Bitlocker mit TPM oder ohne TPM verwenden?

[Chris_S04]

Das wenn Police Rechner in der Hand hat und man keine TPM PIN gesetzt hat die Cops Zugriff auf Daten trotz Verschlüsselung haben.

Das ist eben falsch. Wie @Nafi schon sagte, der Bootprozess holt den Schlüssel aus dem TPM und startet den Rechner. Jetzt muss sich der Angreifer noch daran anmelden, ansonsten kommt der immer noch an nix ran.

Außerdem nochmal: wenn dir die Features nicht genügen, dann lern Powershell! Dort kannst du deutlich mehr Parameter einstellen. U.a. kannst du dort afaik die Länge des PINs für die Preboot Authentication festlegen und afaik auch ein alphanumerisches Passwort, ebenso wie einen anderen Verschlüsselungsalgorithmus.
Bin mir jetzt aber nicht ganz sicher ob man dazu auch erst die ganzen Gruppenrichtlinien setzen muss.
Also wenn du Bitlocker verwenden willst und mit den Standardeinstellungen nicht zufrieden bist, lies dich ein, lern PS und setze ggf. deine GPOs lokal.

Ich weiß nicht ob der Key aus dem TPM in den RAM geladen wird. Aber wenn du dir über sowas Gedanken machst, dass dein Rechner beschlagnahmt wird und die Polizei oder sonst wer daran herum hantiert, dann würde ich auch sagen, nimm vielleicht etwas anderes als Bitlocker. Der wird zwar regelmäßig als gut befunden, aber ob es da nicht mittlerweile Angriffe für staatliche Einrichtung gibt, keine Ahnung.
Außerdem stelle ich mir so langsam die Frage, was du mit deinem Rechner treibst, dass du Angst davor hast, dass die Polizei den beschlagnahmt und deine Daten untersucht. Klingt für mich nach Paranoia oder Kriminalität und deshalb klinke ich mich Mal aus hier.

 

[andy_m4]

Jetzt muss sich der Angreifer noch daran anmelden, ansonsten kommt der immer noch an nix ran.

Wie schon gesagt. Das ist jetzt keine wirklich Hürde.
Nicht umsonst ist es "strongly recommended" Bitlocker zumindest ein PIN zu verpassen.

die Polizei den beschlagnahmt und deine Daten untersucht. Klingt für mich nach Paranoia oder Kriminalität

Das hat damit nix zu tun. Das kann manchmal schneller passieren als Du glaubst. Reicht ja schon eine eingefangene Malware die von Deinem PC aus irgendeinen Schindluder treibt. Das ist jetzt auch kein theoretisches Szenario, sondern das kommt durchaus vor.

Was anderes wundert mich viel mehr. Die Chance das Daten falsche Hände geraten ist bei den sonstigen Aktivitäten die man so treibt ja viel größer als das Dir jemand die Hardware wegnimmt (wenns nicht gerade irgendwie ein Mobilgerät ist).

Und Windows ist nun mal das meistangegriffende System. Wenn mir als meine Daten wichtig sind, würde ich vor allem zusehen, das ich von Windows wegkomme (also zumindest für Aktivitäten im Internet).
Rund um Online und System gibts da so viele Ansatzpunkte, wo man was in Hinblick auf Security verbessern die meiner Ansicht nach dringender wären als die Festplatte zu verschlüsseln.

Sich primär auf Festplattenverschlüsselung zu stürzen macht man eigentlich nur, wenn man vor der eigenen Ehefrau etwas zu verbergen hat, ums jetzt mal salopp zu formulieren. :-)

 

[Hassan1234]

Außerdem stelle ich mir so langsam die Frage, was du mit deinem Rechner treibst, dass du Angst davor hast, dass die Polizei den beschlagnahmt und deine Daten untersucht.

Das muss nicht die Polizei sein. Ich habe auch vorhin Nachrichtendienste erwähnt. Kann auch ein Hardwaredieb, Soft- und Hardwarecracker oder sonstwer sein. Das Wort Polizei steht hier lediglich stellvertretend für einen technisch versierten Angreifer. Zumal auch andere Internetuser diesen Forumsbeitrag lesen, soll ein derartiges Angriffsszenario nicht für mich gelten, sondern allgemein besprochen und daraus Erkenntnisse gezogen werden. Immerhin sind wir im Forumsabschnitt "Sicherheit".

Wenn man mit seinem Laptop in der Welt unterwegs ist und durch Länder wie Türkei, China, Russland, Syrien aber auch USA reist, dann kann es bekanntlich durchaus sein, dass der Laptop "auf Herz und Nieren" geprüft wird. Und sollte man bei seinen Durchreisen (als Normalbürger, Journalist, Flüchtling, Aktivist, Tourist etc.) sich temporär irgendwo in diesen Ländern aufhalten (Flughafen, Straßen-Zoll etc.), so kann man schon schnell kriminell sein, wenn man was gegen Assad, Putin, Xi Jinping, Erdogan oder sonstwen hat. Vielleicht hat man auch eine VPN Software installiert, die bekanntlich in Syrien, Russland und China "nicht gerne gesehen wird". Und schwupps hat man Probleme, weil man Bitlocker & Co falsch konfiguriert hat.

In Deutschland wurden schon juristische Fälle beschrieben, in denen bei der durch die Staatsanwaltschaft veranlassten IP Zuordnungen durch den Provider es zu Zahlendrehern gekommen ist und die "Polizei" bei den falschen Leute im Haus war und die Hardware beschlagnahmt hat.

Ergänzung (10. Februar 2020)

Außerdem nochmal: wenn dir die Features nicht genügen, dann lern Powershell! Dort kannst du deutlich mehr Parameter einstellen. U.a. kannst du dort afaik die Länge des PINs für die Preboot Authentication festlegen und afaik auch ein alphanumerisches Passwort, ebenso wie einen anderen Verschlüsselungsalgorithmus.

Geht auch ohne Powershell, ein Glück (Gruppenrichtlinienveränderungen sind ausreichend)!

https://www.howtogeek.com/193649/ho...56-bit-aes-encryption-instead-of-128-bit-aes/