Windows/BitLocker: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
VisuellWikitext
imported>Sim
Die Seite wurde neu angelegt: „'''BitLocker''' ist eine Festplattenverschlüsselung des Unternehmens Microsoft, die serverseitig ab Microsoft Windows Server 2008|Windows Server 200…“
 
K Textersetzung - „Kryptografies“ durch „Kryptografie“
 
(20 dazwischenliegende Versionen von 6 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
'''BitLocker''' ist eine [[Festplattenverschlüsselung]] des Unternehmens [[Microsoft]], die serverseitig ab [[Microsoft Windows Server 2008|Windows Server 2008]] und clientseitig in den Ultimate- und Enterprise-Versionen von [[Microsoft Windows Vista|Windows Vista]] und [[Microsoft Windows 7|Windows 7]] sowie den Pro- und Enterprise-Versionen von [[Microsoft Windows 8|Windows 8]], [[Microsoft Windows 8.1|Windows 8.1]] und [[Microsoft Windows 10|Windows 10]]  enthalten ist.<ref>{{internetquelle|url=http://windows.microsoft.com/de-de/windows7/products/features/bitlocker|titel=BitLocker-Laufwerkverschlüsselung – Microsoft Windows | zugriff=2015-07-12}}</ref><ref>{{internetquelle|url=http://windows.microsoft.com/de-de/windows-8/bitlocker-drive-encryption|titel=Schützen von Dateien mit BitLocker – Hilfe zu Microsoft Windows | zugriff=2015-07-12}}</ref>
'''BitLocker''' ist eine Festplattenverschlüsselung von Microsoft, die in Windows 10 enthalten ist


== Funktionsweise ==
== Funktionsweise ==
[[Datei:Bitlocker.JPG|mini|BitLocker]]
Um das Systemlaufwerk verschlüsseln zu können, benötigt Bitlocker eine eigene Partition der Festplatte, welche bei Bedarf automatisch erstellt wird
* Es startet vor dem Betriebssystem und greift standardmäßig auf ein Trusted Platform Module (TPM) zu, um zu prüfen, ob die Hardware unverändert und somit vertrauenswürdig ist
* Microsoft empfiehlt, zusätzlich die Eingabe einer PIN zu erzwingen
* Allerdings ist bei Auswahl der PIN darauf zu achten, dass diese bei der Startroutine zu einem Zeitpunkt abgefragt wird, bei dem länderspezifische Einstellungen der Tastatur noch nicht geladen sind, also die Tastatur immer dem US-englischen Standard entspricht
* Damit sind Y und Z gegenüber der deutschen Tastatur vertauscht, Sonderzeichen liegen vielfach auf anderen Tasten, Umlaute können nicht per Tastatur eingegeben werden
* Alternativ oder zusätzlich zur PIN kann das Starten des Systems davon abhängig gemacht werden, ob ein USB-Stick mit einer Schlüsseldatei eingesteckt ist
* Wenn keines von beidem konfiguriert wird, tritt BitLocker nicht in Erscheinung, solange die Umgebung der Festplatte unverändert bleibt
* Bei Computern ohne Trusted Platform Module kann alternativ eine Schlüsseldatei auf einem USB-Stick zum Einsatz kommen oder, außer bei der Systempartition, die Eingabe einer PIN vorgesehen werden


Um das Systemlaufwerk verschlüsseln zu können, benötigt Bitlocker eine eigene [[Partition (Informatik)|Partition]] der Festplatte, welche bei Bedarf automatisch erstellt wird.<ref>{{cite web
Die Kryptografie erfolgt durch AES mit einer Schlüssellänge von 128 oder 256 Bit
| url        = http://technet.microsoft.com/de-de/library/dd875544%28WS.10%29.aspx
* BitLocker unterstützt ab Windows 7 auch die Kryptografie von USB-Medien („BitLocker to Go“), welche auch unter Windows Vista und XP gelesen werden können
| title      = Getting Started with BitLocker Drive Encryption
| publisher  = Microsoft
| accessdate = 2010-04-26
}}</ref> Es startet vor dem Betriebssystem und greift standardmäßig auf ein [[Trusted Platform Module]] (TPM) zu, um zu prüfen, ob die [[Hardware]] unverändert und somit vertrauenswürdig ist. Microsoft empfiehlt, zusätzlich die Eingabe einer [[Persönliche Identifikationsnummer|PIN]] zu erzwingen.<ref>{{cite web
| url        = http://technet.microsoft.com/en-us/library/ee706531%28WS.10%29.aspx
| title      = How Strong Do You Want the BitLocker Protection?
| publisher  = Microsoft
| accessdate = 2010-04-26
}}</ref> Allerdings ist bei Auswahl der PIN darauf zu achten, dass diese bei der Startroutine zu einem Zeitpunkt abgefragt wird, bei dem länderspezifische Einstellungen der Tastatur noch nicht geladen sind, also die Tastatur immer dem US-englischen Standard entspricht. Damit sind Y und Z gegenüber der deutschen Tastatur vertauscht, Sonderzeichen liegen vielfach auf anderen Tasten, Umlaute können nicht per Tastatur eingegeben werden. Alternativ oder zusätzlich zur PIN kann das Starten des Systems davon abhängig gemacht werden, ob ein [[USB-Stick]] mit einer Schlüsseldatei eingesteckt ist. Wenn keines von beidem konfiguriert wird, tritt BitLocker nicht in Erscheinung, solange die Umgebung der Festplatte unverändert bleibt. Bei Computern ohne Trusted Platform Module kann alternativ eine Schlüsseldatei auf einem USB-Stick zum Einsatz kommen oder, außer bei der Systempartition, die Eingabe einer PIN vorgesehen werden.


Die Verschlüsselung erfolgt durch [[Advanced Encryption Standard|AES]] mit einer Schlüssellänge von 128 oder 256&nbsp;Bit.
Es ist grundsätzlich auch möglich, die Systempartition gänzlich ohne TPM zu verschlüsseln und stattdessen die PIN-Eingabe zu verwenden
Gegenüber Windows Vista unterstützt BitLocker ab Windows 7 auch die Verschlüsselung von USB-Medien („BitLocker to Go“), welche auch unter Windows Vista und XP gelesen werden können.<ref>PC Magazin, BitLocker To Go unter Vista und XP, http://www.pc-magazin.de/ratgeber/bitlocker-to-go-unter-vista-und-xp-1054748.html</ref>
 
Es ist grundsätzlich auch möglich, die Systempartition gänzlich ohne TPM zu verschlüsseln und stattdessen die PIN-Eingabe zu verwenden.


== Recovery-Funktionalität ==
== Recovery-Funktionalität ==
BitLocker speichert die Recovery-Daten zur Entschlüsselung der Partition ohne Passwort während des Kryptografieprozesses im Klartext auf einem Datenträger und in gemanagten Umgebungen zusätzlich in das Active Directory
* Hier wird pro Partition ein Key angelegt
* Wenn ein TPM-Chip verwendet wird, so wird dessen Recovery-Passwort ebenfalls abgelegt
* Für eine Entschlüsselung ist entweder das ursprüngliche Passwort oder das TPM-Passwort notwendig, eine Challenge-Response-Authentifizierung ist derzeit nicht vorgesehen


BitLocker speichert die Recovery-Daten zur Entschlüsselung der Partition ohne Passwort während des Verschlüsselungsprozesses im Klartext auf einem Datenträger und in gemanagten Umgebungen zusätzlich in das [[Active Directory]]. Hier wird pro Partition ein Key angelegt. Wenn ein TPM-Chip verwendet wird, so wird dessen Recovery-Passwort ebenfalls abgelegt. Für eine Entschlüsselung ist entweder das ursprüngliche Passwort oder das TPM-Passwort notwendig, eine [[Challenge-Response-Authentifizierung]] ist derzeit nicht vorgesehen.
[[Kategorie:Windows/Storage]]
 
== Software zur Extraktion des BitLocker-Passworts im laufenden Betrieb ==
 
Es wird auf dem internationalen Markt eine Software angeboten,<ref>Passware, Inc.: [http://www.lostpassword.com/news/pnl50.htm ''Passware Kit 9.5 Decrypts BitLocker Hard Drives'']</ref> die an Polizeidienststellen, Behörden und Privatdetektive<ref>[http://www.cop2cop.de/2010/03/31/passware-kit-forensic-entschlusselt-truecrypt-festplatten-innerhalb-von-minuten/ Cop2Cop Aktuelles zur Inneren Sicherheit, Polizei, Security, Justiz, Feuerwehr und deren Interessenvertretungen]: {{"|…eine Lösung auf den Markt zu bringen, die der Polizei, Kriminalbeamten und Privatdetektiven die Möglichkeit bietet, sowohl BitLocker- und nun auch TrueCrypt-Verschlüsselung auf beschlagnahmten Computern zu umgehen.}}</ref> verkauft wird. Die Funktion dieses Programmpaketes liegt darin, dass zunächst bei einem gemounteten BitLocker-Laufwerk der Arbeitsspeicher ausgelesen wird.<ref>PR Newswire: [http://www.prnewswire.co.uk/news-releases/passware-kit-forensic-entschlusselt-truecrypt-festplatten-innerhalb-von-minuten-152547605.html ''Passware Kit Forensic entschlüsselt TrueCrypt-Festplatten innerhalb von Minuten'']</ref> Dazu wird ein Programm zum Kopieren des Inhalts des [[Random-Access Memory|RAM]] über den [[FireWire]]-Port mitgeliefert.<ref>Passware, Inc.: [http://www.lostpassword.com/hdd-decryption.htm#imager ''Acquiring Memory Image Using Passware FireWire Memory Imager'']</ref> Anschließend kann auf einem anderen PC das Speicherabbild verarbeitet und das darin vorhandene Passwort angezeigt werden. Damit ist ein Zugriff auf die geschützten Daten des angegriffenen Rechners sofort oder zu einem späteren Zeitpunkt möglich. Allerdings ist ein Speicherabbild und folglich das Auslesen des Passworts nur auf einem eingeschalteten Computer möglich, bei dem das Passwort bereits eingegeben wurde.<ref>golem.de :[http://www.golem.de/1003/74189.html ''Truecrypt- und Bitlocker-Festplatten schnell entschlüsseln'']</ref> Dieselbe Angriffsmöglichkeit besteht auch für vergleichbare Programme wie [[TrueCrypt]]. Letzteres hat jedoch Funktionen, welche das Passwort wieder automatisch aus dem Flashspeicher löschen.
 
Je nach Einstellung von BitLocker lässt sich der Start des Computers durch Unbefugte, und somit das Abgreifen von Daten, mit einem zusätzlichen Passwort oder einer PIN verhindern.<ref>msdn.com: [http://blogs.msdn.com/b/si_team/archive/2008/02/25/protecting-bitlocker-from-cold-attacks-and-other-threats.aspx ''Protecting BitLocker from Cold Attacks'']</ref>

Aktuelle Version vom 27. Juli 2024, 10:38 Uhr

BitLocker ist eine Festplattenverschlüsselung von Microsoft, die in Windows 10 enthalten ist

Funktionsweise

BitLocker

Um das Systemlaufwerk verschlüsseln zu können, benötigt Bitlocker eine eigene Partition der Festplatte, welche bei Bedarf automatisch erstellt wird

  • Es startet vor dem Betriebssystem und greift standardmäßig auf ein Trusted Platform Module (TPM) zu, um zu prüfen, ob die Hardware unverändert und somit vertrauenswürdig ist
  • Microsoft empfiehlt, zusätzlich die Eingabe einer PIN zu erzwingen
  • Allerdings ist bei Auswahl der PIN darauf zu achten, dass diese bei der Startroutine zu einem Zeitpunkt abgefragt wird, bei dem länderspezifische Einstellungen der Tastatur noch nicht geladen sind, also die Tastatur immer dem US-englischen Standard entspricht
  • Damit sind Y und Z gegenüber der deutschen Tastatur vertauscht, Sonderzeichen liegen vielfach auf anderen Tasten, Umlaute können nicht per Tastatur eingegeben werden
  • Alternativ oder zusätzlich zur PIN kann das Starten des Systems davon abhängig gemacht werden, ob ein USB-Stick mit einer Schlüsseldatei eingesteckt ist
  • Wenn keines von beidem konfiguriert wird, tritt BitLocker nicht in Erscheinung, solange die Umgebung der Festplatte unverändert bleibt
  • Bei Computern ohne Trusted Platform Module kann alternativ eine Schlüsseldatei auf einem USB-Stick zum Einsatz kommen oder, außer bei der Systempartition, die Eingabe einer PIN vorgesehen werden

Die Kryptografie erfolgt durch AES mit einer Schlüssellänge von 128 oder 256 Bit

  • BitLocker unterstützt ab Windows 7 auch die Kryptografie von USB-Medien („BitLocker to Go“), welche auch unter Windows Vista und XP gelesen werden können

Es ist grundsätzlich auch möglich, die Systempartition gänzlich ohne TPM zu verschlüsseln und stattdessen die PIN-Eingabe zu verwenden

Recovery-Funktionalität

BitLocker speichert die Recovery-Daten zur Entschlüsselung der Partition ohne Passwort während des Kryptografieprozesses im Klartext auf einem Datenträger und in gemanagten Umgebungen zusätzlich in das Active Directory

  • Hier wird pro Partition ein Key angelegt
  • Wenn ein TPM-Chip verwendet wird, so wird dessen Recovery-Passwort ebenfalls abgelegt
  • Für eine Entschlüsselung ist entweder das ursprüngliche Passwort oder das TPM-Passwort notwendig, eine Challenge-Response-Authentifizierung ist derzeit nicht vorgesehen
Abgerufen von „https://wiki.foxtom.de/index.php?title=Windows/BitLocker&oldid=103999