V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
zictos
V2EX  ›  问与答

bios 硬盘加密是不是很危险?

  •  
  •   zictos · 2021-06-30 08:59:56 +08:00 · 5058 次点击
    这是一个创建于 408 天前的主题,其中的信息可能已经有所发展或是发生改变。

    比如联想之类的笔记本电脑都可以在 bios 里面对硬盘进行加密,开机时必须输入密码才能使用硬盘。

    只是如果主板坏了,是不是硬盘的数据也都无法找回了?听说不止跟主板有关系,还跟整个电脑的硬件有关系(不知真假),比如电脑本来有两个硬盘,取下一个硬盘(或者这个硬盘坏了),是否另一个硬盘也无法解密了?

    相对来说使用 windows 自带的 BitLocker 是不是更安全?

    61 条回复    2021-07-07 15:00:35 +08:00
    dingwen07
        1
    dingwen07  
       2021-06-30 09:15:10 +08:00 via iPhone
    那个硬盘锁把硬盘拔出来能直接读的吧
    zictos
        2
    zictos  
    OP
       2021-06-30 09:21:59 +08:00
    @dingwen07 #1 听说不能,不然加密就意义不大了
    eight56149
        3
    eight56149  
       2021-06-30 09:22:28 +08:00
    那只是 bios 密码 不是硬盘密码 bios 扣了密码啥的都会没了,建议不要使用 bitlocker,这个玩意,一不注意那就是个坑,而且破解难度不小,一般专业的破解差不多,价格不菲
    eight56149
        4
    eight56149  
       2021-06-30 09:23:19 +08:00
    是 com 电池扣了,上面打错了
    mooo
        5
    mooo  
       2021-06-30 09:28:15 +08:00   ❤️ 1
    有 tpm 用 bitlocker 就好了。登录上微软账号后密钥会备份
    forgottencoast
        6
    forgottencoast  
       2021-06-30 09:32:03 +08:00
    @eight56149
    楼主说的是 BIOS 里面的硬盘设置密码功能,并不是进入 BIOS 的密码。
    BitLocker 没有密码只有理论上的破解可能,如果密码复杂的话,现在的计算计算力破解不了。
    zictos
        7
    zictos  
    OP
       2021-06-30 09:40:29 +08:00
    @eight56149 #4
    一般台式机没有的,这个是笔记本电脑的 bios 里面设置硬盘密码的地方:


    这个是我加密了两个硬盘后,开机需要分别对两个硬盘进行解密:
    ShinichiYao
        8
    ShinichiYao  
       2021-06-30 09:41:53 +08:00   ❤️ 1
    现在的主流的手机不都是这样
    maizero
        9
    maizero  
       2021-06-30 09:46:23 +08:00
    不了解这个加密的过程,如果因子还和硬件配置有关,那会是个坑,个人觉得不太可能。
    硬件变化导致加密因子发生变化而造成数据损失,这按常理不可接受。
    家用场景,数据可用性的需求大于保密性。
    个人推测,只要同型号的主板和 BIOS,里面只是个加密算法,你有密钥的话一样可以解密。
    否则这个为了保证保密性而带来脆弱的可用性风险太高。
    cmdOptionKana
        10
    cmdOptionKana  
       2021-06-30 09:46:40 +08:00
    如果没有备份,加密不加密,丢失数据的风险都较大。
    maizero
        11
    maizero  
       2021-06-30 09:47:22 +08:00
    但如果你硬盘数据很重要,建议不要自己当白鼠,如 LS 说的,有 TPM 就开 bitlocker 好了
    zictos
        12
    zictos  
    OP
       2021-06-30 09:47:59 +08:00
    @ShinichiYao #8 感觉电脑的数据比手机还要重要一些,要备份的也比手机多,所以不会经常备份。我还从没遇到过硬盘坏的情况
    zictos
        13
    zictos  
    OP
       2021-06-30 09:53:39 +08:00
    @maizero #9 也就是主板电池被放电也不影响?不过听说联想售后可以解,也不是很确定
    zictos
        14
    zictos  
    OP
       2021-06-30 09:56:11 +08:00
    @cmdOptionKana #10 加密是为了防止被别人绕过 windows 登录密码而直接通过硬盘获取数据,或者防止电脑丢失时的数据被别人获取
    eight56149
        15
    eight56149  
       2021-06-30 09:56:34 +08:00
    @forgottencoast 就是进 bios 里面给硬盘设置密码哦 楼主说的
    eight56149
        16
    eight56149  
       2021-06-30 09:58:00 +08:00
    @forgottencoast 我没有说清楚,我的意思是 进 bios 给硬盘设置密码,那密码只是存在 bios 中的,com 电池扣了放个电就没啥用,其次这个不是对硬盘加密码的
    vain
        17
    vain  
       2021-06-30 09:58:29 +08:00
    有 TPM 的话,给硬盘用 bitlocker 加密就够了,密钥字符串可以自己本子记下来
    eight56149
        18
    eight56149  
       2021-06-30 10:00:21 +08:00
    @zictos 有的台式机是有的 之前好像遇到过,要看 bios 的版本
    cmdOptionKana
        19
    cmdOptionKana  
       2021-06-30 10:00:22 +08:00
    @zictos 我的意思是,如果没有备份,不加密也有可能丢失数据。你说没遇到过硬盘坏,但主板其实也不常坏,你可以像放心硬盘一样放心主板(或者,也应该像担心主板一样担心硬盘)。
    worldGM
        20
    worldGM  
       2021-06-30 10:05:27 +08:00   ❤️ 7
    没有人知道这是 ata 加密么,属于硬盘的标准之一。这个密码直接保存在硬盘的固件里面,而且加密很危险,破解需要刷硬盘的固件。
    zictos
        21
    zictos  
    OP
       2021-06-30 10:35:56 +08:00
    @worldGM #20 意思是只要知道密码,并且其他电脑的 bios 也支持解密的话,硬盘放到其他电脑上开机时也可以提示输入密码吗?
    zictos
        22
    zictos  
    OP
       2021-06-30 10:38:50 +08:00
    @mooo #5
    @maizero #11
    @vain #17
    有 tpm,只是不知道用 bitlocker 后还能不能使用 ghost 或者 WinPE,改天试一下
    titanium98118
        23
    titanium98118  
       2021-06-30 11:01:29 +08:00
    windows 平台,加密用 bitlocker 就好,可以打印 recovery key 出来
    zictos
        24
    zictos  
    OP
       2021-06-30 11:08:16 +08:00
    @cmdOptionKana #19 主板和硬盘任意一个出问题就数据丢失的话,那概率增加一倍
    ysc3839
        25
    ysc3839  
       2021-06-30 11:12:13 +08:00   ❤️ 1
    没记错的话这就只是发个 ATA 命令让硬盘自己加密,完全不是固件实现的,拿到别的硬盘上也能解密。
    ysc3839
        26
    ysc3839  
       2021-06-30 11:14:08 +08:00
    @eight56149 现在越来越多固件是把管理员密码存在闪存芯片中了,取下电池并不能清除密码。
    mooo
        27
    mooo  
       2021-06-30 11:18:20 +08:00   ❤️ 1
    @zictos 找个集成了 bitLocker 的 pe
    或者用支持 bitLocker 的 DiskGenius 打开
    ysc3839
        28
    ysc3839  
       2021-06-30 11:19:15 +08:00
    @ysc3839 #25 打错字了,是“拿到别的硬件上也能解密”。
    mxalbert1996
        29
    mxalbert1996  
       2021-06-30 11:53:30 +08:00 via Android   ❤️ 4
    防止数据丢失的唯一正确方法就是备份。不要对只有一份的数据的安全性抱不切实际的希望。
    neteroster
        30
    neteroster  
       2021-06-30 12:27:17 +08:00   ❤️ 1
    BitLocker 足够安全。
    另外正如楼上说的,数据安全靠备份,其他只是辅助手段罢了。
    dingwen07
        31
    dingwen07  
       2021-06-30 12:31:06 +08:00 via iPhone
    @zictos #2 现在笔记本应该都是 nvme,这个似乎不支持 ATA 加密
    zictos
        32
    zictos  
    OP
       2021-06-30 13:02:19 +08:00
    @dingwen07 #31 可以加密,我的是 nvme
    zictos
        33
    zictos  
    OP
       2021-06-30 13:02:57 +08:00
    @neteroster #30
    @mxalbert1996 #29
    不可能每天都备份,我有时候几个月才备份一次
    zictos
        34
    zictos  
    OP
       2021-06-30 13:05:57 +08:00
    @ysc3839 #25 那改天试一下,感觉这种 ata 加密还是挺稳定的,开机使用硬盘时直接通过 bios 弹出解密的界面。不需要涉及系统内部方面,没有其他坑了。
    newmlp
        35
    newmlp  
       2021-06-30 13:52:43 +08:00
    bios 锁又不加密数据,换台电脑就可以读出来了
    zictos
        36
    zictos  
    OP
       2021-06-30 14:13:44 +08:00
    @newmlp #35 是硬盘加密,见 7 楼
    dingwen07
        37
    dingwen07  
       2021-06-30 14:21:46 +08:00 via iPhone
    @zictos #32 我不清楚这是不是真的加密,因为设置密码之后不需要等到硬盘加密,所以要么是硬盘一直是加密的,要么就只是锁定硬盘而并没有加密。
    zictos
        38
    zictos  
    OP
       2021-06-30 14:28:47 +08:00
    @dingwen07 #37 应该是通过这样的方式有办法快速让数据不可读吧,不知道什么技术
    igseo
        39
    igseo  
       2021-06-30 14:36:19 +08:00
    反正我不清楚它到底是怎么实现的,一个是笔记本主板加密,一个是 nuc 加密,报废我两个 2.5 的 sata 盘。nuc 更神奇,刚设置完密码就报密码错误。笔记本是几次错误尝试后疑似锁死。
    testcaoy7
        40
    testcaoy7  
       2021-06-30 14:48:42 +08:00
    BitLocker 你要有 TPM 模块才是真安全

    敏感数据要买 FIPS 标准的 SED 硬盘,但这种硬盘老百姓买不到(买到也没用)
    newmlp
        41
    newmlp  
       2021-06-30 15:07:34 +08:00
    @zictos 硬盘加密不等于数据加密,bios 不可能做数据加密的
    jim9606
        42
    jim9606  
       2021-06-30 15:44:38 +08:00   ❤️ 3
    你说的 ATA 密码(看#7,不过 @zictos 说错了,台式机 BIOS 普遍也可以设置 ATA 密码)是一个访问控制手段,加密是可选实现的。在通过 ATA 密码解锁前,硬盘主控拒绝响应任何读写指令。这个密码是跟硬盘不跟机器的。

    我是不相信非 SED 硬盘真的会加密上面的数据。

    Bitlocker 默认只使用软件加密。如果你把 bitlocker 加密(软件加密)过的硬盘搬到不支持 bitlocker 的系统上就会看到一个填满的 FAT32 分区,没有恢复代码( Win10 家庭版会自动上传到 Onedrive,也可以在 Bitlocker 控制面板获取)解密不了。

    可以设置使用 TPM 或者智能卡解锁 bitlocker,TPM 就是跟机器的。不过只要你保管好上述恢复代码,照样能解锁。TPM 的意义就是不用每次开机输密码解锁,同时防止拆硬盘偷数据。

    Bitlocker 更安全,因为它是真加密,ATA 密码可能可以通过固件漏洞或者硬件入侵绕过。

    个人用户不推荐用 ATA 密码,只建议用无 PIN 有 TPM 的 Bitlocker 。不嫌输两次密码麻烦的用有 PIN 的 Bitlocker 。
    Tumblr
        43
    Tumblr  
       2021-06-30 15:48:21 +08:00   ❤️ 1
    @worldGM #20 终于有人说到点上了。。。
    @zictos #21 是的,你的理解没错,硬盘密码是写到硬盘的固件里,不会因为换主板而影响。另外,我们虽然用“给硬盘加密”这个说法,实际上硬盘密码只是一道锁而已,只是个 password,并不会对数据进行 encrypt (但 bitlocker 是 full volume encrypt,所以多少会对性能有影响)。
    no1xsyzy
        44
    no1xsyzy  
       2021-06-30 15:59:19 +08:00
    password vs. encrypt key
    是加口令加锁不是加密
    BIOS 太底层了不会搞这么复杂的事儿的,何况似乎也没加密算法的选项
    zictos
        45
    zictos  
    OP
       2021-06-30 16:04:41 +08:00
    @igseo #39 输错还会锁死吗?找售后也许有用。nuc 加密没听过
    zictos
        46
    zictos  
    OP
       2021-06-30 16:14:37 +08:00
    @jim9606 #42
    那看来 ATA 还是能破解的,我还以为很安全。
    zictos
        47
    zictos  
    OP
       2021-06-30 16:18:34 +08:00
    @Tumblr #43
    42 楼说 ATA 加密是让硬盘拒绝响应任何读写指令,所以应该还是要有漏洞才能在没密码的情况下读取数据吧?
    另外 bitlocker 加密后使用电脑的过程中都会一直有性能影响吗?
    seashell
        48
    seashell  
       2021-06-30 17:20:21 +08:00
    @zictos #45 锁死后如果有错误码,厂商有解锁工具。
    vain
        49
    vain  
       2021-06-30 17:45:03 +08:00
    @testcaoy7
    https://www.amazon.cn/dp/B00I12377C/
    FIPS 140-2 认证
    中亚海外购美国直邮
    类似的我已经买过好几块了。
    v2tudnew
        50
    v2tudnew  
       2021-06-30 18:08:53 +08:00
    @zictos 大量读写,1.8GB/s 在我笔记本 I7 上 System 这程序大约占用 10%CPU 使用率(另一块未加密的占用 0.X%),我更担心的是 TPM 有后门(搜索了几个都说有),就怕修电脑的就能破了。
    testcaoy7
        51
    testcaoy7  
       2021-06-30 19:15:45 +08:00   ❤️ 1
    @vain 你这个是移动硬盘,我说的根本不是这个,是 SED ( Self-Encryption Drive )内置硬盘,FIPS 加密标准,那个是卖给云计算厂商的
    xiaooloong
        52
    xiaooloong  
       2021-06-30 21:59:06 +08:00
    bios 里的这个密码在戴尔机器上用过,其他幸好不清楚。戴尔是设置了硬盘密码之后,硬盘拿到其他的电脑上也会提示需要解锁,否则直接系统里认不出硬盘设备的。这个应该是硬盘控制器锁上了,应该是通用的协议或者标准。另外设置硬盘密码的电脑 bios 里应该也会保存一份硬盘密码,这样的话开机输入 bios 管理员密码也是可以解锁硬盘的。
    ladypxy
        53
    ladypxy  
       2021-06-30 22:32:36 +08:00
    @eight56149 有 TPM 芯片的笔记本,扣了电池并不会清空这个密码,比如 TP
    0017
        54
    0017  
       2021-06-30 23:50:45 +08:00
    不会,硬盘密码独立只跟硬盘自身绑定原理很简单 bitlocker 反而出问题概率大得多
    seashell
        55
    seashell  
       2021-07-01 00:43:39 +08:00
    @ladypxy #53 近些年(很多年)没有 TPM 的笔记本也不会因为抠 bios 电池丢失 bios 锁密码或硬盘锁密码,但厂商有后门可以破解。有些笔记本没有 bios 电池,依赖主电池供电,一旦拆机移除主电池 bios 即恢复默认。
    killeder
        56
    killeder  
       2021-07-01 09:27:56 +08:00
    找两台电脑试一下
    snoBall
        57
    snoBall  
       2021-07-01 11:08:09 +08:00 via iPhone
    @jim9606 如果只是主控不相应的话,直接把盘片拆下来或者换个主控是不是就能读取了?
    snoBall
        58
    snoBall  
       2021-07-01 11:08:41 +08:00 via iPhone
    @jim9606 相应改为响应 字打错了
    jim9606
        59
    jim9606  
       2021-07-01 15:01:08 +08:00
    @snoBall @zictos 如果掌握硬盘实现细节,替换硬盘 PCB 或者修改 PCB 上面的 NOR Flash 从而把 ATA 密码去掉是有可能的。只要加密的实现没有问题,哪怕你掌握 Bitlocker 实现细节和硬盘固件设计细节,破解被加密的数据依然是成本高昂的事情,至少目前大家认为 Bitlocker 的实现是靠得住的,没有明显的后门。(来自 TrueCrypt 团队的推荐)

    访问控制( ACL )与加密( Encryption )并没有替代关系,前者不能替代后者,反之也不行。例如加密是不防数据丢失的,不掌握密钥的人也可以删掉加密分区,但 ACL 可以一定程度防止这个。

    目前 Bitlocker 推荐使用的软件加密算法是 XTS-AES-128 或 XTS-AES-256,AES 在 ARMv8 和 x86 CPU 上都有专用指令加速,读取几乎没影响,随机写影响会大些。相关评测几年前就有了,不排除 Win11 还有改善。( https://www.isunshare.com/computer/impact-of-bitlocker-encryption-on-performance.html )。
    如果你信任加密硬盘的实现没问题,部分硬盘支持 Bitlocker 硬件加密,可以通过组策略和厂商的 SSD 工具打开(推荐用三星),这种性能影响就很小。
    worldGM
        60
    worldGM  
       2021-07-01 17:22:02 +08:00
    @zictos 是的,放到其他的也需要输入密码~
    eight56149
        61
    eight56149  
       2021-07-07 15:00:35 +08:00
    @ladypxy 这个还没有试过 一般这样加密不多 有时间试试看看
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   4209 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 33ms · UTC 05:57 · PVG 13:57 · LAX 22:57 · JFK 01:57
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.