Sitat av
vindaloo
Er ikke Bitlocker der for å kryptere innholdet?
Slik at hvis "de" kommer inn så kan ikke innholdet leses?
FDE er der for å beskytte data 'at rest', dvs. når det ikkje er i bruk. Får du ein disk i hånda som er kryptert med bitlocker er den for alle praktiske føreål verdilaus for deg; det er ikkje plausibelt at du kan få ut data. Det er
trygt.
TPM er chip på hovedkortet som blir brukt til å lagre kryptonøkler. Litt grovt sagt sjekker den at bootkjeda er uendra, før den gir ifra seg nøkkelen. Haken er som diskutert over at nøkkelen blir sendt i klartekst over buss på hovedkortet.
Men du kan konfigurere systemet til å kreve pre-boot authentication, der du må oppgi pinkode før TPM er villig til å gi ifra seg nøkkelen. Det vil hindre black box-angrep av typen som er omtalt, fordi du ikkje vil få boota systemet uten pin-kode.
Det er til sjuande og sist vurdering av verdi på data. Skal du beskytte deg mot at en tilfeldig tjuv får kopiert familiebilda, eller skal du beskytte deg mot målretta angrep? Om du er bekymra for tilfeldig tjuveri er antakeleg bitlocker nok; det hindrer
triviell tilgang.
Microsoft sin dokumentasjon er ikkje overraskande veldig god på området:
Pre-boot authentication with a PIN can mitigate an attack vector for devices that use a bootable eDrive because an exposed eDrive bus can allow an attacker to capture the BitLocker encryption key during startup. Pre-boot authentication with a PIN can also mitigate DMA port attacks during the window of time between when BitLocker unlocks the drive and Windows boots to the point that Windows can set any port-related policies that have been configured.