Bitlocker Systemlaufwerkverschlüsselung TPM mit Passwort

[gaxel]

Hi,
ich habe ein Surface Pro 7 mit TPM. Ich würde die Systempartition gerne mit Bitlocker verschlüsseln.
Bei meinem Desktop PC, der kein TPM hat, habe ich dazu in den Richtlinien die Verschlüsselung ohne TPM aktiviert und konnte dann mit Preboot Passwort verschlüsseln.
Ich würde das gerne beim Surface auch so machen. Jedoch bekomme ich keine Option mit Passwort.
Es funktioniert nur mit PIN und TPM.
Sobald ich "TPM nicht zulassen" in den Richtlinien auswähle, muss ich einen USB Stick verwenden.
Ich kann mich nicht genau erinnert, aber ich glaube nicht, dass ich bei meinem Desktop PC einen USB Stick verwenden musste und anschließend das Passwort definiert habe. Kurz gesagt: Die Option eines Passwortes scheint zu fehlen?

Meine zweite Frage wäre:
Was ist sicherer? TPM und Pin oder Passwort ohne TPM?

Danke für Infos dazu!

PS: Ich weiß es gab schon ähnliche Einträge hierzu im Forum, aber in keinem ist eine Lösung zu finden bzw. es werden keine Antworten geliefert.

 

[Marco01_809]

Ich glaube den USB Stick will er nur um den Wiederherstellungsschlüssel als txt Datei darauf zu speichern.

Denn wenn du dein Passwort vergisst gibt es keine Möglichkeit wieder an deine Daten zu kommen - außer du hast den Wiederherstellungsschlüssel an einem sicheren Ort der NICHT auf deiner verschlüsselten Platte liegt.

Ansonsten zeig mal einen Screenshot von dem Fenster und mach einen Screenshot wie du die Gruppenrichtlinie eingestellt hast.

 

[Rubbiator]

@Marco01_809
Das ist so nicht ganz richtig, man kann auch einen USB-Stick als "Faktor" bei der Festplatten Ent- bzw. Verschlüsselung einsetzen.

Warum möchtest du denn überhaupt noch ein zusätzliches Passwort zu deinem Passwort im preboot verwenden? TPM ist ja genau dafür da, dass du das nicht mehr benötigst, die Daten aber trotzdem sicher sind.

Am sichersten ist aus meiner Sicht PIN+TPM. Es ist für dich komfortabel, aber die Festplatte ist an anderen PCs trotzdem nicht nutzbar. Ein Passwort kann man theoretisch erraten, den Inhalt des TPM Chips ungleich schwerer.

 

[andy_m4]

aber die Festplatte ist an anderen PCs trotzdem nicht nutzbar.

Genau das ist der größte Haken dabei.
Neben dem Szenario "Böser Bube klaut die Festplatte und kann deren Inhalt selbst mit Passwort nicht auslesen", gibts nämlich das mindestens genauso wahrscheinliche Szenario: "Meine Hardware (Mainboard) ist kaputt und jetzt komme ich an den Inhalt meiner eigenen Festplatte nicht mehr ran".

 

[TZUI1111]

Ich hatte letztens genau den selben Fall nur andersrum, meine Frau hat ein neues Lenovo L15 mit Ryzen 4750U Pro+TPM, sie meinete damals mach es "so sicher wie möglich", falls er geklaut wird.

Also Bitlocker aktiviert mit TPM und wiederherstellungsschlüssel vernichtet ^^ Letztens gab es ein BIOS update und dann wollte er den Wiederherstellungsschlüssel.... Ich habe noch Versucht die "Daten"( unbedeutend war alles im Backup aber interessehalber kann man es Versuchen) zu retten. Hat bis zur Stelle mit Hashcat geklappt, aber die 48-Zeichen zurück zu rechnen kann Hashcat nicht, da der RAM/VRAM Verbrauch zu hoch ist bzw. es sind einfach zu viele Möglichkeiten für den Wiederherstellungsschlüssel mit TPM. Wenn man aber ein Triviales Passwort hat ist das deutlich einfacher zu knacken.

Um auf deine Frage zurück zu kommen, ja TPM ist mit Bitlocker bombensicher für Otto normal.

@übermir
Ich konnte die Festplatte auch in einem anderen PC auslesen und entssperren wenn ich den Schlüssel gehabt hätte, das ist nicht das Problem. Wenn man aber einen Memory dump hat oder die Auslagerungsdatei gehts aber auch mit anderen Methoden. Schaut euch mal auf youtube(crack bitlocker) um.

 

[PC295]

Am Sichersten ist es mit PIN.
Das musst du in den Gruppenrichtlinien an dieser Stelle aktivieren:

Computerkonfiguration\Windows-Komponenten\Bitlocker-Laufwerksverschlüsselung\Betriebssystemlaufwerke
- Erweiterte PINs für Systemstart zulassen


Außerdem würde ich dort gleich einen besseren Verschlüsselungsalgorithmus festlegen

Computerkonfiguration\Windows-Komponenten\Bitlocker-Laufwerksverschlüsselung
- Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerke auswählen (Windows 10): XTS-AES 256-Bit

Wenn du Bitlocker weiter abhärten willst,

• aktiviere im UEFI "Secure Boot"
• Schütze die UEFI-Zugang mit einem Passwort (Administratorpasswort)
• Aktiviere den Kernel-DMA-Schutz: Sicherheitscenter > Gerätesicherheit > Kernisolierung

Genau das ist der größte Haken dabei.

Das ist kein großer Haken. Im Falle von Hardwareaustausch oder -defekt kann das Systemlaufwerk nur per Wiederherstellungsschüssel entsperrt oder entschlüsselt werden.

Warum möchtest du denn überhaupt noch ein zusätzliches Passwort zu deinem Passwort im preboot verwenden? TPM ist ja genau dafür da, dass du das nicht mehr benötigst, die Daten aber trotzdem sicher sind.

Es ist vergleichbar mit einer 2-Faktor-Authenifizierung.
Bei TPM-Only gab es schon erfolgreiche Angriffe
https://www.zdnet.de/88356341/sicherheitsforscher-demonstriert-neuen-angriff-auf-windows-bitlocker/

Wenn man aber einen Memory dump hat oder die Auslagerungsdatei gehts aber auch mit anderen Methoden. Schaut euch mal auf youtube(crack bitlocker) um.

Die meisten Methoden laufen ins Leere, wenn die Systempartition verschlüsselt ist, dort liegen Memory Dumps und Auslagerungsdatei.
Für andere Angriffsszenarien müssen meist mehrere Bedingungen zutreffen, die jedoch in der Praxis Glücksfall sind.

 

[TZUI1111]

@PC295
Ja das musste ich leider auch merken, aber Lehrreich war das alle male.

 

[Bob.Dig]

Ich würde das gerne beim Surface auch so machen. Jedoch bekomme ich keine Option mit Passwort.
Es funktioniert nur mit PIN und TPM.

So sollte es aussehen. Zusätzlich müsstest Du ggf. auch noch das TPM im BIOS deaktivieren. Wenn das nicht geht oder Du das nicht willst, dann kann es haarig werden, denn andere Einstellungen werden oft ignoriert bzw. scheinen keine Funktion zu haben.

 

[gaxel]

Danke für die Antworten.
Ich wollte das TPM nicht im Bios deaktivieren.
Ich habe einfach alle Richtlinien wieder zurückgesetzt und statt bitlocker mit veracrypt verschlüsselt. Ich kenn mich nicht wirklich mit der Materie aus, aber halte veracrypt für ziemlich sicher (evt. sogar sicherer als bitlocker, da open source). Ich hoffe damit nichts falsch gemacht zu haben.
Bringt mir das TPM in diesem Fall überhaupt irgendwas? Es wird nicht für die Veracrypt Verschlüsselung genutzt, das ist mir klar, aber hat es dennoch eine Funktion jetzt?

Gerne wollte ich Bitlocker TPM basiert (ohne weitere Authentifizierungen) zusätzlich zur Veracrypt verschlüsselung aktiviert lassen, aber es lies sich nicht mit veracrypt verschlüsseln solange bitlocker aktiv war (veracrypt hat da gemeckert, dass es keine verschlüsselung unterstützt wenn bitlocker aktiv ist) und nach der veracrypt verschlüsselung habe mich nicht getraut, nochmal zu versuchen bitlocker zu aktivieren, weil ich mir dachte, dass dies zu Problemen führen könnte, da Veracrypt dies zuvor wohl nicht ohne Grund verweigert hatte..

 

[PC295]

Wenn Bitlocker aktiv ist kannst du VeraCrypt nicht nutzen.
Du kannst aber mit VeraCrypt immernoch Container, verschlüsselte Partitionen oder USB-Sticks erstellen und Dateien wegzuschließen.

(evt. sogar sicherer als bitlocker, da open source)

Nicht unbedingt. Open Source hat den Nachteil, dass jeder den Quellcode auf Schwachstellen absuchen kann, was bei Closed Source nicht funktioniert. Dort kann man mehr oder weniger nur durch Ausprobieren Schwachstellen bzw. Lücken aufdecken.
Vor dem Möchtegern-Hacker von Nebenan oder der Polizei ist Bitlocker als auch VeraCrypt auf jeden Fall sicher.

TPM liefert auch weitere Funktionen / Einsatzzwecke
https://www.security-insider.de/was-ist-ein-tpm-a-811217/