Sinn der Bitlocker-Verschlüsselung in Windows 10 HOME

flipsns · 23. Juli 2018

Hallo!

Ich habe kürzlich ein Notebook mit Windows 10 Home erworben, welches ich zur Datensicherheit mit Veracrypt verschlüsseln wollte. Im Zuge des Verschlüsselungsversuchs bin ich, aufgrund von Fehlermeldungen, drauf gekommen, dass bereits eine BitLocker-Verschlüsselung aktiv ist, welche es unter Home ja eigentlich gar nicht geben sollte. Aber offensichlich doch:

https://answers.microsoft.com/de-de...e/f480fd98-a741-4602-94a7-ace3b7ab52e0?auth=1

Mein Grund für dieses Posting ist jetzt, dass ich diese Verschlüsselung nicht ganz verstehe? Denn wann setzt der Entschlüsselungsprozess überhaupt ein? Momentan scheint es, dass ohne Passwortabfrage beim Booten (vermutlich) entschlüsselt wird, denn ich lande direkt beim Windows-Sperrbildschirm, den ich, in meinem Fall, mit Fingerprint oder 4-stelliger PIN entsperren kann. Aber zu diesem Zeitpunkt ist ja anscheinend schon alles entschlüsselt, weshalb ich den Sinn dann nicht ganz erkennen kann?!

Kormi · 23. Juli 2018

Hallo,
die verschlüsselung kann durch eine Kombination einer oder mehrerer dieser Maßnahmen erfogen:
- Hardware TPM (vermutlich bei dir der Fall)
- Schlüsseldatei auf Bsp. USB-Stick
- Passwort/Pin

Der Nutzen ist bei dir, dass deine Festplatte nicht ausgebaut und in einem anderen System verwendet werden kann.

He4db4nger · 23. Juli 2018

steht ja unten drunter, dass das bei home nicht bitlocker sondern geräteverschlüsselung heißt. beim richtigen bitlocker wird eine zusätzliche kleine Partition erstellt, die den bitlocker bootmanager (ich nenn den jetzt mal so, blauer Bildschirm) enthält und in dem gibst du das Kennwort ein. erst dann wird die Festplatte entschlüsselt.

stage · 23. Juli 2018

Der Sinn ist der das du die Festplatte nicht einfach ausbauen und in einen anderen Rechner entschlüsseln kannst (ohne den Wiederherstellungsschlüssel).
Wie soll ein Angreifer an die Daten kommen, ohne deinen Fingerprint oder die PIN zu kennen.

Der Schlüssel ist sicherlich im TPM hinterlegt, und daher wird das System ohne explizite Keyeingabe entschlüsselt.

Bitlocker hat darüberhinaus aber auch die Möglichkeit schon vor dem Booten eine PIN oder den Key abzufragen, je nach Policy. Da bin ich mir aber nicht sicher ob dies in der Home Edition möglich ist, da diese über Gruppenrichtlinien eingestellt werden.

nebulus · 23. Juli 2018

Im Grunde bringt eine Verschlüsselung der Windows Parttion nichts, denn im laufendem Betrieb sind die Daten im Klartext vorhanden. Viren und Trojaner können trotzdem die Platte neu verschlüsseln oder überschlüsseln. Sinn macht Verschlüsselung einer DatenPartition die nur durch eingabe eines Passwortes temporär eingehangen wird.

Ergänzung (23. Juli 2018)

stage schrieb:
Der Sinn ist der das du die Festplatte nicht einfach ausbauen und in einen anderen Rechner entschlüsseln kannst (ohne den Wiederherstellungsschlüssel).
Wie soll ein Angreifer an die Daten kommen, ohne deinen Fingerprint oder die PIN zu kennen.

Im Normalfall wird doch immer das komplette Notebook geklaut und nicht nur die HD... Dann hat der Dieb ja alles und kann die Hd entschlüsseln. Ohne Passwortschutz macht eine verschlüsselung keinen Sinn.

stage · 23. Juli 2018

nebulus schrieb:
Dann hat der Dieb ja alles und kann die Hd entschlüsseln

Aha. Dann erklär mir bitte wie er am Windows Login Screen ohne PW vorbeikommen soll?

Jasmin83 · 23. Juli 2018

je nach länge des passworts: bruteforce

nebulus · 23. Juli 2018

stage schrieb:
Aha. Dann erklär mir bitte wie er am Windows Login Screen ohne PW vorbeikommen soll?

Mit dem BootUsb Stick booten, dann reperatur anklicken, passwort zurüclsetzen, fertig. Es gibt ein Video auf der Chip Webseite wo das Idiotensicher erklärt wird.

stage · 23. Juli 2018

nebulus schrieb:
Mit dem BootUsb Stick booten

Wenn du von einem anderen Datenträger bootest, dann bleibt die Festplatte verschlüsselt. Der TPM gibt den Key nur frei wenn das ursprüngliche OS gestartet wird.

Suchtbolzen · 23. Juli 2018

stage schrieb:
Wenn du von einem anderen Datenträger bootest, dann bleibt die Festplatte verschlüsselt. Der TPM gibt den Key nur frei wenn das ursprüngliche OS gestartet wird.

exakt, sonst wäre das ganze ja ziemlich sinnfrei.

flipsns · 23. Juli 2018

Danke für die Diskussion. Diese Kontroverse finde ich eben interessant. Ich bin auch tendenziell nebulus´ Meinung, dass in so einer Konstellation die Verschlüsselung relativ wertlos/schwach ist. Wenn, dann wird, wie er richtig sagt, ja das komplette Notebook geklaut! Und nach dem Bootvorgang liegen die Daten ja offensichtlich vollständig entschlüsselt vor. Da dann ranzukommen, dürfte vermutlich keine so große Hürde darstellen, wie die Notwendigkeit eines Passworts bereits zur Entschlüsselung!

moinsen128 · 23. Juli 2018

Das gibt USB-Sticks für 20Euro auf Amazon die das automatisch erledigen zum Beispiel, falls man das PW "vergessen" hat. Da musst du nur kurz warten und das wars mit dem Passwort.
Dann halt noch Bruteforce via Rainbowtables. Das dauert part Sekunden und du hast das Passwort.
Windows login und sicher... Mir ist eben das Trinken fast wieder durch die Nase geflogen.
Irgendwie kann man das bestimmt auch austricksen. Damit er trotz bootstick die Festplatte entschlüsselt. Das findet man aber vermutlich nicht offensichtlich bei Amazon...

flipsns · 23. Juli 2018

Ergänzung (23. Juli 2018)

He4db4nger schrieb:
steht ja unten drunter, dass das bei home nicht bitlocker sondern geräteverschlüsselung heißt.

Anscheinend Jein!

nurmalsoamrande · 23. Juli 2018

flipsns schrieb:
Hallo!

Mein Grund für dieses Posting ist jetzt, dass ich diese Verschlüsselung nicht ganz verstehe? Denn wann setzt der Entschlüsselungsprozess überhaupt ein? Momentan scheint es, dass ohne Passwortabfrage beim Booten (vermutlich) entschlüsselt wird, denn ich lande direkt beim Windows-Sperrbildschirm, den ich, in meinem Fall, mit Fingerprint oder 4-stelliger PIN entsperren kann. Aber zu diesem Zeitpunkt ist ja anscheinend schon alles entschlüsselt, weshalb ich den Sinn dann nicht ganz erkennen kann?!

Diese Verschlüsselung schützt dich davor, dass jemand dein Passwort ändert. Du weißt ja, dass man mit einem Bootfähigen USB-Stick und ein paar Kenntnissen des Befehls von "NET USER" jedes Benutzerpasswort nach belieben ändern kann? Brauche ich etwa, je nach Bootgeschwindigkeit deines Rechners keine 2 Minuten für...

flipsns · 23. Juli 2018

Ok, wenn ich es also richtig interpretiere sollte ich sehr wohl schauen, dass ich eine "richtige" Verschlüsselung etabliere wenn ich halbwegs sicher Datenklau durch Laptopklau verhindern möchte.

Ich nehme an, man kann das TPM im Bios deaktivieren und sollte zuvor die Verschlüsselung in den EInstellungen deaktivieren. Dann kann man hoffentlich nix kaputt machen?

FranzvonAssisi · 23. Juli 2018

Die Geräteverschlüsselung ist gerade z.B. mit Secure Boot ein wirksamer Schutz vor Datenklau, da den Angreifern die Angriffsvektoren entzogen werden.

Zugrunde liegt die gleiche Verschlüsselung wie bei Bitlocker. Das ganze ist auch ganz gut dokumentiert: https://docs.microsoft.com/en-us/wi...tlocker-device-encryption-overview-windows-10

puri · 23. Juli 2018

Die "richtigste" Verschlüsselung ist Bitlocker - da gibt es meines Wissens bisher keinen "Trick". Übrigens kann man damit auch USB-Sticks und wohl auch andere Partitionen und Platten verschlüsseln und könnte damit ähnliches machen wie bei Veracrypt und Co. Der Vorteil ist eben, dass man - im Gegensatz zu den anderen Verschlüsselern, nicht extern darauf zugreifen kann, wenn man es über TPM macht. Und den 48-stelligen automatisch generierten Bitlockerschlüssel zum Entschlüsseln, wenn das System eine Manipulation meint zu erkennen - den man dann eingeben muss, entschlüsselst Du mit Brutforce nicht in 1 mio Jahren..

Cokocool · 23. Juli 2018

moinsen128 schrieb:
Windows login und sicher... Mir ist eben das Trinken fast wieder durch die Nase geflogen.

Das trifft aber auf vieles zu. Wenn man erstmal physikalischen Zugriff auf den Rechner hat, dann kriegt man auch bei Linus das Root Passwort geändert. Beim Mac OS X sieht das nicht anders aus

https://codingbee.net/tutorials/rhcsa/rhcsa-resetting-the-root-password-via-grub2
http://www.macwrench.de/wiki/Mac_OS_X_-_Passwort_zurücksetzen

Deshalb ist eine Verschlüsselung der einzige Weg um seine Daten sicher zu halten

Masamune2 · 23. Juli 2018

Ja das kann man, solltest du aber nicht tun.
Die Bitlocker Verschlüsselung verhindert das jemand auf deine Platte von einem anderen System zugreifen kann, sei es weil sie ausgebaut wurde oder weil jemand vom Stick startet. Das Zurücksetzen des Windows Kennworts ist damit nicht mehr möglich.
Veracrypt bringt dir hier keinen zusätzlichen Vorteil.

Eine "richtige" Verschlüsselung kann je nach Umsetzung einiges an Leistung erfordern = weniger Akku.

Ach Kabbes.... jede CPU hat heute AES-NI und macht das nebenher.

Autokiller677 · 23. Juli 2018

Datenklau durch Laptopklau wird durch Bitlocker + TPM und SecureBoot sehr gut verhindert, dafür brauchst du nicht noch was machen.

Was nicht verhindert wird, ist Datenklau durch Trojaner, weil ja vom System aus alles Zugänglich ist. Hier hilft eine zusätzliche Partition, die nur bei Bedarf eingehängt wird. Kann Biltocker auch, aber ich glaube nicht in der Home. Da ist dann Veracrypt mittel der Wahl.

@Masamune2
Gibt halt auch die Spezialisten, die in Veracrypt immer 3-fach geschachtelte Verschlüsselung wählen - und da sind dann nicht alle Algorithmen hardwarebeschleunigt. Das geht dann richtig auf Akku und Leistung.

Sinn der Bitlocker-Verschlüsselung in Windows 10 HOME

Lieutenant

Ensign

Commodore

Lieutenant

Banned

Lieutenant

Admiral

Banned

Lieutenant

Lieutenant

Lieutenant

Lieutenant

Lieutenant

Anhänge

Lt. Commander

Lieutenant

Admiral

Vice Admiral

Admiral

Admiral

Fleet Admiral

Ähnliche Themen

Passend zum Thema