Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Was bringt das denn dann? Festplattenverschlüsselung schützt ja primär dagegen, das niemand an die Daten herankommt wenn die Hardware geklaut wird.
Musst Du also keinerlei Interaktion machen, ist die Verschlüsselung witzlos. Dann schützt sie halt nur noch dagegen, das jemand nur die Festplatte aus Deinen Computer reißt. Betonierst Du also das Gehäuse ein oder wie?
Dazu wirst Du gekidnapped und gezwungen all deine Passwörter rauszurücken...
Dagegen hilft nur: Computerabstinenz.
andy_m4 schrieb:
Was bringt das denn dann? Festplattenverschlüsselung schützt ja primär dagegen, das niemand an die Daten herankommt wenn die Hardware geklaut wird.
Musst Du also keinerlei Interaktion machen, ist die Verschlüsselung witzlos. Dann schützt sie halt nur noch dagegen, das jemand nur die Festplatte aus Deinen Computer reißt. Betonierst Du also das Gehäuse ein oder wie?
Das Betriebssystem bleibt selbstverständlich mit gutem Passwort geschützt, der Zugang zum BS dann entsprechend mit Gesichtserkennung/Fingerprint/Pin o.Ä. wieder vereinfacht.
Aber dann noch bei jedem Bootvorgang zusätzlich das Verschlüsselungspasswort reinhämmern wäre mir des Guten zu viel...
Die Verschlüsselung hilft sowieso nur gegen den 0815-Dieb, der/die (genderkorrekt!) die Hardware verscherbeln will - immerhin bleiben damit Deine Daten geschützt. Und es hilft beim Weiterverkauf der Hardware, man spart sich die langwierigen und umständlichen Löschaktionen...
Klar wird die Platte beim Boot durch das TPM entschlüsselt (bzw. den dort hinterlegten Key), aber danach musst du noch einen Weg finden dir Zugriff auf das laufende System zu verschaffen. Ist natürlich nicht unmöglich, aber dennoch besser als nichts.
Sicherer wäre natürlich die Möglichkeit TPM + PIN, so dass beim Boot erst ein PIN eingegeben werden muss, bevor der Rest des Schlüssels aus dem TPM geholt werden kann.
Bei all dem vielleicht auch noch ein Passwort fürs BIOS setzen.
Denke aber für den Privatgebrauch ist TPM erst Mal ausreichend.
Schlüssel im TPM zu hinterlegen, ohne dieses mit einem Passwort zu sichern ist halt recht unsinnig. Wer das Gerät klaut, klaut die Passwörter mit.
Ganz abgesehen davon, wenn das TPM scharf ist, klaut der Dieb nicht viel mehr als den Wert einiger weniger Ersatzteile. Es wäre schön, wenn sich das Ganze verbreiten würde.
Wenn man so wie ich einen TPM Chip verbaut hat, kann man den noch nachträglich deaktivieren oder muss man damit leben TPM benutzen zu müssen?
Ergänzung ()
Wie sollte man jetzt via Bitlocker die SSD (mit Windows) + interne HDD Festplatte verschlüsseln, damit auch technisch gut ausgestattete Angreifer (Polizei, Nachrichtendienst) nicht an die Daten kommen?
Ergänzung ()
Ist das normal, wenn man die SSD (mit Windows) verschlüsseln möchte, kommt eine etwas andere Meldung heraus, als wenn ich die interne HDD verschlüsseln möchte?
Ja ist normal. Die GUI des Bitlocker fragt nur beim Systemlaufwerk, welche Methode du verwenden willst. Bei einem "nicht-Systemlaufwerk" lässt die nur klassisch Verschlüsselung mit Passwort zu.
Ich würde dir dazu raten dir Mal die Powershell für den Fall anzusehen. Dort kann man dann nämlich auch noch den Algorithmus wählen (die GUI macht nur AES-XTS 128, was eigentlich ausreichend ist, aber per PS geht eben auch AES-XTS 256).
Zum Verständnis:
TPM ist quasi ein Tresor-Chip, in dem die Passwörter für die Verschlüsselung gespeichert werden.
Du kannst, aber musst das nicht verwenden. Für BitLocker unter Windows könntest Du jederzeit Deinen Passwortspeicher ändern, indem Du die Platte neu verschlüsselst ohne TPM, oder das TPM im BIOS einfach ausschaltest. Dann musst Du aber den Schlüssel zur Festplatte von Hand eingeben (wie gesagt - sehr lästig & aufwändig).
Gegen technisch versierte Angreifer hilft nur ein sicheres Betriebssystem, Windows gehört nicht unbedingt dazu...
Und ja: Die unterschiedlichen Dialoge sind unter Windows genau so üblich und unterscheiden zwischen Systemplatte und Datenplatte.
Habe gerade versucht die SSD zu verschlüsseln (wohl mit TPM on), es wurde lediglich ein Wiederherstellungskey erstellt, ich als Nutzer jedoch nicht gefragt, ob und was für ein Passwort gesetzt werden soll. PC wurde neu gestartet, Verschlüsselungsprozess lief gemäß Desktopmeldung ... Habe abgebrochen, weil ich kein Passwort setzen konnte ... Das Passwortsetzen wird doch nicht etwa nachträglich, also erst nach Verschlüsselung verlangt?
Ergänzung ()
Wenn man den TPM Chip zusätzlich noch mit einer PIN versehen möchte (muss), wie sicher ist denn der Chip vor BruteForceAttacken usw... Hängt das von seiner Firmware ab? Für Polizei knackbar?
Wie gesagt die GUI lässt dir nicht viele Möglichkeiten. Glaube wenn ein TPM erkannt wird, gibt es da nur TPM oder TPM + PIN.
Ein Passwort in dem Sinne wird dann in dem Fall (also wenn ein TPM genutzt wird) gar nicht erstellt. Der Schlüssel befindet sich im TPM und bleibt auch dort. Der Recovery Key ist für den Fall, dass du an Daten ran musst, aber das TPM nicht mehr funzt oder du die Platte ausbauen und extern auslesen musst o.Ä..
Lohnt sich überhaupt dann eine Bitlocker Verschlüsselung mit TPM, wenn man vor dem Booten sowieso kein Passwort eingeben muss? Worin besteht dann ein Schutz gegen Cops? Der kann ja dann einfach meinen Rechner nehmen, einschalten und hat sofort Zugriff, so als ob die Platte nicht verschlüsselt ist. Der EINZIGE(!) (wozu dann die Verschlüsselung?) Schutz wäre dann der TPM Pin. Sehe ich das so richtig?
Für BitLocker unter Windows könntest Du jederzeit Deinen Passwortspeicher ändern, indem Du die Platte neu verschlüsselst ohne TPM, oder das TPM im BIOS einfach ausschaltest. Dann musst Du aber den Schlüssel zur Festplatte von Hand eingeben (wie gesagt - sehr lästig & aufwändig).
Wie verschlüsselt man denn die Festplatte ohne TPM ohne TPM im Bios ausschalten zu müssen? Ich finde es auch ziemlich scheiße, dass Bitlocker einen Recovery Key erstellt - dabei brauche ich den nicht - USB Stick mit Recovery Key wird eh zerstört.
Ergänzung ()
Nafi schrieb:
Dann käme der Angreifer zur Windows Anmeldemaske. Und dann? Wenn er dein Kennwort nicht kennt, kommt er da erstmal nicht weiter.
Wäre es aber nicht besser, wenn man das Passwort vor dem Booten eingeben müsste, statt in dem Windows Anmeldefenster? Der Angreifer könnte dann doch, so meine ich, den Wiederherstellungskey mithilfe eines FreezerSprays versuchen zu extrahieren.
Q:
YouTube
An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.
So langsam verstehe ich die FRAGE nicht mehr.
Was stört Dich an TPM?
BitLocker, also die windowseigene Verschlüsselung ist für die Zusammenarbeit mit TPM designed, funktioniert idR. problemlos & bietet ausreichend Schutz für den Privatgebrauch.
Wenn Du eine andere Festplattenverschlüsselung verwendest (z.B. VeraCrypt), musst Du dich halt selbst um das Schlüsselmanagement kümmern.
