So um das hier mal wieder aufzuleben
aktueller Stand und offene Fragen
Vertrauensfrage BL vs. VC
Da MS und die NSA zusammen arbeiten habe ich immer den Gedanken im Hinterkopf das es einen Masterkey für sämtliche BL Verschlüsslungen existiert und nach Geschichte mit den extra kaputt gemacht und veröffentlichen SSL Algorithmen ist das Gefühl nicht besser geworden >
Quelle
Passender Blog
„While it’s helpful that Microsoft is addressing specific concerns about BitLocker, it’s possible to look at the company’s track record and decide you cannot trust the company in general. In particular, it’s not clear how much users who want to keep their information out of the hands of the government can trust Microsoft, which has a history of working with U.S. law enforcement and spy agencies.
„lawful requests“ = alles was der NSA erlaubt ist (versteh ich jedenfalls so)
„Likewise, in July 2013 The Guardian reported that Microsoft “has collaborated closely with U.S. intelligence services to allow users’ communications to be intercepted, including helping the National Security Agency to circumvent the company’s own encryption.” In this case, Microsoft helped the NSA access web chats and email from the Outlook.com portal.”
Allgemein ist der Quellcode von BL nur für eine spezielle Entwicklergruppe „öffentlich“.
VC ist komplett öffentlich.
Also Tendenz doch stark zu VC
…aber…
Sobald Windows10 eines der großen Upgrades installiert werden „müssen“ ist es vorbei mit Veracrypt.
Beispiel: 1511 > 1607
Dafür müsste die Platte entschlüsselt und hinterher wieder verschlüsselt werden und das jedes Mal…
Eigentlich brauch ich gar nicht weiter schreiben in die Richtung recherchieren, bei 5 Mitarbeitern mag das gehen, aber nicht im dreistelligen Bereich...
LTS wäre evtl. noch interessant aber das kann ich den Entwicklern nicht antun bei uns.
Offene Fragen
TPM Wechsel
Was passiert wenn das TPM Modul eines Rechners flöten geht, und BL so konfiguriert ist, das TPM benutzt wird?
Anwendungsfall:
Dell Notebook kaputt -> Standard Fall Mainboard Wechsel ergo TPM Modul ändert sich -> wie komme ich an die Daten, irgendwie bringt mir gefühlt der Restore Key nix, wenn der Masterkey der im TPM liegt verschwindet.
AD Integration
Wenn ich
diesen Artikel richtig verstehe, kann ich im AD genug Infos speichern damit ich eine Platte entschlüsseln kann, aber was passiert wenn ich eine Bitlocker Konfig habe, die TPM nicht benutzt und diesen aus der Domäne schmeiß, bzw. was passiert wenn der Rechner 1-2 Monate nicht mit dem DC geredet hat, also die Vertrauensstellung (heißt so glaub ich in Deutsch so) weg fliegt ich diesen löschen und neu aufnehmen muss.
Unterm Strich wie ist Eurer Workflow im Umgang mit Bitlocker in den Firmen?
Grüße
Mac
.
