最近韓雪的Surface保修問題(點我呀)弄得挺難看,而作爲技術愛好者,盆盆也一直在關注韓雪Surface數據恢復背後所涉及的技術問題,因爲這充分體現了Surface和Windows系統的最新安全特性優勢。
那麼韓雪Surface數據到底是如何搶救出來的呢,我們不掌握內部消息,只能從其微博上獲取蛛絲馬跡。
感謝@微軟中國 提供了技術支持,終於把數據弄出來了。但機器估計還是硬件壞了,準備讓朋友帶回美國去修。不幸中的萬幸啊。吸取的教訓就是:要用蘇菲的同學千萬記得Onedrive備份數據。也謝謝這兩天給予各種信息和技術支持的各路大神和宅男們。也希望微軟在中國的售後能更加完善。
從其微博上可以看出以下2點:
數據成功搶救
之前沒有用OneDrive主動備份數據,否則就直接網上恢復數據了。
之前還有一條微博,表明故障的現象是黑屏,也就是說有可能是顯示器或者顯卡被破壞。
大半夜的@微軟中國 告訴我surfacepro3黑屏然後沒法開機,各種方法都試了還是沒用。該怎麼辦??沒有備份??去哪裏修?
由於其設備爲美行,不能在中國區拆機,所以不可能是徹底無法開機,否則只能拆機取硬盤,這樣就違反了保修條例。
由於Surface是默認啓用BitLocker進行加密的,所以就算被別有用心的人拿走,也斷然不會發生香港陳冠希先生一樣的悲劇,這是Windows操作系統的一大優勢。
一旦出現類似韓雪女士這樣的故障,由於磁盤是加密的,爲了防止連自己都無法搶救數據,所以Surface會自動把BitLocker的恢復密碼保存在OneDrive裏面。
恢復辦法推測
如果不是核心硬件的損毀,那麼恢復辦法並不複雜,用以下方法庶可奏效:
最簡單 假設操作系統正常,只是屏幕黑屏,那麼也許外接顯示器就能操作了。
有點難 如果硬盤上的系統也同時崩潰,一般可以嘗試系統還原,不會導致個人數據的丟失
比較難 如果系統還原被禁用,可以用U盤或者網絡方式的Windows PE引導系統(由於是黑屏,可以嘗試用外接顯示器)。用另外一臺機器訪問韓雪女士的OneDrive站點,取出BitLocker恢復密碼,以便獲得對加密磁盤的訪問。在Windows PE下用Robocopy、Xcopy等工具複製重要數據。
這可能是其中的某種解決方案,但不確定。
這就是盆盆本人的BitLocker恢復密碼,可以登錄以下的OneDrive網址(可能需要***):
https://onedrive.live.com/recoverykey
您說放在OneDrive上不安全?
不會,您訪問OneDrive,是通過Https加密的,而且密鑰保存在OneDrive裏的安全區域。如果您用其他未註冊電腦登錄OneDrive,還需要用您自己的手機短消息驗證。
BitLocker到底是什麼東東?到底是怎麼保護我們的電腦的?又到底有啥辦法防止連我們自己都"鬼子不能進村"?
BitLocker到底是什麼東西?
BitLocker會進行全卷加密,但並不是每一個扇區都要進行加密,以下3個部分是保持明文狀態的。
引導扇區 很顯然引導扇區必須保持明文狀態,否則Windows將無法正常引導。
壞的扇區 NTFS文件系統標記爲壞的扇區,無法也沒必要進行加密。
卷元數據 也稱做Volume Metadata,存儲加密保護過的BitLocker重要密鑰。
何謂卷元數據?它是Windows用來保存加密後的BitLocker密鑰副本的數據結構。Windows會在每個加密分區保存3份卷元數據的副本,以確保安全。否則如果卷元數據一旦破壞或者丟失,其中保存的BitLocker密鑰副本也會隨之破壞或丟失,導致分區無法解密。
強調一下,儘管卷元數據是保持明文狀態的,但是其中的BitLocker密鑰卻是經過其他密鑰加密的。這很容易理解,如果卷元數據中直接保存未經加密的BitLocker密鑰,就好比直接在防盜門外面掛一把門鑰匙,等於是“開門揖盜”。
密鑰鏈
FVEK 全卷加密密鑰,用來解密磁盤分區,會被VMK加密,加密後的副本保存在前述的卷元數據裏。
VMK 卷主密鑰,用來解密FEVK。會通過若干種方式對該VMK密鑰進行加密,加密後的副本也保存在前述的卷元數據裏。
SRM 存放在TPM芯片裏,,這個密鑰會對VMK進行加密,並將加密後的VMK副本保存在前述的磁盤卷的卷元數據中
其他 BitLocker還支持USB或者USB+PIN等模式對VMK密鑰進行保護,此外,還有通過恢復密碼對VMK密鑰加密生成的副本。
純TPM
韓雪Surface默認採用純TPM模式(美行的設備裏有TPM芯片),TPM芯片裏會有SRM密鑰,這個密鑰會對VMK進行加密,並將加密後的VMK副本保存在前述的磁盤卷的卷元數據中。
解密原理 TPM芯片啓動時負責檢查系統多個啓動模塊的完整性(包括UEFI/BIOS、主引導記錄、引導扇區、引導代碼等引導組件),以便確認計算機硬件沒有惡意修改過,然後就會釋放出存儲在TPM芯片裏的SRK密鑰,對VMK密鑰進行解密,再由VMK密鑰對FVEK密鑰進行解密,然後由FVEK密鑰負責最後對磁盤分區進行解密
但是由於韓雪的Surface拿到微軟辦公室搶救數據時,可能用Windows PE來引導的,並沒有進入到硬盤,所以這時候無法釋放SRK密鑰,無法從密鑰鏈恢復FVEK。
這時候就要恢復密碼發揮作用了,在韓雪女士第一次拿到Surface並開始初始化設置時,Windows會要求用Microsoft Account登錄,這時候Surface會自動生成BitLocker恢復密碼,並用該恢復密碼對VMK進行加密,再生成一個VMK密鑰副本。
這樣只要登錄到OneDrive上,取回恢復密碼,就能重新根據另外一條密鑰鏈,獲得FVEK,最終恢複對數據的訪問!
說說扇區密鑰
直接用來解密加密分區的密鑰並不是只有一把,而是給該加密分區的每一個扇區都準備一把密鑰,稱做扇區密鑰。
爲什麼要給每個扇區準備一把密鑰,而不是給整個分區準備一把密鑰,主要是爲了防止******。如果是整個分區只有單把密碼,***會嘗試在大量的扇區上寫入已知的數據,以便分析所得的結果,從而有可能找出密鑰的規律。現在每個扇區都有自己獨立的密鑰,***就更加難以破解密鑰規律。
Windows系統是根據扇區編號以及FVEK密鑰,來計算每個扇區的扇區密鑰。也就是說只要知道FVEK密鑰和扇區編號,就可以知道扇區密鑰。所以扇區密鑰並不需要存儲,在需要時計算出來即可。
寫在最後
正因爲Windows有那麼多高級特性,在背後默默地保護着我們的系統,所以哪怕設備的硬件出現無法預料的故障,韓雪女士的數據還是可以順利恢復。
如果韓女士能充分用好Windows自帶的OneDrive功能,把重要數據備份到微軟的雲端,則數據永遠不會丟失,而且永遠不會泄露出去。
讓我們一起來看看韓雪女士的忠告吧:
要用蘇菲的同學千萬記得Onedrive備份數據。
這真是“雪”的教訓啊!
如果覺得華來四還不錯,那就微信掃描以下的二維碼關注吧。也可以直接添加微信公衆號:sysinternal。