공격자로부터 BitLocker로 암호화된 파일을 보호하는 방법

Windows에 내장된 암호화 기술인 BitLocker는 최근 몇 가지 히트를 기록했습니다. 최근 익스플로잇은 암호화 키를 추출하기 위해 컴퓨터의 TPM 칩을 제거하는 것으로 나타났으며 많은 하드 드라이브가 BitLocker를 손상시키고 있습니다. 다음은 BitLocker의 함정을 피하는 방법입니다.

이러한 공격에는 모두 컴퓨터에 대한 물리적 액세스가 필요합니다. 랩톱을 훔친 도둑이나 다른 사람이 데스크톱 PC에 액세스하여 허락 없이 파일을 보는 것을 막는 것이 암호화의 핵심입니다.

Windows Home에서 표준 BitLocker를 사용할 수 없음

거의 모든 최신 소비자 운영 체제는 기본적으로 암호화와 함께 제공되지만 Windows 10은 여전히 ​​모든 PC에서 암호화를 제공하지 않습니다. Mac, Chromebook, iPad, iPhone 및 Linux 배포판에서도 모든 사용자에게 암호화를 제공합니다. 그러나 Microsoft는 여전히 BitLocker를 Windows 10 Home과 번들로 제공하지 않습니다.

일부 PC에는 Microsoft가 원래 “장치 암호화”라고 불렀고 이제는 “BitLocker 장치 암호화”라고 부르는 유사한 암호화 기술이 함께 제공될 수 있습니다. 다음 섹션에서 다루겠습니다. 그러나 이 장치 암호화 기술은 전체 BitLocker보다 제한적입니다.

공격자가 이를 악용하는 방법: 악용할 필요가 없습니다! Windows Home PC가 암호화되지 않은 경우 공격자가 하드 드라이브를 제거하거나 PC에서 다른 운영 체제를 부팅하여 파일에 액세스할 수 있습니다.

솔루션: Windows 10 Professional로 업그레이드하고 BitLocker를 활성화하려면 $99를 지불하십시오. 또한 무료인 TrueCrypt의 후속 제품인 VeraCrypt와 같은 다른 암호화 솔루션을 시도해 볼 수도 있습니다.

BitLocker가 Microsoft에 키를 업로드하는 경우가 있습니다.

많은 최신 Windows 10 PC에는 “장치 암호화”라는 암호화 유형이 함께 제공됩니다. PC에서 지원하는 경우 Microsoft 계정(또는 회사 네트워크의 도메인 계정)으로 PC에 로그인하면 자동으로 암호화됩니다. 그러면 복구 키가 Microsoft 서버(또는 도메인의 조직 서버)에 자동으로 업로드됩니다.

이렇게 하면 파일 손실을 방지할 수 있습니다. Microsoft 계정 암호를 잊어버려 로그인할 수 없는 경우에도 계정 복구 프로세스를 사용하여 암호화 키에 다시 액세스할 수 있습니다.

공격자가 이를 악용할 수 있는 방법: 이것은 암호화하지 않는 것보다 낫습니다. 그러나 이는 Microsoft가 영장과 함께 정부에 암호화 키를 공개해야 할 수 있음을 의미합니다. 또는 더 나쁜 것은 공격자가 이론적으로 Microsoft 계정의 복구 프로세스를 악용하여 계정에 액세스하고 암호화 키에 액세스할 수 있다는 것입니다. 공격자가 PC 또는 하드 드라이브에 물리적으로 액세스할 수 있는 경우 암호 없이도 해당 복구 키를 사용하여 파일을 해독할 수 있습니다.

솔루션: Windows 10 Professional로 업그레이드하는 데 99달러를 지불하고 제어판을 통해 BitLocker를 활성화하고 메시지가 표시될 때 복구 키를 Microsoft 서버에 업로드하지 않도록 선택합니다.

많은 솔리드 스테이트 드라이브가 BitLocker 암호화를 깨뜨립니다.

일부 솔리드 스테이트 드라이브는 “하드웨어 암호화” 지원을 광고합니다. 시스템에서 이러한 드라이브를 사용하고 BitLocker를 활성화하면 Windows는 드라이브가 작업을 수행하고 일반적인 암호화 기술을 수행하지 않도록 신뢰합니다. 결국 드라이브가 하드웨어에서 작업을 수행할 수 있다면 더 빨라야 합니다.

단 한 가지 문제가 있습니다. 연구원들은 많은 SSD가 이를 제대로 구현하지 않는다는 것을 발견했습니다. 예를 들어 Crucial MX300은 기본적으로 빈 암호로 암호화 키를 보호합니다. Windows에서는 BitLocker가 활성화되어 있다고 말할 수 있지만 실제로는 백그라운드에서 많은 작업을 수행하지 않을 수 있습니다. 무섭습니다. BitLocker는 SSD를 조용히 신뢰하여 작업을 수행해서는 안 됩니다. 이것은 새로운 기능이므로 이 문제는 Windows 10에만 영향을 미치고 Windows 7에는 영향을 미치지 않습니다.

공격자가 이를 악용할 수 있는 방법: Windows에서는 BitLocker가 활성화되어 있다고 말할 수 있지만 BitLocker는 가만히 앉아 SSD가 데이터를 안전하게 암호화하지 못하게 할 수 있습니다. 공격자는 잠재적으로 솔리드 스테이트 드라이브에 잘못 구현된 암호화를 우회하여 파일에 액세스할 수 있습니다.

해결 방법: Windows 그룹 정책의 “고정 데이터 드라이브에 대한 하드웨어 기반 암호화 사용 구성” 옵션을 “사용 안 함”으로 변경합니다. 이 변경 사항을 적용하려면 나중에 드라이브를 암호화 해제하고 다시 암호화해야 합니다. BitLocker는 드라이브 신뢰를 중단하고 하드웨어 대신 소프트웨어에서 모든 작업을 수행합니다.

TPM 칩 제거 가능

보안 연구원은 최근 또 다른 공격을 시연했습니다. BitLocker는 컴퓨터의 TPM(신뢰할 수 있는 플랫폼 모듈)에 암호화 키를 저장합니다. TPM은 변조를 방지해야 하는 특수한 하드웨어입니다. 불행히도 공격자는 다음을 사용할 수 있습니다. $27 FPGA 보드 및 일부 오픈 소스 코드 TPM에서 추출합니다. 이렇게 하면 하드웨어가 파괴되지만 키를 추출하고 암호화를 우회할 수 있습니다.

공격자가 이를 악용할 수 있는 방법: 공격자가 귀하의 PC를 가지고 있는 경우 이론적으로 하드웨어를 변조하고 불가능하다고 여겨지는 키를 추출하여 모든 멋진 TPM 보호를 우회할 수 있습니다.

해결 방법: 그룹 정책에서 사전 부팅 PIN을 요구하도록 BitLocker를 구성합니다. “TPM으로 시작 PIN 필요” 옵션은 Windows가 시작 시 PIN을 사용하여 TPM을 잠금 해제하도록 합니다. Windows가 시작되기 전에 PC를 부팅할 때 PIN을 입력해야 합니다. 그러나 이렇게 하면 추가 보호 기능으로 TPM이 잠기며 공격자는 PIN을 모르면 TPM에서 키를 추출할 수 없습니다. TPM은 무차별 대입 공격으로부터 보호하므로 공격자가 모든 PIN을 하나씩 추측할 수 없습니다.

잠자는 PC는 더 취약합니다

Microsoft는 최대 보안을 위해 BitLocker를 사용할 때 절전 모드를 비활성화할 것을 권장합니다. 최대 절전 모드는 괜찮습니다. PC를 최대 절전 모드에서 깨우거나 정상적으로 부팅할 때 BitLocker에서 PIN을 요구하도록 설정할 수 있습니다. 그러나 절전 모드에서 PC는 RAM에 저장된 암호화 키와 함께 전원이 켜진 상태로 유지됩니다.

공격자가 이를 악용할 수 있는 방법: 공격자가 귀하의 PC를 가지고 있는 경우 PC를 깨우고 로그인할 수 있습니다. Windows 10에서는 숫자 PIN을 입력해야 할 수 있습니다. PC에 대한 물리적 액세스를 통해 공격자는 DMA(직접 메모리 액세스)를 사용하여 시스템 RAM의 내용을 가져오고 BitLocker 키를 얻을 수도 있습니다. 공격자는 콜드 부팅 공격을 실행할 수도 있습니다. 실행 중인 PC를 재부팅하고 키가 사라지기 전에 RAM에서 키를 가져옵니다. 이것은 온도를 낮추고 그 과정을 늦추기 위해 냉동고를 사용하는 것을 포함할 수도 있습니다.

해결책: PC를 잠자기 상태로 두지 말고 최대 절전 모드로 전환하거나 종료하십시오. 부팅 전 PIN을 사용하여 부팅 프로세스를 보다 안전하게 만들고 콜드 부팅 공격을 차단합니다. BitLocker는 부팅 시 PIN을 요구하도록 설정된 경우 최대 절전 모드에서 다시 시작할 때도 PIN을 요구합니다. Windows에서는 “이 컴퓨터가 잠겨 있을 때 새 DMA 장치 비활성화” 그룹 정책 설정을 통해서도 실행됩니다. 이는 공격자가 PC가 실행되는 동안 PC를 탈취하더라도 어느 정도 보호를 제공합니다.

주제에 대해 좀 더 읽고 싶다면 Microsoft에 대한 자세한 문서가 있습니다. Bitlocker 보안 웹사이트에서.