Windows内置的加密技术BitLocker最近受到了一些冲击。最近的一次攻击展示了移除计算机的TPM芯片来提取其加密密钥，而许多硬盘驱动器正在攻破BitLocker。以下是避免BitLocker陷阱的指南。

请注意，这些攻击都需要物理访问您的计算机。这就是加密的全部意义所在--阻止窃取您笔记本电脑的小偷或其他人在未经您许可的情况下访问您的台式PC，从而查看您的文件。

Windows Home上的标准BitLocker不可用

虽然几乎所有现代消费者操作系统都默认附带加密功能，但Windows10仍未在所有PC上提供加密功能。Mac、Chromebook、iPad、iPhone，甚至Linux发行版都为所有用户提供加密。但微软仍未将BitLocker与Windows10 Home捆绑在一起。

一些PC可能带有类似的加密技术，微软最初称之为“设备加密”，现在有时称为“BitLocker设备加密”。我们将在下一节中介绍这一点。然而，这种设备加密技术比完整的BitLocker更有限。

攻击者如何利用这一点：不需要利用！如果您的Windows Home PC未加密，攻击者可以移除硬盘或启动PC上的另一个操作系统来访问您的文件。

解决方案是：支付99美元升级到Windows 10专业版并启用BitLocker。你也可以考虑尝试另一种加密解决方案，比如免费的TrueCrypt的后继者VeraCrypt。

相关：当其他人都免费提供加密服务时，为什么微软要收取100美元的加密费？

BitLocker有时会将您的密钥上传到Microsoft

许多现代的Windows10电脑都带有一种名为“设备加密”的加密。如果你的电脑支持此功能，则在你使用Microsoft帐户(或公司网络上的域帐户)登录电脑后，它将自动加密。然后，恢复密钥将自动上载到Microsoft的服务器(或您组织在域中的服务器)。

这可以保护您的文件不会丢失-即使您忘记了Microsoft帐户密码并且无法登录，您也可以使用帐户恢复过程并重新获得对加密密钥的访问权限。

攻击者如何利用这一点：这总比没有加密要好。然而，这意味着微软可能会被迫在有搜查令的情况下向政府披露您的加密密钥。或者，更糟糕的是，理论上攻击者可能会滥用Microsoft帐户的恢复过程来访问您的帐户并访问您的加密密钥。如果攻击者拥有对您的PC或其硬盘的物理访问权限，他们就可以使用该恢复密钥来解密您的文件，而不需要您的密码。

解决方案是：支付99美元升级到Windows10专业版，通过控制面板启用BitLocker，并在出现提示时选择不将恢复密钥上传到微软的服务器。

相关：如何在Windows 10上启用全磁盘加密

许多固态驱动器打破了BitLocker加密

一些固态硬盘宣称支持“硬件加密”。如果您在系统中使用这样的驱动器并启用BitLocker，Windows将信任您的驱动器来执行此工作，而不会执行其通常的加密技术。毕竟，如果驱动器可以在硬件中完成工作，那应该会更快。

只有一个问题：研究人员发现，许多固态硬盘没有正确实现这一点。例如，关键的MX300默认情况下使用空密码保护您的加密密钥。Windows可能会说BitLocker已启用，但它实际上可能没有在后台执行太多操作。这很可怕：BitLocker不应该默默地信任固态硬盘来完成这项工作。这是一项较新的功能，因此此问题仅影响Windows 10，而不影响Windows 7。

攻击者如何利用这一点：Windows可能会说BitLocker已启用，但BitLocker可能会袖手旁观，让您的SSD无法安全地加密您的数据。攻击者可能会绕过固态驱动器中实施不佳的加密来访问您的文件。

解决方案：将Windows组策略中的“配置对固定数据驱动器使用基于硬件的加密”选项更改为“已禁用”。您必须先解密驱动器，然后再重新加密，此更改才能生效。BitLocker将停止信任驱动器，并将在软件而不是硬件中完成所有工作。

相关：您不能信任BitLocker在Windows 10上加密SSD

可以移除TPM芯片

一名安全研究人员最近演示了另一次攻击。BitLocker将您的加密密钥存储在计算机的可信平台模块(TPM)中，TPM是一种特殊的硬件，应该是防篡改的。不幸的是，攻击者可以使用一块27美元的FPGA板和一些开放源码从TPM中提取它。这会破坏硬件，但会允许提取密钥并绕过加密。

攻击者如何利用这一点：如果攻击者拥有您的PC，理论上他们可以通过篡改硬件并提取密钥来绕过所有这些花哨的TPM保护，这是不可能的。

解决方案：将BitLocker配置为需要组策略中的预引导PIN。“要求使用TPM启动PIN”选项将强制Windows在启动时使用PIN解锁TPM。在Windows启动之前，您必须在PC启动时键入PIN。但是，这将使用额外的保护锁定TPM，并且攻击者在不知道您的PIN的情况下无法从TPM中提取密钥。TPM可防止暴力攻击，因此攻击者不会只是一个接一个地猜出每个PIN。

相关：如何在Windows上启用预引导BitLocker PIN

休眠的PC更容易受到攻击

Microsoft建议在使用BitLocker时禁用休眠模式以获得最高安全性。休眠模式很好-当您将PC从休眠模式唤醒或正常引导时，您可以让BitLocker要求输入PIN。但是，在休眠模式下，PC仍然通电，其加密密钥存储在RAM中。

攻击者如何利用这一点：如果攻击者拥有您的PC，他们可以唤醒它并登录。在Windows 10上，他们可能需要输入数字PIN。通过物理访问您的PC，攻击者还可能使用直接内存访问(DMA)来抓取您系统RAM中的内容，并获得BitLocker密钥。攻击者还可以执行冷启动攻击-重新启动正在运行的PC，并在密钥消失之前从RAM中抢走密钥。这甚至可能涉及到使用冰柜来降低温度并减缓这一过程。

解决方案：休眠或关闭你的电脑，而不是让它休眠。使用预启动PIN可使启动过程更加安全，并阻止冷启动攻击-如果BitLocker设置为在启动时需要PIN，则在从休眠状态恢复时也需要PIN。Windows还允许您通过组策略设置“在此计算机锁定时禁用新的DMA设备”-即使攻击者在您的PC运行时获取了您的计算机，这也提供了一些保护。

相关：您应该关闭、睡眠还是休眠您的笔记本电脑？

如果你想在这个主题上做一些更多的阅读，微软的网站上有关于如何保护Bitlocker软件的详细文档。