Microsoft の BitLocker 暗号化テクノロジは、よりアクセスしやすい暗号化ソリューションの 1 つであり、ユーザーはデータを安全に暗号化し、脅威から保護できます。ただし、BitLocker は人々が考えているほど安全ではないようです。今週初めに、YouTuber ユーザーの stacksmashing が、BitLocker データを傍受し、暗号化キーを盗み、システムに保存されているデータを復号化する方法を示すビデオを投稿しました。それだけでなく、彼はおそらく 10 ドル未満の価格の Raspberry Pi Pico を使用して、それを 43 秒で完了しました。
攻撃を実行するために、彼はトラステッド プラットフォーム モジュール (TPM) を利用しました。ほとんどのコンピューターやラップトップでは、TPM は外部にあり、LPC バスを使用して CPU とのデータの送受信を行います。 Microsoft の BitLocker は、TPM を利用して、プラットフォーム構成レジスタやボリューム マスター キーなどの重要なデータを保存します。
テスト中に、スタックスマッシングは、LPC バスが通信回線を介して CPU と通信していることを発見しました。これらの通信回線は起動時に暗号化されていないため、重要なデータが盗まれる可能性があります。 Stacksmashing は、Raspberry PiPico を未使用のコネクタの金属ピンに接続し、起動時に暗号化キーをキャプチャします。 RaspberryPi は、ボリューム マスター キーを結合できるように、システム起動時に TPM のバイナリ 0 と 1 をキャプチャするように設定されています。完了したら、暗号化されたドライブを削除し、ボリューム マスター キーを使用してロック解除ツールを使用してドライブを復号化しました。
Microsoftは、こうした攻撃の可能性は指摘しているが、それには高度なツールとデバイスへの長時間の物理的アクセスが必要になると述べている。ただし、ビデオが示すように、攻撃を実行する準備ができている人は 1 分以内に攻撃を完了できます。
ただし、留意すべき注意点がいくつかあります。この攻撃は外部 TPM モジュールに対してのみ機能し、CPU はマザーボード上のモジュールからデータを取得する必要があります。現在、多くの新しいラップトップおよびデスクトップ CPU には fTPM が搭載されており、重要なデータは CPU 自体の内部に保存および管理されます。 Microsoft は、これらの攻撃をブロックするために BitLocker PIN を設定することを推奨していますが、PIN を構成するにはグループ ポリシーを設定する必要があるため、これは簡単ではありません。