BIOS Update: TPM & Bitlocker

Kazuya91

Commander
Registriert
Nov. 2007
Beiträge
2.182
Hallo zusammen, Ich hoffe es ist hier das richtige Unterforum.

Ich habe folgende Situation:
Ich habe ein HP ZBook 15 G16 als Arbeitsgerät, welches ab und an einfriert. Eine Selbstrecherche hat ergeben, dass meine BIOS Version sehr alt ist und es seit meinem BIOS-Release mehrere BIOS Updates gab die eine ewig lange Liste von Bugs und Problemen beheben soll. Also möchte ich das das BIOS updaten.
Bevor die Anmerkung kommt: Ja es ist ein Arbeitsgerät und ich werde den IT Support unserer Firma darauf ansprechen aber ich möchte mich vorher informieren denn IT Mitarbeiter können ja auch mal was vergessen :)

Der Rechner hat laut Specs ein TPM 2.0 Modul und der Rechner ist aktuell mit Bitlocker verschlüsselt. Ich hatte privat noch nie mit Bitlocker zu tun, deshalb folgende Fragen:

1. Ich habe schon recherchiert und es heißt man muss die Bitlocker Verschlüsselung VOR dem BIOS Update deaktivieren, weil durch ein BIOS Update sich irgendwie eine ID im BIOS ändert und das Gerät dann annimmt dass es ein anderes Gerät sei. Macht man das nicht kommt man nicht mehr an seine Daten ran. Stimmt das?

2. Das TPM Modul ist ja dazu da um die Keys für die Verschlüsselung zu speichern, oder? Oder ist es nur dazu da bei der Verschlüsselung zu helfen? Wenn das BIOS aktualisiert oder Resettet wird, gehen die Keys verloren?

3. Kann ich das BIOS Update machen ohne die Recovery Keys zu haben? Ich habe nämlich nur meinen normalen Schlüssel.

Ich wäre dankbar wenn mir jemand verständlich erklärt wie TPM mit Bitlocker zusammenhängt und was ich definitiv nicht machen sollte im Bezug auf ein BIOS Update. Danke :)
 
Es gibt Firmware TPMs (also nur Software, quasi Teil des BIOS). Die werden bei BIOS Updates eigentlich vollständig gelöscht.

Diskrete TPMs sind von dem Löschen erstmal nicht betroffen.

Aber Bitlocker in seinem normalen Modus, speichert den Schlüssel für die Bitlocker-Partition in das TPM und versiegelt den mit verschiedenen Fakten die während dem Boot vom TPM gemessen werden. Dies soll sicherstellen, dass das System nicht durch andere bootbare PCIe Karten / Einstellungen oder OS / BIOS Änderungen manipuliert wurde.

Bei einem BIOS-Update ändern sich diese Messungen und das TPM gibt den Schlüssel nicht mehr frei.
In diesem Fall würde Windows dann nach dem Recovery Bitlocker Key fragen.

Man muss Bitlocker allerdings nicht abschalten sondern nur pausieren. In dem Fall bleibt das Laufwerk verschlüsselt, aber Windows schreibt den Schlüssel quasi auf die Platte. So dass beim nächsten mal nicht nach dem Recovery Key gefragt werden muss. Diese Pausierung wird automatisch beim nächsten Start aufgehoben, wenn Windows den Schlüssel wieder ins TPM versiegelt (mit den nun aktuellen Messungen).

Was genutzt wird um einen Schlüssel zu versiegeln, ist Sache der Software die das beantragt. Ein TPM könnte also zB auch genutzt werden um Geheimnisse nicht an diesen "Measured Boot" zu knüpfen sondern an andere Dinge wie ein Nutzer-Passwort. Diese würden dann ein BIOS-Update (mit diskretem TPM) überleben. Genauso könnten andere Dinge ebenfalls an den Bootvorgang geknüpft werden und ebenfalls verloren gehen.

-Edit:
Der BIOS Updater von meinem Dell-Notebook hat ein Häkchen eingebaut, um Bitlocker während dem Update automatisch zu pausieren. Bei meinem Desktop PC muss ich selbst dran denken, sonst muss ich eben den Recovery-Key einmal rauskramen.
 
Zuletzt bearbeitet:
Ist das ein privates Arbeitsgerät oder von der Firma gestellt? Wenn letzteres ab zur IT-Abteilung.
 
@F1database
Von der Firma gestellt. Wegen Corona gibt es nur Remote-Support und ich wohne 200km weiter weg.
 
ich empfehle dir kein Update zu machen ohne den Recovery Key irgendwo OFFLINE, unabhängig vom Zielgerät, irgendwo notiert zu haben. Normalerweise entschlüsselt man die Partitionen oder besser/schneller: pausiert den Bitlocker. Aber man weiß ja nie was schief geht und dann wird der Recovery Key benötigt!

Wenn du Admin Rechte auf dem Laptop hast kannst du dir den auch ausdrucken zu Hause :) Wenn du keine Admin-Rechte hast wundert es mich dass es dir überhaupt möglich sein soll BIOS Updates zu machen. (meistens hat das BIOS dann auch ein PW gesetzt von der IT Abteilung)
 
theoretisch:
der HP Support Assistant deaktiviert beim Bios Update vorher automatisch Bitlocker, macht das Bios Update und aktiviert es danach wieder. Gibt auch ein Häkchen dafür, wo das angezeigt wird.
In der Praxis würde ich es auch nicht tun, ohne Zugriff auf den Wiederherstellungsschlüssel zu haben.
 
  • Gefällt mir
Reaktionen: Kazuya91
Bitlocker pausieren (in Windows-Einstellungen zu finden) reicht völlig, habe schon drei Bios-Updates mit meinem Fujitsu-NB so gemacht. Normalerweise weist Dich das Updatetool auch darauf hin.

Edit: Wiederherstellungsschlüssel solltest Du aber für den Notfall im Zugriff haben.
 
Ray519 schrieb:
Es gibt Firmware TPMs (also nur Software, quasi Teil des BIOS). Die werden bei BIOS Updates eigentlich vollständig gelöscht.
Firmware-TPM ist kein reines "Software-TPM", sondern ein spezieller Chip in der CPU (Intel Management Engine bzw. AMD Platform Security Processor). Die Bezeichnung "Firmware-TPM" kommt schlicht daher, weil es kein dediziertes TPM ist, sondern die Firmware die TPM-Funktion auf dem Chip von Intels ME bzw. AMDs PSP ausführt. Die in diesen Chips gespeicherten Daten sollten also auch bei einem BIOS-Update erhalten bleiben, sofern nicht die Firmware in diesen Chips mit ausgetauscht werden.
 
mibbio schrieb:
Firmware-TPM ist kein reines "Software-TPM", sondern ein spezieller Chip in der CPU (Intel Management Engine bzw. AMD Platform Security Processor).
Schon klar. Aber diese Firmware (zb die gesamte Management Engine Firmware) liegt im selben Chip wie das BIOS. Auch werden die Konfiguration (also alles was das Firmware TPM versiegelt) ebenfalls in den Speicher wo das BIOS drauf ist gespeichert. Weil es sonst keinen überschreibbaren Speicher gibt (wird natürlich System-Spezifisch verschlüsselt, so dass niemand die Daten manipulieren / auslesen kann).

Dh. theoretisch ist es möglich, dass diese Teile von einem BIOS-Update nicht angerührt werden. In der Praxis sollte man aber damit rechnen, dass ein BIOS-Update / ME-Firmware-Update auch die Konfiguration von ME oder dem AMD Äquivalent killt.

Die Prozessoren auf denen das läuft haben eigentlich nur RAM und vllt ROM, aber keinen nicht-volatilen, schreibbaren Speicher.
 
  • Gefällt mir
Reaktionen: mibbio
Kazuya91 schrieb:
Von der Firma gestellt.
Dann Finger weg vom BIOS. Mal abgesehen davon das Admins das gar nicht leiden können - wenn es in die Hose geht hast du den schwarzen Peter.
 
Ich würde ebenfalls als erstes den Wiederherstellungsschlüssel sichern, ohne diesen würde ich das Biosupdate nicht durchführen, auch wenn da vermeintliche Optionen vorhanden sind. Was mich ebenfalls wundert, das Deine Fehler durch ein Biosupdate behoben werden sollen, bei einem Notebook eher unwarscheinlich. Es kann immer etwas schief gehen und dann geht nichts mehr und wie das immer so ist, immer dann wenn man es am wenigsten braucht.
 
@Ray519 Wollte auch nur vermeiden, dass fTPM fälschlicherweise als "TPM-Nachbildung durch die Firmware" verstanden wird, weil ich schon gelegentlich gelesen habe, dass Leute fTPM also emuliertes TPM bezeichnen.
 
Naja, der Prozessor auf dem die Management Engine läuft ist ein vollwertiger Prozessor, so gesehen ist das durchaus eine Emulation. Auch wenn es isoliert ist von den Anwendungsprozessoren und der nur Intel-signierte Software ausführt. Schließlich läuft da ein volles Linux drauf (war das nicht Alpine Linux?).
Und die hohe Angriffsfläche bleibt theoretisch bestehen. Wobei ich nicht informiert bin, wie viel Custom-HW da dran hängt um zB Crypto-Aufgaben nicht in reiner Software zu machen. Aber wenn das genauso "hardened" wäre, gäbe es ja keine Grund mehr warum die ganzen Enterprise Geräte mit diskreten TPMs kommen, oder habe ich da einen anderen Unterschied übersehen?
 
Zuletzt bearbeitet:
Zurück
Oben