Hacker News 의견

• BitLocker는 TPM(PCR 7+11)과 PIN을 함께 사용할 때 가장 큰 이점을 제공함. PIN 없이 FVEK를 읽을 수 없으며, 잘못된 PIN 입력이 많을 경우 TPM이 사전 공격 잠금 모드로 전환됨

  • Linux에서 비슷한 설정을 시도 중이며, systemd-cryptsetup/cryptenroll은 LUKS 전용이라 fscrypt로 민감한 디렉토리를 암호화하려고 함
  • TPM은 기본적인 것 이상을 구현할 때 매우 어려움
  • 개인 프로젝트로 진행 중이며, 완료되면 작성할 예정임

• BitLocker의 보안 모델을 이해하지 못함. 대부분의 설치에서는 전원 버튼을 눌러 Windows로 부팅됨

  • 암호화된 하드 드라이브를 가진 기계를 도난당하면 그냥 켜면 되는 것인지 의문임
  • SPI 버스의 트래픽이 암호화되어 있어야 한다고 가정하지만, 기계가 쉽게 키를 제공할 것 같음
  • LUKS는 드라이브 잠금을 해제하기 위한 비밀번호 프롬프트가 있음

• 특정 공격은 PC 클라이언트 작업 그룹 플랫폼 재설정 공격 완화 사양으로 완전히 방어됨

  • 운영 체제가 깨끗하게 종료되지 않으면 펌웨어가 RAM을 지우고 다음 부팅 전에 멈춤
  • Windows가 이를 사용하지 않는지, 테스트된 시스템이 구현하지 않았는지 궁금함

• 기사 작성자임. 질문이 있으면 메시지 보내달라고 함. 작업이 재미있었고 참여에 감사함

• Windows 11 BitLocker 우회에 관한 38C3 관련 토크가 있음

• 물리적 접근이 가능한 임의의 적이 외부에서 "갑작스러운 재시작"을 할 수 없는 "엔터프라이즈" 기계가 있음

  • 대중적으로 사용되는 OEM이 여전히 "갑작스러운 재시작"을 쉽게 허용하는 것이 아쉬움

• BitLocker는 컴퓨터가 꺼져 있을 때만 보호하며, 부팅 비밀번호를 요구하도록 구성해야 함

• Windows는 메모리 암호화 옵션과 메모리 압축을 제안함

  • Intel과 AMD는 이를 CPU에 내장하려고 작업 중이며, 대상은 노트북이 아닌 다중 VM을 가진 서버임

• 대상 기계의 메모리 덤프를 읽는 익스플로잇에 대해 물리적 접근이 가능할 때 "인터포저" 장치가 데이터를 복사하거나 수정하는 것이 가능한지 궁금함

  • Gameboy의 "Action Replay" 장치처럼 메모리를 수정하는 것이 가능한지 의문임
  • RAM과 마더보드 사이에 장치를 삽입하여 메모리 상태를 캡처할 수 있는지 궁금함
  • 전기공학자가 아니어서 제안이 비현실적일 수 있지만, 물리적 공간과 대역폭 제한이 있을 것 같음

• BitLocker 암호화 디스크를 가진 Surface 5 Pro가 부팅 중 BSOD로 빠르게 전환됨

  • 이 상황에서 작동할 수 있을지 궁금하며, 디스크에서 사진을 추출하기 위한 익스플로잇을 기다리고 있음