pluwim
Goto Top

Bitlocker oder Veracrypt unter Win10? Was ist hinsichtlich Performance, Sicherheit, Backup und Kompatibilität besser?

Guten Morgen,

bei mir wird demnächst eine neue Platte fällig, weil ich mein Win7-System auf Win10 umstellen will. D.h. ich starte auf dem Desktop-PC mit einer leeren Platte unter Windows 10 (Pro) ganz neu.

Bisher nutze ich Diskcryptor unter Win7, aber das Ding scheint ja nicht mehr fortentwickelt zu werden. Bitlocker wäre zwar die einfachste Lösung, aber ist sie auch die beste?

Ich frage mich das insbesondere hinsichtlich der Performance. Der Rechner hat einen i5, d.h. AES hat Hardware-Unterstützung. Ich weiß nicht genau, wie Bitlocker im Vergleich zu Veracrypt arbeitet, aber vermutlich schenkt sich das nicht viel von der benötigten Leistung für die Verschlüsselung im Hintergrund.

Hinsichtlich Sicherheit hege ich jedoch bei Bitlocker prinzipielle Bedenken, weil MS (NSA) nicht zu trauen ist. Oder kann man davon ausgehen, dass das tatsächlich genausowenig zu knacken ist wie Veracrypt bei einem vernünftigen Passwort (und solange Quantencomputer noch nicht alle Passworte knacken können)? Kann es in Bitlocker prinzipbedingt theoretisch Hintertüren geben?

Auch möchte ich weiterhin regelmäßige Backup-Abbilder der gesamten Platte erstellen. Mit Programmen wie Backup-Manager ging das bisher nicht wegen der Diskcryptor-Verschlüsselung, mit Drive-Snapshot hingegen schon, aber Drive-Snapshot will ich gerne loswerden.

Kann mir wer eine Empfehlung aussprechen, was ich wählen sollte und warum? Also entweder Bitlocker oder Veracrypt oder noch was ganz anderes? Vielen Dank!

Content-ID: 473534

Url: https://administrator.de/forum/bitlocker-oder-veracrypt-unter-win10-was-ist-hinsichtlich-performance-sicherheit-backup-und-kompatibilitaet-473534.html

Ausgedruckt am: 23.12.2024 um 23:12 Uhr

SlainteMhath
SlainteMhath 15.07.2019 um 12:00:53 Uhr
Goto Top
Moin,

Kann mir wer eine Empfehlung aussprechen
darf ich fragen gegen was du dich mit der FDE schützen willst (ich nehme an es geht um einen Privatrechner)?

weil MS (NSA) nicht zu trauen ist.
Warum arbeitest du dann überhaupt Windows? Steig um auf Linux und gut.

lg,
Slainte
Pluwim
Pluwim 15.07.2019 um 12:22:52 Uhr
Goto Top
darf ich fragen gegen was du dich mit der FDE schützen willst (ich nehme an es geht um einen Privatrechner)?

Gegen Diebstahl? Beschlagnahmung? Veränderung der Daten durch Dritte? Weil ich Kundendaten auf dem Rechner habe, DSGVO? Und weil ich ein Recht auf Privatsphäre habe?

weil MS (NSA) nicht zu trauen ist.
Warum arbeitest du dann überhaupt Windows? Steig um auf Linux und gut.

Weil ich es muss. Neben MS Office verwende ich eine Videoschnitt-SW, diverse DTP-Programme, Grafikbearbeitung und anderes, was es nur unter Windows gibt. Ja, ich weiß, es gibt auch unter Linux manches davon, aber ich will und kann nicht mal eben nebenbei alles neu lernen, um dann irgendwann (mit teilweise Krücken) weiterarbeiten zu können.

Ich habe zwar gewisse Kenntnisse in und Erfahrung mit Linux, aber die ist zu gering, um mir im Falle eines Problems dann selbst helfen zu können. Daher bleibt leider keine Zeit für Linux-"Spielereien". Für Dich und andere mag das anders sein.

Aber ich möchte jetzt bitte möglichst keine Grundsatzdebatte Linux-Windows haben hier, meine Fragestellung ist doch klar formuliert, oder?
SlainteMhath
SlainteMhath 15.07.2019 um 12:31:34 Uhr
Goto Top
Ok, wenn die Antwort gleich mal auf dem Aggro-Level ausfällt, bin ich mal raus aus dem Thread
Bem0815
Bem0815 15.07.2019 aktualisiert um 12:33:56 Uhr
Goto Top
Zitat von @Pluwim:

Ich frage mich das insbesondere hinsichtlich der Performance. Der Rechner hat einen i5, d.h. AES hat Hardware-Unterstützung. Ich weiß nicht genau, wie Bitlocker im Vergleich zu Veracrypt arbeitet, aber vermutlich schenkt sich das nicht viel von der benötigten Leistung für die Verschlüsselung im Hintergrund.

Kann man nicht pauschal sagen wie die Performance ist. Grundsätzlich ist die relativ gut wenn man einen TPM Chip hat, da dieser dann hauptsächlich die Arbeit zum Verschlüsseln und Entschlüsseln erledigt.

Ob du so einen TPM Chip hast kann dir hier ohne Hardwareinfos niemand sagen.

Hinsichtlich Sicherheit hege ich jedoch bei Bitlocker prinzipielle Bedenken, weil MS (NSA) nicht zu trauen ist. Oder kann man davon ausgehen, dass das tatsächlich genausowenig zu knacken ist wie Veracrypt bei einem vernünftigen Passwort (und solange Quantencomputer noch nicht alle Passworte knacken können)? Kann es in Bitlocker prinzipbedingt theoretisch Hintertüren geben?

Dir ist aber schon klar, dass bei einer Laufwerksverschlüsselung das vom Arbeitsprinzip keinerlei Unterschied macht.
Was Microsoft an Telemetriedaten abgreift machen die aus dem Arbeitsspeicher im laufenden Betrieb.

Wie dein Laufwerk dann Verschlüsselt ist, ist hier komplett egal. An die Telemetriedaten kommen die trotzdem dran.
Wenn dich das stört musst du auf ein anderes OS setzen.

Ist dir Grundsätzlich klar wozu denn eine Laufwerksverschlüsselung überhaupt gut ist?

Eine Laufwerksverschlüsselung soll ja primär dagegen schützen, dass jemand z.B. bei Diebstahl deine HDD ausbaut und dann deine Daten auslesen kann. Also z.B. einem Notebook, speziell wenn das Gerät auch noch geschäftlich genutzt wird und da Kundendaten drauf sind, da hat man sonst schnell mal einen Meldepflichtigen DSGVO Vorfall. Natürlich ist das auch bei privaten Daten hier sinnvoll wenn das Gerät leicht geklaut werden kann.

Aber für einen Desktop PC der bei dir zuhause steht und an den niemand fremdes physikalischen Zugriff hat macht eine Laufwerksverschlüsselung kaum Sinn, außer du hast Angst das ein Einbrecher kommt und deinen kompletten Rechner mitnimmt.

Lies dir bitte am besten erst mal durch wozu eine FDE wirklich gut ist:
https://de.wikipedia.org/wiki/Festplattenverschl%C3%BCsselung
Pluwim
Pluwim 15.07.2019 um 12:35:15 Uhr
Goto Top
Wieso Aggro? Du hast leider überhaupt nicht auf meine Frage geantwortet, was soll ich denn sonst dazu schreiben? Ich will Windows 10 installieren und Du sagst, ich soll Linux nehmen. Toll.

Wenn Du meine Antwort als Angriff verstanden hast, tut es mir leid. Nur ganz ehrlich: Ich frage hier, welche der beiden Apfelmussorten die bessere ist und Du antwortest "nimm halt Pflaumenmus". Wie sinnvoll ist das denn?
Pluwim
Pluwim 15.07.2019 aktualisiert um 12:45:34 Uhr
Goto Top
Ob du so einen TPM Chip hast kann dir hier ohne Hardwareinfos niemand sagen.

Ist kein TPM vorhanden.

Dir ist aber schon klar, dass bei einer Laufwerksverschlüsselung das vom Arbeitsprinzip keinerlei Unterschied macht.
Was Microsoft an Telemetriedaten abgreift machen die aus dem Arbeitsspeicher im laufenden Betrieb.

Ja, ist klar. Aber mir geht es darum: Wenn Bitlocker eine (bekannte oder absichtliche) Lücke hat, dann haben bestimmte Leute darauf Zugriff und evtl. ist es damit möglich, den entwendeten Rechner so zu entschlüsseln. Ich denke da nicht an "Standard-Diebe", sondern z.B. an staatliche Stellen oder solche, die mit ähnlicher Autorität agieren.

Aber für einen Desktop PC der bei dir zuhause steht und an den niemand fremdes physikalischen Zugriff hat macht eine Laufwerksverschlüsselung kaum Sinn, außer du hast Angst das ein Einbrecher kommt und deinen kompletten Rechner mitnimmt.

Darum geht es mir. Ich kann und werde Kundendaten nicht unverschlüsselt rumliegen lassen und meine eigenen auch nicht. Außerdem ist mein Win7 schon immer verschlüsselt, siehe oben.

Zunächst mal Danke natürlich für die Antworten, aber ich möchte nicht wirklich in die Debatte, ob und warum Verschlüsselung vielleicht nicht sinnvoll ist, einsteigen, denn Verschlüsselung ist für mich Pflicht. Es ist die Voraussetzung meiner Frage.

Wir können gerne in einem anderen Faden sowohl über den Sinn von Verschlüsselung diskutieren, was auch bezüglich der Möglichkeiten durch Quantencomputer interessant ist (in ca. 5-10 Jahren hilft keine heutige Verschlüsselung mehr) , als auch über mögliche Alternativen wie Linux. Aber hier im Faden soll es bitte nur um die Fragestellung gehen.
Bem0815
Bem0815 15.07.2019 aktualisiert um 13:08:30 Uhr
Goto Top
Zitat von @Pluwim:

Ja, ist klar. Aber mir geht es darum: Wenn Bitlocker eine (bekannte oder absichtliche) Lücke hat, dann haben bestimmte Leute darauf Zugriff und evtl. ist es damit möglich, den entwendeten Rechner so zu entschlüsseln. Ich denke da nicht an "Standard-Diebe", sondern z.B. an staatliche Stellen oder solche, die mit ähnlicher Autorität agieren.

Staatliche Stellen?
Gibt es denn Anlass dazu? Wir leben ja hier nicht in einem Schurkenstaat in dem man schon Angst haben muss, dass der Rechner beschlagnahmt wird wenn man etwas Regierungskritisches sagt, sondern gewöhnlich nur bei Straftaten.

Aber auch hier sollte dir bewusst sein, dass dir eine Laufwerksverschlüsselung nur etwas bringt, wenn dein PC z.B. bei einer Stürmung durch das SEK entweder ausgeschaltet oder gesperrt ist. Wenn der vor sich hin läuft und du währenddessen in der Küche dir einen Kaffee machst bringt dir die beste Laufwerksverschlüsselung auch nichts.

Das weiß auch das SEK und versucht genau deshalb bei Beschlagnahmungen ganz bewusst immer die Leute so zu erwischen, dass der PC bei der Stürmung entsperrt ist. Soviel also dazu.

Bei den Sicherheitslücken ist das so eine Sache. TPM hatte z.B. mal eine Lücke, die betraft dann alle Laufwerksverschlüsselungen die TPM benutzen, die Lücke konnte man mit einem Firmwareupdate beheben. Ebenso gab es wohl mal in gewissen SSDs eine Schwachstelle die Bitlocker (und auch andere Laufwerksverschlüsselungen) quasi ausgehebelt hat.

Auch in Bitlocker selbst werden sicher noch Lücken sein und immer mal wieder auftauchen, genauso wie in anderen Verschlüsselungen, da Bitlocker aber einen sehr hohen Marktanteil hat, werden hier die Lücken denke ich meist schneller als bei der Konkurrenz erkannt und geschlossen. Voraussetzung ist schlichtweg, dass du grundsätzlich dein System mit Patches aktuell hältst.

Ich würde also sagen Bitlocker kann man hier durchweg nehmen, ich selbst setze es auf zig Notebooks im Unternehmenseinsatz ein, damit unsere Außendienstler unbesorgt damit außer Haus gehen können.
Pluwim
Pluwim 15.07.2019 um 14:44:31 Uhr
Goto Top
Auch in Bitlocker selbst werden sicher noch Lücken sein und immer mal wieder auftauchen, genauso wie in anderen Verschlüsselungen, da Bitlocker aber einen sehr hohen Marktanteil hat, werden hier die Lücken denke ich meist schneller als bei der Konkurrenz erkannt und geschlossen. Voraussetzung ist schlichtweg, dass du grundsätzlich dein System mit Patches aktuell hältst.

Das ist mir schon klar. Aber wenn Du mal gelesen hast, was der bekannte Herr Snowden dazu veröffentlichte, siehst Du das etwas anders. Da werden entdeckte Sicherheitslöcher nicht etwa dem Herstellen gemeldet und geschlossen, sondern heimlich genutzt. Von staatlichen Institutionen.


Ich würde also sagen Bitlocker kann man hier durchweg nehmen, ich selbst setze es auf zig Notebooks im Unternehmenseinsatz ein, damit unsere Außendienstler unbesorgt damit außer Haus gehen können.

Danke.
Hast Du schon mal Veracrypt eingesetzt und hast Vergleichserfahrungen? Insbesondere von der Performance würde mich das interessieren, ob das spür- oder messbar ist. Denn wenn sich Veracrypt diesbezüglich im Vergleich zu Bitlocker unauffällig verhält, würde ich lieber auf Veracrypt setzen.
Bem0815
Bem0815 15.07.2019 um 15:59:00 Uhr
Goto Top
Zitat von @Pluwim:
Das ist mir schon klar. Aber wenn Du mal gelesen hast, was der bekannte Herr Snowden dazu veröffentlichte, siehst Du das etwas anders. Da werden entdeckte Sicherheitslöcher nicht etwa dem Herstellen gemeldet und geschlossen, sondern heimlich genutzt. Von staatlichen Institutionen.

Ist bekannt, nur was soll mir das jetzt sagen? Die Aussage ist vollkommen richtig, bringt aber gar nichts.
Denn diese Aussage kann auf wirklich jede Software zutreffen, egal ob die von Microsoft ist oder nicht.

Die Frage ist hier, was du in diesem Fall persönlich für sicherer hältst. Open Source oder Closed Source. Beides hat was die Sicherheit betrifft seine Vor- und Nachteile. Bei Veracrypt werden sicher mehr den Quellcode gesehen haben, kann gut sein, kann schlecht sein. Ich weiß nicht ob Veracrypt ein Bug Bounty Programm hat, falls nicht kann es gut sein, dass gefundene Bugs nicht gemeldet sondern verkauft werden. Microsoft hat auf jeden Fall ein Bug Bounty Programm.

Und trotzdem braucht man zum Knacken erst mal physischen Zugriff und muss dann noch die Schwachstellen kennen. Sehr unwahrscheinliches Szenario. Speziell bei Privatpersonen, warum sollte das BKA oder andere Institutionen soviel Zeit in deinen Rechner investieren? Solange du da nicht gerade Streng geheime US Dokumente drauf hast oder eine Bauanleitung für einen Cold Fusion Reaktor wird sich niemand für deinen Rechner so sehr interessieren, dass er versucht eine vorhandene Verschlüsselung zu knacken.

Der Aufwand rechtfertigt dann einfach das Ergebnis nicht.

Hast Du schon mal Veracrypt eingesetzt und hast Vergleichserfahrungen? Insbesondere von der Performance würde mich das interessieren, ob das spür- oder messbar ist. Denn wenn sich Veracrypt diesbezüglich im Vergleich zu Bitlocker unauffällig verhält, würde ich lieber auf Veracrypt setzen.

Wenn du nur AES nutzt sind beide grob vergleichbar. Es arbeiten dann auch beide Programme sehr ähnlich was die Verschlüsselung betrifft, wenn du unter Veracrypt aber AES + Twofisch verwendest wirst du mit starken Performanceeinbrüchen rechnen müssen.
Pluwim
Pluwim 15.07.2019 um 16:10:46 Uhr
Goto Top
Solange du da nicht gerade Streng geheime US Dokumente drauf hast oder eine Bauanleitung für einen Cold Fusion Reaktor wird sich niemand für deinen Rechner so sehr interessieren, dass er versucht eine vorhandene Verschlüsselung zu knacken.

Psssst! ;)

Wenn du nur AES nutzt sind beide grob vergleichbar. Es arbeiten dann auch beide Programme sehr ähnlich was die Verschlüsselung betrifft, wenn du unter Veracrypt aber AES + Twofisch verwendest wirst du mit starken Performanceeinbrüchen rechnen müssen.

Nur AES. Also da ich eh keinen TMP auf dem Board habe, wäre dann Veracrypt doch die schlauste Lösung in diesem Fall, wenn das rechentechnisch quasi vergleichbar ist. Denn klar ist mir open source hier vertrauenserweckender und mit Truecrypt hatte ich früher auch gute Erfahrungen gemacht. Dachte nur, dass Bitlocker möglicherweise deutliche Vorteile hat, weil es halt schon in Windows integriert ist.

Mich würde nur noch interessieren, ob es Erfahrungswerte mit Veracrypt unter Win10 gibt. Falls da jemand was zu sagen kann, gern.
n.o.b.o.d.y
n.o.b.o.d.y 15.07.2019 um 16:31:45 Uhr
Goto Top
Hallo,

Zu deiner Frage bezüglich Performance. Ich habe bei meinem Notebook neulich die Partitionen mit BitLocker verschlüsselt. Da die Kiste schon was älter ist, habe ich keinen kompatibelen TPM Chip. Es ist natürlich eine SSD drin. Ich habe es nicht mit der Stopuhr nachgemessen, aber gefühlt habe ich null Unterschied festgestellt.

Was das Vertrauen angeht, kannst Du beiden gleich wenig trauen, da dir von beiden nicht die Quellcodes etc. vorliegen. Da Win10 eh schon sehr gesprächig ist, warum sollte MS da noch Backdoors in den BL bauen. Wenn die Kiste läuft, könnte MS in aller Seelenruhe die Daten absaugen...
Pluwim
Pluwim 15.07.2019 um 16:37:23 Uhr
Goto Top
Danke. Also mit Bitlocker merkst Du keinen Unterschied, wenn ich Dich richtig verstehe. Jetzt würde mich nur noch interessieren, ob das auch bei Veracrypt so ist.

Bei Veracrypt ist der Code öffentlich. Wer was davon versteht, kann ihn einsehen.
Bem0815
Bem0815 15.07.2019 um 16:58:22 Uhr
Goto Top
Zitat von @Pluwim:

Bei Veracrypt ist der Code öffentlich. Wer was davon versteht, kann ihn einsehen.

...und auch für böse Zwecke nutzen wenn er im Quellcode schon eine Sicherheitslücke findet.
Bei Closed Source kann ein Angreifer Lücken dagegen nur durch ausprobieren solche Lücken finden und nicht schon im Quellcode.

Wie gesagt, hat beides seine Vor- und Nachteile.
UweGri
UweGri 15.07.2019 um 20:16:48 Uhr
Goto Top
BL bereitet Bedenken, das ist klar. Sollte aber die NSA einen Hauptschlüssel haben, MUSS das geheim bleiben. Deshalb dürfte der nur bei den sogenannten Terroristen (also die Leute, die sich gegen US Angriffe in ihrem EIGENEM Land wehren) eingesetzt werden. Die NSA dürfte den BND und Co nicht verraten.

Hardware macht keine Unterschiede.

Sicherer Umgang macht nur in einer Kette Sinn! Also, beim verlassen des PC runterfahren. BL und Co schützt nur bei abgeschalteten ! PC! EFS auch bei gesperrten PC. BL sollte immer mit EFS zusammen genutzt werden! Uwe
Pluwim
Pluwim 15.07.2019 um 23:31:39 Uhr
Goto Top
Vielen Dank. Du würdest also Bitlocker (bzw. Veracrypt) für die Platte und zusätzlich EFS für die Datenordner einsetzen? Wird das System dann nicht aber wirklich deutlich langsamer?

Mich würde noch interessieren, inwiefern EFS bei gesperrtem PC die Daten tatsächlich sicher macht, denn Du hast völlig Recht mit "Sicherer Umgang macht nur in einer Kette Sinn".

Las eben davon, dass es vor wenigen Monaten jemand mit wenig Aufwand schaffte, den Bitlocker Wiederherstellungsschlüssel aus dem TPM auszulesen (https://www.zdnet.com/article/new-bitlocker-attack-puts-laptops-storing- ..).
Bem0815
Bem0815 16.07.2019 aktualisiert um 12:51:33 Uhr
Goto Top
Zitat von @UweGri:

BL bereitet Bedenken, das ist klar. Sollte aber die NSA einen Hauptschlüssel haben, MUSS das geheim bleiben. Deshalb dürfte der nur bei den sogenannten Terroristen (also die Leute, die sich gegen US Angriffe in ihrem EIGENEM Land wehren) eingesetzt werden. Die NSA dürfte den BND und Co nicht verraten.

Ist das jetzt reine Spekulation oder Halbwissen? Jedenfalls ist das Unsinn was du hier schreibst.
Sowohl Bitlocker als auch Veracrypt verwenden AES, das ist ein offender Standard und somit gibt es hier keine Backdoors mit Hauptschlüssel für die NSA, das ist technisch in AES nicht möglich. Genau deshalb sollte man auch bei Verschlüsselungen nur Programme benutzen die mit öffentlich einsehbaren Verschlüsselungsalgorythmen arbeiten wie AES.

Hardware macht keine Unterschiede.

Sicherer Umgang macht nur in einer Kette Sinn! Also, beim verlassen des PC runterfahren. BL und Co schützt nur bei abgeschalteten ! PC! EFS auch bei gesperrten PC. BL sollte immer mit EFS zusammen genutzt werden! Uwe

Das macht nicht grundsätzlich Sinn, sonst verlangsamst du dein System hier unnötig. EFS kann man zusätzlich bei besonders sensiblen Daten einsetzen. Für ganze Laufwerke finde ich das im Bezug auf den Performanceverlust sinnfrei. Dieser ist hier nämlich deutlich.
Bem0815
Bem0815 16.07.2019 um 12:50:43 Uhr
Goto Top
Zitat von @Pluwim:

Vielen Dank. Du würdest also Bitlocker (bzw. Veracrypt) für die Platte und zusätzlich EFS für die Datenordner einsetzen? Wird das System dann nicht aber wirklich deutlich langsamer?

Ja wird es, deshalb nur für einzelne Dateien/Ordner die besonders sensibel sind zusätzlich verwenden.

Mich würde noch interessieren, inwiefern EFS bei gesperrtem PC die Daten tatsächlich sicher macht, denn Du hast völlig Recht mit "Sicherer Umgang macht nur in einer Kette Sinn".

Las eben davon, dass es vor wenigen Monaten jemand mit wenig Aufwand schaffte, den Bitlocker Wiederherstellungsschlüssel aus dem TPM auszulesen (https://www.zdnet.com/article/new-bitlocker-attack-puts-laptops-storing- ..).

Da der Trick auf den TPM abzielt und nicht auf Bitlocker selbst ist der Beitrag so nicht richtig. Der betrifft dann auch wieder jede Verschlüsselung die einen TPM Chip verwendet, nicht nur Bitlocker, Veracrypt wäre hier genauso betroffen.

Da du keinen TPM hast trifft das hier nicht einmal auf dich zu.

Es gibt aber noch andere Möglichkeiten wie man Laufwerksverschlüsselungen unter gewissen Idealbedingungen knacken kann. Z.b. wenn das Gerät noch eingeschaltet ist und man direkten Zugriff auf das Gerät selbst und auf die Hardware hat gibt es auch einen Trick mit Eisspray um Daten durch Kühlung im RAM zu halten.

Wenn man Angst davor hat, dass die eigene Wohnung gestürmt und genau dieser Trick angewendet wird hilft es nur den Rechner dann rechtzeitig Hart auszuschalten.
Pluwim
Pluwim 16.07.2019 um 12:51:03 Uhr
Goto Top
Danke für die Erläuterung.

Wenn ich Bitlocker mit PIN bzw. Veracrypt aktiviert habe, ist der Rechner im Aus-Zustand ja erstmal sicher. Aber was ist, wenn er im Standby oder gelockt ist, kommt man da mit einfachen Mitteln ran und wie kann man sich da bei einem Notebook schützen? Ich habe (hier im Faden) zwar keines, sondern einen Desktop, aber die Frage zielt auf einen Bekannten ab, der ein neues Notebook eingerichtet bekommt.
Bem0815
Bem0815 16.07.2019 um 12:55:54 Uhr
Goto Top
Zitat von @Pluwim:

Danke für die Erläuterung.

Wenn ich Bitlocker mit PIN bzw. Veracrypt aktiviert habe, ist der Rechner im Aus-Zustand ja erstmal sicher. Aber was ist, wenn er im Standby oder gelockt ist, kommt man da mit einfachen Mitteln ran und wie kann man sich da bei einem Notebook schützen? Ich habe (hier im Faden) zwar keines, sondern einen Desktop, aber die Frage zielt auf einen Bekannten ab, der ein neues Notebook eingerichtet bekommt.

Im Sleep kommt man ggfs. an den Schlüssel ran (Eisspray Methode).
Schützen kann man sich in dem man das Notebook entweder komplett ausschaltet oder alternativ Standby im Modus S4 verwendet (Suspend to Disk). Dann sind keine Daten im RAM beim Sleep und das Gerät kann auch ohne Strom diesen Zustand halten.
Pluwim
Pluwim 16.07.2019 um 12:59:42 Uhr
Goto Top
Also wenn es nur mittels Eisspray geht, halte ich das für relativ unwahrscheinlich. Ich meinte nur, mal gelesen zu haben, dass der Zugriff mittels USB-Stick-Hack möglich wäre, wenn ein Notebook noch an ist (Standby oder gelockt). Oder war das auch nur so ein Spezialfall?
Bem0815
Bem0815 16.07.2019 um 13:43:07 Uhr
Goto Top
Zitat von @Pluwim:

Also wenn es nur mittels Eisspray geht, halte ich das für relativ unwahrscheinlich. Ich meinte nur, mal gelesen zu haben, dass der Zugriff mittels USB-Stick-Hack möglich wäre, wenn ein Notebook noch an ist (Standby oder gelockt). Oder war das auch nur so ein Spezialfall?

Ich denke das sind hier zwei unterschiedliche Angriffsverfahren. Die Variante aus deinem Link funktioniert ja wie gesagt nur mit TPM und ich denke falls noch nicht geschehen wird das bald von den Herstellern mit einem Firmwareupdate gepatched werden.

Dafür muss man halt selbst dann ein BIOS Update einspielen was bedeutet, dass bei vielen Personen das schlichtweg ungepatched bleiben wird.

Das mit dem Eisspray benötigt keinen TPM, beim Herunterfahren wird wohl technisch Bedingt der Key kurz in den RAM geladen und nach dem Neustart gewiped, durch das Eisspray kann man wohl diesen Zeitraum verlängern und über UEFI vor dem Wipe die Daten auslesen.

Per USB die Daten einfach auszulesen geht denke ich nicht wenn das im Standby oder gelockt ist, hab davon zumindest noch nichts gehört.
Pluwim
Pluwim 16.07.2019 um 13:52:34 Uhr
Goto Top
Danke, dann heißt das, ein Dektop-PC oder ein Notebook ist per Bitlocker oder Veracrypt allein schon ausreichend genug gesichert. Die Eisspray-Methode fällt bei Desktop-Beschlagnahmung weg, weil das Ding dabei ja vom Strom getrennt wird. Beim Notebook ist es theoretisch denkbar, aber ziemlich aufwendig und daher relativ unwahrscheinlich.

Tendierst Du eher zu Bitlocker oder Veracrypt bzw. hast Du evtl. Vergleichserfahrung?
ipzipzap
ipzipzap 16.07.2019 aktualisiert um 14:29:10 Uhr
Goto Top
Hallo,

Nur kurz zur Info und auch falls in der Zukunft jemand diesen Thread findet.

Zitat von @Bem0815:
Grundsätzlich ist die relativ gut wenn man einen TPM Chip hat, da dieser dann hauptsächlich die Arbeit zum Verschlüsseln und Entschlüsseln erledigt.

Ein TPM ver- oder entschlüsselt erstmal GAR NICHTS!

Ein Trusted Platform Module (TPM) stellt nur die Plattformintegrität sicher und verwaltet die Schlüssel. Es stellt grundlegende Sicherheitsfunktionen hardwarebasiert zur Verfügung und kann Kryptographieschlüssel erzeugen, sicher speichern oder deren Einsatz kontrollieren.

Die eigentliche Verschlüsselung erfolgt NICHT durch das TPM, das erledigt die CPU. Also wird es durch ein TPM nicht schneller, nur sicherer.

cu,
ipzipzap
Hottiepotottie
Hottiepotottie 30.01.2021 um 04:04:25 Uhr
Goto Top
BitLocker würde ich nicht mehr empfehlen, da es innerhalb weniger Minuten entschlüsselt ist. Das wäre ja auch zu schön gewesen, wenn Polizei, Militär und Strafverfolgungsbehörden keinen Zugriff auf verschlüsselte Daten hätten.

Allerdings kann jeder, der seinen Schlüssel verloren hat, das Programm käuflich erwerben, bzw. gibt es gewerbl. Anbieter die die Entschlüsselung für 300€ anbieten. Der Hersteller ist sogar Microsoft Silver Certified Partner und Intel Premier Elite Partner zertifiziert.
Elcomsoft Forensic Disk Decryptor

Es gibt auch noch den BitLocker/TPM Hack von Denis Nadzakovic der sich mit 22€ bewerkstelligen lassen soll.
https://xn--verschlsselt-jlb.it/bitlocker-falle-tpm-hacken/

bye Hottie
Pluwim
Pluwim 30.01.2021 um 12:08:54 Uhr
Goto Top
Jein, denn diese Lösung kann genauso auch Veracrypt usw. entschlüsseln, da das Prinzip auf dem Auslesen des RAM und anderen Dateien basiert.

https://www.elcomsoft.de/efdd.html

Das macht Bitlocker nicht weniger sicher als andere Methoden.