ComputerBase Menü
Aktuelles

Werksseitige (Hardware-)Verschlüsselung (ohne Microsoft-Konto) wiederherstellen/ einrichten?

S

Serk

Lt. Commander
Registriert
Jan. 2019
Beiträge
1.412
Letztes Jahr hatte ich mir das ASUS ZenBook 13 OLED zugelegt. Dieses war entweder ab Werk bereits verschlüsselt oder durch MediaMarkt bei der Einrichtung verschlüsselt worden (das habe ich daran gemerkt, dass CloneZilla die gesamte SSD kopieren musste). Allerdings habe ich damals Windows 10 selbst neu aufgesetzt, da die Einrichtung durch den MediaMarkt nicht gewünscht war (eventuell war das ein Rückläufer, man weiß nie). Dabei wurde die SSD allerdings nicht verschlüsselt (was mir auch bewusst war). Wenn man unter Windows BitLocker aktiviert, so muss man das, soweit ich weiß, mit einem Microsoft Konto verknüpfen (ich kann mich natürlich irren). Deswegen frage ich mich nun, wie das Gerät werksseitig oder durch den Verkäufer verschlüsselt wurde, ohne, dass ein Microsoft Konto damit verknüpft war und vor allem, wie ich das jetzt auf die gleiche Art und Weise selbst bewerkstellige, wenn ich darauf Windows 11 komplett neu installieren möchte (denn ein Microsoft Konto möchte ich dafür nicht nutzen müssen)?
 
Ich würde einfach auf Alternativen ausweichen. Zum Beispiel Veracrypt.
 
  • Gefällt mir
Reaktionen: Geringverdiener, wüstenigel und using_e
Ich bin mir eigentlich auch ziemlich sicher, dass es nicht BitLocker war, das hätte man dann ja anhand des Laufwerk-Symbols im Explorer erkennen müssen, oder nicht? Gibt es denn noch eine andere Variante, wie man das werksseitig (durch die Hardware) verschlüsseln lassen kann? Ich wüsste ehrlich gesagt nicht wie, deswegen frage ich. Naürlich ist der Einwand mit z.B. VeraCrypt auch berechtigt, nur wie gesagt, ich wüsste gerne, wie die ursprüngliche Verschlüsselung hergestellt wurde, dann lerne ich vielleicht etwas dazu und kann es mir immer noch überlegen.
 
Serk schrieb:
Letztes Jahr hatte ich mir das ASUS ZenBook 13 OLED zugelegt. Dieses war entweder ab Werk bereits verschlüsselt oder durch MediaMarkt bei der Einrichtung verschlüsselt worden (das habe ich daran gemerkt, dass CloneZilla die gesamte SSD kopieren musste). Allerdings habe ich damals Windows 10 selbst neu aufgesetzt, da die Einrichtung durch den MediaMarkt nicht gewünscht war (eventuell war das ein Rückläufer, man weiß nie). Dabei wurde die SSD allerdings nicht verschlüsselt (was mir auch bewusst war). Wenn man unter Windows BitLocker aktiviert, so muss man das, soweit ich weiß, mit einem Microsoft Konto verknüpfen (ich kann mich natürlich irren). Deswegen frage ich mich nun, wie das Gerät werksseitig oder durch den Verkäufer verschlüsselt wurde, ohne, dass ein Microsoft Konto damit verknüpft war und vor allem, wie ich das jetzt auf die gleiche Art und Weise selbst bewerkstellige, wenn ich darauf Windows 11 komplett neu installieren möchte (denn ein Microsoft Konto möchte ich dafür nicht nutzen müssen)?
Zum Vergrößern anklicken....
Am besten solltest du gar kein Microsoft mehr benutzen, auch kein Windows.
 
  • Gefällt mir
Reaktionen: Termy
Serk schrieb:
Wenn man unter Windows BitLocker aktiviert, so muss man das, soweit ich weiß, mit einem Microsoft Konto verknüpfen (ich kann mich natürlich irren).
Zum Vergrößern anklicken....
Wenn ich jetzt nicht total daneben liege, muss man das nicht. Aber man kann, da dann der Bitlocker Wiederherstellungsschlüssel im Microsoft-Konto gespeichert werden kann. Es empfiehlt sich trotzdem, den Wiederherstellungsschlüssel noch woanders abzulegen (Ausdruck, externer Datenträger).

So sieht es unter Windows 10 Pro bei meinem Bitlocker-verschlüsselten Laufwerk aus:

1682151605347.png

Die BitLocker-Verschlüsselung ist auf allen unterstützten Geräten verfügbar, auf denen Windows 10 oder 11 Pro, Enterprise oder Education ausgeführt wird.

Auf unterstützten Geräten mit Windows 10 oder neuer wird BitLocker automatisch aktiviert, wenn Sie sich zum ersten Mal mit Ihrem Microsoft-Konto (z. B. @outlook.com oder @hotmail.com) oder Ihrem Geschäfts-, Schul- oder Unikonto anmelden.

BitLocker wird bei lokalen Konten nicht automatisch aktiviert, Sie können es jedoch manuell im Tool BitLocker verwalten aktivieren.

Quelle: https://support.microsoft.com/de-de...-windows-ad5dcf4b-dbe0-2331-228f-7925c2a3012d
Zum Vergrößern anklicken....

Daher gehe ich davon aus, dass Bitlocker auf deinem Gerät aktiviert war. Warum sollte sich Mediamarkt die Mühe machen, eine andere Verschlüsselungssoftware zu verwenden, bei einem Gerät, das für den Verkauf bestimmt ist?

Aber so wie es aussieht, brauchst Du ein lokales Konto, damit Du Bitlocker ohne Microsoft-Konto einrichten kannst.

S.a.: https://support.microsoft.com/de-de...-windows-6b71ad27-0b89-ea08-f143-056f5ab347d6
 
Okay, dann würde ich wahrscheinlich BitLocker nehmen, nur frage ich mich trotzdem, über was das bisher verschlüsselt gewesen sein soll, über einen Schlüssel im UEFI/BIOS? BitLocker verwendet ja sicherlich automatisch die Hardware-Verschlüsselung, ohne, dass mit Leistungs-Einbüßen zu rechnen ist, oder muss ich hierfür irgendwas beachten?
 
BitLocker verwendet das fTPM des Rechners zur Entschlüsselung. Dort ist der Key gespeichert und durch "magische" cryptografische Routinen ist sichergestellt, dass nur der Windows-Bootloader diesen abrufen kann.

Deswegen funktioniert eine ausgebaute SSD auch nicht in einem anderen Rechner. Dort ist ein Anderes fTPM verbaut, welches den Key einfach nicht kennt.

Natürlich gibt es Leistungseinbußen. Wenn irgendwo etwas aufwändiger gerechnet werden muss, muss es zwangsläufig so sein. Und wenn es nur paar dutzend Nanosekunden mehr Latenz im System sind, um alle Daten von der Festplatte on the fly durch die hardwarebeschleunigte AES-engine zu schicken.

Edit: Natürlich wird man diese Leistungseinbußen auf einem Desktopsystem NICHT bemerken. Das hat, wenn überhaupt, erst bei großen Datenbanksystemen Auswirkungen, die mit hoch performanten NVMe-Arrays mit epischen IOPS-Zahlen bestückt sind. Und dort wird die Ver- und Entschlüsselung auch ein paar Promille mehr Energieverbrauch verursachen. /edit

Man kann bei Bitlocker mittels ein paar Einstellungen bei den Gruppenrichtlinien sogar erzwingen, dass zum Booten/Entschlüsseln zusätzlich zum TPM-Key eine PIN/Passwort eingegeben werden muss. Ich meine aber mich zu erinnern, dass das nur ab Pro-Versionen von Windows möglich ist.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: wirelessy
Mich auch.

PIN ist eine Variante der Windows Hello Anmeldeoptionen. Wenn man natürlich ohne Anmeldung in Windows durchstartet, so dass man nur den Rechner einschalten braucht, dürfte Bitlocker sinnlos sein. Ich weiß nur nicht, ob das überhaupt funktioniert.

Ich selbst nutze am Laptop Windows Hello mit Gesichtserkennung. Eine PIN musste ich aber auch einrichten, die ich immer dann eingeben darf, wenn die Gesichtserkennung nicht funktioniert.
 
Im Kontext meiner Aussage gehört die PIN zu BitLocker, nicht zu Windows Hello.
Windows Hello spielt (afaik) keine Rolle im Pre-Boot.

Naja. BitLocker nur mit TPM schützt genau gegen ein Szenario - nämlich, dass eine Festplatte ausgebaut wird.
In Zeiten von verlötetem Storage :).
Wenn ich aber eine Festplatte ausbauen kann, habe ich sowieso physikalischen Zugriff auf das Gerät, und kann es dann auch einfach booten.
Da der TPM die Keys rausrückt, wird die Platte dann automatisch entschlüsselt. Die Keys liegen dann im RAM.

Ich hab halt schon Geräte mit Lötspuren am RAM zurückbekommen. Vor über 5 Jahren.
Berichte dazu häufen sich auch.

Verschlüsselung, die sich automatisch entschlüsselt = Schlangenöl.
 
wirelessy schrieb:
Ich hab halt schon Geräte mit Lötspuren am RAM zurückbekommen.
Zum Vergrößern anklicken....
Was auch immer das mit BitLocker zu tun hat... Ist jetzt nicht grade trivial der Angriff. Wer einen so hohen Schutzbedarf hat, sollte selbstverständlich was Anderes nehmen. Aber ich glaube deine Aussage bzgl. der angeblichen Häufing nicht. Ebensowenig glaube ich, dass diese Löterei dazu dienen soll,den Encryption-Key zu bekommen.
Letztlich muss der Key nichtmal zwingend im Speicher landen, er kann auch permanent im Cache der CPU liegen. Weiß ich aber nicht, ob es so ist.


wirelessy schrieb:
BitLocker nur mit TPM schützt genau gegen ein Szenario - nämlich, dass eine Festplatte ausgebaut wird.
Zum Vergrößern anklicken....
Nein, es schützt auch davor, dass auf den gestohlenen Laptop zugegriffen werden kann. Beim Boot über USB oder den Wiederherstellungsmodus bleibt die Platte verschlüsselt. Ohne Eingabe der Windows PIN kommt man nicht an das Dateisystem.
 
Na, wenn du das so siehst - das ist ja dir überlassen.

Meinen letzten Satz finde ich allerdings indiskutabel wahr.
Oder wie handhabst du das zB auf deinem Telefon? Entschlüsselung ohne jede User-Identifizierung?
 
Die Verschlüsselung hat den Zweck, die Daten vor Unbefugten zu schützen.
Solange die Windows-Anmeldung eine Authentifizierung (Pin, Passwort, Hello,...) erfordert, ist kein Zugriff auf die Daten möglich. Letztlich wurde die Eingabe des "Passwortes" nach den Entschlüsselungsvorgang verlegt. Aber so oder so erhält man (ohne löten oder DMA-Hacks) keinen Zugriff ohne das Passwort.

Zweck erfüllt, würde ich meinen, vor allem, da das TPM ja auch die Integrität des Systems sicher stellt (auch Hackbar, ich weiß) und die Herausgabe des Schlüssels verweigert.

Das Konzept an sich ist wasserdicht. Wir jedes Sicherheitsfeature scheitert es in der Praxis an Implementierungsfehlern und/oder dem bequemen User.
Ergänzung ()

wirelessy schrieb:
Na, wenn du das so siehst - das ist ja dir überlassen.
Zum Vergrößern anklicken....
Ja, ich denke der cold Boot Angriff ist einfacher umsetzbar als das Gelöte... Oder nicht?
 
Cold-Boot-Attacken macht man durchaus gerne mit Löten, damit man sich den RAM nicht durch ein anderes OS überschreibt. Mal davon ab, dass man das auch nicht unbedingt trivial booten kann, je nach BIOS.

Aber deshalb antworte ich nicht, ich wollte eher hier das reinverlinken:
https://blog.fefe.de/?ts=9aaf9070

Nicht nur ich bin der Meinung, dass da ne PIN/Passphrase zugehört.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

C
Bitlocker - SSD clonen
Antworten
11
Aufrufe
684
BlubbsDE
BlubbsDE
C
Microsoft-Konto wird in Microsoft Apps immer automatisch abgemeldet
Antworten
4
Aufrufe
657
Mopedfahrer
Mopedfahrer
Holzohrwascherl
Windows Hallo lässt sich nicht einrichten
Antworten
6
Aufrufe
883
eYc
eYc
Bull Shit
Microsoft-Konto erstellen I-Seite auch das Konto bei Neuinstallation?
Antworten
12
Aufrufe
1.071
Terrier
T
R
Windows 10 Home Aktivierung/Übertragung - Status unklar
Antworten
7
Aufrufe
648
MaverickM
MaverickM

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz