ComputerBase Menü
Aktuelles

Bitlocker Recovery-Key löschen?

B

balderthor

Cadet 2nd Year
Registriert
Aug. 2023
Beiträge
26
Hallo,

gibt es eine Möglichkeit den Bitlocker Recovery-Key zu löschen? Weil dieser ist meiner Meinung nach das unsicherste an Bitlocker.

Denn ob man jetzt das Passwort + Pin irgendwo sicher aufbewahrt oder den Recovery-Key, das wäre ja beides das gleiche.

Nur ist der Recovery-Key durchs Exploits/Tricks ja leichter herauszufinden als das Passwort oder die Pin.
 
Meines Wissen nach nicht, er ist integraler Bestandteil der Routine. Mir ist auch nicht bekannt, daß er grundsätzlich unsicherer wäre als Passwort + PIN, solange er nicht verloren geht.
Wenn Du aus welchen Gründen auch immer ein höheres SIcherheitsbedürfnis hast, dann musst Du auf eine andere Technologie umsteigen.
 
  • Gefällt mir
Reaktionen: aragorn92
Kann man löschen, alles was oben gesagt wurde ist weitgehend falsch.
Deine Idee ist valide, die Entropie des Widerherstellungsschlüssel ist evtl. kleiner als die eines langes PW.

Guck mal in die Dokumentation vom Befehl manage-bde
PowerShell: 
manage-bde c: -protectors -get
manage-bde c: -protectors -delete -id {  }
Nach dem get siehst schon welche id der Schlüssel hat. Die musst zwischen den {} einfügen ... ist aber selbsterklärend. Statt c: natürlich des betreffende Laufwerk nehmen.

Die Benutzung eines TPM+PIN ist meiner Meinung aber sicherer und komfortabler als jedes Passwort.
 
Zuletzt bearbeitet von einem Moderator:
  • Gefällt mir
Reaktionen: MADman_One
IlluminatusUnus schrieb:
Kann man löschen, alles was oben gesagt wurde ist weitgehend falsch.
Deine Idee ist valide, die Entropie des Widerherstellungsschlüssel ist evtl. kleiner als die eines langes PW.

Guck mal in die Dokumentation vom Befehl manage-bde
PowerShell: 
manage-bde c: -protectors -get
manage-bde c: -protectors -delete -id {  }
Nach dem get siehst schon welche id der Schlüssel hat. Die musst zwischen den {} einfügen ... ist aber selbsterklärend. Statt c: natürlich des betreffende Laufwerk nehmen.

Die Benutzung eines TPM+PIN ist meiner Meinung aber sicherer und komfortabler als jedes Passwort.
Zum Vergrößern anklicken....

Danke für die Hilfe.

Inwiefern ist TPM+PIN sicherer als jedes Passwort? Meinst du damit ohne Recovery-Key oder mit Recovery-Key in der TPM + PIN?
 
Ohne den Recovery-Key kommst du im Zweifelsfall nicht mehr an deine Daten, sofern es sich um die Systemplatte mit TPM handelt.

Wenn du das Laufwerk in einem anderen Rechner verwenden willst, musst du zunächst den Recovery-Key eingeben und danach im Windows den PIN neu setzen.
 
  • Gefällt mir
Reaktionen: aragorn92
Den Recovery-Key brauchst du u.U. nachdem du die UEFI-Firmware aktualisierst oder die Festplatte an einem anderen Rechner entsperren willst. Daher solltest du ihn nicht vernichten.
 
  • Gefällt mir
Reaktionen: Teeschlürfer, aragorn92 und Innensechskant
IlluminatusUnus schrieb:
Kann man löschen, alles was oben gesagt wurde ist weitgehend falsch.
Deine Idee ist valide, die Entropie des Widerherstellungsschlüssel ist evtl. kleiner als die eines langes PW.
Zum Vergrößern anklicken....

Geht so, Passwörter ab einer Länge von 20-25 Zeichen sind so sicher, dass es mit der aktuellen Rechenkraft des Planeten länger dauert als die Sonne noch leuchtet um sie zu bruteforcen. Falls man also nicht von einem staatlichen Akteur behelligt wird (damit sind nicht die normalen Polizeiorgane gemeint), der mit ASICS zu genau diesem Zweck das Passwort angreift, ist man damit schon sehr sicher. Kann und wird sich wahrscheinlich mit Quantum Computing ändern, aber das dauert noch ein paar Jährchen.

Btw, solche Akteure haben noch ganz andere Angriffsvektoren, gegen die ein sicheres Passwort nichts nützt, du nicht merkst und ohne Hardwaretausch auch nicht weg kriegst, präparierte Firmware für SSD/HDD uvm.


P.S. Es gibt niemals 100%ige Sicherheit. Es geht immer nur darum den Aufwand so hoch zu schrauben, dass es sich nicht mehr lohnt.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: DJServs, BeBur, Azdak und eine weitere Person
thrawnx schrieb:
Kann und wird sich wahrscheinlich mit Quantum Computing ändern, aber das dauert noch ein paar Jährchen.
Zum Vergrößern anklicken....
Bitlocker nutzt zur Verschlüsselung AES welches sich als symmetrisches Verfahren nach aktuellem Stand nicht in der gleichen Weise mit Quantencomputern brechen lässt wie die meisten asymmetrische Verfahren. Man "verliert" aber ggf. die halbe Schlüssellänge und landet somit bei der Rechenzeit von AES128, wenn man vorher AES256 im Einsatz hatte (wie bei Bitlocker). Das reicht aber immer noch aus.

Ich halte vom Entfernen des Recovery Keys auch nicht viel, weil der wie bereits gesagt teilweise gebraucht wird. Ein 48stelliger Code wird auch niemals das schwächste Glied der Kette sein, sofern man ihn sicher aufbewahrt. Das sind mMn unnötige Sorgen.
 
  • Gefällt mir
Reaktionen: TomH22, BeBur und aragorn92
@IlluminatusUnus Danke für die Info, da habe ich wieder etwas gelernt. Ich würde ihn zwar niemals löschen wollen aber es ist gut zu wissen das es prinzipiell möglich ist.
Ich habe schon mehr als einmal vergessen Bitlocker anzuhalten bevor ich ein UEFI Update gemacht habe und da war der Recovery Key den ich in meinem Passwort Safe abgelegt habe jedesmal Gold wert um das System direkt wieder booten zu können.
 
IlluminatusUnus schrieb:
Kann man löschen, alles was oben gesagt wurde ist weitgehend falsch.
Zum Vergrößern anklicken....
OK. Wie verhält sich BItLocker, wenn man nach dieser Aktion die Bootreihenfolge ändert, oder den Datenträger in einen anderen PC einbaut? Standardmäßig wird dann zwingend der Recovery-Key verlangt. Ist das dann immer noch so, nur kann BitLocker dann nicht mehr entsperrt werden, weil der Recovery Key ja kein gültiger Protector mehr ist? Das wäre fatal.
 
  • Gefällt mir
Reaktionen: aragorn92 und balderthor
PC295 schrieb:
Den Recovery-Key brauchst du u.U. nachdem du die UEFI-Firmware aktualisierst oder die Festplatte an einem anderen Rechner entsperren willst. Daher solltest du ihn nicht vernichten.
Zum Vergrößern anklicken....

Meinst du nicht Microsoft ist so schlau das nicht abzufragen wenn keiner festgelegt ist?

Also das ist halt die Frage, wenn er gelöscht wird, wird man nach dem Recovery-Key denn überhaupt noch gefragt weil es gibt ja keinen.
Ergänzung ()

MADman_One schrieb:
@IlluminatusUnus Danke für die Info, da habe ich wieder etwas gelernt. Ich würde ihn zwar niemals löschen wollen aber es ist gut zu wissen das es prinzipiell möglich ist.
Ich habe schon mehr als einmal vergessen Bitlocker anzuhalten bevor ich ein UEFI Update gemacht habe und da war der Recovery Key den ich in meinem Passwort Safe abgelegt habe jedesmal Gold wert um das System direkt wieder booten zu können.
Zum Vergrößern anklicken....

Aber den brauchtest du ja nur weil Bitlocker dachte da macht sich jemand bei dir zu schaffen und weil der festgelegt wurde. Wenn er gelöscht wurde sollte er ja niemals abgefragt werden? Ansonsten schließt man sich ja aus dem System komplett aus. Also vielleicht weiß IlluminatusUnus da mehr und könnte uns erleuchten.
 
Zuletzt bearbeitet:
balderthor schrieb:
Aber den brauchtest du ja nur weil Bitlocker dachte da macht sich jemand bei dir zu schaffen und weil der festgelegt wurde. Wenn er gelöscht wurde sollte er ja niemals abgefragt werden? Ansonsten schließt man sich ja aus dem System komplett aus.
Zum Vergrößern anklicken....
In dem Fall wäre es aber ein Sicherheitsverlust, weil man dann ja nicht mehr erfahren würde wenn sich wirklich jemand zu schaffen gemacht hat, nur weil der Recovery Key fehlt.
Und der SInn des Recovery Keys ist ja gerade, daß man sich in solchen und anderen Fällen nicht aussperrt. Auch wenn man den Recovery Key wohl löschen kann wie wir gelernt haben, hält MS das immer noch für keine gute Idee (sonst hätten sie es in die GUI eingebaut und nicht in ein cmdlet) und daher kann man sich auch nicht darauf verlassen, daß man noch eine neue Sicherheitsleine von MS bekommt, nachdem man die alte gerade bewußt weggeworfen hat ;)
In 99% aller Fälle gibt es schließlich nichts an dem Konzept des Recovery Keys auszusetzen, ich bin immer noch der Meinung, wer ein so extremes Sicherheitsbedürfnis hat, daß ihm der Recovery Key Sorge bereitet, der sollte wirklich eine andere Verschlüsselungslösung einsetzen (vielleicht mal Veracrypt anschauen), Bitlocker hat einfach auch eine "Komfortüberlegung" mit eingebaut und diese reduziert oft die Sicherheit zumindest geringfügig, zugunsten einer alltagstauglicheren und weniger technikaffinen Implementierung.
 
  • Gefällt mir
Reaktionen: aragorn92
MADman_One schrieb:
In dem Fall wäre es aber ein Sicherheitsverlust, weil man dann ja nicht mehr erfahren würde wenn sich wirklich jemand zu schaffen gemacht hat, nur weil der Recovery Key fehlt.
Und der SInn des Recovery Keys ist ja gerade, daß man sich in solchen und anderen Fällen nicht aussperrt. Auch wenn man den Recovery Key wohl löschen kann wie wir gelernt haben, hält MS das immer noch für keine gute Idee (sonst hätten sie es in die GUI eingebaut und nicht in ein cmdlet) und daher kann man sich auch nicht darauf verlassen, daß man noch eine neue Sicherheitsleine von MS bekommt, nachdem man die alte gerade bewußt weggeworfen hat ;)
In 99% aller Fälle gibt es schließlich nichts an dem Konzept des Recovery Keys auszusetzen, ich bin immer noch der Meinung, wer ein so extremes Sicherheitsbedürfnis hat, daß ihm der Recovery Key Sorge bereitet, der sollte wirklich eine andere Verschlüsselungslösung einsetzen (vielleicht mal Veracrypt anschauen), Bitlocker hat einfach auch eine "Komfortüberlegung" mit eingebaut und diese reduziert oft die Sicherheit zumindest geringfügig, zugunsten einer alltagstauglicheren und weniger technikaffinen Implementierung.
Zum Vergrößern anklicken....


Veracrypt ist mir für SSDs aber zu langsam, viel zu langsam. Da ist Bitlocker viel schneller und komfortabler.

Mein Problem ist das ich die Entropie des Recovery-Keys nicht nachvollziehen kann und Microsoft den gerne auch auf Accounts speichert. Außerdem sind mir 48 Zeichen zu kurz. Mein Passwort ist länger und auch besser zu merken, außerdem finde ich es merkwürdig das Windows den Recovery-Key außerhalb speichert.

Was bringt mir ein 100 Zeichen Passwort wenn ich mit einem Generalschlüssel (Recovery-Key) sowieso alles aufschließen kann.

Ich bin am überlegen: Recovery-Key löschen, kein TPM nutzen (Gibt genügend Exploits mittlerweile, wer weiß ob für 2.0 noch mehr kommen) und halt nur mit einem Passwort zu Booten.
 
Ich denke, die 48 Zeichen sind kein echtes Problem, denn der AES-Schlüssel für die Daten auf der Platte ist (wenn du es umgestellt hast) nur 265 Bit lang (oder halt nur 128 Bit). Anstelle deinen Recovery-Key anzugreifen ist das direkte Angreiden der Verschlüsselung der effektivere Weg. Sprich, einen Recovery-Key hat gewisse Risiken, aber die 48 Zeichen sollten es imo nicht sein.
 
balderthor schrieb:
Meinst du nicht Microsoft ist so schlau das nicht abzufragen wenn keiner festgelegt ist?
Zum Vergrößern anklicken....
Eine Wiederherstellungsmöglichkeit muss aktiviert sein. Da gibt es keinen Weg vorbei.
Je nach Konfiguration der Gruppenrichtlinie kannst du wählen zwischen den automatisch generierten 48-stelligen Wiederherstellungsschlüssel, einer Schlüsseldatei (256-Bit) die nur auf USB gespeichert werden kann oder die Speicherung im Active Directory.
 
balderthor schrieb:
Meinst du nicht Microsoft ist so schlau das nicht abzufragen wenn keiner festgelegt ist?

Also das ist halt die Frage, wenn er gelöscht wird, wird man nach dem Recovery-Key denn überhaupt noch gefragt weil es gibt ja keinen.
Zum Vergrößern anklicken....
Ja Moment, die Abfrage ist ja nicht um zu prüfen ob du den Recovery Key aufbewahrst. Der wird abgefragt wenn Windows ihn wirklich braucht weil es über den TPM nicht mehr an den normalen Key kommt. Bei einem Hardware-Tausch, UEFI-Update und ähnlichem kann es sein dass sich Konfigurationswerte ändern wodurch der TPM den Key permanent verliert. Wenn du in den Gruppenrichtlinien nicht explizit eingestellt hast das der TPM NICHT verwendet werden darf, dann werden sowohl dein Passwort als auch das TPM gebraucht. Nur der Recovery Key braucht nie den TPM.
 
  • Gefällt mir
Reaktionen: aragorn92
https://blog.elcomsoft.com/2020/01/introduction-to-bitlocker-protecting-your-system-disk/

Der Beitrag erklärt es relativ gut. TPM + Pin verlangsamt eine Bruteforce-Attacke, allerdings ist es mir zu unsicher da es in Vergangenheit Exploits gab bei TPM und da der Pin nur maximal 20 Zeichen lang sein kann wäre das mir auch zu unsicher.

Benutzt man nur ein Passwort kann man Bruteforce unendlich ausüben bis der Quantencomputer qualmt, bei einem vernünftig langen Passwort aber aktuell das sicherste.

Bei einem Passwort kann nur das Passwort oder die Verschlüsselung selber versagen, was sehr sehr unwahrscheinlich ist.

Bei TPM kann die Hardware versagen.

Marco01_809 schrieb:
Ja Moment, die Abfrage ist ja nicht um zu prüfen ob du den Recovery Key aufbewahrst. Der wird nur abgefragt wenn Windows über den TPM nicht mehr an den normalen Key kommt. Bei einem Hardware-Tausch, UEFI-Update und ähnlichem kann es sein dass sich Konfigurationswerte ändern wodurch der TPM den Key permanent verliert. Wenn du in den Gruppenrichtlinien nicht explizit eingestellt hast das der TPM NICHT verwendet werden darf, dann werden sowohl dein Passwort als auch das TPM gebraucht. Nur der Recovery Key braucht nie den TPM.
Zum Vergrößern anklicken....

Verstehe, dann habe ich es falsch verstanden.

Wenn man aber nur Password only verwendet und TPM sowie Recovery-Key deaktiviert werden, dann wäre ein Austausch der Festplatte in ein neues System doch möglich, oder? Weil das Password wird ja auf der Festplatte gespeichert?
 
balderthor schrieb:
Wenn man aber nur Password only verwendet und TPM sowie Recovery-Key deaktiviert werden, dann wäre ein Austausch der Festplatte in ein neues System doch möglich, oder?
Zum Vergrößern anklicken....
Ja, das sollte gehen. Wie immer aber gucken dass man ein ausreichend aktuelles Backup hat, da Datenrettung durch die Verschlüsselung nochmal erheblich schwerer ist.

balderthor schrieb:
Weil das Password wird ja auf der Festplatte gespeichert?
Zum Vergrößern anklicken....
Das Passwort wird natürlich gar nicht gespeichert. Sonst bräuchte man das Passwort ja nicht um die Daten zu entschlüsseln. ;) Aber der Master Key wird mit deinem Passwort verschlüsselt und der wird dann auf der Festplatte gespeichert.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

H
Bitlocker Recovery Key mit wireless Keyboard
Antworten
7
Aufrufe
548
HeinrichBorkamm
H
O
BitLocker verschlüsselte Partition ohne Passwort oder recovery key
2
Antworten
30
Aufrufe
4.352
Nilson
Nilson
Mickey Mouse
Bitlocker Recovery nötig, nach Boot von USB Stick?!?
Antworten
7
Aufrufe
5.705
Bob.Dig
Bob.Dig
N
Windows Bitlocker recovery erscheint nach Bios update
Antworten
7
Aufrufe
14.334
MK one
MK one
I
Druck Key löschen
Antworten
12
Aufrufe
1.389
cumulonimbus8
cumulonimbus8
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz