TPM Modul - Fragen

[geohei]

Hallo.

Ich möchte mir ein TPM Modul zulegen um eine Daten Festplatte zu verschlüsseln.

BS = Windows 7 Ultimate (UEFI System, auf GPT Partition)

Testweise habe ich die Systempartition mit USB Key (Alternative zum TPM) verschlüsselt und festgestellt, dass eine zusätzliche Startpartition angelegt wurde. Dies wunderte mich, da ist unter UEFI bereits das hier habe.

DISKPART> list partition

  Partition ###  Type              Size     Offset
  -------------  ----------------  -------  -------
  Partition 1    System             100 MB  1024 KB
  Partition 2    Reserved           128 MB   101 MB
  Partition 3    Primary             99 GB   229 MB

Die BitLocker Startdaten sollten doch in die 2. Partition, oder was läuft hier falsch?

Gruß,

 

[LieberNetterFlo]

ne, die Bitlocker-Daten kommen in

"System" -> FAT32 Partition

-----

"Reserved" ist ohne Dateisystem und wird von MS für EFI Daten benutzt ("MSR Partition")

"Primary" ist dann dein Windows -> NTFS

------

die System Partition war aber schon vorher da, ohne kann es nicht (U)EFI gewesen sein, da EFI nur von FAT32 booten kann und dein Primary ja NTFS ist

 

[M@rsupil@mi]

oder was läuft hier falsch?

Vielleicht ist die bisherige System/Start-Partition zu klein. Ich kenne die auch eher in Größen von 200 bis 400MB.

Edit: Hier wird von einer 200MB Partition für BL gesprochen. Das dürfte dann vermutlich auch die Mindestgröße sein, die vorhanden sein muss.

 

[Merle]

100 war üblich bei Win7. Erst danach wurden die größer.
*edit: Nur falls keine vorhanden ist, legt er eine mit 200 an.

 

[geohei]

gdisk / p auf besagte HDD zeigt:

Number  Start (sector)    End (sector)  Size       Code  Name
   1            2048          206847   100.0 MiB   EF00  EFI system partition
   2          206848          468991   128.0 MiB   0C01  Microsoft reserved part
   3          468992       210182143   100.0 GiB   0700  Basic data partition

blkid sagt (sdb2 wird nicht angezeigt):

root@dei:/home/geohei# blkid
...
/dev/sdb1: UUID="B2AE-B362" TYPE="vfat" 
/dev/sdb3: LABEL="Windows_7" UUID="E6FBBC35FBBC094D" TYPE="ntfs"

System ist die EFI. Ja, sie ist FAT32.
sdb2 ist in der Tat die MSR, aber nicht für EFI, sondern Windows 7.

Wo sollen die BitLocker Daten denn jetzt rein? Ich nehme an in sdb1?

An diversen Stellen habe ich aber gelesen dass die Startpartition, die für Bitlocker benötigt iwrd, aber NTFS benötigt.

Ausserdem dümpelt es mir irgendwie, also wären bei einem kurzen BitLocker Test vor etwa einem Jahr auf der gleichen Maschine, keine zweite NTFS Partition angelegt worden (ohne TPM, nur mit USB Stick).

sdb1 beinhaltet im Moment nur 18MB.

root@dei:/media/geohei# du . -sh
18M	.

100 war üblich bei Win7. Erst danach wurden die größer.
*edit: Nur falls keine vorhanden ist, legt er eine mit 200 an.

Ok ... ?! ... wenn also eine 100 MB vorhanden ist wird eine (zusätzliche) mit 200 MB angelegt, oder sollte die 100 MB benutzt werden?

 

[LieberNetterFlo]

hab ich doch geschrieben, die MSR Partition ist eine Eigenart von Microsoft, die speichern da EFI und GPT Daten, einfach so akzeptieren

na, die Software zum entschlüsseln darf ja selbst nicht verschlüsselt sein und muss auch gleich zu Begin zur verfügung stehen ... Bitlocker kommt in dem Fall auf die FAT32 Partition.

Mach einfach deine NTFS ein bisschen kleiner (so um 250MB), verschiebe die MSR und vergrößere die FAT32 Partition auf 350MB ... dann findet der das und sollte auch keine neue anlegen.

 

[geohei]

Ok ... werde ich 'mal versuchen. Vorher Backup. Ich melde mich wie es aufgegangen ist.

Ergänzung (3. Februar 2016)

...
verschiebe die MSR
...

Hier gibt es ein Problem.
Keine Software fasst die MSR an da unbekannt ... sogar gparted nicht.

1. Wie kann ich die MSR verschieben (welches Tool)?

Da ich noch kein TPM Modul habe, benutze ich zur Zeit einen USB Stick um den Startup Key zu speichern. Dabei fiel mir auf dass dieer nicht als Datei (sichtbar) geschrieben wird. Es ist auch keine "hidden" oder "protected operating system" Datei.

2. Wie speichert Bitlocker den Startup Key auf dem USB Stick?

 

[LieberNetterFlo]

du kannst die MSR auch löschen und neu anlegen, wenn du sie nicht verschieben kannst:

create partition msr size=128
(in diskpart nachdem du mit "select disk" die passende HDD ausgewählt hast)

kein Plan wo Bitlocker das speichert vielleicht hinter der Partition, im MBR, vielleicht auch gar nicht (sondern merkt sich nur dass es der Stick sein muss)

 

[geohei]

du kannst die MSR auch löschen und neu anlegen, wenn du sie nicht verschieben kannst:

create partition msr size=128
(in diskpart nachdem du mit "select disk" die passende HDD ausgewählt hast)

Ok ... werde ich mir merken. Ich weiss noch nicht genau wie ich das alles jetzt genau durchziehe da wesentlich komplizierter als anfänglich gedacht. BitLocker hat dann auch noch die UEFI NVRAM Einträge durcheinander gebracht und ich kann somit nicht mehr auf meine Ubuntu Partition zugreifen. Muss das erst einmal fixen. Eines steht jedoch fest ... wenn man kein out-of-the-box System hat gibt es eine Menge Stolpersteine und Tücken. Das Wissen findet man (erstaunlicherweise) nur sehr schwer im Netz.

kein Plan wo Bitlocker das speichert vielleicht hinter der Partition, im MBR, vielleicht auch gar nicht (sondern merkt sich nur dass es der Stick sein muss)

Wenn ich einem USB Stick mein Startup Key anvertraue möchte ich schon wissen wo genau und wie das gespeichert ist.

Ausserdem ist mir jetzt erst aufgefallen, dass BitLocker beim ersten Verschlüsseln der System Partition (sdb3 bei mir) eine 250 MB große "Recovery Partition" erstellt. Das war die Partition von der ich oben gesprochen habe. Es handelt sich also anscheinend nicht um eine Vergrößerung der existierenden 100 MB "EFI System Partition". Über Windows 7 habe ich keinen Zugriff auf diese neue Partition (zwecks Analyse was drauf ist) da mein Ubuntu nicht mehr startet.

3. Was ist da drauf?

Mit EasyUEFI (Windows 7) wurde UEFI NVRAM wieder gefixed. Die Ubuntu EFI Partition hat sich durch die neue Partition um einen Platz nach hinten verschoben. Habe jetzt wieder Zugriff auf Ubuntu.

gdisk /dev/sdb zeigt jetzt das hier an ...

Number  Start (sector)    End (sector)  Size       Code  Name
   1            2048          206847   100.0 MiB   EF00  EFI system partition
   2          206848          468991   128.0 MiB   0C01  Microsoft reserved part
   3          468992       209670143   99.8 GiB    0700  Basic data partition
   4       209670144       210182143   250.0 MiB   2700  
   5       210184192       315041791   50.0 GiB    0700  Basic data partition
   6       315041792       315246591   100.0 MiB   EF00  Ubuntu 14.04 (ESP)
   7       315246592       420104191   50.0 GiB    8300  
   8       420104192       462047231   20.0 GiB    8200  Linux swap

Code ist also 2700 (Windows RE). Sie hat 165 MB Daten.

4. Was ist Windows RE? Wozu brauch BitLocker das?

Die Partition ist hinter der eigentlichen Windows 7 Partition und ist NTFS.

Testweise habe ich BitLocker "suspended". Der USB Stick wird nicht mehr benötigt (zum Betrieb und Starten).

5. Was ist der Unterschied zwischen "encrypted" und "suspended"?

 

[LieberNetterFlo]

normalerweise kommt auf die Recovery-Partition ein Recovery-System ... wenn Windows mal nicht starten will im einfachsten Fall ist das ein WinPE mit einer Console, manche Hersteller machen da auch aufwändigere Sachen rein, zb Backup-Programme etc.

Die restlichen Fragen zum Bitlocker kann ich dir leider nicht beantworten, ich mach den immer nur an und aus wenn die die Platte wechsle

 

[M@rsupil@mi]

Wenn ich einem USB Stick mein Startup Key anvertraue möchte

Du könntest ja auch auf eine PIN-Eingabe beim Systemstart umstellen. (Ein PW nach dem BIOS-Screen).

Testweise habe ich BitLocker "suspended". Der USB Stick wird nicht mehr benötigt (zum Betrieb und Starten).

5. Was ist der Unterschied zwischen "encrypted" und "suspended"?

Bei Suspended ist, wie du ja auch selbst gemerkt hast, kein PW mehr für den Datenzugriff nötig. Das PW liegt quasi im Klartext vor, so dass kein Schutz mehr durch die Verschlüsselung besteht

The Suspend-BitLocker cmdlet suspends Bitlocker encryption, allowing users to access encrypted data on a volume that uses BitLocker Drive Encryption. This cmdlet makes the encryption key available in the clear.

Suspension of BitLocker does not mean that BitLocker decrypts data on the volume. Instead, suspension makes key used to decrypt the data available to everyone in the clear. New data written to the disk is still encrypted.

While suspended, BitLocker does not validate system integrity at start up. You might suspend BitLocker protection for firmware upgrades or system updates.

https://technet.microsoft.com/de-de/library/jj649830(v=wps.630).aspx

Macht Windows beispielsweise auch automatisch (während der Setup-Prozedur), wenn du von Win 7 / 8 auf 10 umsteigst.

 

[geohei]

Du könntest ja auch auf eine PIN-Eingabe beim Systemstart umstellen. (Ein PW nach dem BIOS-Screen).

Das wäre eine Alternative, aber ich möchte zuerst einmal wissen wie/wo der Startup Key gespeichert ist (aus reinem Interesse). Auch wäre es interessant ob ich den USB (auf dem der Startup Key ist) als Datenspeicher benutzen kann = drauf schreiben kann, ohne dass der Startup Key überschrieben bzw. gelöscht wird.

Bei Suspended ist, wie du ja auch selbst gemerkt hast, kein PW mehr für den Datenzugriff nötig. Das PW liegt quasi im Klartext vor, so dass kein Schutz mehr durch die Verschlüsselung besteht.

Das mit dem Klartest ist irreführend. Der Startup Key (USB) bzw. PIN ist doch hoffentlich nirgends lesbar (Klartext)?!

Also wird mit Suspended lediglich Validierung des Systems beim Start übersprungen. Verschlüsselt wird weiterhin. Alles klar.

 

[geohei]

Da ich noch kein TPM Modul habe, benutze ich zur Zeit einen USB Stick um den Startup Key zu speichern. Dabei fiel mir auf dass dieser nicht als Datei (sichtbar) geschrieben wird. Es ist auch keine "hidden" oder "protected operating system" Datei.

2. Wie speichert Bitlocker den Startup Key auf dem USB Stick?

Es ist ein "hidden" & "protected operating system file". Beide Optionen müssen angepasst werden, sonst werden die *.BEK Dateien nicht angezeigt.

Bei Suspended ist, wie du ja auch selbst gemerkt hast, kein PW mehr für den Datenzugriff nötig. Das PW liegt quasi im Klartext vor, so dass kein Schutz mehr durch die Verschlüsselung besteht
https://technet.microsoft.com/de-de/library/jj649830(v=wps.630).aspx
...

Ich habe auch bemerkt, dass Image Backup Software (z.B. Macrium Reflect) im suspended mode die Files der Windows 7 Partition sieht, also nicht die intergrale Partition backupped. Wenn die Partition encrypted ist, werden die gesamten (bei mir) 100 GB kopiert! Interessant dass die BitLocker Mechanismen auch greifen wenn Windows 7 nicht gestartet ist. Oder hat die Image Backlup Software da nachgeholfen (= die EFI Partition ausgelesen und mittels dem dort gespeicherten BitLocker Schlüssel die Windows 7 Partition entschlüsselt).

 

[Merle]

Wenn die Verschlüsselung "suspended" ist, liegt der Encryption Key in direkt lesbarer Form vor (ganz so ist es oft nicht, das kann auch verschachtelt sein, aber vom Prinzip her). Die Daten sind dann noch verschlüsselt, aber eine darauf angepasste Software kann in diesem Zustand sicherlich zugreifen.
Wenn die PIN/Passwortabfrage allerdings aktiv ist, ist das nicht möglich ohne Passwort