关于 bitlocker 加密，破解真的很难吗？成本又有多高？

@passall 你是说先关闭一次吗？然后再重新启用？启用的时候不要选使用 TPM 自动跳过？

你可以自己试试。

看之前那个帖子，提到了 Pre-Boot ，看起来这样才是更安全的

https://supportcommunity.zebra.cn/s/article/000026025

https://learn.microsoft.com/en-us/windows/security/operating-system-security/data-protection/bitlocker/bitlocker-countermeasures

还是换 VeraCrypt 吧,开发者明确说了不会支持 TPM

你需要 VeraCrypt+Yubikey

不支持 tpm 的主板，系统盘 ssd+数据盘机械，后者单独开 bl 加密全盘，除了睡眠/休眠，每次进入系统后都要输入密码解锁此驱动器。目前在用这个方案，优点是不使用数据盘则无需输任何密码，缺点是如果不解锁驱动器它永远不会遵循电源计划断电，偏吵。

也在考虑安排带系统盘的加密，组策略里有提供选项，总体来说会更麻烦点。

了解点侧信道攻击知识。做个抗侧信道认证都要几万，这种 DMA 的公司得要有几十万的设备，做这种测试费用又是十几万一次（非成本）。
bitblock 应该是为了做了什么预加载，把密钥存在物理设备里了吧，否则这种密钥就不应该在系统里才对，设计上就不安全。

--------
比如 AES 加密，密钥本身不在文件的信息里，也不在软件层面上，电脑上没有物理信息会存储密钥。除非你知道那几百位的密码，否则不可能解密（据说美国设计了后门？ AES 转换表的原理不明）。
这就是为什么 lastpass 几次被攻击脱库，但是根本没有用户密码泄露的原因了，那些数据都是被 aes 加密过的，除非能拿到用户的 aes 密钥才能解密得到用户账户信息。而暴力破解呢？印象中 256 位 AES 就算超算来也得算几年才能出结果。
然后闭环了，只要这条密钥仅在脑子里，要么美国五角大楼要么尤里才能解开加密得到原始数据。

----
回归话题的话，我认为 bitblock 这种会把密钥存在物理设备的行为就具有风险性，无论设置什么。
敏感信息直接用 aes 加密软件挂载就行了，结束使用会自动加密，aes 本身的安全性已经有时间证明了，
然后敏感操作用一些《安全认证（ dddd ）》手机当跳板机操作，落地设置随机延迟就行了。

@nyxsonsleep #47 这个设想存在一些问题。这样的 AES 加密并不防文件复制，只要将文件复制到一些单片机等单核设备上，执行解密动作，依然可能导致 AES 密钥泄露，做已知密文分析。
不过我认为 bitblock 估计也是不能抗密钥分析的，甚至由于固定会加密 Win 系统文件，导致存在可能进行已知明文密文分析的可能性，具体取决于加密块的设计方式。如果是全盘加密的话会提高破解成本（有限）

你搞个支持 opal 协议的 SSD 就行了，还没有性能损失，就是开机得输个密码

系统分区的 BitLocker 密钥存储在 TPM 中
而且修改 BIOS 相关设置回导致 TPM 的自动解锁失效
除系统分区外的分区开启了自动解锁会将密钥保存在系统分区中
组策略可以配置系统锁定时禁用新的 DMA 设备

@Jasonboy 前面说了，bitlocker 不是全盘加密，而是分区加密。
磁盘上还有一个 EFI 分区是没有加密的。主板的 UEFI 加载的是磁盘的 EFI 分区里的引导程序类似 PE 包含了 bitlocker 程序，输入密码后，bitlocker 去解密 C 盘。

一句：不难，任何一个国家公安机关通过官方渠道让微软提供技术协助就能搞定的。

@frankies 微软没有协助过任何一个国家公安机关提供客户密码。
唯一例外是 Azure 和 Office 的世纪互联版，但那不等于微软。

问题在于你没法保证只有你自己知道你的密码

可以把密钥丢进 TEE 可信执行区内，防 DMA ，但是
解解 DRM 版权保护还行，用来解密读 SSD 性能惨不忍睹……
一切加密保护强度不够都是性能问题，感觉是。

@TrevorPhillips 我现在使用的就是系统分区加密，而另外一个分区也是加密的，但这个分区启用了 TPM 自动解锁，原因时方便一点，系统分区关闭了 TPM 自动解锁，感觉也挺安全的，没有密码启动不了系统，自然也进不去其它盘，使用 WINPE 的话时无法查看自动解锁分区的

@nyxsonsleep 已经关闭了 TPM 自动解锁，bitblock 密钥存储在本地了吗？我记得我把它存储在了自己的服务器还有手抄本里，难道别人没有密钥的情况下还能用特殊方法在磁盘里找到密钥？问题他也进不去磁盘啊，我提出这些问题是建立在普通人身上。毕竟我们也不是本拉登，没有哪个 ZF 单位和黑客对我的数据感兴趣

@allplay 问题是得需要知道 bitblock 密码或者密钥不是吗？如果不知道，那输入什么呢？还是无法解密

@yankebupt 策略组可以配置关闭在电脑锁定时禁用一切新的 DMA

如题，本人已开启了全磁盘 bitblock 加密，并且关闭了 TPM 启动，策略组配置了开机必须输入 bitblock PIN 码，否则无法进入系统，现在每次开机都要先输入 bitblock PIN 码（获得磁盘访问权限）再输入系统也就是微软的 PIN 码后才能进入操作系统。在输入微软 PIN 码页面也配置禁用了所有了新的 DMA 。我的电脑现在应该很安全了吧？至少在没有 PIN 码没有 bitblock 密钥的情况下普通人和 ZF 机构时无法打开的，如果需要打开，那也得需要很多时间很金钱