【正文】 但是通過(guò) 在“我的電腦”中右鍵單擊對(duì)應(yīng)的磁盤查看屬性可知，該磁盤為0字節(jié)無(wú)法打開。若要啟用此選項(xiàng)，必須選中以下兩個(gè)管理恢復(fù)設(shè)置或其中之一：“為可移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器將BitLocker恢復(fù)信息保存到AD DS中”或“允許數(shù)據(jù)恢復(fù)代理”，以確?？梢曰謴?fù)受BitLocker保護(hù)的驅(qū)動(dòng)器。 在控制臺(tái)樹的“本地計(jì)算機(jī)策略\計(jì)算機(jī)配置\管理模板\Windows組件\BitLocker驅(qū)動(dòng)器加密”下，單擊“可移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器”。若要使用數(shù)據(jù)恢復(fù)代理，則必須配置該帳戶并將其添加到組策略中的以下位置：“計(jì)算機(jī)配置\Windows設(shè)置\安全設(shè)置\公鑰策略\BitLocker驅(qū)動(dòng)器加密”。除了恢復(fù)密碼之外，存儲(chǔ)密鑰包可使管理員能夠使用“Repairbde”命令行工具來(lái)恢復(fù)受BitLocker保護(hù)的已損壞的驅(qū)動(dòng)器（無(wú)法通過(guò)該驅(qū)動(dòng)器讀取加密密鑰）。一、下面，我們先對(duì)如何才能恢復(fù)受Bitlocker保護(hù)的操作系統(tǒng)驅(qū)動(dòng)器的步驟作出介紹。注意，不能將可移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器（如USB閃存驅(qū)動(dòng)器）的恢復(fù)密鑰保存在可移動(dòng)媒體上。 恢復(fù)密鑰/密碼模式 恢復(fù)密鑰/密碼模式介紹恢復(fù)密鑰/密碼模式是指使用恢復(fù)密碼或恢復(fù)密鑰來(lái)進(jìn)行解密的模式。當(dāng)便攜式計(jì)算機(jī)進(jìn)入睡眠模式時(shí)，便攜式計(jì)算機(jī)和BitLocker加密密鑰的狀態(tài)不會(huì)更改。 通過(guò)脫機(jī)攻擊進(jìn)行密鑰發(fā)現(xiàn)。從卷中讀取加密FVEK，并使用解密VMK對(duì)其進(jìn)行解密。需要禁用的情況如下所列：重啟計(jì)算機(jī)時(shí)不需要用戶輸入個(gè)人信息（例如，PIN或啟動(dòng)密鑰）。當(dāng)便攜式計(jì)算機(jī)進(jìn)入睡眠模式時(shí)，便攜式計(jì)算機(jī)和BitLocker加密密鑰的狀態(tài)不會(huì)更改。由于此模式添加了身份驗(yàn)證元素，因此降低了擁有有效帳戶的未授權(quán)用戶可能啟動(dòng)計(jì)算機(jī)、登錄和讀取加密數(shù)據(jù)的風(fēng)險(xiǎn)。受信任/受測(cè)量的組件與TPM交互，以將組件測(cè)量數(shù)據(jù)存儲(chǔ)在TPM平臺(tái)配置注冊(cè)表(PCR)中。采用這個(gè)模式時(shí)，用戶每每在電腦開始工作時(shí)都需要插入包含有啟動(dòng)密鑰的USB驅(qū)動(dòng)器。此種加密模式可幫助避免錯(cuò)誤，防止用戶對(duì)是否應(yīng)用加密作出錯(cuò)誤決定。由于域策略的緣故，任何不知道PIN的用戶都無(wú)法訪問便攜式電腦中的數(shù)據(jù)，即使被允許登錄計(jì)算機(jī)的域用戶也不例外。由于BitLocker將在本地化鍵盤支持可用之前處理PIN，因此只能使用功能鍵(F0F9)。此外，用戶還需了解當(dāng)Bitlocker啟動(dòng)后，如果不先解密磁盤和關(guān)閉Bitlocker，添加PIN的操作時(shí)無(wú)法進(jìn)行的。RSA算法基于一個(gè)十分簡(jiǎn)單的數(shù)論事實(shí)：將兩個(gè)大素?cái)?shù)相乘十分容易，但要是想要對(duì)其乘積進(jìn)行因式分解卻極其困難，因此可以將乘積公開作為加密密鑰。對(duì)稱密碼體制的發(fā)展趨勢(shì)將以分組密碼為重點(diǎn)。下圖為加解密流程簡(jiǎn)易圖：明文+密鑰數(shù)學(xué)變換函數(shù)密文密鑰數(shù)學(xué)變換函數(shù)明文圖23加解密流程圖我們知道，在對(duì)稱密碼體制中，使用的密鑰必須完全保密，且要求加密密鑰和解密密鑰相同，或由其中一個(gè)可以很容易的推出另一個(gè)，所以，對(duì)稱密碼體制又稱為秘密密鑰體制、單密鑰體制或傳統(tǒng)密鑰體制。要從加密卷加載操作系統(tǒng)，計(jì)算機(jī)必須獲得對(duì)解密密鑰的訪問特權(quán)。計(jì)算機(jī)啟動(dòng)且VMK開啟后，可使用鍵盤的任何人均能訪問未加密數(shù)據(jù)。通過(guò)休眠文件泄露純文本數(shù)據(jù)。當(dāng)Bitlocker被禁用時(shí)，VMK通過(guò)恢復(fù)密鑰可得到，所以數(shù)據(jù)仍然是被加密的，但是卻是對(duì)任何人可得的。如下頁(yè)圖中所示，這種模式的Bitlocker用全卷加密密鑰對(duì)操作系統(tǒng)卷進(jìn)行加密。要使用TPM安全芯片的功能，必須配合對(duì)應(yīng)的TPM安全管理器，不過(guò)廠商針對(duì)TPM安全芯片開發(fā)的軟件不同，但使用方法大同小異，以同方鋒銳X300A筆記本為例，在BIOS中開啟了TPM安全芯片功能后，開機(jī)進(jìn)入系統(tǒng)后首先需要進(jìn)行TPM初始化操作，運(yùn)行“TPM所有者初始化向?qū)А?，第一步要求用戶設(shè)置登錄密碼，建議用戶輸入以字母和數(shù)字混合的密碼，在所有者初始化完畢之后，然后再進(jìn)行用戶初始化，然后建議進(jìn)行用戶密鑰文件的備份。功能之四：內(nèi)部資料授權(quán)訪問，獨(dú)特功能設(shè)置權(quán)限“防火墻”。2003年3月，TCPA增加了諾基亞、索尼等廠家的加入，并改組為可信賴計(jì)算組織，希望從跨平臺(tái)和操作環(huán)境的硬件和軟件方面，制定可信賴電腦相關(guān)標(biāo)準(zhǔn)和規(guī)范。此分區(qū)包括了用于啟動(dòng)操作系統(tǒng)的引導(dǎo)扇區(qū)。 論文總體結(jié)構(gòu)第一章：緒論。 注意：受信任的平臺(tái)模塊是實(shí)現(xiàn)TPM模式BitLocker的前提條件。將BitLocker與操作系統(tǒng)集成后，可以消除數(shù)據(jù)被盜或者由于計(jì)算機(jī)丟失、被盜或解除授權(quán)不當(dāng)而導(dǎo)致數(shù)據(jù)公開的威脅。因此，在TPM已驗(yàn)證計(jì)算機(jī)的狀態(tài)之后，才能訪問這些密鑰。也許，就是源于這樣所謂的“不小心”，對(duì)個(gè)人而言可能會(huì)丟失工作、無(wú)法正常學(xué)習(xí)；對(duì)公司而言，也可能會(huì)因此而破產(chǎn)或倒閉。如果TPM檢測(cè)到Windows安裝已被篡改，則不會(huì)釋放密鑰。TPM是計(jì)算機(jī)制造商在很多較新的計(jì)算機(jī)上安裝的硬件組件。 這里重點(diǎn)需要關(guān)注的是，硬盤上是否有超過(guò)一個(gè)的活動(dòng)分區(qū)。第六章：致謝。在Windows Vista之前，Windows操作系統(tǒng)卷(也稱為引導(dǎo)分區(qū))和活動(dòng)分區(qū)(也稱為系統(tǒng)分區(qū))是同一回事，因?yàn)榇蠖鄶?shù)客戶端計(jì)算機(jī)上的硬盤都配置為單獨(dú)一個(gè)大分區(qū)。通過(guò)完整性度量，保證PC從加電時(shí)刻起，一直到在其上進(jìn)行的每一個(gè)硬件、操作系統(tǒng)以及應(yīng)用軟件都是可信的，從此計(jì)算機(jī)再也不會(huì)受到病毒、木馬的威脅。TPM安全芯片用途十分廣泛，配合專用軟件可以實(shí)現(xiàn)以下用途：存儲(chǔ)、管理BIOS開機(jī)密碼以及硬盤密碼。使用TPM芯片來(lái)加密工作的BitLocker要求計(jì)算機(jī)必須安裝了TPM 。其實(shí)，它是一組固化到計(jì)算機(jī)內(nèi)主板上的一個(gè)ROM芯片上的程序，它保存著計(jì)算機(jī)最重要的基本輸入輸出的程序、系統(tǒng)設(shè)置信息、開機(jī)后自檢程序和系統(tǒng)自啟動(dòng)程序。其它情況更改開機(jī)順序。用戶錯(cuò)誤。培訓(xùn)用戶創(chuàng)建良好的密碼、不與任何人共享密碼或不將密碼寫在顯眼的位置可緩解此風(fēng)險(xiǎn)。此功能可防止將加密卷從一臺(tái)計(jì)算機(jī)移至另一臺(tái)計(jì)算機(jī)的攻擊。非對(duì)稱密碼體制又稱為雙鑰密碼體制或公開密鑰密碼體制。大致步驟如下：密鑰擴(kuò)展（KeyExpansion）；初始輪（Initial Round）；重復(fù)輪（Rounds）；最終輪（Final Round）。正是基于這種理論，1978年出現(xiàn)了著名的RSA算法，它通常是先生成一對(duì)RSA密鑰，其中之一是保密密鑰，由用戶保存；另一個(gè)為公開密鑰，可對(duì)外公開，甚至可在網(wǎng)絡(luò)服務(wù)器中注冊(cè)。提示用戶輸入PIN。這種輸入延遲被稱為反沖擊保護(hù)。系統(tǒng)已使用TPM硬件中的密鑰與PIN結(jié)合在一起，對(duì)VMK進(jìn)行了加密。 （2）處于登錄狀態(tài)且桌面未鎖定的計(jì)算機(jī)。我們知道，在Bitlocker保護(hù)打開之后，如果不先解密磁盤和關(guān)閉Bitlocker保護(hù)功能啟動(dòng)密鑰是不能添加的；且在啟動(dòng)密鑰被建好和Bitlocker啟動(dòng)之后，啟動(dòng)密鑰是不能被刪除的；另一方面，在啟動(dòng)密鑰和Bitlocker均啟動(dòng)建好之后，啟動(dòng)密鑰也是不能被更改的。訪問磁盤扇區(qū)時(shí)，使用FVEK進(jìn)行解密。通過(guò)休眠文件泄露純文本數(shù)據(jù)。緩解此風(fēng)險(xiǎn)最有效的方法是對(duì)可能在計(jì)算機(jī)上存放了敏感信息的用戶進(jìn)行安全意識(shí)培訓(xùn)。丟失了存儲(chǔ)恢復(fù)密碼的設(shè)備（如USB驅(qū)動(dòng)器），但是卻需要重新進(jìn)行Bitlocker加密設(shè)置時(shí)。這種模式中，由于電腦不具備TPM模式，所以VMK也不存在密封/開啟操作。如果USB設(shè)備不可用，則攻擊者必須成功操縱成千上萬(wàn)個(gè)包含操作系統(tǒng)模塊的扇區(qū)（相當(dāng)于強(qiáng)力攻擊）才能確定FVEK的值。緩解此風(fēng)險(xiǎn)最有效的方法是對(duì)可能在計(jì)算機(jī)上存放了敏感信息的用戶進(jìn)行安全意識(shí)培訓(xùn)。升級(jí)至重要的組件時(shí)導(dǎo)致TPM驗(yàn)證失敗時(shí)。這包括鍵入個(gè)人標(biāo)識(shí)號(hào) (PIN)或恢復(fù)密鑰，以及出現(xiàn)任何BitLocker錯(cuò)誤消息時(shí)使用的屏幕。如果此策略設(shè)置已禁用或未配置，BitLocker恢復(fù)支持默認(rèn)恢復(fù)選項(xiàng)。若要啟用此選項(xiàng)，必須選中以下兩個(gè)管理恢復(fù)設(shè)置或其中之一：“為操作系統(tǒng)驅(qū)動(dòng)器將BitLocker恢復(fù)信息保存到AD DS中”或“允許數(shù)據(jù)恢復(fù)代理”，以確?？梢曰謴?fù)受BitLocker保護(hù)的驅(qū)動(dòng)器。除了恢復(fù)密碼之外，存儲(chǔ)密鑰包可使管理員能夠使用“Repairbde命令行工具”來(lái)恢復(fù)受BitLocker保護(hù)的已損壞的驅(qū)動(dòng)器（無(wú)法通過(guò)該驅(qū)動(dòng)器讀取加密密鑰）。若要使用數(shù)據(jù)恢復(fù)代理，則必須配置該帳戶并將其添加到組策略中的以下位置：“計(jì)算機(jī)配置\Windows設(shè)置\安全設(shè)置\公鑰策略\BitLocker驅(qū)動(dòng)器加密”。通過(guò)完成此方案中的過(guò)程，用戶可以配置組策略設(shè)置，建立了對(duì)于操作系統(tǒng)驅(qū)動(dòng)器、固定數(shù)據(jù)驅(qū)動(dòng)器和可移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器可用的恢復(fù)選項(xiàng)。圖36 電腦提示運(yùn)用功能鍵輸入密碼在恢復(fù)密鑰輸入之后，不需要再敲回車鍵就已經(jīng)直接啟動(dòng)系統(tǒng)了。至于對(duì)于Bitlocker To Go的具體操作過(guò)程，我們會(huì)在第四章中有所介紹，在這里只是對(duì)其大意做粗略的介紹。除了恢復(fù)密碼之外，存儲(chǔ)密鑰包可使管理員能夠使用“Repairbde命令行工具”來(lái)恢復(fù)受BitLocker保護(hù)的已損壞的驅(qū)動(dòng)器（無(wú)法通過(guò)該驅(qū)動(dòng)器讀取加密密鑰）。選擇完之后，單擊“應(yīng)用”以應(yīng)用這些設(shè)置，然后關(guān)閉該對(duì)話框。 在控制臺(tái)樹的“本地計(jì)算機(jī)策略\計(jì)算機(jī)配置\管理模板\Windows組件\BitLocker驅(qū)動(dòng)器加密”下，單擊“固定數(shù)據(jù)驅(qū)動(dòng)器”。如果某個(gè)用戶存儲(chǔ)選項(xiàng)為必需，則必須禁止其他用戶存儲(chǔ)選項(xiàng)。訪問磁盤扇區(qū)時(shí)，使用FVEK進(jìn)行解密。如果使用BitLocker驅(qū)動(dòng)器加密對(duì)安裝了Windows的驅(qū)動(dòng)器（操作系統(tǒng)驅(qū)動(dòng)器）進(jìn)行了加密，并且在計(jì)算機(jī)啟動(dòng)時(shí)BitLocker檢測(cè)到存在某種阻止其解鎖驅(qū)動(dòng)器的情況，則可以使用恢復(fù)密鑰獲取對(duì)計(jì)算機(jī)的訪問權(quán)限。對(duì)于平臺(tái)的任何攻擊，例如通過(guò)PCI總線或IEEE 1394接口進(jìn)行的DMA，都有可能導(dǎo)致密鑰材料泄露。啟用BitLocker后，系統(tǒng)頁(yè)面文件將會(huì)被加密。從休眠模式恢復(fù)后，BitLocker將要求對(duì)USB設(shè)備重新進(jìn)行身份驗(yàn)證。由于用戶傾向于將設(shè)置好的密碼存于USB設(shè)備中，因此，這種模式有時(shí)也稱為使用USB設(shè)備的Bitlocker加密模式。（5）計(jì)算機(jī)保留了必需的身份驗(yàn)證元素。用戶錯(cuò)誤。 TPM和啟動(dòng)密鑰模式可以緩解的風(fēng)險(xiǎn)通過(guò)學(xué)習(xí)我們還可以知道，使用TPM和USB設(shè)備的BitLocker選項(xiàng)可減緩以下數(shù)據(jù)風(fēng)險(xiǎn)：處于休眠模式的計(jì)算機(jī)。而且，對(duì)于用戶已經(jīng)創(chuàng)建好的PIN和恢復(fù)密鑰，注意一定要設(shè)置成為自己熟知且不易忘記的數(shù)字或字母之類的組合。輸入用戶PIN后，配置有BitLocker、TPM和用戶PIN的計(jì)算機(jī)將會(huì)啟動(dòng)操作系統(tǒng)并加載到Windows用戶憑據(jù)界面。啟用BitLocker之后，系統(tǒng)頁(yè)面文件將被加密。使用TPM和PIN的BitLocker加密模式的主要優(yōu)點(diǎn)使該解決方案引入了另一要素，在啟動(dòng)計(jì)算機(jī)或從休眠模式恢復(fù)計(jì)算機(jī)時(shí)，用戶是必須提供該要素的。在成功執(zhí)行開啟操作之后，BitLocker將按照它已設(shè)置好的步驟執(zhí)行操作。 TPM和PIN模式 TPM和PIN模式介紹為了確保對(duì)電腦數(shù)據(jù)的全面保護(hù)，除了僅使用TPM的Bitlocker外，用戶還可以運(yùn)用雙層加密體制——即TPM和PIN模式及TPM和USB模式。通過(guò)分組密碼返回的加密數(shù)據(jù)的位數(shù)與輸入數(shù)據(jù)相同。由于本次設(shè)計(jì)中會(huì)提及AES加密和RSA加密，下面我們就針對(duì)這兩種加密進(jìn)行一定的介紹。密碼學(xué)又分為密碼編碼學(xué)和密碼分析學(xué)。（6）對(duì)操作系統(tǒng)進(jìn)行聯(lián)機(jī)攻擊。（2）處于睡眠（待機(jī)）模式的計(jì)算機(jī)。 在這里，值得我們注意的是，在默認(rèn)的情況下，BitLocker加密功能使用的是高級(jí)加密標(biāo)準(zhǔn)AES128算法外加128位強(qiáng)度的Elephant擴(kuò)散器。訪問磁盤扇區(qū)時(shí)，使用FVEK進(jìn)行解密。雖然此模式可防止某些修改早期啟動(dòng)組件的攻擊，但保護(hù)級(jí)別會(huì)受硬件或早期啟動(dòng)組件中的潛在缺陷的影響。比如目前咱們常用的MSN、網(wǎng)游以及網(wǎng)上銀行的登錄信息和密碼，都可以通過(guò)TPM加密后再進(jìn)行傳輸，這樣就不用擔(dān)心信息和密碼被人竊取了。比如用戶丟了筆記本電腦，即使別人通過(guò)安裝其它的操作系統(tǒng)查看到了磁盤，但由于磁盤數(shù)據(jù)已經(jīng)與平臺(tái)綁定，而平臺(tái)的信息已經(jīng)發(fā)生了變化，因此其它用戶無(wú)法獲取磁盤數(shù)據(jù)。這種所謂的整卷加密可防止離線攻擊，即一種通過(guò)試圖繞過(guò)操作系統(tǒng)而發(fā)動(dòng)的攻擊。卷是Windows中由一個(gè)或多個(gè)分區(qū)組成的邏輯結(jié)構(gòu)，由稱為“卷管理器”的Windows組件所定義。為了保證其可靠性，這個(gè)專門的活動(dòng)分區(qū)最好專用，不要在上面保存其他文件或者安裝額外的操作系統(tǒng)。BitLocker主要有兩種工作模式：TPM模式和U盤模式，為了實(shí)現(xiàn)更高程度的安全，我們還可以同時(shí)啟用這兩種模式。 國(guó)內(nèi)外研究現(xiàn)狀就目前國(guó)內(nèi)外對(duì)Bitlocker的研究和應(yīng)用我們可知，Bitlocker它是一個(gè)可在一定的Windows操作系統(tǒng)上實(shí)現(xiàn)的安全功能，該功能通過(guò)加密Windows操作系統(tǒng)卷上的所有數(shù)據(jù)可以更好的保護(hù)計(jì)算機(jī)中的信息。它用于存儲(chǔ)加密信息（如加密密鑰）。受信任的平臺(tái)模塊（TPM）是一個(gè)內(nèi)置在計(jì)算機(jī)中的微芯片。在這種情況下，用戶需要?jiǎng)?chuàng)建一個(gè)存儲(chǔ)在USB閃存驅(qū)動(dòng)器上的啟動(dòng)密鑰。這些附加的安全措施提供多重身份驗(yàn)證，保證在提供正確的PIN或啟動(dòng)密鑰之前，計(jì)算機(jī)是不會(huì)啟動(dòng)或從休眠中恢復(fù)的。所以如果想要順利使用BitLocker功能，硬盤上必須至少有兩個(gè)活動(dòng)分區(qū)，除了系統(tǒng)盤外，額外的活動(dòng)分區(qū)必須保持未加密狀態(tài)（且必須是NTFS文件格式的）。磁盤和卷：圍繞磁盤和卷的術(shù)語(yǔ)往往會(huì)使人混淆。BitLocker驅(qū)動(dòng)器會(huì)對(duì)寫入BitLocker保護(hù)卷上的所有資料進(jìn)行加密，包括其操作系統(tǒng)本身、注冊(cè)表、休眠文件和分頁(yè)文件、應(yīng)用程序以及應(yīng)用程序使用的數(shù)據(jù)。數(shù)據(jù)封裝：TPM將數(shù)據(jù)與特定的密鑰及平臺(tái)狀態(tài)綁定在一起，只有被授權(quán)的用戶，使用該密鑰在相同的平臺(tái)狀態(tài)下才可以解密已經(jīng)被加密的數(shù)據(jù)。TPM安全芯片除了能進(jìn)行傳統(tǒng)的開機(jī)加密以及對(duì)硬盤進(jìn)行加密外，還能對(duì)系統(tǒng)登錄、應(yīng)用軟件登錄進(jìn)行加密。但是，僅TPM模式提供的數(shù)據(jù)保護(hù)最少。從卷中讀取加密FVEK（全卷加密密鑰），并使用解密VMK（卷主密鑰）對(duì)其進(jìn)行解密。要對(duì)加密卷上的數(shù)據(jù)進(jìn)行解密，攻擊者需要發(fā)起一次強(qiáng)力攻擊以確定FVEK的值。此風(fēng)險(xiǎn)可通過(guò)啟用“計(jì)算機(jī)從睡眠模式恢復(fù)時(shí)提示輸入密碼”設(shè)置來(lái)緩解。緩解此風(fēng)險(xiǎn)最有效的方法是要求提供其他身份驗(yàn)證元素以使用計(jì)算機(jī)（可以利用