13
Bitlocker mit nur TPM sicher?
Hallo Zusammen,
ich bin gerade dabei mich in das Thema Bitlocker einzulesen. Es geht um 60 Laptops in unserer Firma die bald mit Windows 10 pro und Bitlocker ausgerollt werden sollen.
Die Laptops haben einen TPM Chip. Was ich aber nicht genau herauslesen konnte ist folgende Frage:
Wenn man TPM ohne zusätzliche Pin Eingabe zulässt, könnte man dann ein Live System auf dem Laptop Booten und hätte Zugriff auf die Daten? Würde TPM dem Live System den Zugriff auf die verschlüsselte Festplatte gewähren?
VG IB
ich bin gerade dabei mich in das Thema Bitlocker einzulesen. Es geht um 60 Laptops in unserer Firma die bald mit Windows 10 pro und Bitlocker ausgerollt werden sollen.
Die Laptops haben einen TPM Chip. Was ich aber nicht genau herauslesen konnte ist folgende Frage:
Wenn man TPM ohne zusätzliche Pin Eingabe zulässt, könnte man dann ein Live System auf dem Laptop Booten und hätte Zugriff auf die Daten? Würde TPM dem Live System den Zugriff auf die verschlüsselte Festplatte gewähren?
VG IB
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 320392
Url: https://administrator.de/contentid/320392
Printed on: April 26, 2024 at 02:04 o'clock
13 Comments
Latest comment
Hi,
Nein sobald bitlocker über tpm aktiv ist, kann man nicht mehr am OS vorbei booten und auf die Daten zugreifen, ohne den Wiederherstellungs Schlüssel zu kennen.
LG
Nein sobald bitlocker über tpm aktiv ist, kann man nicht mehr am OS vorbei booten und auf die Daten zugreifen, ohne den Wiederherstellungs Schlüssel zu kennen.
LG
1
Auch wenn man TPM ohne zusätzliche PIN Eingabe zulässt, kannst du über ein Livesystem nicht auf die Daten zugreifen. Der rootkey wird aus verschiedenen Komponenten (Hard- und Software wie dem Betriebssystem) berechnet. Bootest du über ein anderes Medium, stimmt die Umgebung nicht mehr und Bitlocker verweigert den Zugriff bzw. es wird nichts entschlüsselt. Empfehlenswert ist das trotzdem nicht, denn wenn das ganze Gerät geklaut wird könnte der Angreifer sich auf das knacken der Passwörter fokussieren denn die Umgebung ist beim booten ja weiterhin "trusted". Vielleicht hat er diese sogar vorher schon abegriffen und braucht sie nur noch eingeben.
Wenn die Daten wirklich wichtig sind und ihr Industriespionage oder Manipulation befürchtet, würde ich neben einer PIN Eingabe Bitlocker zusätzlich so konfigurieren, dass nebst PIN noch ein USB Stick mit Schlüsseldatei eingesteckt sein muss, damit das System bootet. Der PIN sollte dann natürlich von den Mitarbeitern nicht in der Notebooktasche aufbewahrt werden.
Lg
Wenn die Daten wirklich wichtig sind und ihr Industriespionage oder Manipulation befürchtet, würde ich neben einer PIN Eingabe Bitlocker zusätzlich so konfigurieren, dass nebst PIN noch ein USB Stick mit Schlüsseldatei eingesteckt sein muss, damit das System bootet. Der PIN sollte dann natürlich von den Mitarbeitern nicht in der Notebooktasche aufbewahrt werden.
Lg
1
Hi.
Der Grund, warum man in gesicherten Umgebungen kein tpm-only einsetzen sollte, ist der, dass man keine Preboot-Authentifizierung hat. Nur mit Preboot-Authentifizierung kann man einen bestimmten Angriffstyp, namentlich Cold-boot-attacks, abwehren.
Die Attacke liefe so:
1 ausgeschalteter Laptop gestohlen
2 Angreifer bootet den Laptop -> Schlüssel ist im RAM
3 Angreifer schaltet den Laptop aus, friert den RAM mit Kältespray ein und steckt ihn in ein anderes Gerät und liest ihn dort aus und erhält den Klartextschlüssel.
4 Angreifer entschlüsselt die Platte
https://www.youtube.com/watch?v=JDaicPIgn9U zeigt, wie eine Uni das einmal gemacht hat.
Also: TPM mit PIN ist besser.
Livesysteme können jedoch auch ohne PIN schon nichts ausrichten.
Der Grund, warum man in gesicherten Umgebungen kein tpm-only einsetzen sollte, ist der, dass man keine Preboot-Authentifizierung hat. Nur mit Preboot-Authentifizierung kann man einen bestimmten Angriffstyp, namentlich Cold-boot-attacks, abwehren.
Die Attacke liefe so:
1 ausgeschalteter Laptop gestohlen
2 Angreifer bootet den Laptop -> Schlüssel ist im RAM
3 Angreifer schaltet den Laptop aus, friert den RAM mit Kältespray ein und steckt ihn in ein anderes Gerät und liest ihn dort aus und erhält den Klartextschlüssel.
4 Angreifer entschlüsselt die Platte
https://www.youtube.com/watch?v=JDaicPIgn9U zeigt, wie eine Uni das einmal gemacht hat.
Also: TPM mit PIN ist besser.
Livesysteme können jedoch auch ohne PIN schon nichts ausrichten.
1
Danke für Eure Antworten. Ihr habt mir sehr geholfen 
Weitere Tipps:
Nie ohne TPM benutzen. Geräte ohne TPM ggf. mit TPM nachrüsten, falls möglich.
Nicht nur die Laptops verschlüsseln, auch die Desktops.
Nie ohne TPM benutzen. Geräte ohne TPM ggf. mit TPM nachrüsten, falls möglich.
Nicht nur die Laptops verschlüsseln, auch die Desktops.
Wie bekommt man es denn hin, dass man alle seine Desktops verschlüsselt? In den Gruppenrichtlinien fand ich zwar diverse Einstellungen zu Bitlocker, aber keinen Befehl "Verschlüssele alle Festplatten - jetzt". Muss man wirklich an jeden PC ran und das manuell anstoßen?
Hi.
MBAM (ein Enterprise-Feature) oder Skripte.
MBAM (ein Enterprise-Feature) oder Skripte.
Zitat von @DerWoWusste:
Hi.
Der Grund, warum man in gesicherten Umgebungen kein tpm-only einsetzen sollte, ist der, dass man keine Preboot-Authentifizierung hat. Nur mit Preboot-Authentifizierung kann man einen bestimmten Angriffstyp, namentlich Cold-boot-attacks, abwehren.
Die Attacke liefe so:
1 ausgeschalteter Laptop gestohlen
2 Angreifer bootet den Laptop -> Schlüssel ist im RAM
3 Angreifer schaltet den Laptop aus, friert den RAM mit Kältespray ein und steckt ihn in ein anderes Gerät und liest ihn dort aus und erhält den Klartextschlüssel.
4 Angreifer entschlüsselt die Platte
https://www.youtube.com/watch?v=JDaicPIgn9U zeigt, wie eine Uni das einmal gemacht hat.
Hallo DerWoWusste, ein alter Beitrag, aber dazu habe ich eine Frage: Also wenn der PC angeschaltet gestohlen wird, dann ist das immer schlecht? Dann sind beide Schlüssel im RAM, also auch der zusätzliche PIN? Somit bräuchte man Speicher welcher nicht eingefroren werden kann? Gibt's solchen Speicher?Hi.
Der Grund, warum man in gesicherten Umgebungen kein tpm-only einsetzen sollte, ist der, dass man keine Preboot-Authentifizierung hat. Nur mit Preboot-Authentifizierung kann man einen bestimmten Angriffstyp, namentlich Cold-boot-attacks, abwehren.
Die Attacke liefe so:
1 ausgeschalteter Laptop gestohlen
2 Angreifer bootet den Laptop -> Schlüssel ist im RAM
3 Angreifer schaltet den Laptop aus, friert den RAM mit Kältespray ein und steckt ihn in ein anderes Gerät und liest ihn dort aus und erhält den Klartextschlüssel.
4 Angreifer entschlüsselt die Platte
https://www.youtube.com/watch?v=JDaicPIgn9U zeigt, wie eine Uni das einmal gemacht hat.
Danke der Horst
Moin.
https://en.wikipedia.org/wiki/TRESOR
Akuelles Linux auf aktuellem AMD-System bietet Schutz gegen Cold Boot Attacks
wenn der PC angeschaltet gestohlen wird, dann ist das immer schlecht?
Wenn Du davon ausgehst, dass der Dieb in der Lage und willens ist, so einen Angriff auszuführen, dann ist das schlecht, ja. Die PIN hat hier keine Auswirkung. Sinn der PIN ist es, sich dem TPM gegenüber zu authentifizieren, welcher den Schlüssel hält, somit gibt es nicht "beide", sondern nur einen Schlüssel. Es gibt keinen Speicher, der nicht eingefroren werden kann, nein. Wohl aber gibt es Verschlüsselungen, die den Key nicht im RAM ablegen und weitere Techniken, den Schlüssel im RAM zu schützen:https://en.wikipedia.org/wiki/TRESOR
Akuelles Linux auf aktuellem AMD-System bietet Schutz gegen Cold Boot Attacks
Danke
Hallo zusammen,
warum so umständlich (RAM mit Kältespray behandeln, etc.).
Die mir bekanntest Attacke gegen BDE (Bitlocker Drive Encryption) ohne PBA (Pre-Boot-Authentication) mit zusätzlicher PIN ist eine DMA-Attacke.
Hierzu kann man sich per Firewire oder Thunderbolt mit dem Rechner verbinden und erhält direkten Speicherzugriff. Es gibt dann fertige Software um den Speicher (und somit dern Schlüssel) auszulesen.
Dagegen muss man dann auch wieder Gegenmaßnahmen ergreifen...
Viele Grüße,
M..
warum so umständlich (RAM mit Kältespray behandeln, etc.).
Die mir bekanntest Attacke gegen BDE (Bitlocker Drive Encryption) ohne PBA (Pre-Boot-Authentication) mit zusätzlicher PIN ist eine DMA-Attacke.
Hierzu kann man sich per Firewire oder Thunderbolt mit dem Rechner verbinden und erhält direkten Speicherzugriff. Es gibt dann fertige Software um den Speicher (und somit dern Schlüssel) auszulesen.
Dagegen muss man dann auch wieder Gegenmaßnahmen ergreifen...
Viele Grüße,
M..
Es gibt entsprechende GPOs gegen DMA-Attacken für win10.
Der Vollständigkeit halber könntest Du dennoch auflisten, welche sonstigen Schnittstellen dies ermöglichen, denn Thunderbolt und Firewire sind nicht sehr gebräuchlich.
Der Vollständigkeit halber könntest Du dennoch auflisten, welche sonstigen Schnittstellen dies ermöglichen, denn Thunderbolt und Firewire sind nicht sehr gebräuchlich.
Soweit ich weiß auf jeden Fall noch PCI, PCIX, PCIe, PCMCIA.
Die GPO ist mir bekannt, es soll aber auch unsichere Windows-Update Mechanismen gegeben haben, die solche Lücken wieder aufmachen.
Ich hatte die Diskussion auch gerade mit einem User... Ich verstehe nicht wieso das eigeben eines BPA sooooo schlimm sein soll...
Was noch ganz spannend aber wohl aufwändig im der Umsetzung ist, ist Network Unlock.
Best,
M.
Die GPO ist mir bekannt, es soll aber auch unsichere Windows-Update Mechanismen gegeben haben, die solche Lücken wieder aufmachen.
Ich hatte die Diskussion auch gerade mit einem User... Ich verstehe nicht wieso das eigeben eines BPA sooooo schlimm sein soll...
Was noch ganz spannend aber wohl aufwändig im der Umsetzung ist, ist Network Unlock.
Best,
M.
