кстати, интересно, когда в накопитель уже загружен PBA (The boot image loaded to the MBR shadow table that is presented to the BIOS as a bootable image to initiate the Pre-Boot authorization activity.) то можно ли его перезаписать другим
https://github.com/Drive-Trust-Alliance/sedutil/wiki/FAQ

если нет, то задача атакующего усложняется, либо надо как-то грузить это PBA напрямую во флеш, либо сбрасывать накопитель, что уничтожит данные

PBA это загрузчик, который загоняется в накопитель и служит для вывода диалога авторизации, после авторизации микрораздел с загрузчиком скрыт от ОС и ОС видит уже расшифрованный накопитель со своим родным загрузчиком, словно диск и не зашифрован

что-то я не сообразил, оно же работает так:
- диск стартует и показывает теневую mbr с загрузчиком
- юзер вводит пароль, если он верный, накопитель расшифровывается и происходит рестарт
- старт уже с расшифрованным накопителем (GPT все дела)

если рестарт будет восприниматься как отключение питания (при котором накопитель обязан перейти в залоченное состояние), то мы вообще не сможем его расшифровать, он после расшифровки будет залочиваться

так что это даже не баг прошивки накопителя, это недостаток by design, неустранимый

товарищу майору достаточно получить доступ к работающему пк, пусть и с залоченным сеансом ОС
он воткнет загрузочную флешку, замкнет контакты сброса CMOS на маме и ребутнет пк, при ребуте пароль на биос скинется и товарищ майор загрузится с флешки, а накопитель останется расшифрованным

если пароль не скинется, то на крайняк можно на горячую поменять чип биоса, в нем же и прошивка и настройки её
а на жыжабайтах можно при старте замкнуть пару ног и плата откатит прошивку с бекап-чипа и заодно скинет настройки, это 100% скидывает пароль, проверено

да и несистемные диски придётся один хер битлокером, sedutil только для загрузочных, вроде
и сразу минусы: никой авторазблокировки несистемных дисков (т.к. битлокером системный не зашифрован), никаких политик битлокера...

на любой вопрос есть 2 ответа, быстрый и правильный :D

вот если бы битлокер был не проприетарный...

кстати LUKS тоже умеет несколько ключей юзать, т.е. можно настроить одновременный анлок по связке TPM+пароль и по резервному паролю без TPM

Так сейчас вроде наоборот же. Там в какой-то момент выяснили, что у всех вендоров с хардварным шифрованием все плохо и в винде хардварное шифрование по умолчанию наоборот выключили

да, для аппаратного надо, как минимум, включать политику
я забыл про неё

Я на 970 evo plus тоже так и не смог включить аппаратное шифрование, начал читать и оказалось что лучше и не включать) да и програмное жрет всего-то 5-10% от производительности, это даже не заметно

если не забуду, то завтра попробую так сделать, установлю винду, включу политику и битлокер
интересно, достаточно ли этого

проверил, лол

короче, расшифровал системный накопитель (программное шифрование), включил политику принудительного аппаратного шифрования и зашифровал взад

Том C: [Windows]
[Том с операционной системой]

   Размер:                           232,18 ГБ
   Версия BitLocker:                 2.0
   Состояние преобразования:         Полностью зашифровано
   Зашифровано (процентов):          100,0%
   Метод шифрования:    аппаратное шифрование — 1.3.111.2.1619.0.1.2
   Состояние защиты:                 Защита включена
   Состояние блокировки:             Разблокировка

Предохранители ключа:
       Числовой пароль
       Доверенный платформенный модуль и ПИН-код

всё та же связка пин+тпм и рекавери пассворд в качестве резерва

зашифровалось буквально за минуту (т.к. внутри себя современные накопители и так шифруют данные ради равномерного чередования нулей и единиц, просто обычно ключ шифрования лежит нешифрованным, а при включении аппаратного шифрования ключ шифруется вышеописанными предохранителями), сосунг нагрелся до 70 градусов

Как вы это сделали?

Порядок действий какой? У меня не получается зашифровать диск аппаратно.

Я и политику включал, и отключал блокировку SID в UEFI, и Secure Erase делал, и что только ещё не делал, BitLocker говорит, якобы мой диск не поддерживает аппаратное шифрование. При этом в Samsung Magician указано, что диск готов к аппаратному шифрованию. Рядом запускаешь SEDutil, и он говорит что все поддерживается прекрасно, хоть прямо сейчас шифруй.
Asus Strix X570-I, Ryzen 5950X, Samsung 980 Pro.

Не помню про наоборот, помню только https://t.me/sterkin_ru/683

Порядок простой, команда в конце поста ⬆️ при условии, что ты ничего не навертел сам, на что уже похоже.