◆吳 彬 郭 帥

?

BITLOCKER解密技術(shù)在取證中的研究與應(yīng)用

◆吳 彬1郭 帥2

(1.上海市公安局 上海 200025；2.盤石軟件（上海）有限公司 上海 200333)

針對BitLocker加密技術(shù)對磁盤的數(shù)據(jù)保護使電子取證無法進行離線分析，使案件調(diào)查人員無法獲取磁盤上的調(diào)查信息的問題，本文對BitLocker加密技術(shù)原理進行調(diào)查研究，提出了一種可以脫離Windows操作系統(tǒng)獨立對BitLocker加密卷或磁盤鏡像進行解密的離線解密方法以獲取磁盤中存放的原始數(shù)據(jù)。本文分析了BitLocker加密技術(shù)的原理，并從物理磁盤中存放的數(shù)據(jù)中找出相應(yīng)密碼的存放位置以及加密算法標志，之后通過用戶密碼或恢復(fù)秘鑰進行解密得到相應(yīng)的全卷秘鑰并對磁盤進行解密。實驗證明了該種方法在電子取證中的可行性。

BitLocker；電子取證；數(shù)據(jù)安全；VMK秘鑰；FVEK秘鑰

0 引言

BitLocker驅(qū)動器加密功能是微軟開發(fā)的最早應(yīng)用在Vista系統(tǒng)上的一種磁盤加密技術(shù)，這種加密算法給用戶數(shù)據(jù)的安全性和可靠性帶來了有效的保障。微軟在之后推出的新版本的操作系統(tǒng)中都對BitLocker功能以及安全性進行了改進，BitLocker已經(jīng)成為了用戶日常生活中常見的加密技術(shù)之一。BitLocker最初的設(shè)計是針對用戶筆記本電腦丟失會造成機密信息泄露而設(shè)計的，這些重要信息的泄露往往會造成比筆記本丟失更大的損失[1]。當(dāng)電腦丟失時，作案人員可以很輕松地把磁盤驅(qū)動器從筆記本電腦中取出，并把它作為輔助驅(qū)動器連接到第二臺機器上，之后就可以使用管理員權(quán)限訪問所有數(shù)據(jù)。為解決這樣的問題，用戶以前的常用做法是通過用戶密碼或者智能令牌運行一個低級別的磁盤加密驅(qū)動，但是這樣的做法每次都需要用戶進行更多地額外操作，大多數(shù)用戶并沒有選擇這樣的解決方案，因此大多數(shù)筆記本電腦的數(shù)據(jù)安全并沒有得到保護。

BitLocker驅(qū)動器加密技術(shù)可以通過計算機的可信平臺模塊（Trusted Platform Module，TPM）、USB啟動秘鑰、用戶密碼或者系統(tǒng)恢復(fù)秘鑰來正常引導(dǎo)啟動系統(tǒng)以及解密磁盤數(shù)據(jù)。其主要功能涵蓋了全盤數(shù)據(jù)加密、分區(qū)數(shù)據(jù)加密以及針對移動存儲設(shè)備的BitLocker To Go功能。BitLocker強大的數(shù)據(jù)保護功能保證了在對用戶體驗基本沒有影響的情況下解決了用戶信息泄露的危險，但它同時也給計算機取證過程中帶了巨大的麻煩。當(dāng)磁盤從電腦中取出后，調(diào)查人員很難從磁盤或者鏡像中獲取原來存有的數(shù)據(jù)信息，針對這一情況本文提出了一種BitLocker加密卷的解密方法。

在文章的第一部分主要介紹了BitLocker的基本機制以及秘鑰結(jié)構(gòu)；之后在第二部分介紹了BitLocker的數(shù)據(jù)的加密解密原理；第三部分為該方法在實際取證過程中的應(yīng)用與驗證；最后是論文的工作總結(jié)與展望。

1 BITLOCKER驅(qū)動器加密機制

2014年5月，在加密軟件中享譽盛名的TrueCrypt宣布停止更新運營，并在他的官網(wǎng)上告知用戶TrueCrypt存在重大漏洞并不安全，同時建議TrueCrypt用戶將加密數(shù)據(jù)遷移到BitLocker驅(qū)動加密系統(tǒng)[1]。BitLocker受到了公眾的普遍認可，越來越多的用戶開始使用BitLocker來保護自己的磁盤數(shù)據(jù)。BitLocker的加密使用AES128位秘鑰或者AES256位秘鑰對磁盤進行加密。在使用BitLocker對數(shù)據(jù)進行加密解密時是以扇區(qū)為基礎(chǔ)單位的，因此每個扇區(qū)的加密解密都獨立與其他扇區(qū)，更大程度地保障了數(shù)據(jù)的安全性。由于磁盤沒有更多的空間存放額外的數(shù)據(jù)信息，通過扇區(qū)級的加密解密保障了密文的長度和明文的長度總是相等的。在本章節(jié)中，我們將詳細介紹BitLocker的秘鑰結(jié)構(gòu)以及算法機制。

1.1 BitLocker的秘鑰管理系統(tǒng)

BitLocker驅(qū)動器加密使用三級加密的方式對磁盤中的數(shù)據(jù)進行保護，底層的秘鑰需要使用上層的秘鑰進行加解密，在減少秘鑰存放空間的前提下使數(shù)據(jù)的安全得到了更好的保障[3]。對扇區(qū)的數(shù)據(jù)加密時，BitLocker使用全卷加密秘鑰（Full Volume Encryption Key，F(xiàn)VEK），F(xiàn)VEK又通過卷主密鑰進行加密（Volume Master Key，VMK），VMK則可以通過用戶的選擇來使用各種不同的秘鑰進行加密，包括PIN碼、USB啟動秘鑰、用戶密碼以及恢復(fù)秘鑰[2]。

（1）FVEK

圖1 128位/256位AES秘鑰結(jié)構(gòu)圖

FVEK是BitLocker的第一層秘鑰，用來加密每個扇區(qū)中的數(shù)據(jù)，F(xiàn)VEK可以通過VMK加密并且以加密之后的形式存儲在磁盤加密數(shù)據(jù)中。FVEK用于對所選擇的磁盤中的靜態(tài)數(shù)據(jù)進行加密，因此它是BitLocker驅(qū)動器加密算法中最核心的秘鑰。FEVK的核心部分AES擴展秘鑰的形式存儲，根據(jù)用戶的選擇不同分為128位和256位兩種，但無論是128位秘鑰還是256位其實際長度都是256位。其存儲格式如圖1所示：當(dāng)用戶選擇使用AES256位秘鑰時，其長度為256位，所有的256都用來進行加密；而AES128位秘鑰的長度仍然是256位，但僅有前128位被用來加密，后128位為空[4]。

圖2 128位/256位FVEK秘鑰結(jié)構(gòu)圖

如圖2所示，AES秘鑰和256位的Sector秘鑰共同組成了512位的FEVK秘鑰。Sector秘鑰和AES秘鑰的結(jié)構(gòu)相同，當(dāng)使用AES128位秘鑰時，其前128位是秘鑰部分，后128位為空；當(dāng)使用AES256位秘鑰時，整個256位的Sector秘鑰都用來加密。

（2）VMK

在BitLocker驅(qū)動器加密的秘鑰管理系統(tǒng)中，VMK是第二層秘鑰，被用來加密FEVK。和FEVK一樣，多個不同的VMK同樣被存儲在BitLocker的加密卷上。每一個不同的VMK都是由不同的方式進行加密的，通過這些不同方法可以允許用戶通過不同的方式訪問BitLocker加密卷。VMK的存儲格式和FVEK相似，都采用256位大小。表1為不同VMK的存儲值。

表1 VMK存儲值

（3）解密秘鑰

如表1中所示，BitLocker有多種解密秘鑰，解密秘鑰為BitLocker驅(qū)動器加密系統(tǒng)的第三層秘鑰。在計算機取證工作中主要用的有恢復(fù)秘鑰和用戶密碼，因此本文將主要介紹這兩種解密秘鑰，其他的將不再描述。

BitLocker驅(qū)動器加密系統(tǒng)提供了一個恢復(fù)秘鑰用于解密BitLocker加密卷。恢復(fù)秘鑰的文件是在BitLocker驅(qū)動器啟動的時候由系統(tǒng)生成的，其格式與“289465-674003-028732-226457-071797-568612-278597-553146”相似，由48位數(shù)字組成，且這個數(shù)字能被11整除余0?；謴?fù)秘鑰除以11之后得到一個16位的值，這個值構(gòu)成了一個128位的秘鑰。用戶密碼與恢復(fù)秘鑰相似，同樣可以計算得到一個128位的秘鑰，在此不詳細描述。

1.2 BitLocker的加密機制

BitLocker驅(qū)動器加密共有6種加密方法，其值如表2所示[4]。以最復(fù)雜的AES-CBC + diffuser模式舉例，BitLocker加密卷從明文轉(zhuǎn)換成密文的流程如圖3所示：明文首先經(jīng)過Sector Key進行異或操作，之后經(jīng)過兩次擴散，最后再通過AES算法進行加密，解密的過程是與之相反的一個逆過程。

表2 加密方法存儲值

圖3 BitLocker加密卷密文轉(zhuǎn)化流程圖

當(dāng)明文被FVEK加密轉(zhuǎn)換成密文之后，F(xiàn)VEK被VMK加密存儲于加密卷之中，VMK又被用戶采用的密碼加密同樣儲存在磁盤中。因此，當(dāng)VMK被破解時，系統(tǒng)就可以通過簡單地更換一個新的VMK對FVEK進行加密就可以了，而不需要重新對數(shù)據(jù)解密之后再進行加密。

2 BitLocker加密卷的解密

對BitLocker加密卷的解密工作其實是一個加密的逆過程，首先使用相應(yīng)的解密秘鑰解密VMK，再使用解密后的VMK解密FVEK，最后使用解密后的FVEK解密磁盤數(shù)據(jù)。因此，想要解密BitLocker加密卷，首先要了解它的磁盤數(shù)據(jù)存儲格式，這在本章的第一小節(jié)中將詳細介紹，在本章的第二小節(jié)中將介紹本文提出的解密方法。

2.1 BitLocker加密卷結(jié)構(gòu)

在BitLocker加密卷中，幾乎所有的數(shù)據(jù)都是以密文的形式存儲的，但卷頭以及元數(shù)據(jù)塊中的數(shù)據(jù)仍然以明文的格式存儲，整個BitLocker的加密卷的結(jié)構(gòu)如圖4所示。

圖4 BitLocker加密卷結(jié)構(gòu)圖

BitLocker加密卷的卷頭部分為512字節(jié)，不同版本的BitLocker卷頭格式基本相同，僅在扇區(qū)信息以及元數(shù)據(jù)塊的信息上略有不同。以Windows 7版本為例，其卷頭格式如表3所示（本文之后的格式舉例均默認為Windows 7版本，不再做特殊說明）。

表3 BitLocker加密卷卷頭

每一個BitLocker加密卷中存儲著三個相同的元數(shù)據(jù)塊，根據(jù)卷頭中的元數(shù)據(jù)塊偏移信息可以找到相應(yīng)的元數(shù)據(jù)塊，并從中讀取信息。每個元數(shù)據(jù)塊中包含有卷頭、元數(shù)據(jù)頭以及一組元數(shù)據(jù)條目。元數(shù)據(jù)塊頭的大小為64字節(jié)，其中存儲了版本、大小、加密卷的大小以及一些偏移信息，其具體格式如表4所示。

表4 元數(shù)據(jù)塊頭

元數(shù)據(jù)的條目信息中包含了條目的大小以及條目的類型和值的類型兩個重要的數(shù)據(jù)，條目信息的大小由數(shù)據(jù)的大小決定，其具體格式如表5所示。表6和表7分別為條目的類型以及值的類型。

表5 元數(shù)據(jù)條目

表6 元數(shù)據(jù)條目的類型

表7 元數(shù)據(jù)值的類型

2.2 BitLocker加密卷的解密方法

根據(jù)上文介紹的BitLocker加密卷存儲結(jié)構(gòu)，我們可以很輕易地找到存儲在加密磁盤中經(jīng)過加密的VMK和FVEK。因此，在接下來的工作中只需要考慮選用相應(yīng)的解密秘鑰對其進行解密即可，在本文中主要討論恢復(fù)秘鑰和用戶密碼兩種。如上文中所述，恢復(fù)秘鑰或者用戶密碼經(jīng)過計算之后可以得到相應(yīng)的key，即用來解密VMK的salt值。

解密VMK的具體步驟如下：

（1）計算得到相應(yīng)的解密salt值；

（2）計算相應(yīng)VMK的sha256初始；

（3）通過salt值和sha256值循環(huán)計算sha256值并將結(jié)果更新；

（4）重復(fù)（3）的步驟1048564（0x100000）次；

（5）更新計算得到的sha256值到last_sha256離散值中用來解密FVEK。

解密完VMK之后的步驟無論使用哪種解密秘鑰都是相同的，即僅有唯一的last_sha256散列值用來解密FVEK。圖5為BitLocker加密卷的解密流程圖綜上所述，BitLocker加密卷的解密流程如下：

（1）當(dāng)解密BitLocker加密卷時，我們首先根據(jù)卷頭的第4字節(jié)的BitLocker簽名"-FVE-FS-"判斷是否為BitLocker加密卷，如果不是則結(jié)束，是則進行下一步；

（2）當(dāng)需要解密的卷是BitLocker加密卷時，對解密秘鑰進行計算得到相應(yīng)的salt值；

（3）通過salt值解密相應(yīng)的VMK得到解密后的VMK；

（4）通過解密之后的VMK解密FVEK；

（5）最后通過解密之后的FVEK進行圖3的逆過程解密加密磁盤數(shù)據(jù)。

圖5 BitLocker加密卷解密流程圖

3 解密實驗

根據(jù)在計算機取證工作中的實際需求，本章節(jié)根據(jù)上文中描述的解密方法，使用用戶密碼和恢復(fù)秘鑰對BitLocker加密卷進行解密，驗證方法的可行性，步驟如下圖6、7、8。

本文的實驗環(huán)境為Windows 10操作系統(tǒng)，首先使用Windows的磁盤管理工具創(chuàng)建了一個大小為500MB的VHD文件，將其命名為test.VHD。附加VHD操作初始化磁盤并新建簡單卷將其格式化為NTFS格式的磁盤，之后在其中存儲了一張文件名為“花.JPG”的圖片和一個文件名為“test.TXT”的文檔用于驗證實驗正確性。

圖6 仿真實驗步驟圖1

啟用Windows自帶的BitLocker驅(qū)動器加密系統(tǒng)對該磁盤進行加密，之后使用winhex軟件對其創(chuàng)建了一個物理鏡像文件test.RAW用于解密。

使用本文提出的方法對其進行解密，實驗結(jié)果如圖9所示，該方法能夠成功解密BitLocker加密卷。

圖7 仿真實驗步驟圖2

圖8 仿真實驗步驟圖3

圖9 仿真實驗結(jié)果圖

[1]Ferguson Niels. AES-CBC+ Elephant diffuser: A disk encryption algorithm for Windows Vista[C]// 2006.

[2]王蕾，陳松政，魏立峰等.Windows Vista全卷加密工具BitLocker的分析[C].西南地區(qū)網(wǎng)絡(luò)與信息系統(tǒng)學(xué)術(shù)年會， 2009.

[3]高偉.磁盤數(shù)據(jù)安全保護技術(shù)研究[D].上海:上海交通大學(xué)，2008.

[4]Halboob W, Mahmod R. State of the Art in Trusted Computing Forensics[J]. Lecture Notes in Electrical Engineering，2012.