-
Es gelten die Sonderregeln des Forums Politik und Gesellschaft.
News Überwachung: Microsoft hat Bitlocker-Schlüssel heimlich an das FBI weitergegeben
Piktogramm
Fleet Admiral
- Registriert
- Okt. 2008
- Beiträge
- 10.099
Wie willst du ZeroKnowledge serverseitig implementieren, wenn die Schlüssel einem serverseitigem Nutzeraccount zugeordnet sind, dessen Passwort jederzeit geändert werden können soll und die Schlüssel dem Clienten für die Funktion im Klartext vorliegen müssen?mchawk777 schrieb:
Es gibt schlicht ein paar Dinge, die gehen nicht. Zumindest nicht ohne ein weiteren Sicherheitsanker, der allein im Zugriff der Nutzer·innen vom Client ist. An der Stelle könnte man sich den Cloudupload aber auch sparen, weil der Sicherheitsanker für sich genommen reichen sollte.
Passwörter, Schlüssel die einmal außerhalb definierter Kontrolle waren haben als öffentlich zu gelten.E1M1:Hangar schrieb:
Ergänzung ()
Wobei an der Stelle das Betriebssystem VeraCrypt im Userspace sieht. Also Zugriff auf die Schlüssel hat als auch die zu schützenden Daten im Klartext. Bei ernsthaft sensiblen Daten ist die Voraussetzung also, dass dem Betriebssystem vertraut werden kann.PC295 schrieb:
mchawk777
Lt. Commander
- Registriert
- Okt. 2024
- Beiträge
- 1.407
Der übliche "Wenn's den Richtigen trifft sind die Mittel egal."aLanaMiau schrieb:
Dumm nur, wenn man selbst mal ins Visier gerät.
Da reicht schon eine politische Kehrtwende. 🤷♂️
Vielleicht wird Dich bei Gegebenheit jemand mal an diese, Deine Worte erinnern...aLanaMiau schrieb:
Komisch - Lastpass oder Bitwarden schaffen das. 🤷♂️Piktogramm schrieb:
Es geht hier in Bezug von BitLocker und Laufwerksverschlüsselung nur um die Textstrings des Notfallschlüssels.
Das eigentliche Passwort liegt wenn im TPM und steht MS nicht zur Verfügung.
@mchawk777: Sorry, aber als ob das Knacken der Verschlüsselung das wäre, was für die Privatnutzer das Problem wäre. Alleine dass die ganzen Geräte bei einer Hausdurchsuchung einkassiert werden, das ist der Super-GAU. Und das für Delikte, bei denen die zu erwartende Strafe solche Eingriffe in keiner Weise rechtfertigen würde. Solche politischen Mittel werden bereits eingesetzt.
Da muss angesetzt werden, das muss unterbunden werden. Dann ist das Thema der Schlüssel-Rausgabe das kleinste Problem.
Da muss angesetzt werden, das muss unterbunden werden. Dann ist das Thema der Schlüssel-Rausgabe das kleinste Problem.
NoNameNoHonor
Lt. Commander
- Registriert
- Nov. 2020
- Beiträge
- 1.078
Also eigentlich haben Programme, die nur für den angemeldeten Benutzer laufen, sinnvollerweise auch nur was im "Userspace" zu suchen. Wobei der Begriff eigentlich aus der Linux-Welt stammt, keine Ahnung ob es was 100% gleichwertiges bei Windows gibt.Piktogramm schrieb:
Wenn ich irgendeinen Murks im Betriebssystem an mehreren Stellen habe, inklusive Treiber mit Ring 0 Zugriffsrechte, ist das doch schlechter, oder? Wobei Bitlocker eigentlich ein beim Booten zuerst geladenes Maschinenprogramm von einer kleinen extra Partition ist, also auch kein Treiber im herkömmlichen Sinn.
br3adwhale
Lt. Commander
- Registriert
- Aug. 2013
- Beiträge
- 1.031
Hab am Wochenende in Vorbereitung zu nem Dual Boot mit CachyOS Windows 11 neu installiert, da war dann standardmäßig BitLocker für Laufwerk C aktiviert.
Habs dann gleich wieder deaktiviert, ist das mittlerweile wohl Standard?
Habs dann gleich wieder deaktiviert, ist das mittlerweile wohl Standard?
Thorsten67
Lt. Junior Grade
- Registriert
- Juni 2015
- Beiträge
- 413
Bitlocker kann bei Neuinstallationen von Windows 11 (ab 24H2) aktiviert werden, Zitat aus nachstehendem Link:br3adwhale schrieb:
"Was aber bei der Neuinstallation passieren kann ist, dass im Hintergrund die Laufwerke mit Bitlocker verschlüsselt werden können."
Quelle: Windows 11 24H2 Bitlocker-Verschlüsselung wird automatisch bei der Neuinstallation aktiviert
Das verstehe ich jetzt nicht ganz genau, wie Du das meinst.tollertyp schrieb:
Sobald jemand strafrechtlich verfolgt wird und in begründetem Verdacht steht, was ja die richterliche Anordnung auch zeigt, ist so ein Eingriff im Rahmen der Ermittlung sehr wohl gerechtfertigt.
Piktogramm
Fleet Admiral
- Registriert
- Okt. 2008
- Beiträge
- 10.099
Dein "das" ist an der Stelle deutlich zu unspezifisch. Was schaffen Lastpass und Bitwarden denn?mchawk777 schrieb:
Zur Verfügungstellen von Keys, Passwortänderung/Wiederherstellung OHNE weiteren Sicherheitsanker gibt es bei diesen Anbietern meines Wissens nicht. Dabei habe ich die Security Reviews für beide Anbieter gelesen und für eine entsprechende Passwortänderung ist das alte Passwort und/oder ein weiterer Sicherheitsanker notwendig.
Da Microsoft den zusätzlichen Sicherheitsanker eben nicht vorsieht, ist es mit Bitwarden, Lastpass eben nicht identisch und nicht vergleichbar.
Herje.. "nur [...] Textstrings" des Notfallschlüssels". Nein, es IST der Zweitschlüssel, abgebildet in einem für Menschen handhabbarem Format. Das "nur" ist da komplett fehl am Platz.mchawk777 schrieb:
Auf korrekt implementierten TPMs liegt NIE ein Passwort. Es sind nach Spezifikation immer nur Hashes und Schlüssel. Das Secret zum Entschlüsseln von Bitlockervolumes ist aus dem Zweitschlüssel und dem Container ableitbar. Es ist also völlig egal, was auf etwaigen TPMs liegt.
br3adwhale
Lt. Commander
- Registriert
- Aug. 2013
- Beiträge
- 1.031
@Thorsten67 na prima, danke. Bin gespannt was noch für Microsoft-Überraschungen so ans Tageslicht kommen. Mein erster Schritt in Richtung Linux ist gemacht, weitere werden folgen. Ziel ist langfristig weg von Windows. Zumindest Privat.
Piktogramm
Fleet Admiral
- Registriert
- Okt. 2008
- Beiträge
- 10.099
Es gibt Fälle, wo richterlich abgesegnete Maßnahmen bei nachträglicher Rechtsprechung als nicht Gesetzeskonform und damit nicht gerechtfertigt angesehen wurden. In Deutschland und in den USA.nutrix schrieb:
Zudem, in Rechtsstaaten, die die Menschenrechte als Grundlage sehen haben Beschuldigte grundlegend das Recht sich nicht zur Sache zu äußern, Kooperation zu verweigern und Eigenschutz zu betreiben. Dieses Prinzip von Rechtsstaatlichkeit wird bedingt unterlaufen durch Extraktion der Bitlockerschlüssel.
Ganz abgesehen davon, dass das Misbrauchspotential extrem ist. Da braucht es nur eine Regierung die auf Rechtstaalichkeit scheißt, Opposition zu Terroristen erklärt und schon kann hier extremer Schaden an der Zivilgesellschaft verübt werden.
Ergänzung ()
Also Microsoft unterscheidet zwischen "User Space" und "System Space"NoNameNoHonor schrieb:
https://learn.microsoft.com/en-us/windows-hardware/drivers/debugger/user-space-and-system-space
Der NT-Kernel und die ganzen Wrapper drumherum sind zwar komisch, aber sooo abgefahren Anders ist der Kram auch nicht.
In der Annahme, dass dem Betriebssystem bzw. dessen Anbieter nur bedingt zu vertrauen ist, dann will man die Sicherungsschicht für verschlüsselte Volumes nicht im Kernelspace des Betriebssystems, sondern in einer abermals höheren Berechtigung als eine Art Hypervisor, der im Ring -1 [1] läuft. Wobei an der Stelle dem Hypervisor und seiner Cryptoimplementierung vertraut werden muss. Im besten Fall ist der Hypervisor klein, kann eben nichts außer Hypervisor sein und Crypto für Volumes, ist reproduzierbar baubar, OpenSource, regelmäßig gereviewt und mit eigenem Schlüssel mit SecureBoot geschützt[2].NoNameNoHonor schrieb:
An sich ist die Architektur von Bitlocker ja nichtmal scheiße, der Schlüsselexport im Klartext ist ein Fiebertraum.
[1] https://en.wikipedia.org/wiki/Protection_ring#Miscellaneous
[2] Naja und volle Kontrolle über Firmware/EFI brauchts auch.
Zuletzt bearbeitet:
Evil E-Lex
Captain
- Registriert
- Apr. 2013
- Beiträge
- 3.105
Das stimmt zwar, das Kind ist aber während der Durchsuchung längst in den Brunnen gefallen. In Deutschland gibt es keine "fruit of the poisonous tree"-Regel und damit kein generelles Beweisverwertungsverbot.Piktogramm schrieb:
Nö. In Deutschland sind Cloud-Daten regelmäßig von Dursuchungsbeschlüssen umfasst. Da die Wiederherstellungsschlüssel im Klartext vorliegen, können die problemlos gesichert werden. Das der Benutzer davon nichts weiß, ist allein auf Microsofts problematische Implementierung zurückzuführen.Piktogramm schrieb:
Lupin III schrieb:
Mein Arbeitgeber, ein großer DAX Konzern, hat erst im letzten Jahr die letzten Nicht-Microsoft-Programme durch MS Produkte ersetzt. z.B. Cisco WebEx durch Teams und VMware vSphere durch Entra ID. Windows, Office, Sharepoint usw hat man ohnehin schon genutzt. Copilot läuft auch überall mit. Sogar der Standardbrowser Firefox/Chrome (man konnte wählen) ist jetzt zwangsweise der Edge. Man ist jetzt vollständig im Windows Universum gefangen. MS hat angeblich ein derart attraktives Komplettangebot gemacht dass man nicht ablehnen konnte.
Der wahre Preis ist dabei aber, dass man sich freiwillig in den goldenen Käfig begeben hat. Ein Weg zurück wird unfassbar teuer und schwierig werden. Das wollen die Manager aber nicht verstehen.
mchawk777
Lt. Commander
- Registriert
- Okt. 2024
- Beiträge
- 1.407
Mit Zero Knowledge Technik alle Arten von Passwörtern und Schlüsseln auf ihren Servern zu hosten.Piktogramm schrieb:
Genau, dass wovon man normalerweise ausgehen sollte. Hatte ich bereits mehrfach in diesem Thread auch klar und deutlich geäußert.
CountSero
Lieutenant
- Registriert
- Jan. 2020
- Beiträge
- 581
Das Thema ist imho nichts wirklich Neues. Bereits in den 90ern gab es Berichte über genau solche Vorgehensweisen.
Lotus Notes durfte für den Export nur eine 40‑Bit‑Verschlüsselung anbieten , obwohl Lotus eigentlich 64‑Bit‑Verschlüsselung einsetzen wollte. Die Vorgaben der US‑Regierung und der NSA ließen das jedoch nicht zu. (Ja ich weiss, das es 64 Bit waren aber die NSA haben 24Bit vorgegeben
)
Ich weiß sogar von einer Bank, die heute noch Lotus Notes im Einsatz hat (meiner Meinung nach aus reiner Bequemlichkeit).
Dass Microsoft nicht im Interesse der Endkunden handelt, sollte spätestens klar sein, seit der Windows‑Mail‑Client oder Outlook NEW sämtliche Login‑Informationen über Microsoft‑Server leitet. Die E‑Mails werden also nicht direkt vom heimischen PC beim Anbieter abgerufen/gesendet, sondern über einen Umweg über Microsoft‑Server.
Wenn ich mich richtig erinnere, hat jemand sogar getestet, was passiert, wenn man die Daten in Outlook löscht und die Login‑Informationen ändert. Selbst dann versucht der Microsoft‑Server weiterhin, mit den alten Daten E‑Mails abzurufen.
Sorry, es reicht wohl alleine den Client zu Beenden und der Server von MS ruft weiter ab.
[EDIT]
Habe es mal schnell raus gesucht:
Windows ist für mich nur noch eine Plattform zum Zocken und für Multimedia.Wer damit persönliche oder vertrauliche Informationen verarbeitet, sollte mittlerweile mit dem Schlimmsten rechnen. Insbesondere, wenn man auch die Cloud‑Dienste nutzt.
Auch wenn Microsoft in diesen Fällen (Aus der News) nur auf Aufforderung oder Anordnung gehandelt hat (was bei unserer Strafverfolgung nicht anders wäre), macht es das nicht besser. Besonders dann nicht, wenn Schlüssel unverschlüsselt in der Cloud landen, falls man nicht aufpasst, was bei Laien wohl schnell passieren kann.
Wie hier schon erwähnt wurde: Zero Trust.
Diese genannten Fälle stehen zwar im Zusammenhang mit Straftaten, aberdie aktuelle Regierung das aktuelle Regime, das zurzeit die USA lenkt, erzeugt bei mir kein Vertrauen. Hier können schnell die Grundlagen dafür, was ein Verbrechen ist oder wer als Staatsfeind gilt, neu festgelegt werden. Und ich glaube nicht, dass wir den Abgrund schon gesehen haben, wenn man sich die aktuellen Entwicklungen dort so ansieht.
Ich möchte den Beitrag mit einem Zitat beenden:
"Die Partei lehrte einen, der Erkenntnis seiner Augen und Ohren nicht zu trauen. Das war ihr entscheidendes, wichtigstes Gebot." frei nach George Orwell, 1984
Lotus Notes durfte für den Export nur eine 40‑Bit‑Verschlüsselung anbieten , obwohl Lotus eigentlich 64‑Bit‑Verschlüsselung einsetzen wollte. Die Vorgaben der US‑Regierung und der NSA ließen das jedoch nicht zu. (Ja ich weiss, das es 64 Bit waren aber die NSA haben 24Bit vorgegeben
)Ich weiß sogar von einer Bank, die heute noch Lotus Notes im Einsatz hat (meiner Meinung nach aus reiner Bequemlichkeit).
Dass Microsoft nicht im Interesse der Endkunden handelt, sollte spätestens klar sein, seit der Windows‑Mail‑Client oder Outlook NEW sämtliche Login‑Informationen über Microsoft‑Server leitet. Die E‑Mails werden also nicht direkt vom heimischen PC beim Anbieter abgerufen/gesendet, sondern über einen Umweg über Microsoft‑Server.
Wenn ich mich richtig erinnere, hat jemand sogar getestet, was passiert, wenn man die Daten in Outlook löscht und die Login‑Informationen ändert. Selbst dann versucht der Microsoft‑Server weiterhin, mit den alten Daten E‑Mails abzurufen.
Sorry, es reicht wohl alleine den Client zu Beenden und der Server von MS ruft weiter ab.
[EDIT]
Habe es mal schnell raus gesucht:
Windows ist für mich nur noch eine Plattform zum Zocken und für Multimedia.Wer damit persönliche oder vertrauliche Informationen verarbeitet, sollte mittlerweile mit dem Schlimmsten rechnen. Insbesondere, wenn man auch die Cloud‑Dienste nutzt.
Auch wenn Microsoft in diesen Fällen (Aus der News) nur auf Aufforderung oder Anordnung gehandelt hat (was bei unserer Strafverfolgung nicht anders wäre), macht es das nicht besser. Besonders dann nicht, wenn Schlüssel unverschlüsselt in der Cloud landen, falls man nicht aufpasst, was bei Laien wohl schnell passieren kann.
Wie hier schon erwähnt wurde: Zero Trust.
Diese genannten Fälle stehen zwar im Zusammenhang mit Straftaten, aber
Ich möchte den Beitrag mit einem Zitat beenden:
"Die Partei lehrte einen, der Erkenntnis seiner Augen und Ohren nicht zu trauen. Das war ihr entscheidendes, wichtigstes Gebot." frei nach George Orwell, 1984
Zuletzt bearbeitet:
Muntermacher
Lt. Commander
- Registriert
- Sep. 2022
- Beiträge
- 1.877
Na, das englisch Weltsprache ist hat wenig mit GB zu tunanexX schrieb:
Und es erklärt nur, warum man englisch wenn man eine andere Sprache verwendet, nicht aber warum dies gemacht. Warum muß ein lokales Projekt, das niemanden außerhalb Deutschlands interessiert, einen Weltsprachentitel bekommen? Gleiches gilt für ersetzende Begriff. Versteh mich nicht falsch, es gibt spracherweiterende Begriffe, die durch die Erweiterung sinnvoll sind, aber ersetzende? Beispiel Device. Kann alles mögliche sein, wird erst durch den Kontext klar. Und im Deutschen gibt es Dutzende Begriffe, die den Unterschied direkt zeigen. Umgekehrt sind viele IT Begriff sinnvoll, weil es keine deutschen Begriffe gibt.
Piktogramm
Fleet Admiral
- Registriert
- Okt. 2008
- Beiträge
- 10.099
Ich schrieb bewusst etwas von "bedingt".Evil E-Lex schrieb:
Hier gibt es eine Schutzlücke der Abwehrrechte gegenüber dem Staat[1] und/oder Dritten. Der Eigenschutz wird hier durch einen Anbieter unterlaufen, der eine entsprechenden Zugriff ermöglicht.
An sich ist es das, was oftmals von Politiker/Parteien als Backdoor gefordert wird, ein Unterlaufen von Bürgerrechten.
Ob bzw. inwieweit das Absicht oder Nebenerscheinung von gewollter Anwenderfreundlichkeit ist.. keine Ahnung.
[1]https://de.wikipedia.org/wiki/Grundrechte ; "Abwehrrechte" wird von Verschwörungsdullies auch gern verwendet, ich distanziere mich da. Ich bestehe auf Grundrechte für Alle, die wahrnehmbar sein müssen, ohne dass es hierfür eine Rechtfertigung braucht.
Und den ganzen Thread ignoriert du den grundlegenden Punkt wo die Funktionalität bei Microsoft von anderen Anbietern zum Hinterlegen von Geheimnissen abweicht.mchawk777 schrieb:
Lupin III
Ensign
- Registriert
- Jan. 2021
- Beiträge
- 223
Ja, ist bei mir auf der Arbeit ebenfalls so (IT Dienstleister für Behörden). Man wird erst dann wach, wenn der Killswitch in Redmond umgelegt wird. Schöne freie Welt!aid0nex schrieb:Mein Arbeitgeber, ein großer DAX Konzern, hat erst im letzten Jahr die letzten Nicht-Microsoft-Programme durch MS Produkte ersetzt. z.B. Cisco WebEx durch Teams und VMware vSphere durch Entra ID. Windows, Office, Sharepoint usw hat man ohnehin schon genutzt. Copilot läuft auch überall mit. Sogar der Standardbrowser Firefox/Chrome (man konnte wählen) ist jetzt zwangsweise der Edge. Man ist jetzt vollständig im Windows Universum gefangen. MS hat angeblich ein derart attraktives Komplettangebot gemacht dass man nicht ablehnen konnte.
