ПРОДОЛЖЕНИЕ СТАТЬИ

Как Windows использует TPM при авторизации входа в систему через PIN

В до­кумен­тации Microsoft опи­саны спо­собы, которы­ми Windows может исполь­зовать аппа­рат­ный модуль безопас­ности. Реаль­ность зна­читель­но скром­нее: «может» не озна­чает «исполь­зует». Так, пароли, которые поль­зователь хра­нит в бра­узе­ре Microsoft Edge, защище­ны механиз­мом DPAPI, но ключ шиф­рования хра­нит­ся на сис­темном дис­ке (он зашиф­рован дан­ными учет­ной записи) и не защища­ется TPM, что поз­воля­ет извлечь эти пароли из обра­за дис­ка, если известен пароль от учет­ной записи поль­зовате­ля.

Вмес­то того что­бы исполь­зовать TPM для хра­нения все боль­шего количес­тва дан­ных, в Microsoft попыта­лись обой­ти проб­лему, пре­дос­тавив спо­соб вхо­да в учет­ную запись по PIN-коду и без пароля. Имен­но этот спо­соб — и толь­ко на сис­темах с TPM! — поз­воля­ет говорить о безопас­ности учет­ной записи: теперь защищен­ные DPAPI дан­ные невоз­можно рас­шифро­вать, не вой­дя в сис­тему, а вой­ти в сис­тему мож­но исклю­читель­но по PIN-коду (или через Windows Hello), который будет про­верять­ся аппа­рат­ным модулем TPM. Любое изме­нение в кон­фигура­ции сис­темы (как изме­нение аппа­рат­ной час­ти, так и заг­рузка с внеш­него накопи­теля) при­ведет к тому, что модуль TPM не отдаст нуж­ный ключ и защищен­ные дан­ные рас­шифро­вать не удас­тся.

В ито­ге в обо­рудо­ван­ных TPM сис­темах с Windows 10 и Windows 11 невоз­можно взло­мать PIN-код, а в Windows 11 с новым типом учет­ных записей с авто­риза­цией без пароля его невоз­можно подоб­рать или исполь­зовать пароль от Microsoft Account, извле­чен­ный из дру­гого компь­юте­ра или учет­ной записи.

Выводы

Пе­речи­тав статью, я понял, что количес­тво информа­ции и мно­гочис­ленные отсылки, «но», «если» и «да, но…» спо­соб­ны вски­пятить содер­жимое череп­ной короб­ки не хуже, чем это дела­ет докумен­тация Microsoft. Поэто­му вмес­то зак­лючения я хочу перечис­лить основные тезисы статьи в фор­мате воп­росов и отве­тов.

Шиф­рование сис­темно­го дис­ка BitLocker безопас­но?

Да, если в сис­теме есть (и акти­виро­ван) модуль TPM, Intel PTT или AMD fTPM. Для пол­ной уве­рен­ности мож­но вклю­чить режим шиф­рования с 256-бит­ным клю­чом (по умол­чанию исполь­зует­ся 128-бит­ный). Более того, полити­ки безопас­ности BitLocker мож­но гиб­ко нас­тра­ивать (нап­ример, тре­буя ввес­ти отдель­ный PIN-код перед заг­рузкой); об этих нас­трой­ках я так­же пла­нирую написать в одной из сле­дующих ста­тей.

Но ведь… уяз­вимос­ти?

Боль­шинс­тво уяз­вимос­тей TPM носит ско­рее теоре­тичес­кий харак­тер. Более того, они не рас­простра­няют­ся на прог­рам­мную эму­ляцию в виде Intel PTT или AMD fTPM, в которых уяз­вимос­тей не обна­руже­но.

Ре­аль­ная уяз­вимость BitLocker (как, впро­чем, и мно­гих дру­гих сис­тем шиф­рования дис­ков в Windows) зак­люча­ется в хра­нении клю­ча шиф­рования в опе­ратив­ной памяти компь­юте­ра. При исполь­зовании TPM сис­темный раз­дел раз­бло­киру­ется в про­цес­се заг­рузки еще до авто­риза­ции поль­зовате­ля (то есть до зап­роса пароля или PIN-кода). Сущес­тву­ет ата­ка, в ходе которой модули опе­ратив­ной памяти физичес­ки замора­жива­ются, извле­кают­ся, а их содер­жимое счи­тыва­ется и ана­лизи­рует­ся. Эта ата­ка дей­стви­тель­но поз­воля­ет обна­ружить ключ шиф­рования и раз­бло­киро­вать диск. В то же вре­мя такая ата­ка тре­бует обо­рудо­ван­ной лабора­тории и работы ква­лифи­циро­ван­ного спе­циалис­та; она и подоб­ные ей ата­ки исполь­зуют­ся исклю­читель­но спец­служ­бами при рас­сле­дова­нии осо­бо важ­ных дел.

За что ты так не любишь Windows 10?

А почему она про­дол­жает работать, если в сис­теме нет TPM? И лад­но бы про­дол­жала работать, так ведь пред­лага­ет нас­тро­ить вход по PIN-коду вмес­то пароля! Для справ­ки: ско­рость перебо­ра паролей NTLM такова, что циф­ровой PIN-код, даже сос­тоящий из шес­ти цифр, переби­рает­ся за нес­коль­ко секунд. Да, эта проб­лема реша­ется вклю­чени­ем TPM (тог­да PIN-код подоб­рать невоз­можно), но воз­ника­ет дру­гая: в учет­ную запись Microsoft мож­но вой­ти, если известен пароль от нее.

Но ведь мож­но не исполь­зовать учет­ную запись Microsoft?

Мож­но. Но не во всех редак­циях Windows. И ты про­игры­ваешь в удобс­тве (наруша­ется прес­ловутый баланс удобс­тва и безопас­ности).

Так ведь и BitLocker дос­тупен не во всех редак­циях Windows!

С точ­ки зре­ния Microsoft, поль­зовате­лям «домаш­ней» редак­ции по опре­деле­нию «скры­вать нечего». Если ты с этим не сог­ласен — тебе поможет VeraCrypt, о котором мы погово­рим в одной из сле­дующих ста­тей.

Ес­ли я обновлюсь на Windows 11 и зашиф­рую диск, все ста­нет безопас­но?

Поч­ти. Не забудь еще вык­лючить вход в учет­ную запись по паролю; тог­да и толь­ко тог­да PIN-код будет защищен TPM. И кста­ти, про­кон­тро­лируй, куда кон­крет­но сох­раня­ется ключ вос­ста­нов­ления дос­тупа BitLocker. Если в твою учет­ную запись Microsoft, то извлечь его отту­да — дело нес­ложное.

А если не обновлюсь?

В прин­ципе, срав­нимого с прак­тичес­кой точ­ки зре­ния уров­ня безопас­ности мож­но дос­тичь, исполь­зуя локаль­ную учет­ную запись Windows со стой­ким уни­каль­ным паролем. В теории Windows 11 будет безопас­нее за счет воз­можнос­ти пол­ностью отка­зать­ся от спо­собов авто­риза­ции, не защищен­ных аппа­рат­ным спо­собом (TPM).

Мож­но ли взло­мать PIN?

Да, мож­но — если в сис­теме нет (или не акти­виро­ван) TPM. Если же TPM акти­вен, то аппа­рат­ный модуль будет огра­ничи­вать ско­рость перебо­ра, а через какое‑то вре­мя заб­локиру­ет даль­нейшие попыт­ки.

А если у меня нет TPM?

Ес­ли твой компь­ютер осна­щен про­цес­сором Intel 8-го поколе­ния или более новым либо AMD Zen или более новым, то, веро­ятнее все­го, фун­кци­ональ­ность TPM у тебя есть в виде эму­лято­ра (Intel PTT, AMD fTPM), прос­то не вклю­чена в UEFI BIOS. Най­ди и вклю­чи.

Ес­ли же у тебя более ста­рый компь­ютер, то есть вари­анты. О них я пла­нирую написать в сле­дующей статье.

Источник

Onion Market — свободный р2р-обменник в Telegram. У нас есть XMR, BTC, USDT.TRC20.