TPM entsperrt Bitlocker Festplatte nicht nach Verschiebung von Partition

Arn0_Nym

Newbie
Registriert
Nov. 2022
Beiträge
3
Hallo gechätztes Computerbase Forum

Leider komme ich nach einer Verschiebung und Größenveränderung meiner Partitionen nicht mehr an meine Datenpartition (Bitlocker, Key unbekannt). Das Windows auf seiner eigenen Partition (unverschlüsselt) ist zerschossen.

Meine Vermutung ist, dass das TPM die Partition nicht mehr entsperrt, aufgrund der Änderungen. Aber ein Fünkchen Hoffnung besteht noch: Ich habe ein neues Windows installiert, trotzdem fragt er mich nach dem PIN vom alten WIndows, zumindest solange Secure Boot im Bios enabled ist. D.h. ich kann mich ins TPM einlogen und die alte Konfiguration ist irgendwie noch da. Irgendwie müsste man doch den Key für die Datenpartition aus dem TPM herausbekommen... Weiss jemand, ob das möglich ist?

Mehr Details weiter unten:

1. Nenne uns bitte deine aktuelle Hardware:
(Bitte tatsächlich hier auflisten und nicht auf Signatur verweisen, da diese von einigen nicht gesehen wird und Hardware sich ändert)
  • Notebook Huawei Matebook 16
  • Prozessor (CPU): AMD 5800h
  • Arbeitsspeicher (RAM): 16GB
  • Festplattenkonfigutation: 1 TB SSD, GPT, eine Systempartition, eine Datenpartition
  • Bios: UEFI, Secure Boot, TPM mit PIN

2. Beschreibe dein Problem. Je genauer und besser du dein Problem beschreibst, desto besser kann dir geholfen werden (zusätzliche Bilder könnten z. B. hilfreich sein):

Da kein Platz mehr auf meiner Systempartition war, beschloss ich meine Datenpartition zu shrinken, diese etwas nach rechts zu Verschieben und den nun freien unallokierten Speicherplatz an meine Systempartition anzufügen.

Beide Partitionen waren mit Bitlocker verschlüsselt, die Windows Partition habe ich entschlüsselt, bei der Datenpartition war ich zu faul. Die Keys habe ich nicht gesichert (ja ich weiss, das war dumm).

Mit AOMEI Partition Assistant habe ich nun die oben genannten Schritte ausgeführt. Es kann sein, dass auch die Bootpartition verschoben wurde.

Nach Boot und Passworteingabe kam nur ein schwarzer Bildschirm mit stockendem Cursor, also reset mit darauffolgender automatischen Reperatur, dannach kam ich gar nicht mehr ins Windows sondern direkt Fehlermeldung beim booten.

Ich habe dann verschiedene Sachen ausprobiert mit einem Windows Boot USB Stick. Bei der Startup Repair wollte er den Bitlocker Recovery Key, da ich diesen nicht habe, kam ich nicht weiter und habe es manuell versucht. Schlussendlich habe ich mit diskpart die Boot Partition formatiert, und dann versucht mit bcdboot das boot menü wieder herzustellen. Er sieht allerdings die Datenplatte nicht, da diese gelockt ist und beschwert sich darüber, daher kann ich das alte Windows nicht mehr wiederherstellen.

Darum habe Ich eine seperate Partition erstellt und ein neues Windows installiert. Auch hier ist die Datenplatte leider verschlüsselt.

Scheinbar wird die Datenplatte normalerweise per TPM beim Bootvorgang entsperrt. Seitdem sich die Partitionen verändert haben, ist das aber nicht mehr der Fall.

Dass ich das alte Windows nicht mehr nutzen kann ist schon blöd, dass die Datanplatte verschlüsselt ist, ist aber viel schlimmer...

3. Welche Schritte hast du bereits unternommen/versucht, um das Problem zu lösen und was hat es gebracht?

  • Im Windows Account sind leider keine Bitlocker Recovery Keys hinterlegt.
  • Auf der gesamten alten Systemplatte habe ich nach *.BEK files gesucht, aber es war nichts da. Auch in der Registry des alten Windows habe ich gesucht und nichts gefunden.
  • Mit Elcomsoft Recovery habe ich ein RAM Dump des neu installierten Windows gemacht, weil evtl da der Key sein könnte, allerdings waren die gefundenen Keys für meine Datenplatte nicht die richtigen. Die Hyberfil.sys des alten Windows war corrupted.
 
Ich würde sagen, die Daten sind weg.

Arn0_Nym schrieb:
Die Keys habe ich nicht gesichert (ja ich weiss, das war dumm)
Und in Zukunft wichtige Daten sichern (Backup), nicht nur die Keys
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: aragorn92, piepenkorn und coasterblog
Da ist meines Wissens nach nichts zu machen.

Das TPM kann den eigentlichen Verschlüsselungskey erst rausgeben wenn du deine PIN eingegeben hast und alle PCR Register korrekt befüllt waren. Die PCR Register sind für dich erstmal unsichtbar und werden nach und nach von der laufenden Software mit sog. Measurements befüllt.

Diese Measurements stellen sicher dass die Software auf deinem Rechner nicht manipuliert wurde. Was genau gemessen wird ist abhängig von der verwendeten Hard- und Software.
z.B. PCR0 wird vom BIOS mit dem Hash der Firmware befüllt, PCR4 mit dem Bootloader, PCR7 mit deiner Secure Boot Konfiguration u.s.w. Alle diese Dinge müssen übereinstimmen, sonst stellt das TPM den Dienst ein.

Eine Aufzählung für Windows-Systeme gibt es hier: https://learn.microsoft.com/en-us/w...ofile-for-native-uefi-firmware-configurations
Wie du siehst wird durch PCR5 auch der Inhalt der GPT-Partitionstabelle in die Measurements mit einbezogen. Eben diese hast du modifiziert, wodurch sich das Measurement geändert hat und der TPM den Key nicht mehr rausgibt.
EDIT: An dieser Stelle muss ich korrigieren. Im Normalfall ist der BitLocker-Key im TPM nur durch die PCR Register 0, 2, 4, 7 und 11 geschützt. D.h. die anderen dürfen sich ändern und das TPM gibt den entsprechenden Key weiterhin raus. PCR4 betrifft den Boot-Manager bzw. dessen Partition, die du vermutlich beschädigt oder modifiziert hast.
Hier dazu deutlich ausführlicher: https://ladyitris.wordpress.com/bitlocker-using-tpm/ (ganz unten für UEFI-Systeme)

Der BitLocker Recovery Key erlaubt das Medium direkt zu entschlüsseln ohne dass das TPM involviert wird. Es ist absolut zwingend notwendig diesen (sicher) aufzubewahren, weil du sonst bei jedem Soft- oder Hardwaredefekt mit hoher Wahrscheinlichkeit Zugriff zu deinen Daten verlierst. Da die UEFI-Firmwares und der Windows Bootloader closed-source sind ist es auch schwer vorherzusagen welche Änderungen an Hardware, Daten und BIOS-Einstellungen alle zu einer Veränderung eines Measurements führen können und den TPM blockieren.

(Meine persönliche Empfehlung ist es, den TPM für BitLocker nicht zu nutzen sondern Windows über Gruppenrichtlinien so zu konfigurieren dass man ein reguläres Passwort eingeben muss. Dann ist das Passwort auch alles was man zum entschlüsseln braucht und man muss sich keine Sorgen um den Rest machen. Davon ab ist das auch sicherer da man sowohl die Measurements die beim TPM eingehen als auch den Key der aus dem TPM rausgeht leicht per Hardware mitschneiden kann. Oder wie du bereits rausgefunden hast den Key aus dem RAM des laufenden Systems auslesen. Das kommt für dich natürlich zu spät.)

Deine einzige Möglichkeit an deine Daten zu kommen wäre dass du die Partitionstabelle und die Boot-Partition auf das Byte genau wieder so herstellst wie sie mal waren. Dann müssten die Measurements wieder stimmen und das TPM könnte wieder mit dir reden. Da du nun schon nachträglich so viel herumgebastelt hast sehe ich äußerst wenig Chance dafür. Außerdem hast du ein weiteres Windows auf dem System installiert. Möglicherweise hat dieses das TPM bereits für seine eigenen Zwecke überschrieben, z.B. wenn du wieder BitLocker aktiviert hast.

Eine Sache wundert mich aber, und zwar was du hiermit meinst:
Arn0_Nym schrieb:
Ich habe ein neues Windows installiert, trotzdem fragt er mich nach dem PIN vom alten WIndows, zumindest solange Secure Boot im Bios enabled ist. D.h. ich kann mich ins TPM einlogen und die alte Konfiguration ist irgendwie noch da.
Was bedeutet deiner Meinung nach "ins TPM einloggen"? Welche Konfiguration ist noch da?
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: BeBur, Arn0_Nym, cosmo45 und eine weitere Person
Wow, vielen Dank für die schnelle und ausführliche Antwort... Ich sehe, auf das Computerbase Forum ist eben Verlass :)

Was bedeutet deiner Meinung nach "ins TPM einloggen"? Welche Konfiguration ist noch da?

Als ich versucht hatte, mit Bcdboot den Bootloader zu fixen, hatte ich Secure Boot zunächst ausgestellt gehabt und mich über die vielen Fehlermeldungen gewundert.
Als ich es wieder eingestellt hatte, bekam ich nur noch die, dass er die Datenplatte nicht mehr einhängen kann und deswegen den Bootloader nicht reparieren kann.

Zudem kam dann, als ich ins neue Windows gebootet habe, komischerweise das Wallpaper von meiner ursprünglichen Installation im Login Screen, genau so wie mein ursprünglicher Name und die Aufforderung den Pin der ursprünglichen Installation einzugeben, obwohl ich das beim neuen Windows nie so eingestellt hatte.

Daraus schloss ich, dass das TPM irgendwie noch funktionieren muss...

Meine Hoffnung war eigentlich, dass ich irgendwie mit der Key ID den Bitlockler Key aus dem TPM nach Login extrahieren kann...

image-p6fwdyygnifpfx94i4k8zt94eo.png
 
Hmm wie genau das kommt kann ich nicht sagen. Ist auch schwierig aus der Ferne nachzuvollziehen was da genau passiert.

Die Key ID dürfte im BitLocker-Header der verschlüsselten Partition stehen. Das TPM hat mehrere Keyslots die individuell belegt/konfiguriert werden können (z.B. von welchen PCR Registern der jeweilige Key geschützt sein soll). Das macht Windows natürlich alles automatisch, das bekommst du nicht zu sehen. Die ID dürfte hinterlegt sein um den richtigen Key auszuwählen und um dir eine ID/Dateiname anzuzeigen wenn du den Recovery Key eingeben sollst.

Je nachdem wie wichtig dir die Daten sind würde ich professionelle Datenrettung in Erwägung ziehen, die viel Erfahrung mit BitLocker haben. Einfach so können wir aus der Ferne nichts mehr machen. Ich kann auch nicht sagen ob es hier überhaupt noch Hoffnung gibt. In dem Fall solltest du es auf jeden Fall unterlassen noch mehr Rettungsversuche zu starten und es weiter zu verschlimmern oder den Rechner überhaupt zu nutzen.
 
Zurück
Oben