BitLocker的运转原理
BitLocker驱动器加密它是在Windows Vista中新增的一种数据维护功用，首要用于处理一个人们越来越关怀的问题：由核算机设备的物理丢掉导致的数据失窃或歹意走漏。在新一代操作体系Windows 8.1中也能运用此加密驱动。伴随Windows Server 2008一起发布的有BitLocker实用程序，该程序能够经过加密逻辑驱动器来维护重要数据，还供给了体系发动完整性查看功用。
BitLocker运用TPM协助维护Windows操作体系和用户数据，并协助保证核算机即使在无人参加、丢掉或被盗的情况下也不会被篡改。
受信赖的渠道模块(Trusted Platform Module，TPM)是一个内置在核算机中的微芯片。它用于存储加密信息，如加密密钥。存储在TPM上的信息会更安全，防止遭到外部软件进犯和物理偷盗。BitLocker可加密存储于Windows操作体系卷上的一切数据，默许情况下，运用TPM以保证前期发动组件的完整性（组件用于发动进程的更早时期），以及“确定”任何BitLocker维护卷，使之在即使核算机遭到篡改也得到维护。
可是BitLocker有一项缺乏，翻开加密盘后，再次进入就不需求暗码了，那么怎么才干使每次拜访加密盘都要暗码呢？这恐怕是微软后续改善的问题了，可是现在，咱们能够在开端任务栏里输入“cmd”，然后以管理员身份运转，输入 manage-bde（空格）-lock（空格）X：，x为加密磁盘盘符。这样就能够再次锁住加密盘了。
Windows BitLocker驱动器加密经过加密Windows操作体系卷上存储的一切数据能够更好地维护核算机中的数据。假如核算机装置了兼容TPM，BitLocker将运用TPM确定维护数据的加密密钥。因而，在TPM已验证核算机的状况之后，才干拜访这些密钥。加密整个卷能够维护一切数据，包含操作体系本身、Windows注册表、临时文件以及休眠文件。由于解密数据所需的密钥坚持由TPM确定，因而进犯者无法经过仅仅取出硬盘并将其装置在另一台核算机上来读取数据。
在发动进程中，TPM将开释密钥，该密钥仅在将重要操作体系装备值的一个哈希值与一个先前所拍照的快照进行比较之后解锁加密分区。这将验证Windows发动进程的完整性。假如TPM检测到Windows装置已被篡改，则不会开释密钥。
默许情况下，BitLocker装置导游装备为与TPM无缝运用。管理员能够运用组策略或脚本启用其他功用和选项。为了增强安全性，能够将TPM与用户输入的PIN或存储在USB闪存驱动器上的发动密钥组合运用。在不带有兼容TPM的核算机上，BitLocker能够供给加密，而不供给运用TPM确定密钥的其他安全。在这种情况下，用户需求创立一个存储在USB闪存驱动器上的发动密钥。
TPM的运转原理
TPM是一个微芯片，规划用于供给根本安全性相关功用，首要触及加密密钥。TPM一般装置在台式核算机或许便携式核算机的主板上，经过硬件总线与体系其余部分通讯。
兼并了TPM的核算机能够创立加密密钥并对其进行加密，以便只能够由TPM解密。此进程一般称作“掩盖”或“绑定”密钥，能够协助防止走漏密钥。每个TPM有一个主掩盖密钥，称为“存储根密钥(SRK)”，它存储在TPM的内部。在TPM中创立的密钥的隐私部分从不露出给其他组件、软件、进程或许人员。
兼并了TPM的核算机还能够创立一个密钥，该密钥不只被掩盖，并且还被连接到特定硬件或软件条件。这称为“密封”密钥。初次创立密封密钥时，TPM将记载装备值和文件哈希的快照。仅在这些其时体系值与快照中的值相匹配时才“解封”或开释密封密钥。BitLocker运用密封密钥检测对Windows操作体系完整性的进犯。
运用TPM，密钥对的隐私部分在操作体系控制的内存之外独自保存。由于TPM运用本身的内部固件和逻辑电路来处理指令，所以它不依赖于操作体系，也不会受外部软件缝隙的影响。
怎么从TPM中提取BitLocker私钥
默许情况下，能够经过嗅探LPC总线，在TPM回来时检索卷的主密钥（Volume Master Key，VMK），并运用检索到的VMK解密受维护的驱动器来拜访Microsoft BitLocker维护的操作体系驱动器。本文将介绍怎么经过运用逻辑分析仪或廉价的FPGA开发板嗅探LPC总线，从TPM芯片中提取明文密钥。FPGA（Field－ProgrammableGateArray），即现场可编程门阵列，它是在PAL、GAL、CPLD等可编程器材的基础上进一步开展的产品。它是作为专用集成电路（ASIC）领域中的一种半定制电路而呈现的，既处理了定制电路的缺乏，又克服了原有可编程器材门电路数有限的缺陷。LPC总线，原名叫Low pin count Bus，是在IBM PC兼容机中用于把低带宽设备和“老旧”连接到CPU上。那些常见低速设备有：BIOS，串口，并口，PS/2的键盘和鼠标，软盘控制器，比较新的设备有TPM。
本文演示了对运用TPM1.2芯片的惠普笔记本电脑逻辑板和运用TPM2.0芯片的Surface Pro 3的进犯，办法便是从总线连接到卷解密，包含源代码。
当破解大神Hector Martin（@marcan）说到他能够直接从LPC总线上嗅探到BitLocker VMK时，我其时就有从 TPM 中提取 BitLocker 私钥的主意。 Hector运用FPGA来嗅探TPM1.2芯片的总线，可是我想看看我是否能用廉价的逻辑分析仪完成相同的功用并测验进犯TPM2.0芯片。
留意：你能够运用十分廉价的FPGA (~$40NZD)和现在揭露可用的代码，或许运用十分高档的逻辑分析仪，从TPM1.2或TPM2.0设备中嗅探默许装备中的BitLocker密钥。嗅探后，你能够解密驱动器。假如解密不成功，你就要启用其他预发动身份验证。
怎么从TPM中提取BitLocker私钥的思路

[1] [2] [3] [4]  黑客接单网