Nachträgliche deaktivierung der Hardwareverschlüsselung für Bitlocker ausreichend?

[Snoopy69]

Man sollte ja laut diverser Angaben keine Hardwareverschlüsselung von der SSD für Bitlocker benutzen.

Dazu soll man in den Richtlinien von Bitlocker die Hardwareverschlüsselung deaktivieren. Angeblich muss man das Laufwerk nicht neu verschlüsseln, weil die Daten erhalten bleiben.

Aber ist das wirklich sicher? Also eine simple Deaktivierung ohne neu zuverschlüsseln?

 

[Halus]

Was genau ist dein Ziel?

Keine Verschlüsselung mehr?
Oder noch Bitlocker aber nur in Software?

 

[BFF]

Ich denke eher, dass er eine Hardwareverschluesselung plus Bitlocker am Rennen hat, die Hardwareverschluesselung abschalten will und nicht sicher ist, ob hinterher die Kiste ueberhapt noch bootet.

@Snoopy69
Zieh ein Image aus dem laufendem System, Backup wichtiger Daten wird ja definitiv vorhanden sein, Deaktiviere Bitlocker, Deaktiviere HW-Verschluesselung, Aktiviere Bitlocker.

BFF

 

[Snoopy69]

Ich denke eher, dass er eine Hardwareverschluesselung plus Bitlocker am Rennen hat, die Hardwareverschluesselung abschalten will und nicht sicher ist, ob hinterher die Kiste ueberhapt noch bootet.

@Snoopy69
Zieh ein Image aus dem laufendem System, Backup wichtiger Daten wird ja definitiv vorhanden sein, Deaktiviere Bitlocker, Deaktiviere HW-Verschluesselung, Aktiviere Bitlocker.

BFF

Nein, ich will nur wissen, ob eine nachträgliche Deaktivierung überhaupt sicher ist, weil ja nicht neu verschlüsselt wurde.

Steht aber alles schon geschrieben...

 

[DocWindows]

@Snoopy69

Die Gruppenrichtlinien ändern nichts an den aktuellen Verschlüsselungen. Sie greifen nur bei Neuverschlüsselung. Um die aktuellen Eintsellungen für dein Laufwerk anzuzeigen, verwende das Tool manage-bde auf der Kommandozeile (admin mode).

manage-bde -status c:

zeigt dir beispielsweise den Verschlüsselungsstatus für Laufwerk C an.

Die Angabe der Schlüsselschutzvorrichtungen zeigt dir ob Hardwareverschlüsseling von Bitlocker verwendet wird (TPM) oder nicht. Du kannst die Schutzvorrichtungen quasi beliebig austauschen. Sie schützen wie der Name schon sagt nur den Schlüssel für deine Verschlüsselung und werden nicht direkt als Key für die Verschlüsselung verwendet.

Ich hoffe ich bin mit meiner Erklärung jetzt nicht allzu falsch abgebogen.

 

[Snoopy69]

https://www.sepago.de/blog/bitlocker-hardware-verschluesselung-empfehlung/

Zitat:

Dies lässt sich relativ einfach über z.b. eine GPO steuern. Dazu unter Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> BitLocker-Laufwerkverschlüsselung in allen 3 Ordnern (Betriebssystemlaufwerke, Festplattenlaufwerke und Wechseldatenträger) die Policy mit dem Namen „Verwendung der hardwarebasierten Verschlüsselung für … konfigurieren“ auf Deaktiviert setzen. Das reicht aus, um die Hardware Verschlüsselung zu unterbinden. Ist eine Festplatte bereits verschlüsselt, wird diese durch das Setzen der GPO nicht neu verschlüsselt

[IMG]https://www.sepago.de/wp-content/uploads/2018/11/2018-11-30-13_46_01-Win10-1809-Deutsch-on-NB-ESOLDIERER-Virtual-Machine-Connection-300x99.png[/IMG]

 

[DocWindows]

@Snoopy69 Im verlinkten Adivsory ADV180020 steht doch alles wichtige inkl. Befehle dazu.
Um von Hardwareverschlüsselung auf Software zu wechseln musst du neu verschlüsseln, weil GPOs nur bei Neuverwchlüsselung greifen.

Wenn die Hardwareverschlüsselung bleibt, bleiben auch die Lücken.

 

[Snoopy69]

Dann wohl wichtigste Punkt...

Zitat:

1	manage-bde -status

Hier ist der Punkt Verschlüsselungsmethode wichtig. Steht dort nicht etwas wie AES 128 oder AES 256 sondern Hardware-basiert, sollte die BitLocker Verschlüsselung aufgehoben und die Festplatte neu verschlüsselt werden

Ich habe nie in den Richtlinien Hardware-basierte Verschlüsselung deaktiviert, aber laut deren Angabe hätte ich ja schon eine Software-basierte Verschlüsselung

Seltsam auch deshalb, weil eine Software-basierte Verschlüsselung ja langsamer sein soll, als eine Hareware-Basierte. Ich habe aber trotzdem die maximal mögliche Performance von ~3.500 MB/s. lesen und 3.300 MB/s. schreiben (Samsung 970 EVO Plus)

VeraCrypt benutzt auch Software-basierte Verschlüsselung, ist aber wesentlich langsamer als Bitlocker (wenn denn die Angabe laut Status "XTS-AES 256" stimmt)

 

[Darkman.X]

Huhu
Du hast dir doch die Fragen nun schon selber beantwortet. Oder willst du nur wissen ob der Text auf der Blog-Seite stimmt?

Ich versuche mal nur auf deinen letzten Post einzugehen:

• Wunderst du dich, dass bei dir Software-basierte Verschlüsselung genutzt wurde, obwohl du die Richtlinie nicht gesetzt hattest?
  Wenn ja: Beim Samsung-Laufwerken (zumindest bei 850 Pro und 960 Pro kann ich es sicher sagen) wird Bitlocker erst dann die HW-Verschlüssung nutzen, wenn man zuvor in "Samsung Magician" unter "Data Security" die Option "Encrypted Drive" aktiviert hat. Die Option ist standardmäßig deaktiviert. Aber Vorsicht: Es birgt etwas Arbeit in sich, diese Option später wieder zu deaktivieren.
• Oder geht es dir darum, dass VC langsamer als Bitlocker ist?
  Da hatte ich im 3Dc schon darauf geantwortet. TC wurde mit Version 6.2 auf SSDs langsamer, als TC am Read-Ahead-Buffering etwas umstellte. Ich hatte auch zu einen alten Thread im HWLuxx verlinkt. Und da VC auf TC basiert, wäre das zumindest für mich die Erklärung für die langsamere Geschwindigkeit, speziell bei den 4k-Werten.
  Ein weiterer Grund könnte auch eine bessere Integration von Bitlocker im OS sein.

EDIT:
Eine Software-Verschlüsselung muss nicht zwangsläufig langsamer als eine HW-Verschlüsselung sein. Wenn AES-NI genutzt wird, dann hat man sowieso keine Probleme. Und wenn es nicht genutzt wird, dann hängt es halt vom Algorithmus und von der Geschwindigkeit der CPU ab.