Bitlocker verschlüsselung mit Passwort

[usefulvid]

Ich möchte mein Surface 2 Pro mit Bitlocker und einem Passwort (keine PIN) verschlüsseln.
Am Anfang ist es daran gescheitert, dass TPM aktiv war und ich gar kein Passwort eingeben konnte.
Also habe ich TPM im uefi abgeschaltet nur jetzt will Bitlocker den entschlüsselungskey auf einen USB Datenträger legen.

Passwort geht dadurch immer noch nicht... Jemand eine Idee wie das mit einem Passwort hinhauen könnte? Ich hab das Problem auch an MS adressiert aber da habe ich nicht so gute Erfahrungen gemacht:
http://answers.microsoft.com/en-us/...ce-2-pro/6089d8f8-e4d8-4717-a242-50692f5764d8

 

[Xerebus]

Das lässt MS erst mal nicht zu.
Da du ein Tablet hast und Bitlocker keine Tastatur einblenden kannst du ohne Tastatur kein PW eingeben.
Hab das gleiche Prob bei Meinem Lenovo.

Aber das PW brauchste ja auch nicht.
Falls eine mit KonBoot das ding aufmachen will bricht die Verschlüsselung und müsste erst mit dem ,in der abgespeicherten Datei, Key geöffnet werden.
Mit einer Live Linux geht auch nichts....
Also auch ohne Key sicher.

 

[usefulvid]

Also wäre dein Tipp TPM anzumachen und ein sicheres Login Passwort für den Windows Account zu setzen?
Das mit dem USB Stick ist leider nicht praktikabel für mich.
Ich hätte es halt gerne so sicher, das sich auch Sicherheitsbehörden erstmal die Zähne dran ausbeisen.

 

[Xerebus]

An Daten kommt da keiner so leicht ran.

 

[usefulvid]

Ok dann mach ich das so obwohl ich dem TPM kram nicht vertraue aber was bleibt einem übrig.
Danke für deine Hilfe!

 

[Xerebus]

Haben das in meiner Firma in der ich arbeite im Einsatz. Und das sind nicht wenige Laptops.... >10000

 

[usefulvid]

Und was heißt das?

 

[Xerebus]

Das Bitlocker im mom genauso sicher ist wie andere gängigen Verschlüsselungssyteme z.B Mcafee.
Selbst wenn die NSA das aufmachen kann. Der BND kann es nicht oder zumindest würden sie das bei einem so kleinen fisch sicher nicht machen

Es ist nichts bekannt das man das aufmachen kann.

 

[TBow]

Das Bitlocker im mom genauso sicher ist wie andere gängigen Verschlüsselungssyteme z.B Mcafee.

Bitlocker ist von Microsoft. Damit unterstehen sie der US Gesetzgebung, die sie zur geheimen Kooperation verpflichtet. Betrug und belügen der Kunden inklusive.
Ausserdem wissen wir seit Snowden, dass Microsoft ständig mit der NSA kooperierte und wohl auch noch kooperiert.
Bei Verschlüsselung kommt es eben auf das Vertrauen an und das kann bei Bitlocker nicht gegeben sein.

Linux bietet zB hauseigene Verschlüsselungen an, die zB auch Herr Snowden benutzte. Truecrypt scheint sicher zu sein, wahrscheinlich auch Veracrypt.
Ein kommerzieller Anbieter aus den USA, ist wohl die denkbar schlechteste Wahl.

 

[Jan_de_Marten]

Was nutzt dir ein anderer "Verschlüsseler", wenn Windows die Platte lesen kann?. Solange MS unter Windows zugriff hat, kann man auch den Bitlocker von ihnen nehmen. Wer sagt denn, TC und VC haben kein Masterpaßwort haben? Somit wäre ein weiterer Software Hersteller onBoard, der Zugriff auf Daten hat. Unter Linux mag das ja anders aussehen.

 

[TBow]

Was nutzt dir ein anderer "Verschlüsseler", wenn Windows die Platte lesen kann?.

Vollkommen korrekt. Was für Microsofts Bitlocker gilt, gilt natürlich auch für Microsofts Windows.

Wer sagt denn, TC und VC haben kein Masterpaßwort haben?

TC gilt auch nach 2 Audits als sicher. Bitlocker wurde nie von unabhängiger Stelle getestet.
Microsoft hat nachweislich mit der NSA koopiertert. Microsoft ist per Gesetz gewzungen mit US Behörden zusammenzuarbeiten UND ist verpflichtet darüber Stillschweigen zu halten, inklusive der Verpflichtung ihre Kunden darüber zu belügen. Das ist bei TC, Veracrypt und Linux basierten Produkten nicht der Fall.
So, wem traut man wohl eher zu, die Informationen sicher zu verschlüsseln?

Natürlich kann jeder Programme seiner Wahl verwenden, aber jeder sollte sich jedoch im Klaren sein, welchen Produkten er seine Daten anvertraut. Es soll keiner nach einer neuen Enthüllung angekrochen kommen und mit weinerlicher Stimme säuseln, "Aber, aber, das hab ich doch nicht gewusst".
Darum auch die Hinweise von mir, damit auch eine Person, die sich hier informieren will, die notwendigen Fakten kennt.

 

[usefulvid]

Ich gebe euch natürlich völlig recht. Das Problem ist ja nur, dass es keine Software gibt die UEFI / GPT unterstützt und ich brauche eine Boot Verschlüsselung. DiskCryptor und Veracrypt können das wohl nicht das wäre natürlich meine erste Wahl gewesen.

 

[Pleitgengeier]

Ich gebe euch natürlich völlig recht. Das Problem ist ja nur, dass es keine Software gibt die UEFI / GPT unterstützt und ich brauche eine Boot Verschlüsselung. DiskCryptor und Veracrypt können das wohl nicht das wäre natürlich meine erste Wahl gewesen.

Unter Linux kannst du - bei Kubuntu sogar per Checkbox beim Installieren - /home verschlüsseln.
Im Verlustfall reicht das, damit keiner an deine Daten kommt.

Schützt nur nicht davor, dass jemand einen Keylogger oÄ. installiert in deiner Abwesenheit - aber das ist doch schon was ganz anderes...
Aber auch für Truecrypt-Vollverschlüsselung gibt es Angriffszenarien unter dieser Bedingung.
Es gibt eben immer eine erste Software die man nicht verschlüsseln kann weil sie ja bootfähig sein muss und die deshalb angreifbar ist wenn physikalischer Zugriff auf den Rechner besteht - außer du hättest einen Prozessor der in Hardware in Echtzeit verschlüsselte Software entschlüsseln kann bevor er sie ausführt. Solche Systeme haben manchmal militärische Behörden und Verwaltungen.

Aber ich denke mal du bist nicht wichtig genug dass ein Geheimdienst bei dir Hausbesuche macht um Software zu installieren...

 

[TBow]

@usefulvid
Müsste auch das /boot Verzeichnis verschlüsselt werden?
Wenn nein, dann könntest du dich vielleicht mit einer Linux Distribution deiner Wahl anfreunden. Da ist die "Vollverschlüsellung" (ohne /boot) schon mit an Board.

 

[usefulvid]

Nein Linux ist leider keine Möglichkeit

 

[Pleitgengeier]

@usefulvid: Dann wird es schwierig, wie TBow bereits sagte.

Windows mit Krypto-Software auszustatten ist wie in einem Haus aus Pappe eine Hochsicherheitstür einzubauen - zumindest wenn du den Kreis der in Frage kommenden Einbrecher nicht einschränkst.

 

[drfuture]

Mag ja sein das Geheimdienste Theo. an Bitlocker dran kommen.. aber Wenn man SOLCHE Spiele Treiben möchte und sich vor am besten allen Geheimdiensten der Welt schützen möchte - muss man WESENTLICH weiter denken und ich bin mir zu 100% Sicher das das in diesem Forum evtl. 1-2 Leute tun.
Weil dann bringt es nicht ein Ach so tolles Linux zu verwenden und deren Verschlüsselung (Wer schreibt denn Linux? Gibt mehr als Genug Linux-Distrib. die als Kooperationspartner ebenso größe US Konzerne haben - und nun kommt nicht wieder damit der Code sei ja öffentlich und den lesen so viele... dann dürften nicht jedes Jahr uralte Lücken gefunden werden) - Sondern auch den Gesamten Kommunikationsweg Absichern. Finden 100% Aller Kommunikationen InHaus + nach Draußen Verschlüsselt statt? Sind in der Fritzbox Universal-Zugänge drin? Ein Wlan-Gerät (der TV z.B.) Der das WPA-Kennwort kennt und einfach im Hintergrund die Daten nach Hause überträgt? (Wer von euch hat für seinen Smart-TV einen Filter aktiv der nur Amazon und Netflix zulässt?)

Gegen Daten-Diebstahl und Behörden aller Art (jedenfalls die Deutschen) reicht Bitlocker zu 100%
Nebenbei auch ohne Pin etc. Es gab bis vor ~2 Jahren einige *Bugs* die das Umgehen und das Auslesen des aus dem TPM gelieferten Passworts möglich gemacht haben - aber insofern man Div. Schnittstellen wie den FireWire-Port die DMA erlauben schließt oder schlicht nicht besitzt ist die Verschlüsselung aktuell sicher.

An einer Linux Verschlüsselungs-Lösung nervt mich aktuell das es nicht wirklich etwas gibt was man nachträglich machen kann. Außer eine Container-Lösung - aber das hatte ich letztens mal im Linux-Bereich geschrieben ;D

 

[Novgorod]

das mit dem GPT ist tatsächlich ein kleiner showstopper für "richtige" verschlüsselungssoftware (zumindest momentan).. aber warum genau muss es eine vollverschlüsselung sein? es macht wenig sinn, die boot- und systemdateien von windows auszuspionieren und alles andere, was irgendwelche privaten daten enthalten kann, kann man nach dem booten auf ein verschlüsseltes volume umbiegen und truecrypt & co. benutzen.. es ist wohl nicht ganz trivial - es müsste wahrscheinlich erst mit einem minimal-account gebootet werden und dann das volume mit den eigentlichen userdaten gemountet werden, dann kommt der eigentliche user-login (was ähnliches müsste man auch mit der pagefile machen und den ruhezustand wird man nicht nutzen können) - aber sicherlich machbar..

in 99,9% aller denkbaren szenarien sollte es schon reichen, nur die eigentlichen dateien (duh ), die pagefile und alle temporären bzw. programmdateien (user\appdata) zu verschlüsseln.. darüberhinaus (registry, config-dateien etc.) gibts eigentlich nichts, das irgendwelche schützenswerten inhalte enthält, höchstens pfade/dateinamen, aber keine daten.. (schlecht programmierte) ausnahmen bestätigen natürlich die regel, wenn z.b. zugangsdaten in config-dateien außerhalb des appdata-ordners oder gar in der registry gespeichert werden - man muss also besonders aufpassen, welche programme man nutzt und sich bewusst sein wo sie was speichern.. das ist der preis, wenn man sich nicht die mühe einer vollverschlüsselung machen will oder kann..

 

[Pleitgengeier]

@Novgorod: Das meinte ich ja damit: In den Systemdateien gibt es nichts zu spionieren, man kann dort aber Malware einbauen.
Aber das kann man ohnehin nur erschweren, es gibt eben auch Angriffszenarien für vollverschlüsselte Systeme, weil man dann eben das erste Glied in der Kette - das nicht verschlüsselt sein kann weil es direkt bootfähig sein muss - manipuliert.

 

[drfuture]

@Pleitgengeier daher ja UEFI und TPM, gebootet wird nur der doppelt signierte Bootloader - der schlüssel zum Abgleich liegt im verschlüsselten Chip. Das Bios einfach umflashen ist ohne pw auch nicht so einfach. Alles danach ist schon verschlüsselt.
Der komplette boot ist mit 2 Zertifikaten (1x MS 1x Hersteller) von Unterschiedlichen Quellen Cross-Signiert und funktioniert nur solange er nicht verändert wird. Alles danach ist Vollverschlüsselt.

Klar gibt es IMMER Wege das irgendwann jemand eine Lücke findet. Da das ganze aber schon außerhalb jedes OS ist und direkt auf dem Mainboard implementiert ist - ist es aktuell der wohl sicherste Weg....