Odzyskiwanie klucza szyfrującego do Bitlockera (TPM 1.2 / 2.0) – potrzebna lutownica, kable i parę drobiazgów

14 marca 2019, 12:35 | Aktualności | komentarzy 8
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Pewnie wielu z Was korzysta z takiego rozwiązania: szyfrowanie dysku Bitlockerem z kluczem zaszytym w TPM. Jest to wygodne, bo przy starcie systemu nie trzeba wpisywać dodatkowego hasła, a jeśli ktoś ukradnie sprzęt to po wyciągnięciu dysku widzi tylko zaszyfrowane dane – klucz jest w TPM i nie da się go wyciągnąć. No właśnie – czy to ostatnie jest prawdą?

Zainteresowanych tematem odsyłam do tej publikacji. W skrócie:

You can sniff BitLocker keys in the default config, from either a TPM1.2 or TPM2.0 device, using a dirt cheap FPGA (~$40NZD) and now publicly available code.

Jak podłączamy się do TPM-a? Za pomocą tzw. LPC bus – tego typu połączenie TPM2.0 widać poniżej:

LPC & TPM

Jakim oprogramowaniem można podsłuchać komunikację TPM -> „świat” będąc wpiętym do LPC? Po drugiej stronie barykady kabelki wpinamy do tego urządzenia oraz uruchamiamy stosowny program: LPC sniffer TPM.

Można pomyśleć tak – no ale komunikacja TPM -> „świat” powinna być jakoś zaszyfrowana? Może być w TPM 2.0. Jak czytamy:

TPM2.0 devices support command and response parameter encryption, which would prevent the sniffing attacks. Windows doesn’t configure this though, so the same attack a TPM1.2 device works against TPM2.0 devices.

W ten sposób odzyskujemy tzw. VMK (Volume Master Key). Dalej już tylko dwie chwile zabawy z narzędziem dislocker i mamy odszyfrowany dysk

dislocker & obraz dysku

Ochrona? Użyć konfiguracji Bitlockera z PIN-em / hasłem lub dodatkowym zewnętrznym czynnikiem umożliwiającym odszyfrowanie naszego głównego klucza szyfrującego. Inne dodatkowe ataki / sposoby ochrony – tutaj.

PS
Testy z pełnym odszyfrowaniem dysku wykonano na Surface Pro 3 (TPM 2.0) i wybranym laptopie HP (TPM 1.2)

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. SuperTux

    Albo używać narzędzi szyfrujących bez backdoorów zaszytych przez NSA i inne trzy literowe agencje jak np. TrueCrypt/VeraCrypt (które audyt przeszły bezbłędnie).

    Odpowiedz
    • m

      Ta, spróbuj używać i zarządzać tym w większej organizacji? Tak się składa, że bezpieczeństwo to nie tylko poufność, ale również dostępność. A jak tracisz klucz do odszyfrowania, bo odszedł pracownik lub został zwolniony to jak dostaniesz się do danych?

      Odpowiedz
      • +1

        Odpowiedz
      • Michal

        👍

        Odpowiedz
      • xyz

        Normalnie? Jak zarządzasz IT w organizacji, to możesz zrzucać dane ze stacji klienckich przez AD na bieżąco na dedykowany serwer.
        Ew. profile AD tylko mobilne i konfig stacji roboczych do zapisywania tylko w katalogu usera /home
        W obu przypadkach szyfrowanie VC (zabezpieczenie przed postronnymi) i późniejszy odczyt przez BSS to nie problem.
        Poza tym aktualnie znaczna cześć pracy odbywa się przez web i pracownicy mało istotnych firmowi danych zapisują lokalnie, a większe projekty zazwyczaj i tak robi się na stacjach roboczych lub zrzuca na serwery :)

        Odpowiedz
        • poprawiamHerezjeinnych

          @xyz – „to możesz zrzucać dane ze stacji klienckich przez AD na bieżąco na dedykowany serwer.”

          Jak to dobrze fachowca posłuchać.

          AD, to usługa katalogowa, a nie narzędzie do zrzucania danych. Nowicjusz jakiś przeczyta taki komentarz i później będzie zgrywał dane przez AD i puszczał w świat herezje.
          Podałeś przykłady, które w dużych organizacjach jak i mniejszych nie sprawdzają się, profile mobilne? To zło, i na pewno nie na urządzenia przenośne.
          No i nie wrzucaj każdego do jednego worka, nawet jak większość pracy odbywa się przez weba, to skala robi swoje.

          @SuperTux – pokaż dowód o zaszytych backdoor-ach w BitLocker? A BitLocker nie przeszedł jakiegoś audytu?

          Dodaj PIN do konfiguracji BitLockera i po problemie. Mniej wygodne, a na atak offline jesteś zabezpieczony.

          Odpowiedz
          • xyz

            @poprawiamHerezjeinnych
            był to skrót myślowy mentorze.
            jak dobrze, że są tacy ludzie jak Ty, którzy lecząc swoje ego, prostują niczego nieświadomych nowicjuszy, którzy przecież nie wiedzą i nie są w stanie sami dowiedzieć się niczego nt. AD

            podałem tylko przykład rozwiązania problemu pokazanego przez poprzednika – doprecyzowując, chodziło o usługę kopii zapasowych stacji klienckich.
            To, że TWOIM zdaniem te rozwiązania się nie sprawdzają, to tylko Twoja opinia, więc nie mąć w głowie nowicjuszom i dyskutuj merytorycznie, a nie uderzaj personalnie.
            Znam środowisko w mniejszej organizacji (50+ stanowisk), gdzie podobne rozwiązanie aktualnie funkcjonuje.

            Jeżeli masz wartościową wiedzę, którą chcesz się podzielić – to jak najbardziej jestem otwarty na inne spojrzenie na sprawę, natomiast podbudowywanie swojego małego ego przenieś gdzie indziej.

          • Bb

            Akurat AD i profile mobilne na ustawieniach domyślnych to zło – to prawda, ale jak zarządzają tym tacy admini to nic dziwnego że mają taką a nie inną opinię. Przy odrobinie dopieszczenia konfiguracji i użycia kilku „haków” (niestety) jest to całkiem sprawne i skuteczne narzędzie do zabezpieczania danych w firmie. Sam tym zarządzam, znam inne wdrożenia i to działa bardzo sprawnie, bez zabaw z userami że coś pochowają, pokasują, zniszczą. Mogą używać TrueCrypta czy co tam chcą, dane w buforze offline (a zatem i w profilu) i tak są dodatkowo zaszyfrowane wymuszoną polityką przez GPO i kluczem wygenerowanym przez serwer i odświeżanym co miesiąc więc obojętne czy dopilnuję usera czy nie. Odpowiednie GPO i spokój. Ale nie, AD to ZUO – nie po prostu admin dupa i tyle.

Odpowiedz