YellowKey: Bitlocker backdoor gefunden

hm1 schrieb:
Frage 1: Was ist dann aber der "Externe Schlüssel"?
Das, was Du gerade machst: Du musst den Key manuell eintippen.
Der andere Weg wäre, dass das TPM diesen Vorgang für Dich automatisiert - was Standard auf TPM-Systemen ist.
hm1 schrieb:
Frage 2: Was genau entsperrt der Preboot PIN? Wenn der nur den TPM entsperrt, muss ich wieder darauf vertrauen, dass kryptografisch alles sauber abläuft und wieder kein Mist passiert...
Das Bitlocker-Passwort oder der Notfallschlüssel entsperren das jeweils verschlüsselte Laufwerk aka Volumen.
"Pre Boot" ist irreführend. Ohne ein entsperrtes Systemlaufwerk wirst Du Windows nicht booten können.
Jeder Schlüssel ist "Pre Boot".
hm1 schrieb:
Frage 3: Gibt es einen Modus bei dem man die Systemdisk mittels komplexen Passwort im Bootloader ganz ohne TPM entsperren kann?
??? Machst Du doch bereits so:
hm1 schrieb:
ich nutze Bitlocker seit Jahren nur auf Daten-SSD´s und gänzlich ohne TPM.
Bei Systemvolumen muss man m. E. in den Richtlinien was umstellen, damit die Passwort-Variante beim Erstellen der Verschlüsselung des Systemvolumens angeboten/angezeigt wird.
 
  • Gefällt mir
Reaktionen: hm1
Vielen Dank!

mchawk777 schrieb:
Das, was Du gerade machst: Du musst den Key manuell eintippen.
Ich dachte mein manuell eingegebener Key wäre der Protector namens "Kennwort"? (in der Ausgabe von "manage-bde -status"). Für was ist dann das "Kennwort" da?
  1. Kennwort = ?
  2. Externer Schlüssel = mein Passwort (komplex)
  3. Numerisches Kennwort = Recovery Key (die typische Ziffernfolge, die nach BIOS-Updates eingegeben werden muss ;))

mchawk777 schrieb:
Das Bitlocker-Passwort oder der Notfallschlüssel entsperren das jeweils verschlüsselte Laufwerk aka Volumen.
"Pre Boot" ist irreführend. Ohne ein entsperrtes Systemlaufwerk wirst Du Windows nicht booten können.
Jeder Schlüssel ist "Pre Boot".
Danke, ja ist logisch, eine Volumen muss entsperrt sein, weil sonst kein Bootloader mit Passwortabfrage laufen könnte. DH. bei TPM+PIN komme ich zuerst in das entsperrte Volumen, gebe dann einen PIN ein, welcher den TPM zur Freigabe vom System-(Windows)-Volumen veranlasst und von dort bootet, richtig?

mchawk777 schrieb:
??? Machst Du doch bereits so:

Bei Systemvolumen muss man m. E. in den Richtlinien was umstellen, damit die Passwort-Variante beim Erstellen der Verschlüsselung des Systemvolumens angeboten/angezeigt wird.
Ev. ein Missverständnis: mit Systemvolumen meinte ich das wo Windows installiert ist. Das ist bei mir am Desktop nicht verschlüsselt. Nur meine Datenvolumen sind es und dort ist es klar mit Passwort ohne TPM.

DH. wenn ich zukünftig einen Laptop (voll)verschlüsseln möchte, muss ich in zuerst in den Richtlinien etwas umstellen, damit ich während dem booten nach dem Passwort gefragt werde (ohne TPM). Klingt genau nach dem was ich gesucht habe :)

Danke! :)
 
hm1 schrieb:
Ich dachte mein manuell eingegebener Key wäre der Protector namens "Kennwort"? (in der Ausgabe von "manage-bde -status"). Für was ist dann das "Kennwort" da?
Nicht so kompliziert.
Du entsperrst ein verschlüsseltes Volumen mit Deinem Passwort oder dem Notfall-Schlüssel.
Das Passwort wird entweder vom TPM-Modul (im Hintergrund) eingegeben oder Du gibst es selbst, manuell ein.
Was "intern" geschieht, ist erst mal nicht von Belang.
hm1 schrieb:
Danke, ja ist logisch, eine Volumen muss entsperrt sein, weil sonst kein Bootloader mit Passwortabfrage laufen könnte. DH. bei TPM+PIN komme ich zuerst in das entsperrte Volumen, gebe dann einen PIN ein, welcher den TPM zur Freigabe vom System-(Windows)-Volumen veranlasst und von dort bootet, richtig?
Eben nicht.
Der Windows-Bootloader liegt immer in der unverschlüsselten EFI-Partition.
Wenn der Bootloader merkt: Mist, das TPM hat kein Passwort oder es ist kein TPM vorhanden, dann fragt er Dich nach dem Passwort oder Notfallschlüssel.
Bevor das Passwort nicht eingegeben wurde, bleibt die Windows-System-Partition verschlüsselt.

hm1 schrieb:
DH. wenn ich zukünftig einen Laptop (voll)verschlüsseln möchte, muss ich in zuerst in den Richtlinien etwas umstellen,

Korrekt - ich habe noch mal nachgeschlagen, wie das geht:
  • Drücke Win + R, tippe gpedit.msc ein und bestätige mit Enter.
  • Navigiere auf der linken Seite durch diesen Ordnerbaum:Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> BitLocker-Laufwerkverschlüsselung -> Betriebssystemlaufwerke
  • Suche auf der rechten Seite nach der Richtlinie: „Zusätzliche Authentifizierung beim Start anfordern“.
Sobald du die Richtlinie mit einem Doppelklick öffnest, gehst du wie folgt vor:
  • Schalte die Richtlinie oben links auf „Aktiviert“.
  • Achte darauf, dass weiter unten das Häkchen bei „BitLocker ohne kompatibles TPM zulassen“ gesetzt ist (das bricht den automatischen Zwang auf).
  • Direkt darunter findest du den Punkt „TPM-Startkennwort konfigurieren“. Stelle diesen von „In Verbindung mit TPM zulassen“ um auf „Startkennwort mit TPM anfordern“.
Wenn du das mit „Übernehmen“ bestätigst, verknüpft Windows das TPM mit deiner Passworteingabe. Das hat den charmanten Sicherheitsvorteil, dass die Hardware-Verschlüsselung des TPMs (wie der Schutz vor Brute-Force-Angriffen) aktiv bleibt, die Platte aber erst freigegeben wird, wenn du dein Kennwort eingetippt hast.
 
  • Gefällt mir
Reaktionen: nutrix und hm1
Ein paar Informationen sind nicht ganz korrekt.

Externer Schlüssel:
Eine Schlüsseldatei mit der Dateiendung .bek. Sie hat kein Bezug zu TPM, aber nur bei "Externer Schlüssel"!
Ich hebe es so hervor, weil es eine Schlüsseldatei auch bei "TPM und Startschlüssel" und "TPM und PIN und Startschlüssel" gibt. In diesen Fällen hat die Schlüsseldatei dann doch einen Bezug zu TPM.
Die BEK-Datei sollte im Idealfall auf einem USB-Stick liegen, kann aber auch auf normalen Datenträgern (HDD/SDD) gespeichert werden. Letzteres macht keinen Sinn, weil damit der Faktor "Besitz" (des USB-Sticks) wegfällt.
Wenn beim Bootvorgang die BEK-Datei gefunden wird, dann wird kein Kennwort abgefragt. Das gilt aber nur bei der Kombination "Externer Schlüssel" + "Kennwort".
Erfordert die Richtlinie "Zusätzliche Authentifizierung beim Start anfordern".

Kennwort:
Ein normales Passwort zum Entsperren, ohne Bezug zu TPM. Erfordert die Richtlinie "Zusätzliche Authentifizierung beim Start anfordern".

Numerisches Kennwort:
Der Wiederherstellungsschlüssel mit den 8x 6-stelligen Zahlen.

Man kann "TPM" (und alle anderen TPM-Varianten) und "Kennwort" nicht kombinieren, man muss sich für eines entscheiden.

Man kann "TPM und PIN" nutzen, was @Burfi (EDIT: Sorry, ich meinte @hm1) wohl mit "Preboot PIN" meint. Im Standard-Modus wird eine PIN verwendet.
Man kann statt einer PIN auch ein alphanumerisches Passwort verwenden, was aber weiterhin "TPM und PIN" heißt. Dazu muss die Richtlinie "Erweiterte PINs für Systemstart zulassen" aktiviert werden, ebenfalls zu finden unter:
Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> BitLocker-Laufwerkverschlüsselung -> Betriebssystemlaufwerke.


mchawk777 schrieb:
Direkt darunter findest du den Punkt „TPM-Startkennwort konfigurieren“. Stelle diesen von „In Verbindung mit TPM zulassen“ um auf „Startkennwort mit TPM anfordern“.
Die Optionen heißen ganz anders. Stammen die Infos von einer KI? ;)
In Windows 10 22H2 und Windows 11 25H2 sieht es wie folgt aus. Vermutlich ist "TPM-Systemstart-PIN konfigurieren" gemeint, sie erzwingt die Nutzung einer PIN / alphanumerisches Passwort bei Nutzung von TPM:

1779232512108.png
1779232641411.png


EDIT:
Ich habe die Info zum "Externer Schlüssel" aktualisiert.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: mchawk777, hm1 und nutrix
Hallo,

kleines großes Update von mir, weil ich gerade mit einem alten Laptop testen konnte.
EDIT: Input von @Darkman.X siehe unten eingearbeitet :)

Für ein Bitlocker Systemlaufwerk mit TPM und erweiterter PIN:
  1. gpedit.msc: "Erweiterte PINs für Systemlaufwerke zulassen" aktivieren
  2. Powershell als Admin: Pin hinzufügen über "manage-bde -protectors -add C: -TPMAndPIN".
    Das ging bei mir beim ersten Mal nicht über die GUI (zumindest bei mir auf Win10 22H2)!
    Falls man zuvor schon einen Pin hatte und die Gruppenrichtlinie für den erweiterten PIN erst später hinzugefügt hat, muss man den alten Pin vorher löschen. Erst dann wird eine erweiterte PIN akzeptiert: "manage-bde -protectors -delete C: -type TPMAndPIN".
    Wenn man den löscht, dann verbleibt nur noch das "Numerische Kennwort", also der Recoverykey. Also am besten gleich den Pin neusetzen!
  3. Status prüfen: "manage-bde -status C:". Hier stehen nun die Schlüsselschutzvorrichtungen: "Numerisches Kennwort" (Recoverykey), sowie "TPM und PIN".
  4. Zukünftige Pin-Änderungen sind über "manage-bde -changepin C:", aber auch über die GUI möglich.
Auch wenn ich anfangs negativ gegenüber TPM eingestellt war, die Vorteile überwiegen. Der PIN schützt den TPM, welcher nach korrekter PIN-Eingabe den TPM-Privatekey freigibt, welcher dann den VMK (Volume Master Key) entschlüsselt. Weiters blockiert/verlangsamt das TPM die Schlüsselfreigabe nach x Fehlversuchen (siehe hier)... Nach einem BIOS/UEFI Update bzw. löschen der TPM Keys wird man weiterhin beim Startup nach dem PIN gefragt. - hier muss man selbst mitdenken und den Recoverykey stattdessen 1x eingeben :)

falls man das Systemlaufwerk ohne TPM und nur durch ein Passwort sichern möchte:
  1. gpedit.msc: "Zusätzliche Authentifizierung beim Start anfordern" aktivieren (alle sonstigen Optionen in der Standardeinstellung gelassen. Das entspricht dem Screenshots von @Darkman.X)
  2. Powershell als Admin: Passwort hinzufügen über "manage-bde -protectors -add C: -Password".
    Das ging bei mir beim ersten Mal nicht über die GUI (zumindest bei mir auf Win10 22H2)!
    Falls man zuvor schon TPM+Pin aktiv hatte muss man vorher diesen Protector löschen: "manage-bde -protectors -delete C: -type TPMAndPIN".
    Wenn man den löscht, dann verbleibt nur noch das "Numerische Kennwort", also der Recoverykey. Also am besten gleich das Passwort setzen!
  3. Status prüfen: "manage-bde -status C:". Hier stehen nun die Schlüsselschutzvorrichtungen: "Numerisches Kennwort" (Recoverykey), sowie "Passwort".
  4. Zukünftige Passwort-Änderungen sind über "manage-bde -changepasswort C:" möglich. Über die GUI vermutlich auch, aber nicht getestet.
Wenn man TPM nicht vertraut ist das Passwort natürlich die Lösung. Aber, laut dieser Seite ist man dann theoretisch gegenüber Bruteforce anfällig, denn das Passwort entschlüsselt den VMK (Volume Master Key) und ist das PW schwach, dann...
 
Zuletzt bearbeitet: (delete command korrigiert)
Die Aktivierung von "Zusätzliche Authentifizierung beim Start anfordern" ist nur notwendig, wenn man die Schlüsselschutzmethoden "Kennwort" und/oder "Externer Schlüssel" verwenden oder eine der TPM-Optionen verändern möchte.
 
Danke, habe meinen Beitrag oben komplett überarbeitet :). Ich hoffe das passt jetzt so für alle die zukünftig die gleichen Fragen haben :)

EDIT: die Richtlinie "Zusätzliche Authentifizierung beim Start anfordern" musste bei meiner Neuinstallation von Win11 doch aktiviert werden... ohne dieser konnte ich kein TPMAndPIN setzen (Fehler 0x80310060). Allerdings ist mein Testlaptop nicht offiziell von Win11 supported (CPU) und hat aktuell "nur" den diskreten TPM 1.2 Chip aktiviert. Vielleicht liegt es daran...
 
Zuletzt bearbeitet:
Zurück
Oben