From 508ceabc5b10c1997b6bf2442f985cadfd709f84 Mon Sep 17 00:00:00 2001
From: marius <marius@because-security.com>
Date: Sat, 11 Nov 2023 14:43:44 +0100
Subject: [PATCH] Notizen zu TPM Sniffing und Bitlocker

---
 Notizen_Forensiche_Analyse_S3.md | 14 ++++++++++++++
 1 file changed, 14 insertions(+)

diff --git a/Notizen_Forensiche_Analyse_S3.md b/Notizen_Forensiche_Analyse_S3.md
index 125ee56..af09dd2 100644
--- a/Notizen_Forensiche_Analyse_S3.md
+++ b/Notizen_Forensiche_Analyse_S3.md
@@ -230,7 +230,21 @@ regripper -p winver -r # ? /tmp/system #
 # in der Registry stehen auch MAC Adressen <-> Access Point Verbindungen, was relevant sein kann
 ```
 
+## Bitlocker Entschlüsselung
 
+(APL relevant)
+
+* per Bus TPM Sniffing mittels Logic Analyzer mit genug MSPS
+  * TPM nutzt LPC (7 Signale), SPI (4 Signale) oder I2C
+  * Nyquist Shannon: Logic Analyser muss doppelt - 3x so hoch sein
+    * PCI Bus 33 MhZ. Also 66 MhZ. 4 - 7 Signale.
+    * Ein 500 MSPS LogicAnalyzer reicht für LPC
+* FVEK - zum Ver- und Entschlüsseln
+* Ent VMK1 - muss entsiegelt werden
+
+In der APL wird ein LPC Bus benutzt. Die gesampelten Signale müssen an "Arne" übergeben werden. Im Header der Sample-Datei stehen die Spezifikationen.
+
+In der APL kann die Analyse 1-2 Stunden dauern. Das File ist 20 GB groß. Nach dem DL sollte der Hash-Wert geprüft werden, sonst droht Zeitverschwendung.
 
 ## foo