統(tǒng)是指由明文、密文、密鑰、加密算法和解密算法組成的五元組。密碼學是保障信息安全的核心，信息安全是密碼學研究與發(fā)展的目的。此功能可防止將加密卷從一臺計算機移至另一臺計算機的攻擊。計算機以安全的方式執(zhí)行此操作，因為它在使用TPM驗證的可信計算機內(nèi)進行操作。如果攻擊者能開啟卷并正常啟動計算機，則操作系統(tǒng)可能容易遭受各種攻擊，其中包括特權(quán)升級和遠程執(zhí)行代碼攻擊。因此，任何能登錄到計算機的用戶帳戶均可訪問部分或全部經(jīng)過BitLocker加密的文件，情形如同未啟用BitLocker一般。培訓用戶創(chuàng)建良好的密碼、不與任何人共享密碼或不將密碼寫在顯眼的位置可緩解此風險。緩解此風險最有效的方法是對可能在計算機上存放了敏感信息的用戶進行安全意識培訓。當計算機從睡眠模式恢復時，仍可訪問FVEK。當便攜式計算機進入休眠模式時，便攜式計算機和BitLocker加密密鑰的狀態(tài)不會更改。用戶錯誤。BitLocker的主要目標之一是在計算機關(guān)閉或處于休眠模式時保護硬盤驅(qū)動器的操作系統(tǒng)卷上的數(shù)據(jù)。對操作系統(tǒng)進行脫機攻擊。然后VMK又用于加密FVEK。其它情況更改開機順序。當Bitlocker被關(guān)閉時，系統(tǒng)卷被解密并且當Bitlocker再次啟動時所有的密鑰必須是再次生成的。其中，保證VMK的安全是保護磁盤卷上的數(shù)據(jù)的一種間接方法。如果PCR值與期望值相匹配，則TPM將使用存儲根密鑰（SRK）對卷主密鑰（VMK）進行解密。其實，它是一組固化到計算機內(nèi)主板上的一個ROM芯片上的程序，它保存著計算機最重要的基本輸入輸出的程序、系統(tǒng)設置信息、開機后自檢程序和系統(tǒng)自啟動程序。用卷主密鑰對該密鑰本身進行加密，反過來由TPM對卷主密鑰進行加密。如果用戶組織中的某些部分存在有關(guān)移動計算機的極為敏感的數(shù)據(jù)，那么，應該考慮對這些計算機采用以多重身份驗證部署B(yǎng)itLocker這一最佳做法。另外，僅TPM模式可能更適用于無人參與或必須在無人參與時重新啟動的計算機。使用TPM芯片來加密工作的BitLocker要求計算機必須安裝了TPM 。前面的操作完成后，用戶需要登錄“TPM安全控制臺”設置相關(guān)屬性，譬如需要將“禁用”改為“啟用”，以啟動TPM安全芯片，設置完畢后，用戶在開機時會提示輸入密碼，否則無法正常登錄，另外還可以對TPM安全芯片的管理密碼、用戶登錄密碼進行更改，或者備份或恢復用戶密鑰文件，如果需要重裝系統(tǒng)，用戶可以使用恢復向?qū)е匦乱龑PM芯片。我們可以加密筆記本上的任意一個硬盤分區(qū)，用戶可以將一些敏感的文件放入該分區(qū)以策安全。TPM安全芯片可以進行范圍較廣的加密。TPM安全芯片用途十分廣泛，配合專用軟件可以實現(xiàn)以下用途：存儲、管理BIOS開機密碼以及硬盤密碼。訪問TPM所管理的資源（包括密鑰、加密存儲的敏感數(shù)據(jù)）時，是通過TPM的授權(quán)協(xié)議來完成的，只有通過合法授權(quán)才能訪問資源，最大限度的保護了敏感數(shù)據(jù)。通過身份認證，向外部實體提供系統(tǒng)平臺身份證明和應用身份證明服務。因此用戶在使用這種PC的時候就盡可以放心了。通過完整性度量，保證PC從加電時刻起，一直到在其上進行的每一個硬件、操作系統(tǒng)以及應用軟件都是可信的，從此計算機再也不會受到病毒、木馬的威脅。并提出了TPM規(guī)范。然而，使用這種攻擊卻無法讀取被BitLocker加密保護的卷。BitLocker最大的不同之處在于，它在啟用之后是自動、透明的。在Windows Vista之前，Windows操作系統(tǒng)卷(也稱為引導分區(qū))和活動分區(qū)(也稱為系統(tǒng)分區(qū))是同一回事，因為大多數(shù)客戶端計算機上的硬盤都配置為單獨一個大分區(qū)?；顒臃謪^(qū)有時稱為系統(tǒng)分區(qū)或系統(tǒng)卷，但是，應該注意不要將這些術(shù)語和Windows操作系統(tǒng)卷混淆。在Windows客戶端操作系統(tǒng)環(huán)境下，分區(qū)和卷通常具有一對一的關(guān)系。分區(qū)：分區(qū)是物理硬盤的一部分，它是磁盤上存儲的分區(qū)表中定義的邏輯結(jié)構(gòu)。第六章：致謝。第二章：分別敘述Bitlocker的六種應用環(huán)境。在本次設計中，我們會對僅TPM模式、TPM和PIN模式、TPM和啟動密鑰模式、僅啟動密鑰模式、清除密鑰模式和恢復密鑰模式做出一定程度的學習與研究。但這就有一個問題，用于解密的密鑰可以被保存在TPM芯片或者U盤中，但是解密程序應該放在哪里？難道就放在系統(tǒng)盤嗎？可是系統(tǒng)盤已經(jīng)被加密了，這就導致了一種很矛盾的狀態(tài)：因為用于解密的程序被加密了，因此無法運行，導致無法解密文件。 這里重點需要關(guān)注的是，硬盤上是否有超過一個的活動分區(qū)。 對硬盤分區(qū)的要求：硬件滿足上述要求后，還要確保硬盤分區(qū)的安排可以滿足要求。要想知道電腦是否有TPM芯片，可以運行“”打開設備管理器，然后看看設備管理器中是否存在一個叫做“安全設備”的節(jié)點，該節(jié)點下是否有“受信任的平臺模塊”這類的設備，并確定其版本即可。 除了TPM之外，BitLocker還提供鎖定正常啟動過程的選項，直到用戶提供PIN（個人標識號）或插入包含啟動密鑰的可移動設備（如USB閃存驅(qū)動器）。TPM是計算機制造商在很多較新的計算機上安裝的硬件組件。已丟失或被盜計算機上的數(shù)據(jù)容易受到未經(jīng)授權(quán)的訪問，方法是對該計算機運行軟件攻擊工具或者將該計算機的硬盤轉(zhuǎn)移到另一臺計算機。BitLocker還可以在沒有TPM的情況下使用。在不帶有兼容TPM的計算機上，BitLocker也可以提供加密，而不提供使用TPM鎖定密鑰的其他安全。如果TPM檢測到Windows安裝已被篡改，則不會釋放密鑰。加密整個卷可以保護所有數(shù)據(jù)，包括操作系統(tǒng)本身、Windows 注冊表、臨時文件以及休眠文件。BitLocker可加密存儲于Windows操作系統(tǒng)卷上的所有數(shù)據(jù)，在默認情況下，使用TPM以確保早期啟動組件的完整性，以及“鎖定”任何BitLocker保護卷，使之在即便計算機受到篡改的情況下也得到保護。Bitlocker使用TPM幫助保護Windows操作系統(tǒng)和用戶數(shù)據(jù)，并幫助確保計算機即使是在無人參與、丟失或是被盜竊的情況下也不會被篡改。也許，就是源于這樣所謂的“不小心”，對個人而言可能會丟失工作、無法正常學習；對公司而言，也可能會因此而破產(chǎn)或倒閉。這些都將會給我們的生活、工作和學習等帶來很大的不便。Bitlocker驅(qū)動器加密是自Windows Vista中就已新增的一種數(shù)據(jù)保護功能，主要用于解決人們越來越關(guān)心的問題：由計算機設備的物理丟失導致的數(shù)據(jù)失竊或惡意泄漏，這一功能已經(jīng)延續(xù)至Windows 7的操作系統(tǒng)中，使Windows 7系統(tǒng)也同樣具有這一功能。存儲在TPM上的信息顯得更安全，可避免受到外部軟件攻擊和物理盜竊。因此，在TPM已驗證計算機的狀態(tài)之后，才能訪問這些密鑰。這將驗證Windows啟動過程的完整性。為了增強安全性，可以將TPM與用戶輸入的PIN或存儲在USB閃存驅(qū)動器上的啟動密鑰組合使用。Bitlocker使用TPM來幫助保護Windows操作系統(tǒng)和用戶數(shù)據(jù)，并以此來幫助確保計算機即使是在無人操作亦或是丟失被盜下也不會被篡改。將BitLocker與操作系統(tǒng)集成后，可以消除數(shù)據(jù)被盜或者由于計算機丟失、被盜或解除授權(quán)不當而導致數(shù)據(jù)公開的威脅。BitLocker在與受信任的平臺模塊 (TPM )一起使用時可提供最有力的保護。但是，實現(xiàn)此功能將要求用戶插入USB啟動密鑰來啟動計算機或從休眠中恢復，而不提供BitLocker與TPM結(jié)合使用時所提供的預啟動系統(tǒng)完整性驗證。在使用TPM模式時，這種芯片是通過硬件提供的，一般只出現(xiàn)在對安全性要求較高的商用電腦或工作站上，家用電腦或普通的商用電腦通常不會提供。 注意：受信任的平臺模塊是實現(xiàn)TPM模式BitLocker的前提條件。在一臺安裝Windows 7的計算機上運行“”后即可看到硬盤分區(qū)情況。原因很簡單，源于其工作原理，BitLocker功能實際上就是將操作系統(tǒng)或者機密數(shù)據(jù)所在的硬盤分區(qū)進行加密，在啟動系統(tǒng)的時候，我們必須提供解密的密鑰，來解密原本被加密的文件，這樣才能啟動操作系統(tǒng)或者讀取機密文件。 在所有預先條件都具備的電腦上啟用Bitlocker時，我們可以根據(jù)個人計算機或是用戶的需要選擇不同的模式，上面說過Bitlocker有TPM模式和U盤模式，然而實際操作時，還有一種混合模式，即TPM+U盤模式、TPM+PIN模式等。 論文總體結(jié)構(gòu)第一章：緒論。第五章：對Bitlocker所作的總結(jié)。圖21 Bitlocker模式總圖在真正開始進行對Bitlocker詳細的學習之前，我們先來學習一些與此有關(guān)的一些概念。除了卷管理器和啟動組件，其余的操作系統(tǒng)組件和應用程序均使用卷，而非分區(qū)。此分區(qū)包括了用于啟動操作系統(tǒng)的引導扇區(qū)。在過去，培訓師有時會讓學生這樣記憶：“從系統(tǒng)分區(qū)啟動，在引導分區(qū)上查找系統(tǒng)文件”。那么，為什么要加密整個卷呢？如果用戶已經(jīng)是一位經(jīng)驗豐富的Windows的管理員，那么用戶可能已經(jīng)熟悉了基于Windows的各種加密選項，比如加密文件系統(tǒng) (EFS)，或者由權(quán)限管理服務 (RMS) 提供的加密和保護。例如，常見的離線攻擊是竊取計算機、拆除硬盤并將其安裝為其他計算機上的第