Verständnisfrage Kryptographie

[Fabian_otto]

Hallo liebe CBler,

habe mal eine grundlegende Frage zur eingebauten Kryptographie in Windows 10. Wenn ich ein Windows-System (SSD + HDD) so absichere wie aktuell empfohlen (TPM + preBootAuthentification), dann kann nach dieser Info hier

https://xn--verschlsselt-jlb.it/bitlocker-falle-tpm-hacken/

das Systemlaufwerk NICHT entschlüsselt werden durch den TPM Angriff. Aber kann mittels TPM Angriff der Key für die anderen NICHT-SYSTEM-Laufwerke ausgelesen oder errechnet werden? Damit wäre diese auslesbar, denn die kann man mittels preBootAuthentification ja leider nicht schützen.

Wie seht ihr das? Ist das wirklich so, dass Bitlocker hier nicht wirklich sicher wäre und nur für das Systemlaufwerk Sicherheit bringt?

Viele Grüße

 

[Sir Luckal0t]

Ahm, ich schließe mich hier einfach mal den Fragen an:
Was genau versteht man unter pBA? Wenn ich jetzt keine "transparente Verschlüsselung" gewählt habe, sondern meine Platten absichtlich mit Bitlocker verschlüsselt habe und nun auch bei jedem Bootvorgang das Passwort eingeben muss bzw. beim Notebook den TPM-Chip über Passwort oder Fingerprint freigeben muss, sind meine Platten dann durch den Hack entschlüsselbar??

 

[Fabian_otto]

soweit ich es verstanden habe, kann NUR das systemlaufwerk mit PBA geschützt werden. alle anderen laufwerke nicht. das würde bedeuten, dass bitlocker hier ziemlich unsicher ist, wenn jeder computertechniker in ausbildung das ding für 22€ hacken kann. klar braucht man hier nen nachmittag bastelzeit, aber es ist machbar.

soweit mein (hoffentlich falscher) kenntnisstand zu bitlocker.

 

[simoron]

Ich habe selbst hin und wieder mal mit der Kryptografie aufgrund meiner Arbeitsthemen zu tun.
Meist habe ich mit den Systemen nur zu tun, richte sie ein, aber Programmiere sie nicht selbst und entscheide auch nicht welche Systeme genutzt werden.

Erstmal ein paar Phrase dreschen zu dem Thema: Man kann da noch so viel rumverschlüsseln und sichern. Es gibt kein wirklich absolut sicheres unhackbares System. Online und offline nicht. Meiner Erfahrung nach, ist es "schwieriger" online dinge zu hacken, offline mit physischem zugriff auf das System geht es um einiges schneller.

Empfehlen kann ich, sich mal auf der https://www.bsi.bund.de/DE/Home/home_node.html zu informieren. Da kriegt man erstmal umsonst einen einfachen einstieg, und auch Nachrichten zu dem Thema. Soweit man kann/muss/darf hält man sich an die Vorgaben vom BSI hierzulande.

Ob du nun dein Eigenen krams verschlüsseln willst/musst, würde ich eher anhand deiner Daten ausmachen.
Welche Daten sind es?
Hälst du 3 Datenorte Konsistent und örtlich getrennt von einander? Ist dies Nötig?
Wie relevant sind die Daten für andere?
Was arbeitest du? (u.U. Militär oder vielleicht beim Finanzamt was weiss ich)
-> Diese Fragen werden dich dahinführen ob du deine Festplatte verschlüsseln solltest, oder ob vielleicht ein Keypass-generator reicht. usw

Zur not mal selbst die Festplatte bitlocken mit windows (das kann man auch wieder entfernen). Ich selbst habe festgestellt dass es mich nervte jedesmal beim zugriff auf die unterschiedlichen platten passwörter einzugeben.

zu TPM pre boot auth und was es sonst noch so gibt, die anderen kollegen frage, googln etc, wenns dann stark in die tiefe geht bin auch ich raus.
noch zu TPM und pre boot: Mit erhöhtem Sicherheitsbedarf steigt meist die Faktorenanzahl bei authentifizierung.
Also: PW+FINGER+Ausweis+4augenprinzip+Token

 

[snaxilian]

Soweit mir bekannt wird der Schlüssel für weitere Laufwerke aus dem Schlüssel des ersten Laufwerks abgeleitet und bei erfolgreichem Startvorgang automatisch geöffnet. Mit aktiver pBA musst du ja zuerst nachweisen, dass du berechtigt bist und erst dann erfolgt die Entschlüsselung des Systems und dann folgender Laufwerke.

Transparent meint in dem Zusammenhang, dass es für dich als Anwender nicht ersichtlich ist, dass da eine Verschlüsselung vorhanden ist, z.B. bei den im verlinkten Blog genannten Geräte. Der Anwender weiß gar nicht, dass er Bitlocker nutzt. Sobald man aber aktiv davon weiß bzw. besser gesagt aktiv etwas unternimmt oder eingibt um die Verschlüsselung zu öffnen (fingerprint, pin, zweiter Faktor, etc) ist es nicht mehr transparent.

Bitlocker ohne pBA hilft nur wenn ich das Laufwerk einzeln entwende oder klonen kann. Sobald ich (längeren) physikalischen Zugriff auf das gesamte Gerät habe kann ich es umgehen. Das ist aber kein Problem von Bitlocker sondern jedweder Art von Kryptographie wenn ich einem Angreifer den Schlüssel gleich potentiell mit liefere.

Edit: Anstatt zu schwafeln und zu vermuten hätte ich erst suchen sollen und dann schreiben.
Liest man in der Doku nach findet man die eindeutige Erklärung wie und wo die Schlüssel stehen um weitere Laufwerke zu entschlüsseln. Daraus geht eindeutig hervor:
Weitere Laufwerke können nur entschlüsselt werden wenn das Systemlaufwerk korrekt entschlüsselt wird. Ein wie oben verlinkter Angriff gegen das TPM ist nicht hilfreich solange pBA genutzt wird.
Quelle: https://docs.microsoft.com/en-us/po...ker/disable-bitlockerautounlock?view=win10-ps

 

[el.com]

soweit ich es verstanden habe, kann NUR das systemlaufwerk mit PBA geschützt werden

Das ist richtig. Pre-Boot Authentication heißt ja übersetzt so viel wie "Authentifizierung vor dem Hochfahren (des Betriebssystems)". Nimm mal an du hast einen Laptop mit TPM-Chip, den du für BitLocker benutzt, aber du hast darüber hinaus keine weitere Authentifizierung aktiviert (wie z.B. TPM-Pin, Passwort, Smartcard, o.ä.)
Sprich: deine Config sieht so aus, dass beim Einschalten des Laptops - ohne zusätzliche PIN- oder Passworteingabe - der TPM-Chip sofort das OS entschlüsselt (genauer gesagt: das TPM übergibt den Key an BitLocker). Wenn dir jetzt jemand den ganzen Laptop klaut, bringt dir die Verschlüsselung nicht viel, weil die Datenträger ja automatisch entschlüsselt werden. Der Angreifer muss dazu einfach nur das Gerät einschalten.
Ein TPM-Chip ohne Zusatzauthentifizierung (PIN, Passwort,...) schützt dich allenfalls davor, dass der Angreifer den Datenträger an ein anderes System anschließt, um ihn zu knacken. Aber mal ehrlich: Was hältst du für wahrscheinlicher: Dass man dir den Laptop klaut, oder dass der Angreifer sich vorher den Umstand macht die SSD/HDD auszubauen und den Rest des Laptops liegen lässt? Ich denke du kennst die Antwort.

Der o.g. Angriff läuft also ins Leere, wenn du zusätzlich zum TPM noch eine PBA aktiviert hast. Denn der Angreifer kann dann noch so viele FPGAs anschließen wie er will. Ohne den Master Key, der den Zugriff auf das TPM gestattet, wird er nicht weiterkommen.

 

[Sir Luckal0t]

Okay, dann habe ich das richtig verstanden und der TE ist sicher auch glücklich.
Aber auf der von dem TE verlinkten Seite geht es ja um die Hilfe für eine Zuschrift, bei der plötzlich nach einem Systemabsturz pBA aktiv ist. Da würde der beschriebene Angriff ja ins Leere laufen. Das hat mich nur irritiert...

 

[el.com]

Der dort beschriebene Fall liest sich für mich eher so, dass explizit keine PBA aktiv war. Der User schreibt ja, dass er bisher gar nicht mal wusste, dass BitLocker aktiv war, d.h. es erfolgte offenbar beim Booten keine vorherige Authentifizierung. Dass BitLocker sich plötzlich meldet und einen Wiederherstellungsschlüssel verlangt, klingt nach einem Fehler, z.B. in Form eines zerschossenen BitLocker-Updates oder ein korruptes Filesystem.

Merke: Wiederherstellungsschlüssel != PBA

Der Wiederherstellungsschlüssel dient vornehmlich dazu, eine Datenträgerverschlüsselung rückgängig zu machen, d.h. eine permanente Entschlüsselung des Datenträgers vorzunehmen (z.B. um die darin liegenden Daten sichern zu können, wenn das OS nicht mehr bootet).

 

[Fabian_otto]

OK, ich merke mir:
1. PBA USB Stick gut weglegen (am besten ein Backup davon haben).
2. Wiederherstellungsschlüssel ausdrucken und gut verstauen.

Vielen Dank für euren Input!