关于 bitlocker 加密，破解真的很难吗？成本又有多高？

@Jasonboy TPM 存了密码，它帮你输入了

@allplay 你意思别人还能破解 TPM ？我现在已经取消了 TPM 自动输入密码，现在开机需要手动输入密码才能引导加载系统，然后还有输入微软账户密码才能进入系统

@Jasonboy 是的，安全了，可以放心睡觉了。
再明确一下，不可能全盘加密，全盘加密是另一种情形。只是你 C D E……分区加密了，EFI PE Recovery 分区是没有加密的。bitlocker 程序在 EFI 引导分区内，自己把自己加密了就无法启动了。
虽然分区加密了，但从外面还是知道你的分区属性，有几个分区，有多大。

其实组策略里有一个硬件变动就跳过 tpm 的自动解锁，用那个就够了，一直输入也太麻烦了

在需要使用 bitlocker 对抗的时候，你的嘴比密码学脆弱多了。

@allplay 别人应该无法从 EFI 分区里找到 bitlocker 密码吧？ bitlocker 密钥也不会存在这里吧？

@learningman 你要这么杠我还能说啥，当然了，在绝对的实力面前，99.9%的都是无法抗衡大记忆恢复术的，你说我二战是我发动的我都相信

@Jasonboy bitlocker 密钥在 TPM 里面，EFI 里面只是 bitlocker 的程序。

@allplay 嗯，那我现在应该已经处于一个很安全的状态了，差不多都设置完毕了

@playboy0 有吗？这个硬件变动就跳过 tpm 的自动解锁的策略组叫什么可以告诉我一下吗？

@Jasonboy 但是你看案情分析，取证那帮人说他们用软件脚本绕过了锁屏密码……
所以是在不锁屏的情况下操作的，组策略那时是不是可以随便改我也不知道……

话说真的间谍机关的密钥都是能抗吐真剂的，即使给你灌了药，拿到了方法和基础密码，没有你的高级智能部分参与，算不出解密密钥。
强度有多大我也不知道就是了

@Jasonboy 还有网络漏洞。只要你开机，各种软件暴露的端口也有可能成为被攻击的弱点

@Jasonboy 比如密码在一个黑盒单片机算法里，因为是算法读内存没用，算法会问你几个问题
需要你不按照提问来答，需要根据现场条件，并且涉及高级心算，输入每次不一样的特定的序列算出密钥
而被灌了吐真剂的人永远只会直白的回答这些问题或者不会答，所以就解不开

这种９０年代的境外电视剧有演过

@yankebupt 普通人还没有这个资格吧，如果真被什么间谍机关抓了，感觉比被公安局抓了还惨啊

@allplay 太复杂了，我感觉我的数据还没有价值能让别人这么绞尽脑汁大费周章

> 如题，本人已开启了全磁盘 bitblock 加密，并且关闭了 TPM 启动，策略组配置了开机必须输入 bitblock PIN 码，否则无法进入系统，现在每次开机都要先输入 bitblock PIN 码（获得磁盘访问权限）再输入系统也就是微软的 PIN 码后才能进入操作系统。在输入微软 PIN 码页面也配置禁用了所有了新的 DMA 。我的电脑现在应该很安全了吧？至少在没有 PIN 码没有 bitblock 密钥的情况下普通人和 ZF 机构时无法打开的，如果需要打开，那也得需要很多时间很金钱

安全。如果你想更安全，就把系统盘放到 USB3 外置硬盘里随身携带。这样只能特定电脑+硬盘的组合才能解锁数据，而数据又在你身上。

而且电脑里面的管理员权限得严格限制，理论上任何管理员权限的程序都能获得 bitlocker 恢复密钥或者添加一个新的解锁密钥

PIN 码还存在的问题就是摄像头摄手。可以在前后或者中间插入假字符，或者配合退格键进行混淆，但效果没有验证过哈

@ttimasdf 安全。如果你想更安全，就把系统盘放到 USB3 外置硬盘里随身携带。这样只能特定电脑+硬盘的组合才能解锁数据，而数据又在你身上。

而且电脑里面的管理员权限得严格限制，理论上任何管理员权限的程序都能获得 bitlocker 恢复密钥或者添加一个新的解锁密钥

PIN 码还存在的问题就是摄像头摄手。可以在前后或者中间插入假字符，或者配合退格键进行混淆，但效果没有验证过哈
------------------------------------------------------
就我现在的这个情况，难道别人在不知道我邮箱和密钥还有密码的情况下能打开？应该不行吧？我还特地咨询了好几家取证公司，人家都不接这种单子，哭笑