Notizen zu TPM Sniffing und Bitlocker

2023-11-11 14:43:44 +01:00 · 2023-11-11 14:43:44 +01:00 · 508ceabc5b
commit 508ceabc5b
parent aef881e78a
1 changed files with 14 additions and 0 deletions
--- a/Notizen_Forensiche_Analyse_S3.md
+++ b/Notizen_Forensiche_Analyse_S3.md
@ -230,7 +230,21 @@ regripper -p winver -r # ? /tmp/system #
 # in der Registry stehen auch MAC Adressen <-> Access Point Verbindungen, was relevant sein kann
 ```

+## Bitlocker Entschlüsselung

+(APL relevant)
+
+* per Bus TPM Sniffing mittels Logic Analyzer mit genug MSPS
+  * TPM nutzt LPC (7 Signale), SPI (4 Signale) oder I2C
+  * Nyquist Shannon: Logic Analyser muss doppelt - 3x so hoch sein
+    * PCI Bus 33 MhZ. Also 66 MhZ. 4 - 7 Signale.
+    * Ein 500 MSPS LogicAnalyzer reicht für LPC
+* FVEK - zum Ver- und Entschlüsseln
+* Ent VMK1 - muss entsiegelt werden
+
+In der APL wird ein LPC Bus benutzt. Die gesampelten Signale müssen an "Arne" übergeben werden. Im Header der Sample-Datei stehen die Spezifikationen.
+
+In der APL kann die Analyse 1-2 Stunden dauern. Das File ist 20 GB groß. Nach dem DL sollte der Hash-Wert geprüft werden, sonst droht Zeitverschwendung.

 ## foo