台灣前陣子出現恐怖事件,台北市捷運台北車站內及中山站外的南西商圈發生一系列連續無差別攻擊事件。警方隨即查扣張嫌的電腦,但發現張嫌電腦的硬碟使用了微軟的BitLocker鎖住,只剩下暴力破解能用,但預估要數十年之久。
什麼是BitLocker?
首先要了解BitLocker是具有階層且高熵特性,加上每一個磁碟都有自己的 FVEK,另外所有檔案、資料,都是 FVEK + AES 加密。」
- 整體流程就是:開機>TPM 驗證硬體>TPM 釋放 VMK>VMK 解開 FVEK>進系統開始讀寫磁碟
和檢警關心的解密有什麼關係呢?
1. FVEK不能單純用Pin和恢復金鑰來解 2. 但VMK可以用來解FVEK 所以這邊就衍生出為何要用暴力破解這個想法了。但老實說除了暴力破解外,由於FVEK的特性,是有可能在記憶體裡頭找到「已解鎖狀態的金鑰」,進而去讀取的。
透過筆電原廠的協助 成功取得資料
不須暴力就把BitLocker破解,媒體來問怎麼做的? 首先我先「這不是被破解」因為如果被破,先跳出來解釋的是微軟和華碩,然後高熵密碼不用等後量子了。
根據上文中提到的流程,如果常識的將『可以合法解鎖的條件環境』重新建立出來,就有機會不用暴力破解,白話講就是重建一個 TPM 能把接受的平台環境,系統成功認定環境是可信的,正常發金鑰。
但如何弄到使用同型號、同批號、同出產年月的硬體,其中包含韌體版本差異、主機板細節、Secure Boot 結、TPM 初始化流程等等都要一樣,應該真的只有原廠才有機會吧?
當然還有想到別的原因? 例如BitLocker是自動啟用但未設PIN? 或者華碩在BIOS/UEFI等的debug mode有後門? 無論如何? 唯一都對外說明是請原廠ASUS幫忙的,應該就是透過合法解鎖的條件,而非破解。 #BitLockerCracked
當然還有想到別的原因? 例如BitLocker是自動啟用但未設PIN? 或者華碩在BIOS/UEFI等的debug mode有後門? 無論如何? 唯一都對外說明是請原廠ASUS幫忙的,應該就是透過合法解鎖的條件,而非破解。 #BitLockerCracked
0 留言