ComputerBase Menü
Aktuelles

Bitlocker TPM Setup

GreyGoose

GreyGoose

Lt. Junior Grade
Registriert
Juli 2013
Beiträge
414
Hallo,

System ist in der Signatur (TPM2.0 ist auf dem Board). Nachdem ich nun festgestellt habe, dass mein Board keine Festplattenverschlüsselung auf Bios-Level unterstützt, würde ich meine Platte gerne via Bitlocker + TPM Hardwareverschlüsseln.

Folgenden Zustand hätte ich gerne:
-Die gesamte SSD soll hardware-encrypted werden
-Der Key soll auf das TPM2.0 gespeichert werden und mit einem Passwort geschützt werden
-Das Passwort muss bei jedem Systemstart erneut eintippt werden
-Sollte das Passwort vergessen werden oder das Board/TPM irgendwann Probleme haben, sollte noch zusätzlich die Option bestehen, statt dem Passwort den Key einzugeben, welcher beim Bitlocker Setup exportiert wurde

Habe im gpedit schon alles Mögliche getestet, irgendwie will Windows das TPM dennoch nicht nutzen und will stattdessen einen USB Stick nutzen oder gibt mir folgende Fehlermeldung:
1576359015063.png

1576359104693.png


Vielen Danke für eure Hilfe
 
Hardwareverschlüsselung ist notorisch unsicher. In Tests haben fast alle Festplatten/SSD-Hersteller die Implementierung verkackt und die Verschlüsselung ist oftmals trivial umgehbar bzw. der Key auslesbar.

Wenn du eh ein Passwort eingeben willst dann kannst du auf die TPM völlig verzichten und gleich Software-Verschlüsselung durch BitLocker machen. Die ist deutlich wahrscheinlich sicherer und die Performanceeinbußen sind dank AES-NI in der CPU nicht bemerkbar.

Den Wiederherstellungskey kannst du bei dieser Variante ebenso exportieren, bzw. zwingt dich das BitLocker-Setup sowieso dazu.
 
  • Gefällt mir
Reaktionen: DFFVB
Gibt es irgendwo Messungen wie groß die Verluste in der Performance (sequenziell, aber auch besonders 4k random) bei Bitlocker sind und wie hoch der zusätzliche CPU load (habe einen Skylake i7 6700k)?

Ich überlege nämlich auch schon länger SSD und HDD zu verschlüsseln...
 
Zuletzt bearbeitet von einem Moderator:
Okay, dann Softwareverschlüsselung.
Verstehe aber nicht ganz, wie das ohne TPM dann laufen soll.
Ich will keinen USB Stick einstecken müssen, wo soll der Key also gespeichert werden, der mit dem Passwort gesichert wird?

Wie mache ich das nun mit dem Setup? Wie gesagt, Windows will, dass ich einen Stick einstecke.
 
Der Key für die AES-Verschlüsselung wird im BitLocker-Header direkt auf dem Speichermedium gespeichert. Der Key ist allerdings mit deinem Passwort verschlüsselt. Der Bootloader nimmt dein Passwort, entschlüsselt damit den Key, und kann damit die verschlüsselte C:\ Partition lesen.

Die TPM nützt dir im Szenario Festplattenverschlüsselung vorallem dabei, wenn du kein Passwort eingeben willst sondern erst dein Windows-Passwort bzw. durch Kamera oder Fingerprint entsperrst. Dann speichert die TPM den Schlüssel und teilt ihm beim Booten der Festplatte mit, sofern die TPM glaubt, sich noch im gleichen Computer zu befinden. Das ist aber unsicher, da der Rechner dann ja bis in Windows booten kann und man mit externen Werkzeugen den Schlüssel aus dem RAM auslesen kann. (Mehr dazu hier)

Du bist in der richtigen Gruppenrichtlinie, diese aktiviert lassen und einfach ein Haken bei [x] BitLocker ohne kompatibles TPM zulassen setzen und TPM-Start konfigurieren: TPM nicht erlauben (o.Ä., habs nur auf englisch).
Außerdem die Richtlinie "Configure use of hardware-based encryption for operating system drives" auf Deaktiviert.
 
Zuletzt bearbeitet:
die ssd hardwareverschlüsselung hat nichts mit dem TPM zu tun, das sind völlig unterschiedliche Paar Schuhe.
Ebensowenig hast du mit dem TPM Performanceeinbußen.
Hauptsache irgendwas googlen und irgendwas erzählen, ganz toll. :)

Die Bitlocker "Voreinstellung" ist nicht ohne Grund mit TPM. Microsoft hat sich bei dem Sicherheitskonzept schon etwas gedacht.
https://docs.microsoft.com/de-de/windows-hardware/design/device-experiences/oem-highly-secure

Und zwar bietet Windows zusammen mit Bitlocker und dem TPM noch einen Integritätsschutz für "Secure Boot" durch Nutzung des TPM PCR[7] Messwertes.
Eine unautorisierte EFI Firmware, eine EFI BootApplikation, oder ein BootLoader kann nicht starten und sich den BitLocker Schlüssel aneignen. Sprich zusätzliche Wiederstandfähigkeit gegen Malware und physische Angriffe.

Softwareverschlüsselung mit TPM + Pin geht ohne probleme und die Performanceeinbußen im gegensatz zur hardwareverschlüsselung sind sehr gering. Vielleicht 2-3 % mit einer aktuellen CPU.

So muss der STATUS aussehen damit das TPM einsatzbereit ist. Weiter unten, unter status findest du noch den Punkt "Problembehandlung für Sicherheitschips" womit Windows den TPM speicher löscht.
(Das geht allerdings auch erst nachdem du im Bios das löschen für das TPM aktivierst.

Auf PCs mit TPM, kann BitLocker geschützte Systemlaufwerke mit vier Methoden entsperren. (auch mit der Softwareverschlüsselung)

1. Nur-TPM
2. TPM mit StartSchlüssel (USB)
3. TPM mit PIN (Passwort)
4. TPM mit StartSchlüssel und PIN

einen USB Stick brauchst du beim einrichten bei allen Methoden für den Wiederstellungsschlüssel.
 
Zuletzt bearbeitet:
Dass jegliche Hardwareverschlüsselung quasi geknackt sei ist nicht richtig, dieser Eindruck entstand aus der damaligen reißerischen Berichterstattung, die verkauft sich halt am Besten.

Anyway, in meiner Signatur findest Du eine ausführliche Anleitung, auch mit Bildern. Vermutlich wirst Du schon das Meiste kennen. Denke das Problem ist eher, wie MS die GP-Einstellungen beschreibt. Hier wäre einfach der Standard richtig gewesen und nichts zu verstellen, auch wenn es sich anders liest. Bei mir zumindest läuft es sonst auch nicht.

Solltest Du die Hardware-Verschlüsselung (die hat erstmal nichts mit einem TPM zu tun) noch umsetzen, gerne in dem Thread dein Ergebnis posten, erhöht die Datenlage.
Ergänzung ()

askling schrieb:
Gibt es irgendwo Messungen wie groß die Verluste in der Performance (sequenziell, aber auch besonders 4k random) bei Bitlocker sind und wie hoch der zusätzliche CPU load (habe einen Skylake i7 6700k)?
Zum Vergrößern anklicken....
4K spielt nach meiner Erinnerung nicht mehr groß die Rolle, da dies vom RAM abgefangen wird. Bei NVMe zumindest macht nur noch Seq. einen Unterschied für die CPU-Last. In meinem Thread ist dazu ein Extrembeispiel zu sehen. Bei schwächeren CPUs kann das aber wieder relevanter sein.
 
Zuletzt bearbeitet:
Ich hab das Ganze nun mal getestet und von kaum Unterschied kann hier eigentlich nicht die Rede sein.
2019-12-15 11_49_07-CrystalDiskMark 6.0.1 x64.png
2019-12-15 11_37_50-CrystalDiskMark 6.0.1 x64.png


Sequentiell gibt sich das nichts, aber 4K ist ein riesen Unterschied (habe mehrfach getestet, das ich beim erhöhten 4KiB Q32T1 Write Wert mit BitLocker überrascht war, aber das scheint so stimmen).
Ich weiß jetzt nicht genau, wie ich das genau messen soll, aber die CPU-Last war deutlich höher mit BitLocker.

Bin jetzt derzeit am überlegen, was ich dann als nächstes mache.
Ich habe Windows erst vor ein paar Wochen neu aufgesetzt und habe wenig Lust, das nochmal zu machen. Außerdem müsste ich dann wohl für eine Hardware-Verschlüsselung CSM abstellen, da ich aber oft Linux von USB Sticks starte und ich hierfür CSM brauche, wäre das noch extra Aufwand, auch hier alles umzustellen.

Ich denke, ich werde erstmal ein paar Tests mit Verschlüsselung auf Verzeichnis-Ebene machen, dann kann ich wenigstens Spiele von der Verschlüsselung ausschließen.

Außerdem, ist das normal so?
2019-12-15 12_18_59-Windows Security.png

"Attestation Not ready"
Habe folgendes schon ein paar mal versucht (sowohl mit software TPM der CPU als auch richtigem TPM), hilft aber auch nicht...
1576408882898.png

Müsste ich Windows neu installieren, damit das klappt?
 
Interessant, welchen Storage-Treiber nutzt Du?
Ich liege mit dem MS-Treiber wie folgt.
Capture.JPG

Sind aber alles keine schlechten Werte, wie ich finde.

CSM abschalten sollte für ein aktuelles Linux kein Problem sein, etwas anderes ist Secure boot.

Bei mir funktioniert die Attestation auch nicht.
 
Zuletzt bearbeitet:
Hab die NVMe Treiber von Samsung.

Hab verschiedene Distros auf einem Stick (genau gekommen eine SD Karte, aber solle egal sein) via YUMI, war eben nochmal auf der Seite, UEFI wird inzwischen supported. Dann müsste ich die Karte auf GPT umstellen (und die Windows Platte auch), Windows neu installieren und dann könnte ich eDrive nutzen?
 
Also Sticks sollten soweit ich weiß FAT-formatiert sein. Der mit dem MS media creation tool erstellte Stick ist fat32-formatiert und hat einen MBR.
Capture.JPG


Für eDrive empfehle ich den MS-Treiber. Dieser dürfte dich wiederum immer etwas 4K-Performance kosten, aber nicht so viel, wie es früher mal war. Musst Du abwägen.
Sicher, der Samsung Treiber geht auch, aber mit dem wird MS nicht testen, wenn sie überhaupt noch was testen.
 
Zuletzt bearbeitet:
GreyGoose schrieb:
"Attestation Not ready"
Habe folgendes schon ein paar mal versucht (sowohl mit software TPM der CPU als auch richtigem TPM), hilft aber auch nicht...
Müsste ich Windows neu installieren, damit das klappt?
Zum Vergrößern anklicken....

Nein neu installieren bringt nicht, die einzigste lösung für die "Attestation" ( Bescheinigung für Secure Boot indem die Messwerte im TPM versiegelt werden) ist CSM auf "UEFI only" einstellen oder CSM ganz zu deaktivieren, außerdem Secure Boot einschalten im Bios. Nur mit Secure Boot und UEFI only kann das TPM die Attestation gewährleisten und bescheinigen.
 
Habe jetzt einige Partitionen ohne TPM Software encrypted. Glaube da werde ich keinen Performance-Unterschied merken. Die Verschlüsselung auf Verzeichnis-Ebene via EFS ist leider kompletter müll, da man hier keine Passwörter setzen kann; stattdessen läuft das nur über Zertifikate.

Beim nächsten Windows reinstall werde ich dann wohl auf full drive encryption via edrive, mit TPM und UEFI boot umsteigen.
 
GreyGoose schrieb:
Ich hab das Ganze nun mal getestet und von kaum Unterschied kann hier eigentlich nicht die Rede sein.
Anhang anzeigen 853523Anhang anzeigen 853524

Sequentiell gibt sich das nichts, aber 4K ist ein riesen Unterschied (habe mehrfach getestet, das ich beim erhöhten 4KiB Q32T1 Write Wert mit BitLocker überrascht war, aber das scheint so stimmen).
Ich weiß jetzt nicht genau, wie ich das genau messen soll, aber die CPU-Last war deutlich höher mit BitLocker.

Bin jetzt derzeit am überlegen, was ich dann als nächstes mache.
Ich habe Windows erst vor ein paar Wochen neu aufgesetzt und habe wenig Lust, das nochmal zu machen. Außerdem müsste ich dann wohl für eine Hardware-Verschlüsselung CSM abstellen, da ich aber oft Linux von USB Sticks starte und ich hierfür CSM brauche, wäre das noch extra Aufwand, auch hier alles umzustellen.

Ich denke, ich werde erstmal ein paar Tests mit Verschlüsselung auf Verzeichnis-Ebene machen, dann kann ich wenigstens Spiele von der Verschlüsselung ausschließen.

Außerdem, ist das normal so?Anhang anzeigen 853556
"Attestation Not ready"
Habe folgendes schon ein paar mal versucht (sowohl mit software TPM der CPU als auch richtigem TPM), hilft aber auch nicht...
Anhang anzeigen 853557
Müsste ich Windows neu installieren, damit das klappt?
Zum Vergrößern anklicken....


Hattest du das zufällig nochmal mit dem Intel statt Samsung Treiber probiert, ob die 4k damit besser sind?
 
Intel? Meinst du den Treiber hier?
"This Windows* driver can be used to enable your system to recognize the Intel® SSD 665p Series, Intel® SSD 660p Series, Intel® Optane™ SSD 900P Series, Intel® Optane™ SSD 905P Series, Intel® SSD 750 Series, and Intel® SSD Pro 7600p/760p/E 6100p Series."

Warum sollte ich mit einer AMD CPU, einer Samsung Platte und einem Microsoft OS die Treiber von Intel nehmen?
 
Was ich mich auch frage ist, ob eine schneller SSD helfen würde die absolute 4k Geschwindigkeit zu erhöhen, oder ob es die CPU ist die bremst bzw. limitiert.

Sprich, würde eine 50% schnellere SSD (bei 4k Q1T1) auch mit Bitlocker (Software) 50% schneller sein? Oder kommt da durch eine limitierenden Faktor vielleicht nut 20% mehr an, oder sogar gar nichts?

Ich humple hier z.B. noch mit einer m550 rum, die bei 4k random Q1T1 gerade mal 29 mb/s hinbekommt. Da sind eure schnelleren mit Bitlocker (Software) trotzdem noch deutlich davor. Wenn die SSD Performane linear skaliert, dann könnte man sich auch einfach für 70€ eine schnellere SSD kaufen und wäre absolut trotz Encryption immer noch schneller als vorher.
 
Zuletzt bearbeitet von einem Moderator:
@askling Bei Q1T1 fragt das Programm jeden 4K Block einzeln nacheinander ab, jeweils nachdem es den vorherigen fertig eingelesen hat. Darum gibt es kein einzelnes Bottleneck. Jeder Block wird erst von SSD eingelesen, dann mit der CPU entschlüsselt, und erst dann fragt DiskMark den nächstes Block an und das Spiel beginnt von vorn. Also würden sowohl schnellere CPU wie auch SSD die 4K Performance erhöhen.

Q1T1 ist aber nicht unbedingt ein sinnvoller Wert; hat man viele parallele Zugriffe treffen Q8T8 und Q64T1 eher zu, und da ist der größte Performanceverlust etwa 25% beim Lesen. Da die meisten Programme Daten auch noch verarbeiten müssen und eh nicht ununterbrochen lesen können liegt der reale Leistungsverlust selbst bei I/O-intensiven Anwendungen wohl noch im einstelligen Prozentbereich. Dies ist mMn nicht der Rede wert und mehr als hinnehmbar für eine sichere Software-Verschlüsselung.
 
Denke ich komme erst morgen dazu, das zu testen, werd dann Window Stock Treiber und nochmal Samsung Treiber benchmarken.
 
hab' doch heute noch die Zeit gefunden.
Also trim, benchmark, driver uninstall, reboot, trim, benchmark.
Gibt sich fast nichts, CPU Last auch etwa gleich, bleibe bei den Samsung Treibern.
2019-12-29 21_06_29-CrystalDiskMark 6.0.1 x64.png
2019-12-29 21_20_59-Settings.png


2019-12-29 21_18_50-CrystalDiskMark 6.0.1 x64.png


Würde mich übrigens Marco01_809 anschließen, 4K Q8T8 und 4K Q32T1 sind wahrscheinlich aussagekräftiger als Q1T1.
Werde dennoch irgendwann auf hardware encryption umsteigen, selbst wenn die Implementierung weniger sicher sein sollte; wenn man Daten hat, die so sensibel sind, dass man sich hier Gedanken macht, sind die ohnehin besser auf Linux aufgehoben, Windows an sich ist da wohl eher ein Sicherheits-Bottleneck als die Implementierung der Verschlüsselung.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Humbold
Bitlocker: Keine Aktivierung in Win11 Pro möglich - TPM?
2
Antworten
23
Aufrufe
1.182
Humbold
Humbold
Humbold
🔐Bitlocker & TPM: Vorteile / Nachteile?
2
Antworten
20
Aufrufe
4.566
Humbold
Humbold
GucciGünther
BitLocker lässt sich nicht aktivieren
Antworten
7
Aufrufe
691
PC295
P
L
BitLocker mit TPM - Daten von Festplatte sichern
Antworten
13
Aufrufe
2.103
andy_m4
andy_m4
Bob.Dig
Leserartikel BitLocker Hardware Encryption eDrive
17 18 19
Antworten
373
Aufrufe
79.409
Bob.Dig
Bob.Dig
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz