Was genau macht BitLocker?

[LoreFipsum]

Huhu,

vermutlich eine krasse Anfängerfrage, aber ich konnte keine richtige Lösung finden.

Ich verstehe was eine Verschlüsselung ist. Man benötigt den Schlüssel um zu entschlüsseln, sonst sieht ein Dritter nur WirrWarr auf der Platte. Wenn ich meine Festplatte mit BitLocker verschlüssle muss ich jedoch bei der Anmeldung an meinem PC kein PW eingeben. Wie genau ist diese Festplatte dann verschlüsselt wenn ich ohne Passworteingabe auf ihren Inhalt zugreifen kann? Von der Arbeit kenne ich das anders (McAfee). Ist mein BitLocker falsch eingestellt oder so?

Danke!

Edit: Oder hängt das ganze an meiner Windows-Anmeldung? Aber das kann ja prinzipiell erst funktionieren, nachdem die Platte offen ist?

 

[Nilson]

Wenn du kein Passwort eingeben musst, läuft das über TPM. Stark vereinfacht: Das ist ein Chip in deinem Mainboard oder eine Funktion der CPU, in der (ein Teil) des Schlüssels gespeichert ist. Beim starten wird der Schlüssel aus dem TPM gelesen und damit die Festplatte entschlüsselt.
https://support.microsoft.com/de-de/topic/was-ist-tpm-705f241d-025d-4470-80c5-4feeb24fa1ee

 

[BlubbsDE]

Man kann doch Daten verschlüsseln ohne User zutun. PW, PIN oder was auch immer.

Ja, Dein Bitlocker ist dann falsch eingestellt. Wenn Du ein PW oder PIN eingeben willst, dann solltest du das auch so einstellen.

 

[LoreFipsum]

Wenn du kein Passwort eingeben musst, läuft das über TPM. Stark vereinfacht: Das ist ein Chip in deinem Mainboard oder eine Funktion der CPU, in der (ein Teil) des Schlüssels gespeichert ist. Beim starten wird der Schlüssel aus dem TPM gelesen und damit die Festplatte entschlüsselt.
https://support.microsoft.com/de-de/topic/was-ist-tpm-705f241d-025d-4470-80c5-4feeb24fa1ee

Ahh, das Ding weswegen ich so vielen Verwandten mitteilen musste, dass sie leider kein Windows 11 haben können Glaube mittlerweile geht es ja aber auch ohne - nicht sicher.

Les' ich mir mal durch, ich danke dir.

 

[Nilson]

Bitlocker geht prinzipiell auch ohne TPM. Dann musst du bei jedem Start das Passwort eintippen. Mit dem TPM erhöht sich dann deutlich die Benutzerfreundlichkeit, weil du entweder nichts oder nur einen (kurzen) Pin eintippen musst. Zusammen mit Windows Hello, was auch auf das TPM zurückgreift, kann es sein, dass du gar nix mit eintippen musst.

 

[LoreFipsum]

@Nilson Ich verstehe langsam. Der PC fährt erstmal hoch aber erst wenn Windows über das TPM Modul die Festplatte freigibt (Mit PIN, Gesicht oder wie auch immer) geht es auch wirklich weiter. D.h. die Sicherheit des Systems hängt im Zweifel an meinem 4-Stelligen PIN oder was auch immer ich als Windows Hello-Methode eingerichtet habe. Wäre die Festplatte nun nicht verschlüsselt könnte jeder Hans die Platte ausbauen, bei sich anschließen und hätte meine Daten ohne Windows Passwort etc.
Hab ich das richtig verstanden?

 

[Nilson]

Ja, wenn die Festplatte nicht verschlüsselt ist, kann man die Daten einfach so auslesen. Dazu muss man die Platte nicht mal ausbauen. Ein Live-Linux reicht vollkommen aus.
Wenn TPM+Bitlocker+Windows Hello eingerichtet ist, hängt der Zugriff aber nicht nur an dem Pin. Genau so wenig wie z.B. die Sicherheit dein Bankkonto rein an der Pin der Giro-Card hängt.

 

[cartridge_case]

https://www.borncity.com/blog/2024/...42-sekunden-mit-raspberry-pie-pico-ermittelt/

 

[areiland]

Mit TPM wird die Entsperrung der Bitlockerverschlüsselung einfach etwas vorgelagert, so dass sie schon vor dem laden des Betriebssystems durch den Bootmanager geschehen kann und nicht vom OS angefordert werden muss.

Und weil im TPM ein einzigartiger Entschlüsselungscode hinterlegt wird, ist das trotzdem genauso sicher, als würde das OS selbst den Schlüssel anfordern. Ein ausgebauter Datenträger könnte trotzdem nur mit dem im Konto hinterlegten Wiederherstellungsschlüssel entsperrt werden.

 

[00Julius]

Ja, das hast du richtig verstanden, aber kaum ein Dieb wird sich die Arbeit machen die Paltte auszubauen.
Und ein Desktop=PC ist viel zu schwer und zu unhandlich zum mitnehmen.
Eine Verschlüsselung ist daher bei Notebooks, Tablets und Smartphones deutlich wichtiger.

 

[Rickmer]

die Sicherheit des Systems hängt im Zweifel an meinem 4-Stelligen PIN oder was auch immer ich als Windows Hello-Methode eingerichtet habe.

Nur wenn ein Hans deinen ganzen PC mitgehen lässt. Ohne den TPM braucht der Hans den Bitlocker Wiederherstellungsschlüssel, der wesentlich länger ist.

https://www.borncity.com/blog/2024/...42-sekunden-mit-raspberry-pie-pico-ermittelt/

Mir gefällt bei dem Artikel nicht, dass eine Bitlocker-Schwachstelle suggeriert wird wenn eine TPM-Schwachstelle vorliegt. Bitlocker ist nur spezifisch betroffen weil es häufig in der Konfiguration vorinstalliert kommt - weiterhin besser als unverschlüsselt, wie 99,98% der Systeme es sonst wären.

Ich nutze Bitlocker primär um meine externen HDDs mit Backups drauf zu verschlüsseln - und das ist weiterhin sicher weil das mit dem TPM nichts am Hut hat.

Außerdem, die reißerischen 42 Sekunden aus dem Video: Aber nur, wenn er durch vorherige Versuche schon alle Plastik-Clips kaputt gemacht hat. Sonst dauert diese sauber zu lösen allein schon länger...

 

[LoreFipsum]

Ja, wenn die Festplatte nicht verschlüsselt ist, kann man die Daten einfach so auslesen. Dazu muss man die Platte nicht mal ausbauen. Ein Live-Linux reicht vollkommen aus.
Wenn TPM+Bitlocker+Windows Hello eingerichtet ist, hängt der Zugriff aber nicht nur an dem Pin. Genau so wenig wie z.B. die Sicherheit dein Bankkonto rein an der Pin der Giro-Card hängt.

Beispiel: Ich bin im Außendienst und jemand klaut meinen Laptop und hat meine PIN weil die z.B. recht simpel ist oder ich die PIN auf einem Zettel am PC habe - wo hilft dann die TPM?

Ich verstehe warum das TPM die Verschlüsselung Benutzerfreundlich macht aber irgendwie sehe ich jetzt kein Sicherheitsupgrade wenn jemand meinen Arbeitslaptop klauen würde

 

[Nilson]

Das Problem ist: Jemand kennt deine Pin. Die solltest nur du kennen. Du hast ja auch kein Zettel mit deiner Bank-Pin im Geldbeutel.

 

[cartridge_case]

Mir gefällt bei dem Artikel nicht, dass eine Bitlocker-Schwachstelle suggeriert wird wenn eine TPM-Schwachstelle vorliegt.

Es wird doch mehrfach erwähnt, dass die TPM-Schwachstelle ausgenutzt wird. :-/

 

[Nilson]

Die Schwachstelle betrifft aber nur Systeme mit dediziertem TPM Chip, bei dem der Bus abgreifbar ist. Die meisten Systeme werden inzwischen auf das fTPM in der CPU setzen und sind sicher, zumindest vor der Lücke.

 

[Rickmer]

Es wird doch mehrfach erwähnt

Mir gefällt die Formulierung im Artikel trotzdem nicht

 

[00Julius]

meine PIN weil die z.B. recht simpel ist

Deshalb sollte man keine simplen PINs oder Passwörter haben.

 

[LoreFipsum]

Das Problem ist: Jemand kennt deine Pin. Die solltest nur du kennen. Du hast ja auch kein Zettel mit deiner Bank-Pin im Geldbeutel.

Lustigerweise stehen auf meiner Bankkarte drei PINs. Wenn der Dieb alle drei nacheinander eingibt wird er merken, dass die Karte eingezogen wird, da alle drei falsch sind. Lifehack aus meiner Bankausbildung

Bezüglich einfache PIN: Eine 4-stellige PIN ist doch recht simpel zu bruteforcen - egal ob die jetzt 0815 oder 1337 ist...?

 

[areiland]

Ich verstehe warum das TPM die Verschlüsselung Benutzerfreundlich macht aber irgendwie sehe ich jetzt kein Sicherheitsupgrade wenn jemand meinen Arbeitslaptop klauen würde

Bitlocker soll genau dann Deine Daten schützen, wenn jemand Dein Gerät entwendet und nicht in der Lage ist Passwort oder PIN zu erraten, sondern schlicht die Datenträger ausbaut und an einem anderen Rechner auszulesen.

Deshalb ja auch die Kombination mit Windows Hello, wo man den Login am Rechner mit biometrischen Daten vornehmen lassen kann.

 

[Nilson]

Bezüglich einfache PIN: Eine 4-stellige PIN ist doch recht simpel zu bruteforcen - egal ob die jetzt 0815 oder 1337 ist...?

Wie auch bei der Bank oder SIM kannst du nicht beliebig viele Pins probieren. Nach einer gewissen Anzahl falscher Versuche verlangt Windows von dir das Passwort. Zumal der Pin auch länger als vier Zeichen und sogar Alphanumerisch sein kann.