Microsoft의 BitLocker 암호화 기술은 보다 접근하기 쉬운 암호화 솔루션 중 하나로, 사용자가 안전하게 데이터를 암호화하고 위협으로부터 보호할 수 있도록 해줍니다. 그러나 BitLocker는 사람들이 생각하는 것만큼 안전하지 않은 것 같습니다. 이번 주 초, 유튜버 사용자 stacksmashing은 BitLocker 데이터를 가로채고 암호화 키를 훔쳐 시스템에 저장된 데이터를 해독하는 방법을 보여주는 비디오를 게시했습니다. 그뿐만 아니라 그는 가격이 10달러도 안 되는 Raspberry Pi Pico를 사용하여 43초 만에 해냈습니다.
공격을 수행하기 위해 그는 TPM(Trusted Platform Module)을 활용했습니다. 대부분의 컴퓨터와 노트북에서 TPM은 외부에 있으며 LPC 버스를 사용하여 CPU에서 데이터를 보내고 받습니다. Microsoft의 BitLocker는 TPM을 사용하여 플랫폼 구성 레지스터 및 볼륨 마스터 키와 같은 중요한 데이터를 저장합니다.
테스트 중에 stacksmashing은 LPC 버스가 통신 라인을 통해 CPU와 통신한다는 사실을 발견했습니다. 이러한 통신 회선은 시작 시 암호화되지 않으며 중요한 데이터를 훔칠 수 있습니다. Stacksmashing은 Raspberry PiPico를 사용하지 않는 커넥터의 금속 핀에 연결하여 부팅 시 암호화 키를 캡처합니다. RaspberryPi는 시스템 부팅 시 TPM의 바이너리 0과 1을 캡처하도록 설정되어 볼륨 마스터 키를 함께 모을 수 있습니다. 완료되면 그는 암호화된 드라이브를 제거하고 볼륨 마스터 키가 있는 잠금 해제기를 사용하여 드라이브의 암호를 해독했습니다.
마이크로소프트는 이러한 공격이 가능하지만 이를 위해서는 정교한 도구와 장치에 대한 장기간의 물리적 접근이 필요하다고 밝혔습니다. 그러나 비디오에서 볼 수 있듯이 공격을 수행할 준비가 된 사람은 1분 이내에 공격을 완료할 수 있습니다.
그러나 명심해야 할 몇 가지 주의 사항이 있습니다. 이 공격은 외부 TPM 모듈에서만 작동하며 CPU는 마더보드의 모듈에서 데이터를 가져와야 합니다. 많은 새로운 노트북 및 데스크탑 CPU에는 이제 중요한 데이터가 CPU 자체 내에 저장되고 관리되는 fTPM이 장착되어 있습니다. Microsoft에서는 이러한 공격을 차단하기 위해 BitLocker PIN을 설정할 것을 권장하지만 PIN을 구성하려면 그룹 정책을 설정해야 하므로 그렇게 하기가 쉽지 않습니다.