ComputerBase
Aktuelles

YellowKey: Bitlocker backdoor gefunden

hm1 schrieb:
Frage 1: Was ist dann aber der "Externe Schlüssel"?
Zum Vergrößern anklicken....
Das, was Du gerade machst: Du musst den Key manuell eintippen.
Der andere Weg wäre, dass das TPM diesen Vorgang für Dich automatisiert - was Standard auf TPM-Systemen ist.
hm1 schrieb:
Frage 2: Was genau entsperrt der Preboot PIN? Wenn der nur den TPM entsperrt, muss ich wieder darauf vertrauen, dass kryptografisch alles sauber abläuft und wieder kein Mist passiert...
Zum Vergrößern anklicken....
Das Bitlocker-Passwort oder der Notfallschlüssel entsperren das jeweils verschlüsselte Laufwerk aka Volumen.
"Pre Boot" ist irreführend. Ohne ein entsperrtes Systemlaufwerk wirst Du Windows nicht booten können.
Jeder Schlüssel ist "Pre Boot".
hm1 schrieb:
Frage 3: Gibt es einen Modus bei dem man die Systemdisk mittels komplexen Passwort im Bootloader ganz ohne TPM entsperren kann?
Zum Vergrößern anklicken....
??? Machst Du doch bereits so:
hm1 schrieb:
ich nutze Bitlocker seit Jahren nur auf Daten-SSD´s und gänzlich ohne TPM.
Zum Vergrößern anklicken....
Bei Systemvolumen muss man m. E. in den Richtlinien was umstellen, damit die Passwort-Variante beim Erstellen der Verschlüsselung des Systemvolumens angeboten/angezeigt wird.
 
  • Gefällt mir
Reaktionen: hm1
Vielen Dank!

mchawk777 schrieb:
Das, was Du gerade machst: Du musst den Key manuell eintippen.
Zum Vergrößern anklicken....
Ich dachte mein manuell eingegebener Key wäre der Protector namens "Kennwort"? (in der Ausgabe von "manage-bde -status"). Für was ist dann das "Kennwort" da?
  1. Kennwort = ?
  2. Externer Schlüssel = mein Passwort (komplex)
  3. Numerisches Kennwort = Recovery Key (die typische Ziffernfolge, die nach BIOS-Updates eingegeben werden muss ;))

mchawk777 schrieb:
Das Bitlocker-Passwort oder der Notfallschlüssel entsperren das jeweils verschlüsselte Laufwerk aka Volumen.
"Pre Boot" ist irreführend. Ohne ein entsperrtes Systemlaufwerk wirst Du Windows nicht booten können.
Jeder Schlüssel ist "Pre Boot".
Zum Vergrößern anklicken....
Danke, ja ist logisch, eine Volumen muss entsperrt sein, weil sonst kein Bootloader mit Passwortabfrage laufen könnte. DH. bei TPM+PIN komme ich zuerst in das entsperrte Volumen, gebe dann einen PIN ein, welcher den TPM zur Freigabe vom System-(Windows)-Volumen veranlasst und von dort bootet, richtig?

mchawk777 schrieb:
??? Machst Du doch bereits so:

Bei Systemvolumen muss man m. E. in den Richtlinien was umstellen, damit die Passwort-Variante beim Erstellen der Verschlüsselung des Systemvolumens angeboten/angezeigt wird.
Zum Vergrößern anklicken....
Ev. ein Missverständnis: mit Systemvolumen meinte ich das wo Windows installiert ist. Das ist bei mir am Desktop nicht verschlüsselt. Nur meine Datenvolumen sind es und dort ist es klar mit Passwort ohne TPM.

DH. wenn ich zukünftig einen Laptop (voll)verschlüsseln möchte, muss ich in zuerst in den Richtlinien etwas umstellen, damit ich während dem booten nach dem Passwort gefragt werde (ohne TPM). Klingt genau nach dem was ich gesucht habe :)

Danke! :)
 
hm1 schrieb:
Ich dachte mein manuell eingegebener Key wäre der Protector namens "Kennwort"? (in der Ausgabe von "manage-bde -status"). Für was ist dann das "Kennwort" da?
Zum Vergrößern anklicken....
Nicht so kompliziert.
Du entsperrst ein verschlüsseltes Volumen mit Deinem Passwort oder dem Notfall-Schlüssel.
Das Passwort wird entweder vom TPM-Modul (im Hintergrund) eingegeben oder Du gibst es selbst, manuell ein.
Was "intern" geschieht, ist erst mal nicht von Belang.
hm1 schrieb:
Danke, ja ist logisch, eine Volumen muss entsperrt sein, weil sonst kein Bootloader mit Passwortabfrage laufen könnte. DH. bei TPM+PIN komme ich zuerst in das entsperrte Volumen, gebe dann einen PIN ein, welcher den TPM zur Freigabe vom System-(Windows)-Volumen veranlasst und von dort bootet, richtig?
Zum Vergrößern anklicken....
Eben nicht.
Der Windows-Bootloader liegt immer in der unverschlüsselten EFI-Partition.
Wenn der Bootloader merkt: Mist, das TPM hat kein Passwort oder es ist kein TPM vorhanden, dann fragt er Dich nach dem Passwort oder Notfallschlüssel.
Bevor das Passwort nicht eingegeben wurde, bleibt die Windows-System-Partition verschlüsselt.

hm1 schrieb:
DH. wenn ich zukünftig einen Laptop (voll)verschlüsseln möchte, muss ich in zuerst in den Richtlinien etwas umstellen,
Zum Vergrößern anklicken....

Korrekt - ich habe noch mal nachgeschlagen, wie das geht:
  • Drücke Win + R, tippe gpedit.msc ein und bestätige mit Enter.
  • Navigiere auf der linken Seite durch diesen Ordnerbaum:Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> BitLocker-Laufwerkverschlüsselung -> Betriebssystemlaufwerke
  • Suche auf der rechten Seite nach der Richtlinie: „Zusätzliche Authentifizierung beim Start anfordern“.
Sobald du die Richtlinie mit einem Doppelklick öffnest, gehst du wie folgt vor:
  • Schalte die Richtlinie oben links auf „Aktiviert“.
  • Achte darauf, dass weiter unten das Häkchen bei „BitLocker ohne kompatibles TPM zulassen“ gesetzt ist (das bricht den automatischen Zwang auf).
  • Direkt darunter findest du den Punkt „TPM-Startkennwort konfigurieren“. Stelle diesen von „In Verbindung mit TPM zulassen“ um auf „Startkennwort mit TPM anfordern“.
Wenn du das mit „Übernehmen“ bestätigst, verknüpft Windows das TPM mit deiner Passworteingabe. Das hat den charmanten Sicherheitsvorteil, dass die Hardware-Verschlüsselung des TPMs (wie der Schutz vor Brute-Force-Angriffen) aktiv bleibt, die Platte aber erst freigegeben wird, wenn du dein Kennwort eingetippt hast.
 
  • Gefällt mir
Reaktionen: nutrix und hm1
Ein paar Informationen sind nicht ganz korrekt.

Externer Schlüssel:
Eine Schlüsseldatei mit der Dateiendung .bek. Sie hat kein Bezug zu TPM, aber nur bei "Externer Schlüssel"!
Ich hebe es so hervor, weil es eine Schlüsseldatei auch bei "TPM und Startschlüssel" und "TPM und PIN und Startschlüssel" gibt. In diesen Fällen hat die Schlüsseldatei dann doch einen Bezug zu TPM.
Die BEK-Datei sollte im Idealfall auf einem USB-Stick liegen, kann aber auch auf normalen Datenträgern (HDD/SDD) gespeichert werden. Letzteres macht keinen Sinn, weil damit der Faktor "Besitz" (des USB-Sticks) wegfällt.
Wenn beim Bootvorgang die BEK-Datei gefunden wird, dann wird kein Kennwort abgefragt. Das gilt aber nur bei der Kombination "Externer Schlüssel" + "Kennwort".
Erfordert die Richtlinie "Zusätzliche Authentifizierung beim Start anfordern".

Kennwort:
Ein normales Passwort zum Entsperren, ohne Bezug zu TPM. Erfordert die Richtlinie "Zusätzliche Authentifizierung beim Start anfordern".

Numerisches Kennwort:
Der Wiederherstellungsschlüssel mit den 8x 6-stelligen Zahlen.

Man kann "TPM" (und alle anderen TPM-Varianten) und "Kennwort" nicht kombinieren, man muss sich für eines entscheiden.

Man kann "TPM und PIN" nutzen, was @Burfi (EDIT: Sorry, ich meinte @hm1) wohl mit "Preboot PIN" meint. Im Standard-Modus wird eine PIN verwendet.
Man kann statt einer PIN auch ein alphanumerisches Passwort verwenden, was aber weiterhin "TPM und PIN" heißt. Dazu muss die Richtlinie "Erweiterte PINs für Systemstart zulassen" aktiviert werden, ebenfalls zu finden unter:
Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> BitLocker-Laufwerkverschlüsselung -> Betriebssystemlaufwerke.


mchawk777 schrieb:
Direkt darunter findest du den Punkt „TPM-Startkennwort konfigurieren“. Stelle diesen von „In Verbindung mit TPM zulassen“ um auf „Startkennwort mit TPM anfordern“.
Zum Vergrößern anklicken....
Die Optionen heißen ganz anders. Stammen die Infos von einer KI? ;)
In Windows 10 22H2 und Windows 11 25H2 sieht es wie folgt aus. Vermutlich ist "TPM-Systemstart-PIN konfigurieren" gemeint, sie erzwingt die Nutzung einer PIN / alphanumerisches Passwort bei Nutzung von TPM:

1779232512108.png
1779232641411.png


EDIT:
Ich habe die Info zum "Externer Schlüssel" aktualisiert.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: mchawk777, hm1 und nutrix
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

M
Kein Laufwerk gefunden, nach gparted Formatierung (wegen Bitlocker)
Antworten
2
Aufrufe
832
Bob.Dig
B
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 187 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz