Οδηγός: Μια πρακτική ανάλυση στο Bitlocker με και χωρίς TPM

[zardoz]

Υπάρχει ένας τεράστιος όγκος από πληροφορίες στο internet σχετικά με το Bitlocker και το TPM. Με το που ψάχνει κάποιος,
απογοητεύεται από το τι υπάρχει διάσπαρτο ή κρυμμένο σε τεχνικά papers. Δεν έβγαζα άκρη. Ακόμα χειρότερα, δεν έχουν
όλοι οι Η/Υ TPM (ή έχουν 1.2) οπότε οι προχωρημένες δοκιμές γίνονται δύσκολα.

Ξεκίνησα αυτό το thread για να μοιραστώ τη γνώση που απέκτησα καθώς τις πρακτικές δοκιμές μου. Ότι διαβάσετε εδώ μέσα
είναι γραμμένο και δοκιμασμένο από εμένα αλλά εσείς παίζετε με δική σας ευθύνη.


ΜΕΡΟΣ 1 - Φτιάξτε μια εικονική μηχανή για να παίζετε - μη ρισκάρετε

Είναι καλό να στήσετε ένα Hyper-V εικονικό PC (πχ Windows 10 pro x64) που διαθέτει εικονικό TPM για να παίζετε

1. Hyper-V -> Δημιουργία Εικονικής μηχανής -> Γενιά 2 (σημαντικό) -> Ονομάστε την όπως θέλετε πχ "Win10VM"

2. Χωρίς να στήσετε ακόμα OS, πάτε στις ιδιότητες της εικονικής μηχανής (WIN10VM -> δεξί κλίκ -> ρυθμίσεις)
και στην ασφάλεια τσεκάρετε το "Ενεργοποίηση Μονάδας αξιόπιστης πλατφόρμας". Έτσι το VM σας αποκτά TPM 2.0
Δεν χρειάζετε να τσεκάρετε κάτι άλλο (ακόμα), θα πούμε για τα άλλα αργότερα.

3. Ανοίξετε Powershell (σαν διαχειριστής) και ελέγχετε αν η εικονική μηχανή είναι TPM enabled:

Get-vmSecurity -VMName "Win10VM"

Θα πρέπει να σας πεί ότι το TpmEnabled = "true"

4. Μέσα στο Powershell τρέχετε

Enable-VMTPM -VMName "Win10VM"


5. Στήστε πχ windows 10 pro x64 κάνοντας mount κάποιο είδωλο .ISO (μη ξεχάσετε να προσθέσετε CD/DVD στις συσκευές)


6. Όταν σηκωθούν τα windows 10:

- Τρέξτε tpm.msc σαν διαχειριστής να δείτε αν η πλατφόρμα tpm είναι εντάξει. Θα σας δείξει ένα "εικονικό" TPM
από τη microsoft (MSFT) και μάλιστα... έκδοση 2.0

7. Ενεργοποιήστε το bitlocker

Πίνακας Ελέγχου -> Bitlocker -> Ενεργοποίηση

Όταν σας ζητήσει που να σωθεί το κλειδί αποκατάστασης, εγώ συνήθως δεν σώζω αλλά "εκτυπώνω" σε PDF γιατί δεν υπάρχει
άλλο μέσο αποθήκευσης παρόν.

8. Όταν γίνει επανεκκίνηση, σώστε τα κλειδιά σας:

CMD σαν διαχειριστής

MANAGE-BDE -protectors c: -get

και κρατήστε (πχ σε αρχείο ή σε photo).


Σιγουρευτείτε ότι τελείωσε η κρυπτογράφηση με:

MANAGE-BDE -status

θα σας βγάλει 100% encrypted στο τέλος




ΜΕΡΟΣ 2 - Λίγη Θεωρία για το Bitlocker


- O Bitlocker δημιουργεί ένα 256bit VMK (Volume Master Key). Πρακτικά αυτό είναι το πραγματικό πρώτο κλειδί της κρυπτογράφησης.

- To VMK σώζεται στο TPM (αν έχετε) για να μη σας το ζητάει σε κάθε boot

- Αν το VMK παραβιαστεί, καήκαμε. Υπάρχουν συσκευές που το βρίσκουν πάνω στο motherboard: https://pulsesecurity.co.nz/articles/TPM-sniffing
αλλά (δείτε παρακάτω) υπάρχει λύση.

- Το VΜΚ πρακτικά παράγει ένα FVEK (Full Volume Encryptor Key) που είναι το ενεργό κλειδί αποκρυπτογράφησης (128/256 ανάλογα με το AES) δίσκου

- Χρησιμοποιεί AES128/256 - από default επιλέγει AES128. Mπορούμε να επιλέξουμε AES256 πριν την κρυπτογράφηση:

gpedit σαν διαχειριστής->Administrative templates->windows components->bitlocker drive encryption->choose drive encryption method

Αν θέλουμε να αλλάξουμε σε AES256 αφού είχαμε AES128, πρέπει να κάνουμε disable, αποκρυπτογράφηση, αλλαγή στο group
policy editor και επανενεργοποίηση του BitLocker

- To VΜΚ κρυπτογραφείται σε ένα loop 1048576 φορών με SHA256 και SALT και παράγει το recovery key, δηλαδή το κλειδί
που έχετε ΕΣΕΙΣ πχ 471207-278498-422125-177177-561902-537405-468006-693451 σαν backup αν χαθεί το VMK.

- Αν ξέρετε το recovery key, μπορεί να παραχθεί αντίστροφα το VMK

- Υπάρχει ένας Platform configuration register που κοιτά αν αλλάξει κάτι σημαντικό στο σύστημα. Αν καεί το TPM, αλλάξετε MOBO,
πειράξετε κάτι σημαντικό στο BIOS, ανοίξετε... το κουτί (σε surface tablets) χάνεται το VMK και σας ζητείται το recovery key.
Αν δε το έχετε, τέλος, τα χάσατε όλα.

- Γενικά ο Platform configuration register είναι ο φταίχτης αν σας ζητά που και που το recovery key

- Αν κάνετε login σε microsoft account, η micro$oft κρατά (!!!) το recovery key σας. Μπορείτε να το βρείτε
εδώ: https://myaccount.microsoft.com/device-list

ΠΑΡΟΤΙ ΤΟ BITLOCKER ΔΕΝ ΕΧΕΙ BACKDOORS (μάλλον), ΤΟ ΟΤΙ Η m$ έχει ΤΟ RECOVERY KEY ΣΑΣ ΕΙΝΑΙ ΗΔΗ ΤΟ ΑΠΟΛΥΤΟ BACKDOOR.


- Όταν γίνεται BIOS update ή κάποιο σημαντικό firmware/software update, ο Bitlocker μπαίνει σε suspend mode.
Μπορείτε και εσείς να τον κάνετε suspend για πλάκα:

Powershell -> Suspend-BitLocker -MountPoint "C:" -RebootCount 1 (για το ένα επόμενο reboot)

Δυστυχώς το bitlocker suspend mode έχει μεγάλο κενό ασφαλείας γιατί, η κρυπτογράφηση συνεχίζεται (λογικό γιατί πως
θα λειτουργούσε το σύστημα) αλλά το κλειδί FVEK (δείτε πάνω) είναι ορατό και το σώζει για λίγο κάπου as-is (!!!!!).
Δηλαδή αν μπορέσει κάποιο update να βάλει το Bitlocker σε suspend mode, στο επόμενο reboot θα μπορούσε να πάρει
το VFEK. Αλλά δεν έχει σημασία γιατί ήδη θα είχε πρόσβαση και στα αρχεία στο δίσκο και ακόμα περισσότερο δεν
μπορεί να παραχθεί το VMK από το VFEK



ΜΕΡΟΣ 3 - Ασφαλίζοντας το Bitlocker ώστε να ζητά πρόσθετα και δικό μας PIN (ή USB token)

Επειδή η microμαλακη έχει το recovery key μας, μια πρόσθετη προστασία είναι να ζητά κάθε φορά κάποιο pin pre-boot.

Αυτό γίνεται (προσοχή μη γίνει ζημιά) ως εξής: και δεν το προτείνω σε πραγματικό σύστημα.

gpedit σαν διαχειριστής->Administrative templates->windows components->bitlocker drive encryption->
operating system drives->require additional authentication method
(στα Ελληνικά "Να απαιτείται επιλέον ελεγχος ταυτότητας")

και τον κάνετε ENABLE και ΑΛΛΑΖΕΤΕ ΚΑΤΩ ΜΟΝΟ ΤΟ "“Require Startup PIN With TPM”
δηλαδή ΝΑ ΑΠΑΙΤΕΙΤΑΙ PIN εκκίνησης με TPM


Μετά τρέχετε CMD σαν διαχειριστής και

manage-bde -protectors -add c: -TPMAndPIN

θα σας ζητήσει PIN (δύο φορές, να έχει 8 ψηφία το λιγότερο)

μετά δείτε τι κάνατε

manage-bde -status


Στο επόμενο boot, θα απαιτηθεί και PIN

SOS: Αυτό το reboot θα είναι πολλαπλό γιατί θα κάνει επανακρυπτογράφηση πολλά πράγματα, ξεκινώντας από τα σημαντικά

ΣΗΜΕΙΩΣΗ: Αν σας πρήξει με κάτι ακατανόητα μηνύματα ότι ... είστε ήδη logged in στο επόμενο reboot
να αφαιρέσετε την αναθεματισμένη επιλογή των windows

Επιλογές Εισόδου -> Χρήση των στοιχείων εισόδου μου για την αυτόματη ολοκλήρωση.... KANTE TO OFF


... Συνεχίζεται ...

[BlueChris]

Ευχαριστούμε πολύ για αυτό που έκανες. Ποτέ μα ποτέ δεν έχω ασχοληθεί με κρυπτογράφηση τερματικού αλλά ήρθε η ώρα μάλλον...

[sweet dreams]

Σωστός ο παίκτης
Προσωπικά πάντως δεν τα πάω καλά με την MS και χρησιμοποιώ εδώ και πολλά χρόνια το VeraCrypt(και πριν το TrueCrypt).

[netblues]

Αν δεν υπηρχαν και κατι ακαταληπτα ελληνικα στη μεση...

[zardoz]

Μέρος 4ο - Αν το motherboard ή ο δίσκος εμφανίσει πρόβλημα, τι κάνουμε ?

Εδώ θα διακρίνω 3 περιπτώσεις, για να καλύψω όσο περισσότερα μπορώ

Περίπτωση 1η - Όλα είναι μια χαρά, απλά θέλουμε να ήμαστε έτοιμοι

Επειδή πολλά μπορούν να συμβούν, θα πρέπει να έχετε backup από τα κλειδιά από όλους τους protectors του/των δίσκων.
Ναι υπάρχει ήδη επιλογή στον πίνακα ελέγχου να κάνετε backup το δικό σας recovery key, αλλά δείτε και τις άλλες σας επιλογές:

CMD (σαν διαχειριστής)

παίρνουμε όλους τους protectors του δίσκου

manage-bde -protectors -get C:

και σώζουμε κάπου τα αποτελέσματα

Αν/όταν χρειαστεί, είτε με το recovery key είτε με τα κλειδιά από αυτό μπορούμε (δείτε παρακάτω) να τον ξεκλειδώσουμε.



Περίπτωση 2η - Το motherboard φαίνεται ότι πάει να χαλάσει


Μπορούμε να αφαιρέσουμε το TPM από τους protectors του bitlocker ώστε να μείνει μόνο το recovery key

CMD (σαν διαχειριστής)

manage-bde –forcerecovery c:

Τώρα ο δίσκος θα μας ζητήσει το κλειδί, μπορούμε ακόμα και να βγάλουμε το δίσκο και να τον πάμε σε άλλο σύστημα και να μας ζητήσει το κλειδί

αν πιστεύουμε ότι προλαβαίνουμε, βγάζουμε και το encryption ώστε ο δίσκος να μείνει ακρυπτογράφητος

Powershell (σαν διαχειριστής)

Disable-BitLocker -MountPoint "C:"

και

CMD (σαν διαχειριστής)

manage-bde -status

μέχρι να δούμε 100% decrypted




Περίπτωση 3η - Βάλαμε το δίσκο σε άλλο σύστημα σαν D: αλλά δεν αποκρυπτογραφείται

CMD σαν διαχειριστής

manage-bde -unlock D: -recoverypassword xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx

μετά

Powershell (σαν διαχειριστής)
Disable-BitLocker -MountPoint "D:"

CMD (σαν διαχειριστής)

manage-bde -status

μέχρι να δούμε 100% decrypted και ο δίσκος είναι πια έτοιμος.

[mzaf]

Ωραίος, ευχαριστούμε.

[dimangelid]

Πολύ καλός οδηγός!

Δεν μπόρεσα ποτέ να καταλάβω για ποιο λόγο αν βρουν τα Windows TPM και ενεργοποιήσεις bitlocker, δεν ζητάει κωδικό πριν ξεκινήσει να μπουτάρει. Θεωρώ τελείως άχρηστο το ενεργο bitlocker με αυτό τον τρόπο.

Το βάζω πάντα να ζητάει κωδικό στην εκκίνηση. Όχι απλά pin με νούμερα, αλλά και γράμματα και σύμβολα.

[zardoz]

Πολύ καλός οδηγός!

Δεν μπόρεσα ποτέ να καταλάβω για ποιο λόγο αν βρουν τα Windows TPM και ενεργοποιήσεις bitlocker, δεν ζητάει κωδικό πριν ξεκινήσει να μπουτάρει.
Θεωρώ τελείως άχρηστο το ενεργο bitlocker με αυτό τον τρόπο.

Το βάζω πάντα να ζητάει κωδικό στην εκκίνηση. Όχι απλά pin με νούμερα, αλλά και γράμματα και σύμβολα.

Θα προσπαθήσω να το εξηγήσω όσο ποιο αναλυτικά μπορώ, νομίζω ότι αξίζει

1. Ο bitlocker όσο κουφό και αν φαίνεται, πραγματικά προστατεύει τα data στο δίσκο ακόμα και αν βλέπεις απλά τα windows να σηκώνονται
χωρίς να ρωτάνε τίποτε.

2. Τα windows κάνουν clear το TPM και παίρνουν ownership κατά την εγκατάσταση. Αυτό γίνεται ΜΙΑ φορά (αν και μπορείτε να το ξανακάνετε, δείτε παρακάτω)

3. Το κλειδί VMK του bitlocker γίνεται wrap και shield μέσα στο TPM. Η επικοινωνία με το TPM γίνεται κρυπτογραφημένα (ειδικά στο 2.0)

4. Όταν σηκώνεται το σύστημα (EFI), από το κρυμμένο VMK παράγεται το VFEK που αποκρυπτογραφεί το δίσκο.

5. Οποιαδήποτε ύποπτη αλλαγή μπλοκάρει το TPM από το να δώσει το VMK και έτσι ζητείται το recovery key γιατί ο δίσκος δεν διαβάζεται

6. Αν σηκωθεί το σύστημα σε safe mode ή σε recovery mode ή οτιδήποτε, ζητείται το recovery key γιατί ο δίσκος δεν διαβάζεται

7. Αν σου κλέψουν το δίσκο ή όλο το μηχάνημα ΔΕΝ μπορούν να διαβάζουν το δίσκο σου, είτε με linux boot ή οτιδήποτε άλλο, πρέπει να
μπορέσουν να μπούν στον κωδικό σου (windows) - γι αυτό να έχεις καλό κωδικό.

8. Αν γίνει clear το TPM ή αλλάξει ownership χάνονται όλα τα κλειδιά και πάπαλα τα data.

9. Το να βάλεις έναν extra protector (πχ pin ή password) δεν είναι κακό, απλά δεν αφήνει τα windows να σηκωθούν. Και να είχαν σηκωθεί
πάλι πρέπει κάποιος να μπει στον κωδικό σου για να διαβάζει δεδομένα - μόνο μέσω κάποιου attack δικτύου μπορεί να πάρει κάτι από το
σηκωμένο μηχάνημα.

10. Δυστυχώς ότι extra protector και να βάλεις, το recovery key πάλι μπορεί να αποκρυπτογραφήσει το δίσκο. Γι αυτό ΔΕΝ κάνουμε
microsoft account ή τουλάχιστο δεν αφήνουμε να κάνει "backup" το recovery key μας.

[zardoz]

Επειδή εμφανίστηκαν κάποια νέα άρθρα (για ένα ζήτημα που υπήρχε από παλιά), και συγκεκριμένα ότι το bitlocker
σπάει με εξοπλισμό 10$ raspberry Pi που υποκλέπτει επικοινωνία του TPM, μερικές πληροφορίες:

Το bitlocker ΔΕΝ σπάει αν έχετε TPM 2.0 γιατί η επικοινωνία του με τη CPU είναι κρυπτογραφημένη ανεξάρτητα αν
είναι εξωτερικό τσιπάκι ή embedded στη CPU.

To bitlocker ΔΕΝ σπάει αν έχετε ΤPM 1.2 ενσωματωμένο στη CPU (οι περισσότεροι πια).

To bitlocker σπάει αν έχετε εξωτερικό TPM 1.2 chip γιατί κάνει unencrypted επικοινωνία, και απαιτεί
άμεση (και πολύωρη) πρόσβαση στο υλικό σας (laptop ή pc)

Το bitlocker σπάει αν οι αρχές ζητήσουν με εύλογη αιτιολογία από τη microsoft το VΜΚ σας το οποίο κρατάει στο
microsoft account σας ως backup αν έχετε φυσικά (microsoft account) ή απλά σας αποσπάσουν τον κωδικό. Αυτό
ισχύει ακόμα και αν έχετε βάλει δικό σας πρόσθετο κλειδί.