Sicherheit bei geändertem Bitlocker Passwort

violentviper

Lt. Commander
Registriert
Mai 2008
Beiträge
1.682
Hallo,

in Windows 10 kann man bei einer Bitlocker verschlüsselten Festplatte das Passwort ändern. Dies irritiert mich aber doch sehr, da hier nach meiner Auffassung nach die komplette Festplatte neu verschlüsselt werden müsste, da mit dem Passwort(Schlüssel) doch der gesamte Inhalt verschlüsselt ist.

Daher die Frage, bringt das ändern zu einem "besserem" Passwort dann überhaupt was? Oder startet Windows dann erstmal eine entschlüsselung und verschlüsselt dann alles nochmal neu - mit dem neuen Passwort? Außerdem hat man dann doch sicher einen neuen Recovery Schlüssel. Diese Notfall ID, mit der man den Bitlocker entsperren kann.

Ich habe es noch nicht getestet und will erstmal fragen, bevor ich solche Experimente wage. In Veracrypt kann man meines Wissens auch keine PWs ändern.

Wäre cool wenn jemand mich diesbezüglich aufklären könnte und vielleicht auch 1-2 Worte auf die Funktionsweise eingeht :).
 
Die Passwortänderung bei Bitlocker geht ohne Neuverschlüsselung.
Du bekommst aber einen neuen Wiederherstellungsschlüssel, der alte wird dann ungültig.

Auch bei VeraCrypt kann man Passwörter ändern, auch ohne Neuverschlüsselung
 
vermutlich arbeitet bitlocker hier wie luks unter linux. die eigentlichen daten sind mit einem master-key verschlüsselt, der vom system generiert wurde. das password des users wird nur dazu genutzt, diesen masterkey zu ver/entschlüsseln, nicht die daten selbst. dadurch ist es möglich, das passwort zum ver/entschlüsseln des masterkeys zu wechseln, ohne alle daten anzufassen, da der master-key sich nicht ändert.
 
  • Gefällt mir
Reaktionen: Nilson
0x8100 schrieb:
vermutlich arbeitet bitlocker hier wie luks unter linux. die eigentlichen daten sind mit einem master-key verschlüsselt, der vom system generiert wurde.
Aber ist nicht genau das auch eine erhebliche Schwachstelle? Wenn dies ein festes Schema ist, dann könnte man hierauf doch ein Angrifsszenario aufbauen.

Weiterhin finde ich es auch bedenklich, dass der Bitlocker Wiederherstellungscode nur aus Zahlen besteht. Außerdem kennt man die genaue Länge und den Aufbau mit den Bindestrichen - ist bei jedem gleich. Da würde es doch viel mehr Sinn machen den Wiederherstellungscode zu brutforcen als das eigentliche Userpasswort. Ein reines Zahlenpasswort mit fester Länge ist sehr schnell ausgerechnet.
 
Weder noch. Kannst Du das Passwort ändern, hast Du Zugriff auf das unverschlüsselte Laufwerk.

Und was den Recovery angeht. Schon mal die Anzahl der Zeichen beachtet?
 
Bitlocker bringt entsprechende Schutzfunktionen gegen Brutforce mit.
Und selbst ein 48-stelliges Zahlenpasswort lässt sich nicht in ein paar Tagen oder Jahren brutforcen...
 
Ich verstehe halt nicht warum Microsoft nicht wenigstens Buchstaben mit eingebaut hat. Das hätte die Sicherheit von dem Recovery Code extrem erhöht.

PC295 schrieb:
Bitlocker bringt entsprechende Schutzfunktionen gegen Brutforce mit.
Die da wären?
 
Ein einfacher Grund. Wie immer bei Sicherheitsfragen. Abwägung zwischen Sicherheit und Usability.

Stell Dir ein Unternehmen vor. Weltweit unterwegs. Mit 20 Keyboard Layouts. Und schon wird klar, warum keine Buchstaben drinnen sind. Oder willst Du auf Deiner deutschen Tastatur ein kyrillisches Zeichen eingeben? Nein, DE ist nicht der Nabel der Welt.
 
violentviper schrieb:
Ich verstehe halt nicht warum Microsoft nicht wenigstens Buchstaben mit eingebaut hat. Das hätte die Sicherheit von dem Recovery Code extrem erhöht.
Vermutlich, damit eine Eingabe länderunabhängig funktioniert und keine Tastaturlayouts berücksichtigt werden müssen
Die Bitlocker-Preboot-Authentifizierung verwendet z.B. standardmäßig das englische Tastaturlayout, da muss man unter Windows schon aufpassen und besser vorher die Englische Tastatur aktivieren.

-> https://docs.microsoft.com/de-de/wi...rotection/bitlocker/bitlocker-countermeasures

Insbesondere durch TPM
 
Gut das mit der Länderkennung und den Buchstaben ergibt aus dem Punkt heraus Sinn. Aber man hätte es ja trotzdem unterschiedlich implementieren können.

PC295 schrieb:
Insbesondere durch TPM
TPM nutze ich nicht, da ich keines habe. Es wird auch oft dazu geraten das TPM nicht zu nutzen und es klassisch mit einem Passwort zu verschlüsseln, da man das TPM mit Spezial Hardware auslesen kann.
 
violentviper schrieb:
TPM nutze ich nicht, da ich keines habe. Es wird auch oft dazu geraten das TPM nicht zu nutzen und es klassisch mit einem Passwort zu verschlüsseln, da man das TPM mit Spezial Hardware auslesen kann.
Watt? Dazu will ich mal Links haben. TMP macht nichts anderes, als einen Teilbereich im RAM unlesbar für alle zu kennzeichnen, bzw. gesichert für zertifizierte Komponenten.
 
violentviper schrieb:
TPM nutze ich nicht, da ich keines habe. Es wird auch oft dazu geraten das TPM nicht zu nutzen und es klassisch mit einem Passwort zu verschlüsseln, da man das TPM mit Spezial Hardware auslesen kann.
Dann brauchst du immernoch die PIN.

TPM-only kommt meist bei vorinstallierten System oder Surface-Tablets zum Einsatz. Da ist die Geräteverschlüsselung aktiv, es wird aber kein PIN abgefragt.
Ergänzung ()

PHuV schrieb:
Watt? Dazu will ich mal Links haben.
Bei TPM-Only gab es tatsächlich schon erfolgreiche Angriffe
-> https://www.borncity.com/blog/2021/07/30/windows-bitlocker-verschlsselung-trotz-tpm-ausgehebelt/
-> https://www.zdnet.de/88356341/sicherheitsforscher-demonstriert-neuen-angriff-auf-windows-bitlocker/
 
  • Gefällt mir
Reaktionen: PHuV
PC295 schrieb:
Dann brauchst du immernoch die PIN.
Aber ein reiner Zahlen PIN, womöglich 6 stellig, ist doch nicht wirklich ein Hindernis.


Es gibt bei Bitlocker zwei Optionen,

  • gesamte Festplatte zu verschlüsseln, langsam und zeitaufwändig, empfohlen für bereits verwendete Datenträger
  • nur den belegten Speicherplatz verschlüsseln, schnell, empfohlen für neue Datenträger
Wenn man beispielsweise eine 8TB Platte gesamt verschlüsseln will, so dauert das sehr lange. Könnte man nicht auch einfach den freien Speicher der Festplatte sicher löschen und dann die Methode 2 verwenden, also nur den belegten Speicherplatz zu verschlüsseln? Das ginge dann deutlich schneller und Datenrecovern dürfte durch das x malige Überschreiben des freien Speichers auch Geschichte sein.
 
violentviper schrieb:
Aber ein reiner Zahlen PIN, womöglich 6 stellig, ist doch nicht wirklich ein Hindernis.
Zum Erraten schon...
Inwiefern Software dabei helfen kann und Eingaben automatisieren kann ist fraglich.
Der Schutz bei PINs im Gegensatz zum Passwort liegt ja darin, dass bei PINs nur eine begrenzte Anzahl an versuchen möglich ist.
Das kennt man auch z.B. von Smartphones/SIM-Karten oder der Bankkarte, entweder kommt ein Timeout wie beim Smartphone-PIN oder es wird für weitere Eingaben komplett gesperrt (z.B. Bankkarte).
Bitlocker bringt so einen Schutz mit, allerdings weiß ich nicht wie dieser standardmäßig konfiguriert ist.

Du kannst über die Gruppenrichtlinien festlegen, dass der PIN auch Buchstaben oder Sonderzeichen enthalten darf:

Windows 10:
- Computerkonfiguration\Windows-Komponenten\Bitlocker-Laufwerksverschlüsselung\Betriebssystemlaufwerke
-> Erweiterte PINs für Systemstart zulassen

Windows 11:
- Computerkonfiguration\Windows-Einstellungen\Administrative Vorlagen\Bitlocker-Laufwerksverschlüsselung\Betriebssystemlaufwerke
- Erweiterte PINs für Systemstart zulassen

Wichtig hierbei, dass dann die PIN-Eingabe im englischen Tastaturlayout erfolgen muss!
(Nur Systemverschlüsselung)


Könnte man nicht auch einfach den freien Speicher der Festplatte sicher löschen und dann die Methode 2 verwenden
Das sichere Löschen wird am Ende genauso lange dauern, wie die Vollverschlüsselung...
 
  • Gefällt mir
Reaktionen: violentviper
Ob du nun die Festplatte komplett verschlüsselst oder sicher löschst ist am Ende egal. Bei beiden ist die Schreibrate der limitierende Faktor.
 
violentviper schrieb:
Wenn man beispielsweise eine 8TB Platte gesamt verschlüsseln will, so dauert das sehr lange. Könnte man nicht auch einfach den freien Speicher der Festplatte sicher löschen und dann die Methode 2 verwenden, also nur den belegten Speicherplatz zu verschlüsseln? Das ginge dann deutlich schneller und Datenrecovern dürfte durch das x malige Überschreiben des freien Speichers auch Geschichte sein.
Fragen über Fragen... das sollte eigentlich dann gleichlange dauern. BitLocker verschlüsselt aber nicht immer performant. Dies ist abhängig vom Drive, dann lieber Veracrypt nutzen.
 
Wie gesagt, beschreibe doch mal deinen Angriffsvektor.

Ob du nun versuchst die Daten zu entschluesseln oder den verschluesselten Master-Key ist egal.

Nur Zahlen macht bei der Menge an Zeichen auch keinen Unterschied, du hast trotzdem zu viele Kombinationen um das zu brute forcen.
 
violentviper schrieb:
Daher die Frage, bringt das ändern zu einem "besserem" Passwort dann überhaupt was? Oder startet Windows dann erstmal eine entschlüsselung und verschlüsselt dann alles nochmal neu - mit dem neuen Passwort? Außerdem hat man dann doch sicher einen neuen Recovery Schlüssel. Diese Notfall ID, mit der man den Bitlocker entsperren kann.
Ich weiß es nicht auswendig, aber ich kenne kein System, das mit dem Passwort verschlüsselt, aus genau dem von dir genannten Grund. Stattdessen wird mit dem Passwort ein zweites Passwort verschlüsselten und mit diesem dann die Festplatte verschlüsselt.
Auf diese Weise muss nur das zweite (für dich stets unsichtbare) Passwort neu verschlüsselt werden.

Ob sich der Recovery Key ändert - keine Ahnung.

violentviper schrieb:
Weiterhin finde ich es auch bedenklich, dass der Bitlocker Wiederherstellungscode nur aus Zahlen besteht.
Als Laie sollte man sich um solche Details keine Gedanken machen, denn man kann es sowieso nicht wirklich beurteilen. Im Zweifel kannst du davon ausgehen, dass da kompetente Menschen drüber nachgedacht haben, die genau das seit 10 Jahren beruflich machen.

Der Zustand von Windows bezüglich solcherlei sicherheitsrelevanter Dinge ist heute weit weniger desolat als noch vor 10-20 Jahren und von dem was ich so mitkriege ziemlich professionell und robust.

violentviper schrieb:
Das ginge dann deutlich schneller und Datenrecovern dürfte durch das x malige Überschreiben des freien Speichers auch Geschichte sein.
Mehrmaliges überschreiben einer einzelnen Stelle ist nicht notwendig, einmalig reicht, das Problem liegt vielmehr darin, dass du nicht steuern kannst, ob auch wirklich alle relevanten Stellen überschrieben worden sind. Festplatten sind heute eigene kleine Computer die selbstständig entscheiden was wohin geschrieben wird und da kann z.T. auch das Betriebsystem keinen Einfluss nehmen bzw. sehen.

Wenn Bitlocker dir schon sagt was wofür, dann mach das einfach so wie es da steht. Eine selbstgestrickte Lösung sollte man in dem Bereich oft nicht wählen. Sicher lohnt es sich einmal zu googlen ob da Quatsch steht, aber wenn sich dazu nichts findet -> go for it.
 
Zuletzt bearbeitet:
BeBur schrieb:
Mehrmaliges überschreiben einer einzelnen Stelle ist nicht notwendig, einmalig reicht, das Problem liegt vielmehr darin, dass du nicht steuern kannst, ob auch wirklich alle relevanten Stellen überschrieben worden sind. Festplatten sind heute eigene kleine Computer die selbstständig entscheiden was wohin geschrieben wird und da kann z.T. auch das Betriebsystem keinen Einfluss nehmen bzw. sehen.
Wobei es inzwischen genau deshalb auch immer öfter die secure erase Funktion gibt. Da beauftragt man quasi die Firmware der Platte mit dem sicheren Löschen und die sorgt dann dafür, das man auch wirklich alles erwischt.
 
  • Gefällt mir
Reaktionen: BeBur
Zurück
Oben