【正文】 發(fā)現(xiàn)本地/域密碼。訪問磁盤扇區(qū)時，使用FVEK進行解密。所以，這種模式中，值得用戶注意的就是用戶一定要記清楚自己設(shè)置好的PIN和恢復(fù)密鑰。我們知道，在Bitlocker保護打開之后，如果不先解密磁盤和關(guān)閉Bitlocker保護功能啟動密鑰是不能添加的；且在啟動密鑰被建好和Bitlocker啟動之后，啟動密鑰是不能被刪除的；另一方面，在啟動密鑰和Bitlocker均啟動建好之后，啟動密鑰也是不能被更改的。然而在成功輸入PIN之后，此類攻擊卻是可能會導(dǎo)致密鑰材料的泄露的。 （2）處于登錄狀態(tài)且桌面未鎖定的計算機。PIN是另一個非物理身份驗證元素，不會隨計算機丟失，除非它被寫在某處，如一張紙上。系統(tǒng)已使用TPM硬件中的密鑰與PIN結(jié)合在一起，對VMK進行了加密。內(nèi)部人員可以讀取加密數(shù)據(jù)。這種輸入延遲被稱為反沖擊保護。在此模式中，系統(tǒng)將提示用戶只有在輸入兩個密碼之后才能使用計算機，一個是BitLocker啟動時的密碼，另一個是計算機的密碼。提示用戶輸入PIN。其中一個元素就是TPM，而另一個元素則是PIN。正是基于這種理論，1978年出現(xiàn)了著名的RSA算法，它通常是先生成一對RSA密鑰，其中之一是保密密鑰，由用戶保存；另一個為公開密鑰，可對外公開，甚至可在網(wǎng)絡(luò)服務(wù)器中注冊。AES加密原理圖如下：圖24 AES加密原理圖有關(guān)RSA——RSA公鑰加密算法是在1977年由Ron Rivest、Adi Shamirh和LenAdleman開發(fā)的。大致步驟如下：密鑰擴展（KeyExpansion）；初始輪（Initial Round）；重復(fù)輪（Rounds）；最終輪（Final Round）。這個標(biāo)準(zhǔn)用來替代原先的DES，已經(jīng)被多方分析且廣為全世界所使用。非對稱密碼體制又稱為雙鑰密碼體制或公開密鑰密碼體制。在密碼學(xué)中，一個密碼體質(zhì)或密碼系統(tǒng)是指由明文、密文、密鑰、加密算法和解密算法組成的五元組。此功能可防止將加密卷從一臺計算機移至另一臺計算機的攻擊。如果攻擊者能開啟卷并正常啟動計算機，則操作系統(tǒng)可能容易遭受各種攻擊，其中包括特權(quán)升級和遠程執(zhí)行代碼攻擊。培訓(xùn)用戶創(chuàng)建良好的密碼、不與任何人共享密碼或不將密碼寫在顯眼的位置可緩解此風(fēng)險。當(dāng)計算機從睡眠模式恢復(fù)時，仍可訪問FVEK。用戶錯誤。對操作系統(tǒng)進行脫機攻擊。其它情況更改開機順序。其中，保證VMK的安全是保護磁盤卷上的數(shù)據(jù)的一種間接方法。其實，它是一組固化到計算機內(nèi)主板上的一個ROM芯片上的程序，它保存著計算機最重要的基本輸入輸出的程序、系統(tǒng)設(shè)置信息、開機后自檢程序和系統(tǒng)自啟動程序。如果用戶組織中的某些部分存在有關(guān)移動計算機的極為敏感的數(shù)據(jù)，那么，應(yīng)該考慮對這些計算機采用以多重身份驗證部署B(yǎng)itLocker這一最佳做法。使用TPM芯片來加密工作的BitLocker要求計算機必須安裝了TPM 。我們可以加密筆記本上的任意一個硬盤分區(qū)，用戶可以將一些敏感的文件放入該分區(qū)以策安全。TPM安全芯片用途十分廣泛，配合專用軟件可以實現(xiàn)以下用途：存儲、管理BIOS開機密碼以及硬盤密碼。通過身份認(rèn)證，向外部實體提供系統(tǒng)平臺身份證明和應(yīng)用身份證明服務(wù)。通過完整性度量，保證PC從加電時刻起，一直到在其上進行的每一個硬件、操作系統(tǒng)以及應(yīng)用軟件都是可信的，從此計算機再也不會受到病毒、木馬的威脅。然而，使用這種攻擊卻無法讀取被BitLocker加密保護的卷。在Windows Vista之前，Windows操作系統(tǒng)卷(也稱為引導(dǎo)分區(qū))和活動分區(qū)(也稱為系統(tǒng)分區(qū))是同一回事，因為大多數(shù)客戶端計算機上的硬盤都配置為單獨一個大分區(qū)。在Windows客戶端操作系統(tǒng)環(huán)境下，分區(qū)和卷通常具有一對一的關(guān)系。第六章：致謝。在本次設(shè)計中，我們會對僅TPM模式、TPM和PIN模式、TPM和啟動密鑰模式、僅啟動密鑰模式、清除密鑰模式和恢復(fù)密鑰模式做出一定程度的學(xué)習(xí)與研究。 這里重點需要關(guān)注的是，硬盤上是否有超過一個的活動分區(qū)。要想知道電腦是否有TPM芯片，可以運行“”打開設(shè)備管理器，然后看看設(shè)備管理器中是否存在一個叫做“安全設(shè)備”的節(jié)點，該節(jié)點下是否有“受信任的平臺模塊”這類的設(shè)備，并確定其版本即可。TPM是計算機制造商在很多較新的計算機上安裝的硬件組件。BitLocker還可以在沒有TPM的情況下使用。如果TPM檢測到Windows安裝已被篡改，則不會釋放密鑰。BitLocker可加密存儲于Windows操作系統(tǒng)卷上的所有數(shù)據(jù)，在默認(rèn)情況下，使用TPM以確保早期啟動組件的完整性，以及“鎖定”任何BitLocker保護卷，使之在即便計算機受到篡改的情況下也得到保護。也許，就是源于這樣所謂的“不小心”，對個人而言可能會丟失工作、無法正常學(xué)習(xí)；對公司而言，也可能會因此而破產(chǎn)或倒閉。Bitlocker驅(qū)動器加密是自Windows Vista中就已新增的一種數(shù)據(jù)保護功能，主要用于解決人們越來越關(guān)心的問題：由計算機設(shè)備的物理丟失導(dǎo)致的數(shù)據(jù)失竊或惡意泄漏，這一功能已經(jīng)延續(xù)至Windows 7的操作系統(tǒng)中，使Windows 7系統(tǒng)也同樣具有這一功能。因此，在TPM已驗證計算機的狀態(tài)之后，才能訪問這些密鑰。為了增強安全性，可以將TPM與用戶輸入的PIN或存儲在USB閃存驅(qū)動器上的啟動密鑰組合使用。將BitLocker與操作系統(tǒng)集成后，可以消除數(shù)據(jù)被盜或者由于計算機丟失、被盜或解除授權(quán)不當(dāng)而導(dǎo)致數(shù)據(jù)公開的威脅。但是，實現(xiàn)此功能將要求用戶插入USB啟動密鑰來啟動計算機或從休眠中恢復(fù)，而不提供BitLocker與TPM結(jié)合使用時所提供的預(yù)啟動系統(tǒng)完整性驗證。 注意：受信任的平臺模塊是實現(xiàn)TPM模式BitLocker的前提條件。原因很簡單，源于其工作原理，BitLocker功能實際上就是將操作系統(tǒng)或者機密數(shù)據(jù)所在的硬盤分區(qū)進行加密，在啟動系統(tǒng)的時候，我們必須提供解密的密鑰，來解密原本被加密的文件，這樣才能啟動操作系統(tǒng)或者讀取機密文件。 論文總體結(jié)構(gòu)第一章：緒論。圖21 Bitlocker模式總圖在真正開始進行對Bitlocker詳細的學(xué)習(xí)之前，我們先來學(xué)習(xí)一些與此有關(guān)的一些概念。此分區(qū)包括了用于啟動操作系統(tǒng)的引導(dǎo)扇區(qū)。那么，為什么要加密整個卷呢？如果用戶已經(jīng)是一位經(jīng)驗豐富的Windows的管理員，那么用戶可能已經(jīng)熟悉了基于Windows的各種加密選項，比如加密文件系統(tǒng) (EFS)，或者由權(quán)限管理服務(wù) (RMS) 提供的加密和保護。2003年3月，TCPA增加了諾基亞、索尼等廠家的加入，并改組為可信賴計算組織，希望從跨平臺和操作環(huán)境的硬件和軟件方面，制定可信賴電腦相關(guān)標(biāo)準(zhǔn)和規(guī)范。通過硬件的保護，傳統(tǒng)的攻擊方法將難以竊取敏感數(shù)據(jù)。功能之四：內(nèi)部資料授權(quán)訪問，獨特功能設(shè)置權(quán)限“防火墻”。相比于BIOS管理密碼，TPM安全芯片的安全性要大為提高。要使用TPM安全芯片的功能，必須配合對應(yīng)的TPM安全管理器，不過廠商針對TPM安全芯片開發(fā)的軟件不同，但使用方法大同小異，以同方鋒銳X300A筆記本為例，在BIOS中開啟了TPM安全芯片功能后，開機進入系統(tǒng)后首先需要進行TPM初始化操作，運行“TPM所有者初始化向?qū)А?，第一步要求用戶設(shè)置登錄密碼，建議用戶輸入以字母和數(shù)字混合的密碼，在所有者初始化完畢之后，然后再進行用戶初始化，然后建議進行用戶密鑰文件的備份。僅TPM模式最易于部署、管理和使用。如下頁圖中所示，這種模式的Bitlocker用全卷加密密鑰對操作系統(tǒng)卷進行加密。受信任/受測量的組件與TPM交互，以將組件測量數(shù)據(jù)存儲在TPM平臺配置注冊表（PCR）中。當(dāng)Bitlocker被禁用時，VMK通過恢復(fù)密鑰可得到，所以數(shù)據(jù)仍然是被加密的，但是卻是對任何人可得的。VMK使用SRK（保存在TPM硬件內(nèi)的一種密鑰）進行加密。通過休眠文件泄露純文本數(shù)據(jù)。 僅TPM模式的Bitlocker不能緩解的風(fēng)險我們還理解到，在沒有其他控件和策略的情況下，使用TPM的Bitlocker不能緩解以下的風(fēng)險：（1）處于休眠模式的計算機。計算機啟動且VMK開啟后，可使用鍵盤的任何人均能訪問未加密數(shù)據(jù)。使用TPM的BitLocker除有效的用戶帳戶密碼外不需要任何憑據(jù)即可訪問計算機上的所有加密數(shù)據(jù)。要從加密卷加載操作系統(tǒng)，計算機必須獲得對解密密鑰的訪問特權(quán)。 密碼學(xué)知識淺學(xué)由于前面及后面會涉及到一些關(guān)于密碼學(xué)方面的知識，現(xiàn)在我們對這方面的知識做一些基本的學(xué)習(xí)。下圖為加解密流程簡易圖：明文+密鑰數(shù)學(xué)變換函數(shù)密文密鑰數(shù)學(xué)變換函數(shù)明文圖23加解密流程圖我們知道，在對稱密碼體制中，使用的密鑰必須完全保密，且要求加密密鑰和解密密鑰相同，或由其中一個可以很容易的推出另一個，所以，對稱密碼體制又稱為秘密密鑰體制、單密鑰體制或傳統(tǒng)密鑰體制。非對稱加密算法實現(xiàn)機密信息交換的基本過程是：甲方生成一對密鑰并將其中的一把作為公用密鑰向其它方公開；得到該公用密鑰的乙方使用該密鑰對機密信息進行加密后再發(fā)送給甲方；甲方再用自己保存的另一把專用密鑰對加密后的信息進行解密。對稱密碼體制的發(fā)展趨勢將以分組密碼為重點。AES使用幾種不同的方法來執(zhí)行排列和置換運算。RSA算法基于一個十分簡單的數(shù)論事實：將兩個大素數(shù)相乘十分容易，但要是想要對其乘積進行因式分解卻極其困難，因此可以將乘積公開作為加密密鑰。RSA公鑰密鑰體制的理論基礎(chǔ)是數(shù)論中的大合數(shù)因子分解困難性，即求兩個大素數(shù)的乘積，在計算機上很容易實現(xiàn)，但是要將一個大合數(shù)分解成兩個大素數(shù)之積，在計算機上很難實現(xiàn)。此外，用戶還需了解當(dāng)Bitlocker啟動后，如果不先解密磁盤和關(guān)閉Bitlocker，添加PIN的操作時無法進行的。訪問磁盤扇區(qū)時，使用FVEK進行解密。由于BitLocker將在本地化鍵盤支持可用之前處理PIN，因此只能使用功能鍵(F0F9)。 TPM和PIN模式的Bitlocker可以緩解的風(fēng)險 通過對這種Bitlocker的加密模式的學(xué)習(xí)和探索，我們可以了解到，如同上一個僅使用TPM的Bitlocker的模式一樣，使用TPM和PIN的Bitlocker的這種加密模式可以緩解的風(fēng)險有：處于休眠模式的計算機。由于域策略的緣故，任何不知道PIN的用戶都無法訪問便攜式電腦中的數(shù)據(jù)，即使被允許登錄計算機的域用戶也不例外。BitLocker的主要目標(biāo)之一是在計算機關(guān)閉或處于休眠模式時保護硬盤中操作系統(tǒng)卷上的數(shù)據(jù)。此種加密模式可幫助避免錯誤，防止用戶對是否應(yīng)用加密作出錯誤決定。（3）對操作系統(tǒng)進行聯(lián)機攻擊。采用這個模式時，用戶每每在電腦開始工作時都需要插入包含有啟動密鑰的USB驅(qū)動器。這是進行Bitlocker加密的另一種雙層保護模式，在平常的用戶使用當(dāng)中，這種模式被大多組織廣泛使用。受信任/受測量的組件與TPM交互，以將組件測量數(shù)據(jù)存儲在TPM平臺配置注冊表(PCR)中。通過對上面的敘述，用戶可以較為清楚地了解Bitlocker驅(qū)動器加密功能是如何運用雙層保護模式來進行加密的，以及這些所謂的雙重保護又是怎樣結(jié)合、怎么工作的。由于此模式添加了身份驗證元素，因此降低了擁有有效帳戶的未授權(quán)用戶可能啟動計算機、登錄和讀取加密數(shù)據(jù)的風(fēng)險。通過系統(tǒng)頁面文件泄露純文本數(shù)據(jù)。當(dāng)便攜式計算機進入睡眠模式時，便攜式計算機和BitLocker加密密鑰的狀態(tài)不會更改。（4）平臺攻擊。需要禁用的情況如下所列：重啟計算機時不需要用戶輸入個人信息（例如，PIN或啟動密鑰）。TPM自我檢測失敗時。從卷中讀取加密FVEK，并使用解密VMK對其進行解密。再接下來，VMK（卷主密鑰）將用于解密FVEK（全卷加密密鑰）。 通過脫機攻擊進行密鑰發(fā)現(xiàn)。BitLocker的主要目標(biāo)之一是在計算機關(guān)閉或處于休眠模式時保護硬盤驅(qū)動器的操作系統(tǒng)卷上的數(shù)據(jù)。當(dāng)便攜式計算機進入睡眠模式時，便攜式計算機和BitLocker加密密鑰的狀態(tài)不會更改。如果攻擊者在啟動計算機時能夠通過提供USB設(shè)備進行正常啟動，則操作系統(tǒng)可能容易遭受各種攻擊，其中包括特權(quán)升級和遠程執(zhí)行代碼攻擊。 恢復(fù)密鑰/密碼模式 恢復(fù)密鑰/密碼模式介紹恢復(fù)密鑰/密碼模式是指使用恢復(fù)密碼或恢復(fù)密鑰來進行解密的模式。對于以上這些情況的出現(xiàn)，我們要使用恢復(fù)密鑰/密碼模式，但是，首要條件是我們要保證恢復(fù)密碼/密鑰的安全性，也就是最好只有用戶自己知道。注意，不能將可移動數(shù)據(jù)驅(qū)動器（如USB閃存驅(qū)動器）的恢復(fù)密鑰保存在可移動媒體上。下圖就是運用恢復(fù)密鑰訪問被加密數(shù)據(jù)的圖示：圖28 通過恢復(fù)密碼訪問被Bitlocker保護的數(shù)據(jù)對于上圖的順序圖解順序步驟如下：操作系統(tǒng)啟動并提示用戶插入包含恢復(fù)密鑰的USB設(shè)備。一、下面，我們先對如何才能恢復(fù)受Bitlocker保護的操作系統(tǒng)驅(qū)動器的步驟作出介紹。若要使用數(shù)據(jù)恢復(fù)代理，則必須配置該帳戶并將其添加到組策略中的以下位置，即“計算機配置\Windows設(shè)置\安全設(shè)置\公鑰策略\BitLocker驅(qū)動器加密”。除了恢復(fù)密碼之外，存儲密鑰包可使管理員能夠使用“Repairbde”命令行工具來恢復(fù)受BitLocker保護的已損壞的驅(qū)動器（無法通過該驅(qū)動器讀取加密密鑰）。等待進程完成。若要使用數(shù)據(jù)恢復(fù)代理，則必須配置該帳戶并將其添加到組策略中的以下位置：“計算機配置\Windows設(shè)置\安全設(shè)置\公鑰策略\BitLocker驅(qū)動器加密”。選中此復(fù)選框后，當(dāng)用戶啟用BitLocker時，必須連接到域。 在控制臺樹的“本地計算機策略\計算機配置\管理模板\Windows組件\BitLocker驅(qū)動器加密”下，單擊“可移動數(shù)據(jù)驅(qū)動器”。在默認(rèn)情況下，恢復(fù)密鑰不與可移動數(shù)據(jù)驅(qū)動器一起使用。若要啟用此選項，必須選中以下兩個管理恢復(fù)設(shè)置或其中之一：“為可移動數(shù)據(jù)驅(qū)動器將BitLocker恢復(fù)信息保存到AD DS中”或“允許數(shù)據(jù)恢復(fù)代理”，以確?？梢曰謴?fù)受BitLocker保護的驅(qū)動器。在人們的日常生活中，常常會因為U盤丟失，或因插入電腦中病毒而使自己蒙受莫大的損失，因此，如何保證U盤中信息的安全問題也正日益受到人們的關(guān)注。但是通過 在“我的電腦”中右鍵單擊對應(yīng)的磁盤查看屬性可知，該磁盤為0字節(jié)無法打開。 僅密鑰模式的練習(xí)