System komplett mit Bitlocker verschlüsseln?

Fatality

Fatality

Enthusiast
Thread Starter
Mitglied seit
29.12.2004
Beiträge
1.869
Moin,

wie empfehlenswert ist es seinen lokalen PC oder notebook mit bitlocker komplett zu verschlüsseln?
wie verhlät sich z.b. acronis oder macirum reflect wenn man dann ein image der partitionen erstellen/zurückspielen will (ich sichere mit macrium aus dem os heraus, würde aber über einen pe-bootstick zurückspielen) ?

Hintergrund/Vorteile warum man das tun könnte.

1. am lokalen PC alles zu verschlüsseln, würde das stundenlange dauerlöschen auf den HDDs reduzieren bei weiterverkauf
2. am Notebook wäre es datentechnisch egal bei verlust oder diebstahl.
3. unbefugte müsste das bitlocker passwort kennen für zugriff / mount


Welche Erfahrungen habt ihr damit?

ps: unsupportetes/ominöses zeug wie veracrypt mag ich nicht.
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Bei Acronis klappt das soweit mit einer Sektor für Sektor Kopie.
Hast du ein TPM Modul?
Falls nicht bleibt dir nur die Verschlüsselung Via Passwort beim Starten des Rechners.

Unsere Firmenlaptops sind mit Bitlocker verschlüsselt via TPM, Performance Technisch gibt es damit keine Probleme.
 
D3athSt0rm schrieb:
Bei Acronis klappt das soweit mit einer Sektor für Sektor Kopie.
Hast du ein TPM Modul?
Falls nicht bleibt dir nur die Verschlüsselung Via Passwort beim Starten des Rechners.

Unsere Firmenlaptops sind mit Bitlocker verschlüsselt via TPM, Performance Technisch gibt es damit keine Probleme.
Zum Vergrößern anklicken....

ja hätte ein tpm-modul. aber würde dann das backup sich noch auf einem anderen mainboard auch z.b. ohne tpm (weil vorgänger aufgerüstet oder defekt) wiederherstellen lassen?
 
Im Prinzip nach Eingabe des Sicherheitsschlüssels geht dies, nach dem Neustart würde würde Bitlocker den Schlüssel Synchen.
Allerdings kann ich dir nicht sagen ob es klappt von TPM verschlüsselter Hardware auf non TPM zu gehen.

Mit Eingabe des Sicherheitsschlüssels sollte es gehen, vermutlich musst du diesen dann jedoch bei jedem Start eingeben, oder die Platte entschlüsseln und wieder neu verschlüsseln.
 
D3athSt0rm schrieb:
Im Prinzip nach Eingabe des Sicherheitsschlüssels geht dies, nach dem Neustart würde würde Bitlocker den Schlüssel Synchen.
Allerdings kann ich dir nicht sagen ob es klappt von TPM verschlüsselter Hardware auf non TPM zu gehen.

Mit Eingabe des Sicherheitsschlüssels sollte es gehen, vermutlich musst du diesen dann jedoch bei jedem Start eingeben, oder die Platte entschlüsseln und wieder neu verschlüsseln.
Zum Vergrößern anklicken....

okay also solange ich das passwort weiß, sollte ich kein problem haben ein backup zu öffnen, egal auf welcher hardware right?
 
also wenn ich tpm aktiviere will er trotzdem das ich den wiederherstellungsschlüssel als datei speicher oder ausdrucke.
wozu wird der tpm-chip dann verwendet oder ist noch relevant :confused:
 
D3athSt0rm schrieb:
Unsere Firmenlaptops sind mit Bitlocker verschlüsselt via TPM, Performance Technisch gibt es damit keine Probleme.
Zum Vergrößern anklicken....

Ein TDP only Betrieb ist/wäre aber doch ziemlich unsicher... Denn der Dieb müsste effektiv eigentlich NUR den kompletten PC entweden. Was bei Notebooks ja idR der Fall ist. Dann bootet er das Teil einfach und los gehts. -> habt ihr dann noch Ports aktiv, lässt sich das Teil ziemlich leicht aufhebeln.

Technisch gesehen ist eine Vollverschlüsslung gut und schön, aber es ist nur die halbe Miete, man muss natürlich auch davor schützen, dass jemand diese Vollverschlüsslung dahingehend umgeht und die Daten aus einem gebooteten System rauszieht. -> was bei reiner TPM Install ohne zweite Authentifizierungsebene recht einfach ist.
Nicht umsonst gibt es bei den meisten Verschlüsslungssystemen eine Art PBA (Pre Boot Authentication) oder POA (Power On Authentication) um ebenso solche Angriffe auf vollständig gebootete und damit offene Systeme zu verhindern.

Bei Bitlocker ist das bspw. durch zusätzliche USB Tokens, Pins, Passwörter, Smartcards oder anderen Methoden gegeben. Muss man aber eben explizit auch nutzen...
MS hat wohl seit Windows 8 da versucht etwas mehr Sicherheit reinzubringen, aber so 100% klappt das weiterhin nicht. Vor allem sind Geräte sehr sehr anfällig, die keine effektive Möglichkeit bieten, die Ports direkt abzuschalten... Sachen wie SecureBoot und Bioskennwörter helfen, aber teils auch nicht 100%. vor allem letzteres bei non Businessdevices -> zieh die Batterie und das Bios ist zugänglich. Ein anständiges Gerät sollte dies nicht zulassen.



Für effektiven Schutz gehört also mehr dazu als Bitlocker with TPM only. :wink:

Fatality schrieb:
ja hätte ein tpm-modul. aber würde dann das backup sich noch auf einem anderen mainboard auch z.b. ohne tpm (weil vorgänger aufgerüstet oder defekt) wiederherstellen lassen?
Zum Vergrößern anklicken....

Bitlocker ohne TPM geht bescheiden... Warum? Weil du entweder das Thema gleich weglassen kannst -> oder es effektiv recht umständlich ist.
Bspw. wäre eine Art USB Token + Pin eine Möglichkeit um ohne TPM zu arbeiten, setzt dann aber vorraus, dass die User sich das Gerät nicht inkl. dem USB Token mausen lassen ;) Only USB Token (sofern man das hingeboten bekommt) wäre wieder das gleiche wie TPM only siehe oben. Es sei denn, das USB Token wird nicht geklaut bei Entwendung des Notebooks...



Bin mir gerade nicht 100% sicher, aber soweit ich das in Erinnerung habe, hat es bis dato keiner geschafft, die Bitlocker Verschlüssung selbst zu knacken. Das, was bis dato gelungen ist, war alles darauf zurück zu führen, das Gerät entweder in Software zu kompromitieren (und damit die Passwörter/Keys zu bekommen) oder Angriffe vor Anmeldung auf das laufende System durchzuführen und damit die Schlüssel während der Fahrt aus dem Speicher zu ziehen... (bspw. weil das System bis ins OS gebootet hat ohne eine zweite Authentifizierungsstufe davor)

Übrigens setzt Bitlocker je nach Windows Version (und ich glaube auch je nach dem, was genau gemacht werden soll) unterschiedliche TPM Versionen vorraus. Ein horn altes Gerät mit TPM wäre auch nicht unbedingt zu empfehlen!

- - - Updated - - -

Fatality schrieb:
also wenn ich tpm aktiviere will er trotzdem das ich den wiederherstellungsschlüssel als datei speicher oder ausdrucke.
wozu wird der tpm-chip dann verwendet oder ist noch relevant :confused:
Zum Vergrößern anklicken....

Der Schlüssel ist dein Desaster Recovery Key!
Das Ding, was du brauchst, wenn du an die Daten ran willst, aber gar nix (außer der HDD) noch geht... Den solltest du effektiv hüten, wenn du das System einsetzt. Kommt der in die Hände Dritter, kannste es dir gleich komplett sparen zu verschlüsseln!
 
******* schrieb:
Äh, Erklärung? ;)
Zum Vergrößern anklicken....

Steht doch oben!?
Du brauchst um halbwegs sicher zu sein, eine zweite Authentifizierungsmethode... Also neben dem Pin/Passwort ein USB-Token, SmartCard oder sonstwas... Führst du das dann mit dem Gerät mit und die mausen dir das komplett, bringt das aber auch nur bedingt was. Kommt dann noch dazu, dass man ohne PW/Pin bis ins OS booten kann, kannste es dir gleich sparen.
Es ist also recht umständlich, bspw. die Nutzer dazu zu verdonnern, Gerät und Token/SmartCard zwangsweise getrennt aufzubewahren (teils sogar unmöglich einzurichten) oder es ist in Sachen Security eben bescheiden.
 
Komischer Artikel da wieder mal bei Heise...
Das ist wie die Behauptung, das in Jedes beliebige System ein administrativer Zugriff möglich wäre -> gepaart mit dem Nachsatz, wenn das Admin PW auf dem Deckel klebt...
Ja na logisch, wenn man sich zu prasslig anstellt, ist das nunmal einfach so.

Wer bitte ernsthaft betreibt das in dieser Art? Sprich ohne Pin (PBA)? Wenn das System bis oben rein bootet, ist es doch so oder so vorbei mit Sicherheit... Sind dann noch die Schnittstellen offen, brauchste nichtmal auf das nächste Update warten :fresse:


Dem einbrecher mit nem dicken Vorhängeschloss und der meterdicken Stahltür den Zutritt zum Haus verhindern zu wollen, während die Fenster offen stehen mit nem Zettel dran, bitte hier einbrechen bringt auch nix ;)
 
leute, geht nur um die punkte aus meinem startpost, den die wären gegeben. Dieses ganze grundsatzgedöhns bitte weglassen ;)
Generell ist jede hürde die der sicherheit dient, auch relevant. sicher ist das man, wenn man wirklich safe sein will mehrere (ausser bitlocker) benutzen sollte.
Fassen wir nochmal zusammen:

Vergisst man sein passwort nicht oder verschmeisst den gedruckten Recovery-Key, werden die Punkte (mit oder ohne TPM) die ich oben erfragt hatte erfüllt :)
 
Zuletzt bearbeitet:
Du hast aber noch mehr Fragen gestellt. Bspw.:
- wie empfehlenswert ist es seinen lokalen PC oder notebook mit bitlocker komplett zu verschlüsseln?
und:
- Welche Erfahrungen habt ihr damit?


Grundsätzlich, mir ist das völlig hupe ob du/ihr euch da irgendwas verschlüsselt oder nicht. Es ging nur ums Verständnis, dass es eben reichlich sinnfrei ist, eine Pseudosicherheit herzustellen, wenn die Umsetzung krankt!
Speziell Punkt 2 deines Startpost ist davon betroffen!
Aber auch Punkt 1 und 3 im Startpost sind so eine Sache. Wer garantiert dir, dass die Verschlüsslung morgen noch sicher ist? Wenn morgen wer eine Methode public macht, mitder man sagen wir aus einer gewissen Menge an Rohdaten den Schlüssel errechnen könnte -> und du hast deine HDDs verkauft oder Unbefugte haben Zugriff auf das System, ist das Ding offen!

Es geht doch also hier denke ich eher um ein Verständnisproblem bzw. die Vermittlung des Verständnisses als eine Beantwortung von Fragen nach ja/nein Manier. :wink:
Aber jeder wie er mag... Ich steh dir nicht im Weg ;)
 
@silverback
den Link zu so einem Artikel mit selben Inhalt gibts hier schon 2x -> macht die Aussage allerdings nicht wahrer bzw. sinniger ;) Siehe oben...
 
Fatality schrieb:
Moin,

wie empfehlenswert ist es seinen lokalen PC oder notebook mit bitlocker komplett zu verschlüsseln?
wie verhlät sich z.b. acronis oder macirum reflect wenn man dann ein image der partitionen erstellen/zurückspielen will (ich sichere mit macrium aus dem os heraus, würde aber über einen pe-bootstick zurückspielen) ?

Hintergrund/Vorteile warum man das tun könnte.

1. am lokalen PC alles zu verschlüsseln, würde das stundenlange dauerlöschen auf den HDDs reduzieren bei weiterverkauf
2. am Notebook wäre es datentechnisch egal bei verlust oder diebstahl.
3. unbefugte müsste das bitlocker passwort kennen für zugriff / mount


Welche Erfahrungen habt ihr damit?

ps: unsupportetes/ominöses zeug wie veracrypt mag ich nicht.
Zum Vergrößern anklicken....

Du hast da was verwechselt, Bitlocker ist Ominöses Zeug. Closed source, keinerlei unabhängige Audits, bekannte Lücken.
Dagegen hast du bei Veracrypt einen Unabhängigen Audit, keinerlei bekannte Schwachstellen, plus Opensource, somit kannst du es auch selbst überprüfen.
 
Mit einem tpm ist die Verschlüsselung schon sehr sicher!
Es stimmt jedoch das ohne entsprechenden Passwort Schutz der Benutzer die Verschlüsselung an der Umsetzung scheitert.

Schwachstellen hat jede Verschlüsselung wenn die genau unter die Lupe genommen wird.

Wenn man doch mal ehrlich ist und aufhört alles zu zerfleischen sind vielleicht 0,0001% in der Lage solche Verschlüsselungen verlustfrei zu knacken.
 
TheBigG schrieb:
Du hast da was verwechselt, Bitlocker ist Ominöses Zeug. Closed source, keinerlei unabhängige Audits, bekannte Lücken.
Zum Vergrößern anklicken....

Mal rein aus interesse -> von welchen Lücken sprichst du? Hat wer die Bitlocker Verschlüsslung als Verschlüsslung schon geknackt?
Ich meine dabei nicht so ein Zeug wie oben verlinkt. Sondern Berichte über das Entschlüsseln der Daten durch Dritte mit Beleg/Quelle ohne Zugang zu irgendwelchen Schlüsseln oder durch Blödheit/Prassligkeit des Anwenders?
 
Die Chinesische Regierung, deswegen kommt man damit auch ins Land und wieder raus, mit anderen Lösungen nicht.
 
Mhhh... Möglich ist viel, aber so 100% glauben kann ich da dran nicht. Warum? Weil es kein Indiz dafür gibt. Sonst hätten Dritte das lange schon public gemacht. -> nicht unbedingt, dass MS hätte reagiert auf sowas, aber es wäre bekannt. Ich kenne dazu zumindest nix. Wenn es danach geht, kannste sogut wie jede Sicherheitssoftware vergessen, auf genügend Nachdruck einer Regierung ist da viel möglich.
Ist ja nun nicht so, dass man da nicht in die Software reinsehen kann. Der Spaß ist für effektiv jederman offen, der sich in Sachen Reverse Engineering auskennt. Wäre das was kapital offenes/problematisches drin, müsste das normal eigentlich public sein. Da es das aber irgendwie nicht ist, bleibt allenfalls das Restrisiko ggü. einer Sicherheitssoftware, die es egal bei welcher Software, immer gibt.

PS: soweit mir bekannt, ist derartige Security Software in Ländern wie China generell verboten und die Einführung je nachdem durch gesonderte Benennung oder Prüfverfahren anzufragen. Nimmt man es genau, müsste China gänzlich auf Linux verzichten oder andere, teils OpenSource Software/Pakete generell verbieten und das natürlich auch aktiv unterbinden, dass diese genutzt werden. Macht man ggf. zum Teil sogar, aber die Masse? Eher nicht... Die kennen doch ganz sicher auch nicht komplett alles. Daraus zu interprätieren, es gebe "bekannte Lücken" halte ich für ziemlich abenteuerlich, weil schlicht nicht im Ansatz belegbar.
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh