Rychlé odkazy
Klíčové body
- Šifrovací klíče nástroje BitLocker lze získat pomocí zařízení Raspberry Pi Pico, nicméně tento postup funguje pouze u externích modulů TPM, které využívají sběrnici LPC.
- Většina moderních zařízení má integrovaný modul TPM, což značně komplikuje získání klíčů BitLocker. Procesory společností AMD a Intel jsou v tomto ohledu pravděpodobně v bezpečí.
- I přes zjištěnou zranitelnost je samotné šifrování AES-128 nebo AES-256, které BitLocker používá, stále bezpečné, a proto není důvod BitLocker opouštět.
BitLocker od Microsoftu patří k nejrozšířenějším nástrojům pro šifrování celého disku. Je součástí systémů Windows 10 a 11 Pro, a tak poskytuje jednoduché šifrování milionům uživatelů Windows po celém světě. Nicméně, pověst BitLockeru jako předního šifrovacího nástroje je nyní možná ohrožena poté, co jeden youtuber úspěšně odcizil šifrovací klíče a dešifroval soukromá data během pouhých 43 sekund. K tomuto účelu využil Raspberry Pi Pico, které stojí pouhých 6 dolarů.
Jakým způsobem došlo k prolomení šifrování BitLocker?
Šifrování BitLocker prolomil youtuber Stacksmashing, který zveřejnil video s podrobným popisem, jak zachytil data z BitLockeru, získal dešifrovací klíče a úspěšně zneužil šifrovací proces BitLockeru.
Postup Stacksmashingu se zaměřuje na externí modul Trusted Platform Module (TPM). Jedná se o stejný čip, který brání upgradům na Windows 11, a který se nachází v některých noteboocích a počítačích. I když mnoho základních desek má čip TPM integrovaný a moderní procesory mají TPM zahrnutý přímo do svého návrhu, některé stroje stále spoléhají na externí TPM.
Zde se objevuje problém a zároveň zranitelnost, kterou objevil Stacksmashing. Externí moduly TPM komunikují s procesorem prostřednictvím sběrnice LPC (Low Pin Count). Tato sběrnice umožňuje zařízením s nízkou šířkou pásma komunikovat s dalším hardwarem, aniž by došlo ke snížení výkonu.
Stacksmashing však zjistil, že i když jsou data v modulu TPM v bezpečí, během procesu spouštění jsou komunikační kanály (sběrnice LPC) mezi TPM a procesorem zcela nešifrované. Za použití vhodných nástrojů může útočník zachytit data odesílaná mezi TPM a procesorem, která obsahují nezabezpečené šifrovací klíče.
Nástrojem, který byl použit, bylo například Raspberry Pi Pico, miniaturní jednodeskový počítač za 6 dolarů, který má mnoho využití. V tomto případě Stacksmashing připojil Raspberry Pi Pico k nepoužitým konektorům testovaného notebooku a úspěšně přečetl binární data během spouštění počítače. Získaná data obsahovala hlavní klíč svazku uložený v TPM, který následně mohl být použit k dešifrování dalších dat.
Měli bychom přestat používat BitLocker?
Zajímavé je, že společnost Microsoft již byla informována o potenciálu tohoto útoku. Nicméně, jedná se o první případ, kdy se veřejnosti objevil praktický útok, který ukazuje, jak snadno lze odcizit šifrovací klíče BitLockeru.
Tato skutečnost vede k zásadní otázce, zda byste měli zvážit přechod na alternativu k BitLockeru, jako je například bezplatný software s otevřeným zdrojovým kódem VeraCrypt. Dobrou zprávou je, že z několika důvodů není nutné BitLocker opouštět.
Za prvé, tato zranitelnost se týká pouze externích modulů TPM, které požadují data z modulu pomocí sběrnice LPC. Většina moderního hardwaru má modul TPM integrovaný. I když by teoreticky bylo možné zneužít i TPM na základní desce, vyžadovalo by to více času, úsilí a delší časový přístup k cílovému zařízení. Získání klíče BitLocker Volume Master Key z modulu TPM je ještě obtížnější, pokud je modul integrován přímo do procesoru.
Procesory AMD mají integrovaný TPM 2.0 od roku 2016 (s uvedením AM4, známého jako fTPM), zatímco procesory Intel mají TPM 2.0 integrovaný od roku 2017 s uvedením procesorů Coffee Lake 8. generace (známých jako PTT). Proto, pokud používáte počítač s procesorem od AMD nebo Intel vyrobený po těchto datech, jste s největší pravděpodobností v bezpečí.
Dále je důležité poznamenat, že i přes tuto zranitelnost zůstává BitLocker bezpečný a samotné šifrování, na kterém je založen – AES-128 nebo AES-256 – je stále robustní.