Re: [閒聊] 48位數金鑰的硬碟？

看板PC_Shopping (個人電腦購買)作者wahaha99 (喔)時間3小時前 (2025/12/25 22:37)推噓5(5推 0噓 10→)

留言15則, 7人參與討論串2/2 (看更多)

bitlocker 的加密方式為: i. 用FEVK這個密鑰加密整顆SSD的資料 ii. 用VMK密鑰加密FEVK, 然後把這個加密結果存在硬碟上 iii. 開機時要有VMK, 才能解密FEVK, 那VMK哪來? (1)TPM給 (2)從你輸入的PIN去算(過時) 在考慮到該案採用的筆電為fTPM, 也就是於CPU內建, 有兩種可能: 1. fTPM only (windows 11 預設模式) 如果是這個模式, fTPM會在開機時直接提供VMK解密, 所以你不用輸入PIN碼, 但fTPM與CPU/BIOS綁定, 該SSD拔去別台就不能讀取。 fTPM也會檢查你的開機狀態, 如果不是原本的OS, 也不會給出VMK。那可以試試以下攻擊: a. 找到在開機後、登入前可以利用的漏洞 b. 開機後把記憶體冷凍後拆下、讀出來找key 2. fTPM + PIN 如果是這個模式, 要先提供PIN給CPU, CPU才會從安全相關核心吐出VMK, 但有嘗試的次數上限, 超過就會凍結或銷key, 基本上無解。把5nm CPU拿去decap讀資料也不太現實。撇除這兩種路徑, 最實際的是發司法協助函給微軟, 請他提供該人的雲端備份密鑰。至於放火燒毀筆電, 考慮到最不耐溫的SSD仍然存活, CPU與BIOS應該還有可能是好的, 移植到同型機台上即可。而要暴力破解 10^48(想像成第二組VMK) 的備份 FEVK 加密, 這十分不切實際。大概是這樣。以上資料來源: Google, Gemini 3 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 138.199.22.152 (日本) ※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1766673435.A.B23.html ※ 編輯: wahaha99 (138.199.22.152 日本), 12/25/2025 22:44:36

推

sharkbay

12/25 22:55, 2小時前 , 1^F

12/25 22:55, 1^F

→

sharkbay

12/25 22:55, 2小時前 , 2^F

12/25 22:55, 2^F

推

sharkbay

12/25 22:58, 2小時前 , 3^F

12/25 22:58, 3^F

我修正一下之前是有利用自動修復(不是WinRE) 不過好像是要先進入WinRE才能去利用這些漏洞我再查一下吧感謝提醒 ※ 編輯: wahaha99 (138.199.22.152 日本), 12/25/2025 23:05:08 https://www.ithome.com.tw/news/170576 這是之前有成功攻擊的案例用了四個漏洞都是在攻擊開機後登入前的不過大概都被修復了... ※ 編輯: wahaha99 (138.199.22.152 日本), 12/25/2025 23:12:37

推

Bencrie

12/25 23:15, 2小時前 , 4^F

12/25 23:15, 4^F

要達到相同功能目的, 都大差不差啦... ※ 編輯: wahaha99 (138.199.22.152 日本), 12/25/2025 23:17:18

→

labbat

12/25 23:22, 2小時前 , 5^F

12/25 23:22, 5^F

→

labbat

12/25 23:22, 2小時前 , 6^F