Was genau macht BitLocker?

LoreFipsum

Lt. Junior Grade
Registriert
Juni 2013
Beiträge
401
Huhu,

vermutlich eine krasse Anfängerfrage, aber ich konnte keine richtige Lösung finden.

Ich verstehe was eine Verschlüsselung ist. Man benötigt den Schlüssel um zu entschlüsseln, sonst sieht ein Dritter nur WirrWarr auf der Platte. Wenn ich meine Festplatte mit BitLocker verschlüssle muss ich jedoch bei der Anmeldung an meinem PC kein PW eingeben. Wie genau ist diese Festplatte dann verschlüsselt wenn ich ohne Passworteingabe auf ihren Inhalt zugreifen kann? Von der Arbeit kenne ich das anders (McAfee). Ist mein BitLocker falsch eingestellt oder so?

Danke!

Edit: Oder hängt das ganze an meiner Windows-Anmeldung? Aber das kann ja prinzipiell erst funktionieren, nachdem die Platte offen ist?
 
  • Gefällt mir
Reaktionen: DJServs und LoreFipsum
Man kann doch Daten verschlüsseln ohne User zutun. PW, PIN oder was auch immer.

Ja, Dein Bitlocker ist dann falsch eingestellt. Wenn Du ein PW oder PIN eingeben willst, dann solltest du das auch so einstellen.
 
Nilson schrieb:
Wenn du kein Passwort eingeben musst, läuft das über TPM. Stark vereinfacht: Das ist ein Chip in deinem Mainboard oder eine Funktion der CPU, in der (ein Teil) des Schlüssels gespeichert ist. Beim starten wird der Schlüssel aus dem TPM gelesen und damit die Festplatte entschlüsselt.
https://support.microsoft.com/de-de/topic/was-ist-tpm-705f241d-025d-4470-80c5-4feeb24fa1ee
Ahh, das Ding weswegen ich so vielen Verwandten mitteilen musste, dass sie leider kein Windows 11 haben können :D Glaube mittlerweile geht es ja aber auch ohne - nicht sicher.

Les' ich mir mal durch, ich danke dir.
 
Bitlocker geht prinzipiell auch ohne TPM. Dann musst du bei jedem Start das Passwort eintippen. Mit dem TPM erhöht sich dann deutlich die Benutzerfreundlichkeit, weil du entweder nichts oder nur einen (kurzen) Pin eintippen musst. Zusammen mit Windows Hello, was auch auf das TPM zurückgreift, kann es sein, dass du gar nix mit eintippen musst.
 
  • Gefällt mir
Reaktionen: LoreFipsum und areiland
@Nilson Ich verstehe langsam. Der PC fährt erstmal hoch aber erst wenn Windows über das TPM Modul die Festplatte freigibt (Mit PIN, Gesicht oder wie auch immer) geht es auch wirklich weiter. D.h. die Sicherheit des Systems hängt im Zweifel an meinem 4-Stelligen PIN oder was auch immer ich als Windows Hello-Methode eingerichtet habe. Wäre die Festplatte nun nicht verschlüsselt könnte jeder Hans die Platte ausbauen, bei sich anschließen und hätte meine Daten ohne Windows Passwort etc.
Hab ich das richtig verstanden?
 
Ja, wenn die Festplatte nicht verschlüsselt ist, kann man die Daten einfach so auslesen. Dazu muss man die Platte nicht mal ausbauen. Ein Live-Linux reicht vollkommen aus.
Wenn TPM+Bitlocker+Windows Hello eingerichtet ist, hängt der Zugriff aber nicht nur an dem Pin. Genau so wenig wie z.B. die Sicherheit dein Bankkonto rein an der Pin der Giro-Card hängt.
 
Mit TPM wird die Entsperrung der Bitlockerverschlüsselung einfach etwas vorgelagert, so dass sie schon vor dem laden des Betriebssystems durch den Bootmanager geschehen kann und nicht vom OS angefordert werden muss.

Und weil im TPM ein einzigartiger Entschlüsselungscode hinterlegt wird, ist das trotzdem genauso sicher, als würde das OS selbst den Schlüssel anfordern. Ein ausgebauter Datenträger könnte trotzdem nur mit dem im Konto hinterlegten Wiederherstellungsschlüssel entsperrt werden.
 
Ja, das hast du richtig verstanden, aber kaum ein Dieb wird sich die Arbeit machen die Paltte auszubauen.
Und ein Desktop=PC ist viel zu schwer und zu unhandlich zum mitnehmen.
Eine Verschlüsselung ist daher bei Notebooks, Tablets und Smartphones deutlich wichtiger.
 
  • Gefällt mir
Reaktionen: LoreFipsum und areiland
LoreFipsum schrieb:
die Sicherheit des Systems hängt im Zweifel an meinem 4-Stelligen PIN oder was auch immer ich als Windows Hello-Methode eingerichtet habe.
Nur wenn ein Hans deinen ganzen PC mitgehen lässt. Ohne den TPM braucht der Hans den Bitlocker Wiederherstellungsschlüssel, der wesentlich länger ist.

cartridge_case schrieb:
Mir gefällt bei dem Artikel nicht, dass eine Bitlocker-Schwachstelle suggeriert wird wenn eine TPM-Schwachstelle vorliegt. Bitlocker ist nur spezifisch betroffen weil es häufig in der Konfiguration vorinstalliert kommt - weiterhin besser als unverschlüsselt, wie 99,98% der Systeme es sonst wären.

Ich nutze Bitlocker primär um meine externen HDDs mit Backups drauf zu verschlüsseln - und das ist weiterhin sicher weil das mit dem TPM nichts am Hut hat.

Außerdem, die reißerischen 42 Sekunden aus dem Video: Aber nur, wenn er durch vorherige Versuche schon alle Plastik-Clips kaputt gemacht hat. Sonst dauert diese sauber zu lösen allein schon länger... :D
 
  • Gefällt mir
Reaktionen: aragorn92, Evil E-Lex, BFF und 2 andere
Nilson schrieb:
Ja, wenn die Festplatte nicht verschlüsselt ist, kann man die Daten einfach so auslesen. Dazu muss man die Platte nicht mal ausbauen. Ein Live-Linux reicht vollkommen aus.
Wenn TPM+Bitlocker+Windows Hello eingerichtet ist, hängt der Zugriff aber nicht nur an dem Pin. Genau so wenig wie z.B. die Sicherheit dein Bankkonto rein an der Pin der Giro-Card hängt.
Beispiel: Ich bin im Außendienst und jemand klaut meinen Laptop und hat meine PIN weil die z.B. recht simpel ist oder ich die PIN auf einem Zettel am PC habe - wo hilft dann die TPM?

Ich verstehe warum das TPM die Verschlüsselung Benutzerfreundlich macht aber irgendwie sehe ich jetzt kein Sicherheitsupgrade wenn jemand meinen Arbeitslaptop klauen würde :D
 
Das Problem ist: Jemand kennt deine Pin. Die solltest nur du kennen. Du hast ja auch kein Zettel mit deiner Bank-Pin im Geldbeutel.
 
  • Gefällt mir
Reaktionen: aragorn92, DJServs, TomH22 und 2 andere
Die Schwachstelle betrifft aber nur Systeme mit dediziertem TPM Chip, bei dem der Bus abgreifbar ist. Die meisten Systeme werden inzwischen auf das fTPM in der CPU setzen und sind sicher, zumindest vor der Lücke.
 
  • Gefällt mir
Reaktionen: aragorn92, Evil E-Lex, tollertyp und eine weitere Person
  • Gefällt mir
Reaktionen: aragorn92, Evil E-Lex, tollertyp und 2 andere
LoreFipsum schrieb:
meine PIN weil die z.B. recht simpel ist
Deshalb sollte man keine simplen PINs oder Passwörter haben.;)
 
  • Gefällt mir
Reaktionen: aragorn92
Nilson schrieb:
Das Problem ist: Jemand kennt deine Pin. Die solltest nur du kennen. Du hast ja auch kein Zettel mit deiner Bank-Pin im Geldbeutel.
Lustigerweise stehen auf meiner Bankkarte drei PINs. Wenn der Dieb alle drei nacheinander eingibt wird er merken, dass die Karte eingezogen wird, da alle drei falsch sind. Lifehack aus meiner Bankausbildung :D

Bezüglich einfache PIN: Eine 4-stellige PIN ist doch recht simpel zu bruteforcen - egal ob die jetzt 0815 oder 1337 ist...?
 
  • Gefällt mir
Reaktionen: Daniel D., coasterblog und TorenAltair
LoreFipsum schrieb:
Ich verstehe warum das TPM die Verschlüsselung Benutzerfreundlich macht aber irgendwie sehe ich jetzt kein Sicherheitsupgrade wenn jemand meinen Arbeitslaptop klauen würde :D
Bitlocker soll genau dann Deine Daten schützen, wenn jemand Dein Gerät entwendet und nicht in der Lage ist Passwort oder PIN zu erraten, sondern schlicht die Datenträger ausbaut und an einem anderen Rechner auszulesen.

Deshalb ja auch die Kombination mit Windows Hello, wo man den Login am Rechner mit biometrischen Daten vornehmen lassen kann.
 
  • Gefällt mir
Reaktionen: aragorn92 und LoreFipsum
LoreFipsum schrieb:
Bezüglich einfache PIN: Eine 4-stellige PIN ist doch recht simpel zu bruteforcen - egal ob die jetzt 0815 oder 1337 ist...?
Wie auch bei der Bank oder SIM kannst du nicht beliebig viele Pins probieren. Nach einer gewissen Anzahl falscher Versuche verlangt Windows von dir das Passwort. Zumal der Pin auch länger als vier Zeichen und sogar Alphanumerisch sein kann.
 
  • Gefällt mir
Reaktionen: aragorn92, DJServs und TomH22
Zurück
Oben