ComputerBase Menü
Aktuelles

Bitlocker "Neuer Verschlüsselungsmodus" vs "Kompatibler Modus"

M

Michi436

Ensign
Registriert
Dez. 2014
Beiträge
131
Hey zusammen!

Ich würde gerne meine externen HDDs mit Bitlocker verschlüsseln. Nun stehe ich vor der Wahl: "Neuer Verschlüsselungsmodus" oder "Kompatibler Modus".
Deshalb meine Frage: Wo sind die Unterschiede?

Zu-verwendenden-Verschlüsselungsmodus-auswählen.png

Der Vorteil des Kompatiblen Modus ist, dass er mit älteren Windows-Versionen kompatibel ist.
Beim neuen Modus steht dabei "Dieser Modus unterstützt zusätzliche Integrität". Das ist alles was ich rausgefunden hab, aber wirklich schlau wurde ich dadurch nicht. Weiss jemand was genau das bedeutet? Der neue Modus ist "sicherer" als der alte? Ist der alte dann quasi "unsicher"? Macht es dann überhaupt Sinn den alten zu verwenden, wenn er nicht wirklich "sicher" ist? Dann kann man ja gleich die Verschlüsselung weg lassen.

Ich würde die HDDs evtl. 2-3 mal im Jahr an einem alten Rechner verwenden. Falls ich beim Kompatiblen Modus keine Nachteile hätte (sondern nur den Vorteil der Kompatibilität) würde ich diesen natürlich bevorzugen, aber dann würde es den neuen Modus ja nicht geben...

Wäre sehr dankbar, falls mich jemand aufklären könnte!

Viele Grüße
 
Der Sinn des alten ist, wie du selber geschrieben hast, das er kompatibel zu alten Windows Versionen ist!
Daher verstehe ich die Nachfrage nach was der Sinn des alten Modus sein soll überhaupt nicht. Letztendlich ist ne Verschlüsselung immer nur eine gewisse Zeit sicher, die Rechenleistung steigt an und damit auch die Möglichkeit schneller zu brutforcen - daher werden Verschlüsselungen immer weiter verbessert da sie mit dem Lauf der Zeit einfach - nicht mehr sicher sind...
 
  • Gefällt mir
Reaktionen: tRITON
Integrität hat nichts mit Verschlüsselungssicherheit zu tun, sondern mit Datensicherheit. Für letzteres braucht man aber so oder so Backups.
 
Novocain schrieb:
Daher verstehe ich die Nachfrage nach was der Sinn des alten Modus sein soll überhaupt nicht.
Zum Vergrößern anklicken....
Dann hab ich das falsch formuliert. Was ich eigentlich wissen will ist, was der Vorteil der neuen Methode ist. Bzw. was genau der Satz "Dieser Modus unterstützt zusätzliche Integrität" für mich als Nutzer nun bedeutet.
 
tollertyp schrieb:
Integrität hat nichts mit Verschlüsselungssicherheit zu tun, sondern mit Datensicherheit. Für letzteres braucht man aber so oder so Backups.
Zum Vergrößern anklicken....
integrität hat hier nichts mit datensicherheit zu tun, bei denen backups helfen würden. im bereich der verschlüsselung geht es darum, ob ein angreifer die verschlüsselten daten ändern kann.

im übrigen ist aes-256 unsicherer als aes-128, da der schlüsselraum auf 2^119 reduziert werden kann. entweder aes-128 (2^128) oder aes-192 (2^176) verwenden. wobei "unsicherer" sehr relativ ist, beide verfahren sind in der praxis als sicher anzusehen.

edit: wenn performance eine rolle spielt, hier mal die werte von einem ryzen 2700:

Code: 
$ cryptsetup benchmark
#     Algorithm |       Key |      Encryption |      Decryption
        aes-cbc        128b      1194,6 MiB/s      3696,0 MiB/s
        aes-cbc        256b       919,4 MiB/s      3148,3 MiB/s
        aes-xts        256b      2778,7 MiB/s      2785,1 MiB/s   # xts -> 2*128b
        aes-xts        512b      2294,1 MiB/s      2402,9 MiB/s   # xts -> 2*256b

cbc ist schneller als xts, 128 ist schneller als 256 - bei einer hdd ist das aber alles nicht relevant :)
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Michi436
Wenn man schon über Sicherheit diskutiert, werfe ich VeraCrypt in den Raum.

VeraCrypt ist OpenSource und ist im Gegensatz zu Microsoft nicht verpflichtet Gesetze der USA zu befolgen, welche Hintertüren vorschreiben.
Wenn Hintertüren für staatliche Behörden in den USA (und deren Partner?) vorhanden sind, können diese auch durch Profis ausgenutzt werden. (früher oder später)

Außerdem funktioniert VeraCrypt auch außerhalb von Windows. (Linux, MacOS, Raspberry)
 
tollertyp schrieb:
Also um Datensicherheit.
Zum Vergrößern anklicken....
aber nicht datensicherheit im sinne von datenverlust, wovor backups schützen würden. es geht darum, dass ein angreifer einem manipulierte daten trotz verschlüsselung unterschieben könnte.
 
Evil E-Lex schrieb:
Kein Gesetz schreibt vor, dass die Hersteller Hintertüren einbauen müssen. Das ist schlicht Unsinn.
Zum Vergrößern anklicken....

Hast du die letzten Jahre keine Nachrichten gelesen? Spätestens ab dem Zeitpunkt "Edward Snowden Enthüllungen" sollte doch jeder seine rosa Brille verloren haben... möchte man meinen. Leider vergessen oder noch schlimmer, ignorieren die Menschen solche Dinge liebend gerne, da es eine Umstellung nach sich ziehen müsste.
 
0x8100 schrieb:
im übrigen ist aes-256 unsicherer als aes-128, da der schlüsselraum auf 2^119 reduziert werden kann. entweder aes-128 (2^128) oder aes-192 (2^176) verwenden.
Zum Vergrößern anklicken....
BitLocker erlaubt nur aes-128 oder aes-256.
 
  • Gefällt mir
Reaktionen: Michi436
@Evil E-Lex @tollertyp
Wenn ich ein Jurist wäre und in den USA praktizieren würde, sicherlich. Das bin ich aber nicht.
Du darfst die entsprechenden Gesetze gerne verlinken, wenn du besser darin bist so etwas zu finden.

Ich kann mir gut vorstellen, dass diese „"Überwachungsgesetze“ wie in Deutschland nicht so benannt werden. Auch in den USA wird man schicke Umschreibungen dafür haben, welche sich hinter neutral klingenden Gesetzen verstecken. "Geheimdienste" spielen natürlich nach anderen Regeln, welche für uns nicht durchsichtig sind. Dazu gibt es gewisse Abkommen. Einfach mal nach "Five Eyes" suchen. Das ist natürlich nur eines von vielen.

Und zu guter Letzt, handeln Behörden auch entweder in Grauzonen oder gegen die Gesetze.
Ob dies das Ausnutzen von Sicherheitslücken ist, welche man selbst gefunden oder eingekauft hat oder das Einsetzen vom Staatstrojaner, bevor es überhaupt erlaubt war/ist.

Das gibt es alles nachzulesen.
Wenn man das alles finden möchte, sollte man am besten mit einer neutralen Suche beginnen.
Wenn du ständig Google nutzt, dazu auch noch ständig mit deinem Account angemeldet bist, befindest du dich in der Google Filter-Blase. Suchst du etwas außerhalb deiner Gewohnheiten, musst du länger nach unten scrollen.
Ein frischer Browser ohne Cookies und eine neutrale Suchseite wie duckduckgo könnte dabei helfen, die Ergebnisse schneller zu finden.

Ist ja nicht so, dass das ein Geheimnis ist!
Selbst in den letzten Wochen gab es mehr als genug News, wie die deutschen Politiker neue Gesetze durchbringen wollen, welche die Überwachung ausbauen bzw. Verschlüsselungen aushebeln.
Wenn du selbst diese News nicht findest, frage ich mich wie tief du in der Google Filterblase stecken musst. Oder du ließt immer nur auf den selben Internetseiten deine Nachrichten, welche so gut wie garnicht darüber berichten. ComputerBase gehört zu diesen Seiten...
 
Zuletzt bearbeitet von einem Moderator:
Novocain schrieb:
Bei Integrity wird das TPM Modul mit genutzt
Zum Vergrößern anklicken....
Heißt, da bei der neuen Methode zusätzliche Integrität unterstützt wird, das die neue Methode das TPM verwendet und die alte nicht?
Hab kein TPM, deswegen hab ich das was in dem verlinkten Tutorial beschrieben wird bereits gemacht. Wenn man kein TPM hat/verwendet, dann müssten beide Methoden ja gleich sein, wenn die Nutzung des TPMs der einzige Unterschied ist?
SI Sun schrieb:
Wenn man schon über Sicherheit diskutiert, werfe ich VeraCrypt in den Raum.
Zum Vergrößern anklicken....
Wie gut ist VeraCrypt in Windows integriert? Ich hatte mich für Bitlocker entschieden, da es mMn sehr gut in die Windows Umgebung integriert ist. Ich kann z.B. Unterwegs per VPN meinen Rechner starten und auf meine Daten Zugreifen ohne mich kompliziert per Screen Sharing mit dem Rechner zu verbinden und Passwörter einzugeben. Würde das mit VeraCrypt auch funktionieren?
 
SI Sun schrieb:
Du darfst die entsprechenden Gesetze gerne verlinken, wenn du besser darin bist so etwas zu finden.
Zum Vergrößern anklicken....
Moment. Du hast die Behauptung aufgestellt, es gäbe Gesetze, die Hersteller zwingen würden Hintertüren einzubauen. Also ist es auch an dir diese Behauptung zu belegen. Deine Hinweise auf "Five Eyes" gehen fehl, da es sich dabei um Geheimdienste handelt, die eigentlich immer außerhalb des gesetzlichen Rahmens arbeiten. Wobei: Formell natürlich nicht. Aber die Kontrollen sind so gering und undurchsichtig, dass in der Praxis keine effektive Geheimdienstkontrolle möglich ist.
Das hat nur leider nichts mit deiner Behauptung zu tun.

Ich komme aus der Praxis, habe regelmäßig mit Festplattenverschlüsselung zu tun. Gäbe es dort Hintertüren, wären die in den gängigen Tools implementiert. Das ist nicht der Fall. Ist eine Festplatte verschlüsselt und das Kennwort nicht bekannt, geht nur Brute-Force.
 
Ich habs!

Kompatibler Modus:
Kompatibler Modus.png

Neuer Modus:
Neuer Modus.png

Anscheinend wird beim neuen Modus standardmäßig XTS-AES 128 und beim alten Modus AES 128 verwendet. Ja ich hab auch gesehen, dass man das Umstellen kann. Aber wie es scheint ist das der einzige Unterschied.

Kann mir evtl jemand den Unterschied zwischen XTS-AES 128 und AES 128 erklären? (Am besten auf praktischer Ebene, welche Vor bzw. Nachteile die Methoden haben. Anscheinend ist der Vorteil von AES 128, dass er von älteren Versionen Unterstützt wird. Dann würde mich eigentlich nur der Vorteil von XTS-AES 128 interessieren)


€: Bzgl. der anderen Diskussion. Es kommt natürlich auch immer auf die Situation drauf an, vor wem man seine Daten schützen möchte. Falls man Microsoft nicht vertraut, dass sich in Bitlocker keine Hintertür befindet, dürfte man ja theoretisch auch Windows nicht verwenden und müsste komplett auf Open Source umsteigen. Am besten selbst kompilieren. Selbst dann muss man dem Compiler vertrauen, außer man schreibt ihn selbst... Dann muss man noch den Chip Herstellern vertrauen, wer weiß welche "Zusatsfunktionalität" auf der CPU integriert ist, von der wir nichts mitbekommen... Was ich sagen will, ist das man mMn eigentlich immer irgendwem "vertrauen" muss und immer ein gewisses Risiko dabei ist.
 
Zuletzt bearbeitet:
Das muss ich mir merken. Eine Behauptung aufstellen und die anderen auffordern, diese für mich zu beweisen.

Die Behauptung, es gäbe Gesetze, und diese nicht zu belegen, ist nicht mindern schlimm wie das Verdrängen der Enthüllungen von Snowden.
 
Michi436 schrieb:
Dann würde mich eigentlich nur der Vorteil von XTS-AES 128 interessieren
Zum Vergrößern anklicken....
Der Aufwand, die Verschlüsselung zu brechen ist gegenüber reinem AES-128 deutlich höher.
Michi436 schrieb:
Falls man Microsoft nicht vertraut, dass sich in Bitlocker keine Hintertür befindet, dürfte man ja theoretisch auch Windows nicht verwenden und müsste komplett auf Open Source umsteigen.
Zum Vergrößern anklicken....
Genau so ist es.
 
  • Gefällt mir
Reaktionen: Michi436
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz