dG
у тпм регистр определенный отвечает за настройки прошивки, если они меняются, то меняется и выдаваемое значение
Size: a a a
2021 November 20
VG
пароль... я правильно понимаю что пароль никак не сбросить? ;)
dG
ну пароль это калиточка, лучше прикрутить поддержку TPM
VG
но...
VG
прикручиваешь?
VG
или пока на щеколде? пароль и файлик with extra steps?
dG
нет, зачем мне это, я же говорю, накопители консумерские не воспринимают ребут как пропадание питания
VS
Шифрование windows по умолчанию опирается на аппаратное шифрование, потому что это более эффективно и надёжно. Если у вендора аппаратного есть проблемы, это не проблема windows, но проблема ее клиентов. Поэтому есть возможность отключить связь с аппаратным шифрованием, т.е. использовать программное.
dG
а битлокер у меня да, с прикрученным TPM
dG
и с привязкой к регистрам
- код прошивки
- данные прошивки (настройки)
- код внешних модулей (прошивка внешних девайсов)
- состояние секурбут
- код прошивки
- данные прошивки (настройки)
- код внешних модулей (прошивка внешних девайсов)
- состояние секурбут
dG
что-то меняется - диск не расшифруется моим паролем, я насторожусь
VG
ну... он может расшифровываться любым паролем =) помню когда gina подменяли - там был режим "пускать с любым паролем" оч удобно =)
dG
а при чем тут gina, у меня пароль спрашивает сам битлокер
dG
на винде автологин, т.к. за авторизацию отвечает битлокер, а я единственный юзер
dG
винды к тому времени ещё нет, накопитель зашифрован
есть только битлокер, живущий на служебном загрузочном разделе
есть только битлокер, живущий на служебном загрузочном разделе
dG
цепочка доверия: TPM -> SecureBoot -> загрузчик и битлокер -> Windows
подменить загрузчик не даст SB, отключить SB или подменить прошивку и её настройки не даст TPM
единственный вариант или выбить пароль из юзера или резервный сколько-то там значный битлокерный код, который работает как бэкдор и позволит расшифровать накопитель невзирая на TPM
подменить загрузчик не даст SB, отключить SB или подменить прошивку и её настройки не даст TPM
единственный вариант или выбить пароль из юзера или резервный сколько-то там значный битлокерный код, который работает как бэкдор и позволит расшифровать накопитель невзирая на TPM
VG
Мне кажется что не все так здорово. Надо чаще позадавать вопрос "почему" и "как это можно обойти", причём беспристрастно и избегая простых ответов.
dG
логически рассуждая:
- при нормальной загрузке ключ шифрования защищен половинкой ключа из TPM+половинкой из головы моей
- также на случай аварии он защищён аварийным битлокерным кодом
т.е. нужно что-то из этих двух
- подменить загрузчик не вариант - секурбут
- вкорячить свой ключ секурбута и подменить загрузчик, чтобы тот кейлоггил пароль битлокера, вводимый мной - я насторожусь, т.к. нормальной расшифровки не произойдёт
- при нормальной загрузке ключ шифрования защищен половинкой ключа из TPM+половинкой из головы моей
- также на случай аварии он защищён аварийным битлокерным кодом
т.е. нужно что-то из этих двух
- подменить загрузчик не вариант - секурбут
- вкорячить свой ключ секурбута и подменить загрузчик, чтобы тот кейлоггил пароль битлокера, вводимый мной - я насторожусь, т.к. нормальной расшифровки не произойдёт
dG
либо я должен потерять бдительность, либо бэкдор в битлокере для властей (это я не могу контролировать, если только не поменять битлокер на веракрипт), либо меня будут тупо пытать
dG
в этой стране последний вариант вероятнее