继续聊聊 BitLocker & TPM 的一些安全须知。

BitLocker 属于 Windows OS，开机后需要先启动 OS，所以 C 盘仅支持自动解密，只有其他非系统盘支持 TPM + PIN 等外部密钥手动解密。所以不要在 C 盘上放敏感信息。你可以搜索一下“BitLocker 绕过”的相关新闻，自动解密有很多安全隐患。

而且，虽然 TPM 是安全的，但是 TPM 和 CPU 间的通信是通过主板明文进行的，物理上存在飞线攻击的可能性。所以不能单纯地信任 TPM，而是要引入外部密钥，而最常用的就是 PIN。

此外，可能和很多人的直观感觉不一样的是，在全盘加密这件事上，Windows、Mac 这样的封闭系统做得比 Linux 好，甚至说 Linux 根本没有可信的全盘加密。

参考：https://laisky.notion.site/Authenticated-Boot-and-Disk-Encryption-on-Linux-65df0a1b26e848beb3c86afb7d7096df

Linux 的问题在于只使用了用户密钥对磁盘进行加解密，而解密用户磁盘依赖于 initrd，而 initrd 并不一定被度量和校验了。即使 firmware 和 initrd 被篡改，系统仍然能够不被察觉地正常启动，并询问用户密码来解密磁盘。（因为没有引入 TPM PCRs 的度量值，是否有被篡改不会影响磁盘密钥的生成）

补充介绍一下 Linux 的启动流程（极简版）：

1. UEFI 校验 OS 的签名，然后启动 initrd（内存文件系统）
2. initrd 询问用户密码，解密磁盘，加载 OS

可以看到目前很多 Linux 发行版的一个目标就是引入类似 BitLocker 这样的结合 TPM PCRs 的全盘加密（FDE）。但是，很多 Linux 用户追求的都是无需介入的 TPM 自动解密，而我们已经知道自动解密并不够安全。

Ps. 一个冷笑话，目前为止我们讨论的都是针对物理设备的攻击，此类攻击也被命名为 evil maid attack，因为是针对 at-rest 的攻击😂

next: https://t.me/laiskynotes/82