Fórum Root.cz
Hlavní témata => Windows a jiné systémy => Téma založeno: markcgi74 12. 01. 2023, 12:16:17
-
Páni.... súrne hladám niekoho kto vie ako odšifrovať hdd ktorý je zašifrovaný bitlockerom..... win 10 ..... /samozrejme bez klučov ... majitelka neni normalna / >:(
-
Nedá sa v prijateľnom čase, resp. sa toho nikto z nás nedožije :-\
-
Mozes ho rovno hodit do smeti. Hlavny zmysel sifrovania je prave to, aby sa nedalo dostat k datam bez hesla.
-
klíč by měl být uložený v TPM, takže v počítači, který ho zašifroval by měl jít i rozšifrovat
udělá se pak Disable-BitLocker -MountPoint "X:"
-
otazka ceny, kdyz tak sz.
-
Má majitelka účet u MS? Nebo byl počítač přihlášený do domény? IIRC v obou případech dochází standardně k zálohování klíče (do cloudu, nebo do domény), a lze odtud ten klíč získat.
-
klíč by měl být uložený v TPM, takže v počítači, který ho zašifroval by měl jít i rozšifrovat
udělá se pak Disable-BitLocker -MountPoint "X:"
Tohle mne zajímá :) Znamená to, že když se někdo dostane k cizímu notebooku, ve kterém je (jediný, systémový) disk zašifrovaný bitlockerem, má možnost se dostat k datům? Očekávám, že na blbý dotaz dostanu blbou odpověď, ale fakt mne to zajímá.
-
Tohle mne zajímá :) Znamená to, že když se někdo dostane k cizímu notebooku, ve kterém je (jediný, systémový) disk zašifrovaný bitlockerem, má možnost se dostat k datům? Očekávám, že na blbý dotaz dostanu blbou odpověď, ale fakt mne to zajímá.
ano, ale ... je potřeba zase znát heslo do windows, nebo by musela mít oběť windows bez hesla
když se nabootuje nějaký jiný OS, tak se to samo nerozšifruje, stejně jako když disk vytáhnete, což je peklo pro obnovu dat zase
-
Má majitelka účet u MS? Nebo byl počítač přihlášený do domény? IIRC v obou případech dochází standardně k zálohování klíče (do cloudu, nebo do domény), a lze odtud ten klíč získat.
Nevím jak s cloudem, nejsem masochista, ale v doméně to standardně nedelá nic, dialog je stejný jako u standalone workstation (tj. vyzve k uložení klíše do TXT souboru, nepovolí uložení na jednotku, kterou šifruje). Aby se něco dělo, admin musí vynutit zálohování klíčů do AD.
-
Asi takto: https://support.microsoft.com/en-us/windows/finding-your-bitlocker-recovery-key-in-windows-6b71ad27-0b89-ea08-f143-056f5ab347d6
Nevím k tomu vše z hlavy, ale už jsem toto s někým kdysi řešil. Disk běžně rozšifruje jen oprávněný uživatel… a Microsoft!
-
Nedá sa dešifrovať inak ako recovery kľúčom alebo pinom, inak by celé šifrovanie nemalo zmysel a multimiliardove megakorporaty by používali niečo iné, ale všetky pritom používajú bitlocker.
Zaujíma ma čo k tomu viedlo majiteľku (bývalú zamestnankynu? ).
-
Disk běžně rozšifruje jen oprávněný uživatel… a Microsoft!
K tomu "Microsoft" máte nejaké podklady, nebo už jedem někde na úrovni předvolebních debat?
-
Podklady – třeba ten odkaz, co jsem posílal.
-
Tohle mne zajímá :) Znamená to, že když se někdo dostane k cizímu notebooku, ve kterém je (jediný, systémový) disk zašifrovaný bitlockerem, má možnost se dostat k datům? Očekávám, že na blbý dotaz dostanu blbou odpověď, ale fakt mne to zajímá.
ano, ale ... je potřeba zase znát heslo do windows, nebo by musela mít oběť windows bez hesla
Nebo to musí být TPM „na desce“ které klíč posílá po cestičkách kde jde odposlechnout, nebo musí jít počítač vyhackovat přes PCI Express (DMA), nebo musí jít provést cold-boot útok nebo nějaká jeho variace (MITM na RAM?).
-
No pokud už je klíč v TPM a vy neznáte heslo/PIN, tak TPM klíč přece nevydá, a tedy nebude co kde odposlechnout, ne?
-
No pokud už je klíč v TPM a vy neznáte heslo/PIN, tak TPM klíč přece nevydá, a tedy nebude co kde odposlechnout, ne?
reinstalace kompu, nebo nejake tlacitko reset tpm v biosu klice z tpm vymaze, nebo ne?
-
Ale jistě, TPM můžete vyresetovat a klíče vymazat, ale nikam ven je nepošle.
Pokud nejde o data, pochopitelně lze ten zašifrovaný disk normálně naformátovat, třeba při nové instalaci OS. Při opětovném zapnutí BitLockeru TPM vygeneruje klíč nový.
-
IIRC záleží na nastavení. Lze při startu zadávat heslo/PIN pro šifrování (odděleně od uživatelského hesla), pak by TPM skutečně neměl nic vydat. Ale lze to též nastavit, aby TPM vydal klíče bez hesla (jen na základě secure bootu), systém nabootoval a vyžádal si uživatelské heslo – pak se mj. spoléháme na secure boot (protože TPM vydá klíč pouze při specifické bootovací sekvenci) a hlavně otevíráme možnost zmíněných útoků (cold boot a asi i odposlech někde po cestě).
Neznám statistiky, kterou variantu používá kdo, ale ta méně bezpečná varianta je rychlejší a pohodlnější (člověk zadává heslo jen jednou) a je kompatibilní s víceuživatelským prostředím. Takže bych se vůbec nedivil, kdyby byla populárnější.
A pak jsou tu zmíněné zálohy recovery klíčů – nejen papír, ale i doména (typicky ve firemním prostředí) a MS account (typicky u domácích uživatelů). Když se k tomu dostaneme, mělo by to stačit pro rozšifrování obsahu. Je to částečně věcí nastavení, ale nejsem si jist, jestli je možné u home edice možné vypnout zálohování klíče na cloud.
-
Vydavani recovery klice do MS lze zamezit nepouzivanim MS uctu.
Druha vec je, ze Home edice sice BitLocker ofiko nepodporuje, ale ve skutecnosti se tam da trosku oklikou pres WinRE aktivovat aspon v rezimu TPM-only (se Secure Bootem).
Sam to tak na jednom zarizeni pouzivam.
Zabezpeceni TPM-only je tak, ze budto clovek nabehne primo z OS disku se Secure Bootem. Pri startu jineho OS nedojde k vydani klice TPMkem a pri prendani disku jinam TPMko s prislusnym klicem chybi uplne... takze v techto pripadech jedine ten recovery klic. Jedno, kde je ulozeny, jestli v AD, Azure AD, consumer MS cloudu, nekde na flashce nebo vytisknutej, ale bez tech 40 cislic se bezny uzivatel nikam nedostane.
A ten, kdo by se k tomu dostat mohl, dela budto v nejake trojpismenkove agenture, ktera muze vsechno, nebo si za to rekne o takovej balik, ze to moc nema smysl :-)
(Pozn. vsimli jste si, ze uz od doby Win8 doslo k oslabeni defaultne pouzivaneho sifrovani z AES-256 vychoziho v sedmickach na AES-128? Fajn, furt se to da pres GPO zmenit, ale procpak asi k teto zmene doslo?)
-
(Pozn. vsimli jste si, ze uz od doby Win8 doslo k oslabeni defaultne pouzivaneho sifrovani z AES-256 vychoziho v sedmickach na AES-128? Fajn, furt se to da pres GPO zmenit, ale procpak asi k teto zmene doslo?)
Aby to fungovalo i na trosilinku starsim HW, proc jinak :)
-
(Pozn. vsimli jste si, ze uz od doby Win8 doslo k oslabeni defaultne pouzivaneho sifrovani z AES-256 vychoziho v sedmickach na AES-128? Fajn, furt se to da pres GPO zmenit, ale procpak asi k teto zmene doslo?)
Aby to fungovalo i na trosilinku starsim HW, proc jinak :)
to asi ne :-) nevim sice co ze je dle tebe to "trosilinku starsim HW",
ale napr. na 12 let starem i5-2520M (tedy 2gen iCore, mobilni/usporna verze)
# Algoritmus | Klíč | Šifrování | Dešifrování
aes-xts 256b 1355,2 MiB/s 1379,3 MiB/s
aes-xts 512b 1092,8 MiB/s 1097,6 MiB/s
s tim CPU bude max SATA SSD, ktere to nebude nijak brzdit...
jde o to ze pro AES ma CPU v sobe HW akceleraci v podobe AES-NI nekdy od roku 2008 ;-)
-
Jednou jsem měl přidělen služební ntb od externí organizace, která si strašně zakládala na bezpečnosti a ochraně dat. Přihlašování skrze HW token, dálkový přístup pro jejich admina. No, disk nebyl šifrován. Upozornil jsem na to a dostal jsem následující odpověď:
"Bitlocker je k ničemu, průměrný puberťák to dokáže prolomit dle návodu na Youtubu za 15 min. Klíčová je možnost ntb na dálku vymazat při nějakém incidentu"
Podototýkám, že jsem v tomto laik, nicméně tam, kde se můžu rozhodnout, používám bitlocker s PINem. Mám z toho tak nějak lepší pocit...
-
Rika se tomu rainbow tables a je to otazka stazeni par GB z netu, a nastartovani z flash/pripojeni disku jinam. Za 2-3s mas co potrebujes.
-
Rika se tomu rainbow tables a je to otazka stazeni par GB z netu, a nastartovani z flash/pripojeni disku jinam. Za 2-3s mas co potrebujes.
Takhle to s bitlockerem opravdu nefunguje. TPM je docela pomale, takze cracknout 10ti znakove heslo bude trvat vecnost. Krome toho by default si TPM loguje pokusy a pokud je jich 32 nespravnych tak se s klicema muzes rozloucit.
-
Jednou jsem měl přidělen služební ntb od externí organizace, která si strašně zakládala na bezpečnosti a ochraně dat. Přihlašování skrze HW token, dálkový přístup pro jejich admina. No, disk nebyl šifrován. Upozornil jsem na to a dostal jsem následující odpověď:
"Bitlocker je k ničemu, průměrný puberťák to dokáže prolomit dle návodu na Youtubu za 15 min. Klíčová je možnost ntb na dálku vymazat při nějakém incidentu"
Podototýkám, že jsem v tomto laik, nicméně tam, kde se můžu rozhodnout, používám bitlocker s PINem. Mám z toho tak nějak lepší pocit...
Napis jmeno firmy at vime kde jsou tihle “odbornici”. Takove firme je dobre se vyhnout kdyz zamestnava kdejakeho blbce.
-
...
Aby to fungovalo i na trosilinku starsim HW, proc jinak :)
Kdepak, to je dlouhodoba politika M$. Oni vzdy a vsude pouzivaji nejhorsi dostupne sifrovani, a nejhorsi dostupny hash. A to nejen jako defaultni hodnotu, bez zasahu do konfigurace se nicim lepsim ani nepripojis.
Normalni aplikace a systemy to pouzivaji samozrejme opacne - pouziji to nejlepsi na cem se s protistranou dohodnou.
Priklady... schannel, muzes to nastavit v registrech, muzes tam vypnout tls 1.0/1 ... ale kdyz to udelas, tak si dokomunikoval se vsim co ma v rodnym liste .NET. To totiz bydefault odmita pouzivat cokoli nad tls 1.1.
M$ jsou navic lhari. Verejne na webu tvrdej, ze 2k22 oficielne podporuji 1.3, coz je lez. RDP na 1.3 nebezi. Legranda je to o to vetsi, ze na w10 ano (na w11 uz zase ne). Ovsem ani w10 ve skutenosti na rdp 1.3 nepouzivaji, klient vzdy pouzije 1.2.
Pokracovat lze kuprikladu moznostmi vpn. Win aktualne obsahuji ... a ted me nekamenujte, 3 nebo 4 ruzne moznosti, jak to nastavit, ktere spolu vlastne nijak nesouviseji, zato se vzajemne mohu pekne pozrat. Kazdopadne jedna z tech moznosti je tzv "advanced firewall" tak si tam kliknete a podivejte se, co tam je k nalezeni .. 3des.
Pro pobaveni, platebni terminal dodany Komercni bankou ... take zabezpecuje vase platby pomoci naprosto aktualni a zcela bezpecne ... 3des.
Takhle to s bitlockerem opravdu nefunguje. TPM je docela pomale, takze cracknout 10ti znakove heslo bude trvat vecnost. Krome toho by default si TPM loguje pokusy a pokud je jich 32 nespravnych tak se s klicema muzes rozloucit.
Ehm ... TPM je ve vetsine pripadu placebo.
-
Rika se tomu rainbow tables a je to otazka stazeni par GB z netu, a nastartovani z flash/pripojeni disku jinam. Za 2-3s mas co potrebujes.
ehmmm what? Rainbow tables sa pouzivaju na najdenie kolizie hashu a tj hesla, ale do windowsu, nie do bitlockera
...
Normalni aplikace a systemy to pouzivaji samozrejme opacne - pouziji to nejlepsi na cem se s protistranou dohodnou.
Priklady... schannel, muzes to nastavit v registrech, muzes tam vypnout tls 1.0/1 ... ale kdyz to udelas, tak si dokomunikoval se vsim co ma v rodnym liste .NET. To totiz bydefault odmita pouzivat cokoli nad tls 1.1.
...
O com zasa tocis? Nech si druha strana aktualizuje system ked vypnes tls 1.0 a 1.1 a druha strana sa odmlci. To nie je problem MS, to je problem zastaranych systemov a ludi ako si ty ktori vzdy vidia problem iba v druhych. Ako si myslis ze mame vo firme zabezpeceny pristup napr na sharepoint? TLS 1.2 ty ynteligent
-
Priklady... schannel, muzes to nastavit v registrech, muzes tam vypnout tls 1.0/1 ... ale kdyz to udelas, tak si dokomunikoval se vsim co ma v rodnym liste .NET. To totiz bydefault odmita pouzivat cokoli nad tls 1.1.
Tak pokud se rozhodnu sahat na konfiguraci tls, tak snad vím, co dělám a provedu nastavení komplet a né na půlce věcí. Nechápu ten argument "Nastavil jsem půlku a druhá půlka přestala fungovat". Politika je taková, že .NET apps má svojí konfiguraci a nedává smysl to ignorovat.
Zdar Max
-
https://www.theregister.com/2024/02/07/breaking_bitlocker_pi_pico/
A Lenovo laptop was used in the video, posted by user stacksmashing, although other hardware will also be vulnerable. The technique also relies on having a Trusted Platform Module (TPM) separate from the CPU. In many cases, the two will be combined, in which case the technique shown cannot be used.
However, if get your hands on a similarly vulnerable device secured with BitLocker, gaining access to the encrypted storage appears embarrassingly simple. The crux of it is sniffing out the key to the device as it is passed from TPM to CPU. The key is helpfully not encrypted.
This particular laptop had connections that could be put to use alongside a custom connector to access the signals between chips. Stir in an analyzer running on the Raspberry Pi Pico and for less than $10 in components, you can get hold of the master key for the laptop hardware.
Pro BitLocker jen s "ClearKey" je reseni tady:
https://forum.root.cz/index.php?topic=27501.msg398966#msg398966
-
Jednou jsem měl přidělen služební ntb od externí organizace, která si strašně zakládala na bezpečnosti a ochraně dat. Přihlašování skrze HW token, dálkový přístup pro jejich admina. No, disk nebyl šifrován. Upozornil jsem na to a dostal jsem následující odpověď:
"Bitlocker je k ničemu, průměrný puberťák to dokáže prolomit dle návodu na Youtubu za 15 min. Klíčová je možnost ntb na dálku vymazat při nějakém incidentu"
Podototýkám, že jsem v tomto laik, nicméně tam, kde se můžu rozhodnout, používám bitlocker s PINem. Mám z toho tak nějak lepší pocit...
Napis jmeno firmy at vime kde jsou tihle “odbornici”. Takove firme je dobre se vyhnout kdyz zamestnava kdejakeho blbce.
Asi tak, takej firme by som sa vyhol oblukom. Hlavne, ze zenpriemnuju zametnancom zivot, umoznia ich spehovanie cez vzdialeny pristup, ale tu zakladnu vec nespravia.
https://www.theregister.com/2024/02/07/breaking_bitlocker_pi_pico/
A Lenovo laptop was used in the video, posted by user stacksmashing, although other hardware will also be vulnerable. The technique also relies on having a Trusted Platform Module (TPM) separate from the CPU. In many cases, the two will be combined, in which case the technique shown cannot be used.
However, if get your hands on a similarly vulnerable device secured with BitLocker, gaining access to the encrypted storage appears embarrassingly simple. The crux of it is sniffing out the key to the device as it is passed from TPM to CPU. The key is helpfully not encrypted.
This particular laptop had connections that could be put to use alongside a custom connector to access the signals between chips. Stir in an analyzer running on the Raspberry Pi Pico and for less than $10 in components, you can get hold of the master key for the laptop hardware.
Pro BitLocker jen s "ClearKey" je reseni tady:
https://forum.root.cz/index.php?topic=27501.msg398966#msg398966
Hej, len to funguje pre jednu konkrtenu zakladnu dosku a nie je to nic nove.
...
Aby to fungovalo i na trosilinku starsim HW, proc jinak :)
Kdepak, to je dlouhodoba politika M$. Oni vzdy a vsude pouzivaji nejhorsi dostupne sifrovani, a nejhorsi dostupny hash. A to nejen jako defaultni hodnotu, bez zasahu do konfigurace se nicim lepsim ani nepripojis.
Normalni aplikace a systemy to pouzivaji samozrejme opacne - pouziji to nejlepsi na cem se s protistranou dohodnou.
Priklady... schannel, muzes to nastavit v registrech, muzes tam vypnout tls 1.0/1 ... ale kdyz to udelas, tak si dokomunikoval se vsim co ma v rodnym liste .NET. To totiz bydefault odmita pouzivat cokoli nad tls 1.1.
M$ jsou navic lhari. Verejne na webu tvrdej, ze 2k22 oficielne podporuji 1.3, coz je lez. RDP na 1.3 nebezi. Legranda je to o to vetsi, ze na w10 ano (na w11 uz zase ne). Ovsem ani w10 ve skutenosti na rdp 1.3 nepouzivaji, klient vzdy pouzije 1.2.
Pokracovat lze kuprikladu moznostmi vpn. Win aktualne obsahuji ... a ted me nekamenujte, 3 nebo 4 ruzne moznosti, jak to nastavit, ktere spolu vlastne nijak nesouviseji, zato se vzajemne mohu pekne pozrat. Kazdopadne jedna z tech moznosti je tzv "advanced firewall" tak si tam kliknete a podivejte se, co tam je k nalezeni .. 3des.
Pro pobaveni, platebni terminal dodany Komercni bankou ... take zabezpecuje vase platby pomoci naprosto aktualni a zcela bezpecne ... 3des.
Takhle to s bitlockerem opravdu nefunguje. TPM je docela pomale, takze cracknout 10ti znakove heslo bude trvat vecnost. Krome toho by default si TPM loguje pokusy a pokud je jich 32 nespravnych tak se s klicema muzes rozloucit.
Ehm ... TPM je ve vetsine pripadu placebo.
To nie je pravda, ono naozaj ide o dostupny HW, totiz to sifrovanie casto nerobi procesor ale disk. navyse na AES treba mat specificku HW podporu (aj na CPU), lebo softverove implementacie AES su citlive na time utoky.
-
Zde je video od Altair, zrovna tento týden zveřejněné. Jestli to u tazatele není náhoda tak si spíš myslím, že je to cílené sondování a zjišťování dalších informací.
https://www.youtube.com/watch?v=hWxBIoezbI0
Osobně si myslím, že je Bitlocker bezpečný, a i pro znalého uživatele s laboratoří obtížně překonatelný.