News Update für Windows 11: Good News - Bitlocker für alle!
- Ersteller PCGH-Redaktion
- Erstellt am
Terracresta
BIOS-Overclocker(in)
Wie ich vor einer Weile feststellen durfte, war Bitlocker auf einem Dell Mini-PC bereits schon aktiv und als ich die Installation mit einem Image von externer Festplatte (IODD400) überschreiben wollte, fing der PC an diese automatisch zu verschlüsseln. Dadurch konnte ich nicht mehr vom IODD400 booten und musste es erst an einem anderen Gerät entschlüsseln, herausfinden, welche BIOS Optionen dieses Verhalten deaktivieren und erst dann konnte ich die Installation durchführen.
Extremst nervig, wenn das scheinbar auf BIOS-Level aktiv ist, dass beim Booten von einer unverschlüsselten Platte, selbst einer externen, diese automatisch verschlüsselt wird. Ist auch nicht so, dass die Optionen im BIOS eindeutig als diese benannt worden sind.
Extremst nervig, wenn das scheinbar auf BIOS-Level aktiv ist, dass beim Booten von einer unverschlüsselten Platte, selbst einer externen, diese automatisch verschlüsselt wird. Ist auch nicht so, dass die Optionen im BIOS eindeutig als diese benannt worden sind.
psychodad666
PC-Selbstbauer(in)
...wenn da nicht gerade irgendwelche "ungemein wichtigen" Windows Updates ausgerollt werden die nicht installiert werden können ohne die System-Partition vorher zu ändern (kenne mind. 2 alleine aus diesem Jahr)Für UEFI-Checker ist es schon ein Gef_cke³. Für "Sogar überdurchschnittlich begabte Normalsterbliche" ist es fast unmöglich eine Bitlocker-gesicherte Partition zu ändern um aus der Update-Schleife rauszukommen.
Nein Danke, Microsoft!!!
Meine ausgediente/verstorbene Laufwerke gebe ich nur her, wenn ich sie vorher mit der Bohrmaschine bearbeitet habe und sobald jemand Unbefugter physischen Kontakt zu meinem Rechner hat, habe ich eh ganz andere Probleme.
Für alles Andere ist Bitlocker nur eine Performance-Bremse!
T-MAXX
BIOS-Overclocker(in)
Ich finde Bitlocker für betimmte Anwendungen ja nützlich, nur als Privatnutzer gibt es bessere Alternativen, wie Datenarchive auf externe Laufwerke usw.. Außerdem muss man bei Bitlocker ein Kennwort eingeben und die Ladegeschwindigkeit sinkt. Meiner Rechner sind Kennwort frei und bevor alle Aufschreien und sagen, das ist ja sehr unsicher und ja auch meine Angelegenheit. Einzige was ich in Sicherheit bringen muss ist meine geliebte Schokolade...
TollerHecht
Freizeitschrauber(in)
Also ich hab VeraCrypt jahrelang genutzt, dann irgendwann Bitlocker und jetzt wieder Veracrypt. Was Performance angeht kommt halt nix an Bitlocker ran. Das merkste sogar beim normalen nutzen bei Windows. Aber komplett katastrophe ist es wenn ich Unreal Engine nutze, der Import von Assets oder auch nur das normale durchstöbern von importierten Assets ist völlig laggy und verzögert. Ich merke das ungemein, die subjektiv gefühlte Flüssigkeit und Geschwindigkeit im vergleich zu einem System ohne Verschlüsselung ist einfach absurd schlecht, deshalb lasse ich das System ganz normal offen bei der nächsten Installation. Auch wenn man meinen dürfte dass wenn man ne 1200 mb/s SSD hat auch wenns nur die hälfte ist die bei ner Verschlüsselung... immer noch performant genug sein sollte. Aber meiner Meinung nach ändert sich viel mehr als nur die Transferrate, die Zugriffszeit fühlt sich 5x so lahm an. Kann aber auch sein dass es mir nur so vorkommt, aber wenn ich gar nix drauf habe dann hat es sich immer irgendwie flüssiger angefühlt. Sogar in Firefox und co. merke ich das wenn ich ne Datei hochladen will, bis der Context Explorer mal aktiv wird.
Mecker_Manni
Freizeitschrauber(in)
Und genau deswegen macht man es auch nicht auf Platten wo man die Leserate braucht.
Lustig, sowas ähnliches ist mir anfang des Jahres passiert. Nach einem Bios Update hat sich Win11 komplett abgeriegelt dank TPM 2.0.
keine Chance mehr gehabt reinzukommen. Hätte ich das Laufwerk damals verschlüsselt, wäre ich so richtig am Ar*ch gewesen.
Wakü geleert, komplette PC auseinander gebaut um an die m2 zu kommen und manuell die Daten zu sichern. Hat mich alles zsm gute 8std und ne menge nerven gekostet.
Seitdem Win10, TPM aus, 0 Verschlüsselung.
Manchmal denke ich, ich sei der Einzige, der kapiert, wie man BitLocker richtig benutzt. Schön, dass ich mich da getäuscht habe.
BitLocker in Kombination mit TPM, und vor allem wenn dieses als alleinige Entsperrmethode eingestellt ist, hat alle Nachteile verschlüsselter Datenträger, ohne die Vorteile mitzunehmen. Mit jeder Hardware-Änderung oder sogar einem bloßen UEFI-Update muss der Recovery-Key herausgekramt werden, der eigentlich genau nicht dafür da sein sollte (weshalb die Keys bei mir auch an einem Ort hinterlegt sind, wo man nicht mal eben herankommt); und wer physischen Zugriff auf die Hardware hat, kann den Schutz aushebeln.
An der Stelle ein bisschen (Halb-)Off-Topic:
BitLocker mit TPM schützt nur davor, dass jemand die Platte aus dem Rechner entfernt und auf einem anderen Gerät auszulesen versucht. Wenn man aber wie ich in seinem Threat Model hat, dass die Strafverfolgungsbehörden jederzeit mit Durchsuchungsbefehl vor der Tür stehen, geht man davon aus, dass sie die gesamte Hardware mitnähmen. An alle, die mich jetzt als Paranoiker bezeichnen wollen und meinen, sie hätten ja nichts zu verbergen, weil sie nichts Verbotenes täten: Findet ihr das wirklich so abwegig? So viel gehört ja wohl nicht dazu, wenn es schon ausreicht, auf Ex-Twitter zu schreiben, dass der Hamburger Innensenator ein πmmel oder die Chatkontroll-Innenministerin eine Muシ ist, bzw. nur jemanden zu kennen, der das getan hat. Oder kommt mal jemandem dumm und der gibt der Polizei einen anonymen „Hinweis“, ihr hättet Bildchen mit kleinen als Streichhölzer verkleideten Menschen auf dem Rechner; da heißt es dann noch meistens „Gefahr im Verzug“, sodass der Staatsanwalt nicht einmal mehr die richterliche Genehmigung braucht, die er aber auch sonst sowieso bekäme, weil die Ablehnung zu begründen zu viel Aufwand wäre.
Und zum Thema „nichts verbergen/nichts Verbotenes tun“: A) Seit wann entscheidet ihr denn, dass ihr nichts verbergt und nichts Verbotenes tut; und B) wer oder was garantiert euch, dass das für dasselbe Verhalten morgen immer noch gilt? Ganze EU-Regierungen versuchen, (Ende-zu-Ende-)verschlüsselte Kommunikation zu kriminalisieren, die ihr derzeit täglich benutzt, remember?
Nur um mal zu klären, wozu der Ottonormalo eine Datenträgerverschlüsselung gebrauchen kann. Die Frage, ob ich sensible Daten auf meinem Rechner habe, stellt sich für mich überhaupt nicht. Alle Daten, die ich auf meinen Geräten habe, sind aus meiner Sicht per Definition vertraulich und gehen erst mal niemanden was an. Nicht ich muss mich dafür rechtfertigen, meine Grundrechte der informationellen Selbstbestimmung sowie des Post- und Fernmeldegeheimnisses zu beanspruchen, sondern die Einschränkung muss begründet und gerechtfertigt sein, und das ist immer häufiger nicht mehr der Fall.
Was uns zurück zum Thema führt:
Und zum Thema „nichts verbergen/nichts Verbotenes tun“: A) Seit wann entscheidet ihr denn, dass ihr nichts verbergt und nichts Verbotenes tut; und B) wer oder was garantiert euch, dass das für dasselbe Verhalten morgen immer noch gilt? Ganze EU-Regierungen versuchen, (Ende-zu-Ende-)verschlüsselte Kommunikation zu kriminalisieren, die ihr derzeit täglich benutzt, remember?
Nur um mal zu klären, wozu der Ottonormalo eine Datenträgerverschlüsselung gebrauchen kann. Die Frage, ob ich sensible Daten auf meinem Rechner habe, stellt sich für mich überhaupt nicht. Alle Daten, die ich auf meinen Geräten habe, sind aus meiner Sicht per Definition vertraulich und gehen erst mal niemanden was an. Nicht ich muss mich dafür rechtfertigen, meine Grundrechte der informationellen Selbstbestimmung sowie des Post- und Fernmeldegeheimnisses zu beanspruchen, sondern die Einschränkung muss begründet und gerechtfertigt sein, und das ist immer häufiger nicht mehr der Fall.
Was uns zurück zum Thema führt:
Es schützt auch genau null vor der Beschlagnahmung der gesamten Hardware. Hinzu kommt, dass Microsoft dazu verleiten will, den Recovery-Key mit dem Microsoft-Account verknüpft in der Cloud zu hinterlegen. Dabei weiß jeder, der bis drei zählen kann: 1. Es gibt keine Cloud, nur die Hardware eines anderen, und 2. sobald der Schlüssel einmal die eigene Hardware verlassen hat, ist die Verschlüsselung hinfällig.
Hier also nun eine Anleitung, wie man BitLocker „richtig“ (d. h. durchsuchungssicher) benutzt:
1. TPM, ob Hardware oder fTPM, im UEFI deaktivieren. TPMs halten ihr Sicherheitsversprechen nicht ein und sind ein weiterer Weg, dem User noch mehr Kontrolle über das Gerät wegzunehmen.
2. BitLocker so konfigurieren, dass es ohne TPM eingerichtet werden kann: „Strg + R -> gpedit.msc -> Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> BitLocker-Laufwerksverschlüsselung -> Betriebssystemlaufwerke -> Zusätzliche Authentifizierung beim Start anfordern“, aktivieren und den Haken bei „BitLocker ohne kompatibles TPM zulassen“ setzen.
3. BitLocker aktivieren und als Entsperrmethode ein starkes Kennwort festlegen.
4. Wiederherstellungsschlüssel als Textdatei ausgeben lassen. BitLocker lässt idiotischerweise nicht zu, diese Textdatei auf einem verschlüsselten Laufwerk zu speichern, dafür braucht es also einen unverschlüsselten Wechseldatenträger. Nach der Einrichtung gilt diese Einschränkung nicht mehr, dann die txt.-Datei auf einen anderen verschlüsselten Datenträger schieben, Hauptsache, sie liegt nicht auf dem Laufwerk, das sie ja gerade entsperren soll.
(Wenn ihr davon ausgeht, dass Microsoft euer System in Echtzeit überwacht, zieht vorher noch das LAN-Kabel.)
Wenn die Verschlüsselung abgeschlossen ist, habt ihr ein BitLocker-verschlüsseltes Betriebssystem, das weder bei Hardware-Wechseln, noch bei UEFI-Updates den Recovery-Key braucht, und Letzterer liegt auch nicht in der Cloud für Microsoft und Behörden abrufbereit. Die Kennwort-Methode ist denkbar unbequem, weil ihr euch nun euer BitLocker-Kennwort merken und dieses bei jedem Systemstart eingeben müsst, und man hat ein Sicherheitsproblem bei Computern, die von mehreren Personen genutzt werden, weil von denen dann jeder das Kennwort wissen muss. Eine automatische Entsperrung geht absichtlich nicht, weil hierfür entweder das TPM oder ein präparierter USB-Stick notwendig wäre, und wir wollten ja gerade vermeiden, dass es nur ein Stück Hardware braucht, um Zugang zu bekommen. Das Kennwort ist der einzige Schlüssel, den ihr nicht rausgeben müsst, weil niemand gezwungen werden darf, sich selbst zu belasten (außer, ihr haltet euch in Unrechtsstaaten wie z. B. Großbritannien auf), und wenn ihr die Anforderungen an ein gutes Kennwort eingehalten habt, ist die Verschlüsselung auf dem Weg auch nicht zu knacken – sofern der Recovery-Key nicht irgendwo greifbar rumliegt. Bei weiteren internen Datenträgern spricht wenig dagegen, sie in Kombination mit dieser OS-Installation automatisch entsperren zu lassen, sofern man darüber nicht die Passwörter vergisst bzw. die Recovery-Keys verlegt. Alle Datenträger, ob System oder anderweitig, bleiben für euch trotzdem zugänglich, wenn ihr sie aufgrund anderer defekter Hardware auf einem anderen System auslesen müsst, um eure Daten sichern zu können.
Es gibt also Wege, BitLocker sinnvoll einzusetzen, sie erfordern aber eine gewisse Einarbeitung, und ihr könnt euch sicher denken, wie viele sich am Ende damit auseinandersetzen (wollen) und es tatsächlich so machen, dass es ihnen etwas bringt und sie die genannten Fallstricke umgehen. Die Regel infolge eines BitLocker-Zwangs, wie Microsoft hier plant, werden eher frustrierte Kunden sein, mit denen sich Reparaturdienste rumschlagen müssen, weil Erstere ihren BitLocker-Zugang verlegt/versperrt und kein Backup gemacht und Letztere daher keine Möglichkeit zur Datenrettung haben, und dazu ein falsches Gefühl von Sicherheit, das für das eine oder andere böse Erwachen sorgen dürfte.
Und natürlich hilft auch die korrekte BitLocker-Konfiguration nicht gegen die Annahme, dass in BitLocker oder Windows Hintertüren vorhanden sind. Bei Ersterem muss man sich halt doch mit VeraCrypt behelfen, und wenn man von Letzterem ausgeht, ist man mit seinem Sicherheitsbedürfnis beim falschen Betriebssystem (ist man je nach Betrachtung bei Windows sowieso per Definition).
Ich mache es bei all meinen Windows-Rechnern und Festplatten, die unter Windows erkennbar sein sollen und damit NTFS-formatiert sind, wie beschrieben und fahre damit sehr gut. Die Performance-Unterschiede gegenüber unverschlüsselten Systemen sind in den meisten meiner Anwendungsszenarien vernachlässigbar und werden heute durch performantere Hardware wieder auf ein erträgliches Niveau kompensiert. Was bei BitLocker wirklich unschlagbar genial ist, ist die In-Place-Verschlüsselung, also Verschlüsselung, ohne dass eine komplette Neuformatierung nötig ist, die VeraCrypt nur bei NTFS-Laufwerken und LUKS gar nicht beherrscht, weil die Implementation erstens sehr aufwendig ist und zweitens ein Sicherheitsrisiko besteht, wenn jemand im Verschlüsselungsvorgang den Stecker zieht. Da Linux seit längerem mit BitLocker-Laufwerken umgehen kann, ist es außerdem gerade für USB-Sticks, die plattformübergreifend eingesetzt werden sollen, sehr attraktiv. VeraCrypt ist dafür wegen der Hidden Volumes noch cooler, die einem auch in Szenarien helfen, wo man gezwungen ist, ein Passwort zu verraten, sei es durch faschistoide Gesetze oder durch Folter.
Takei Naodar
Freizeitschrauber(in)
Neuerdings auch Irland.
Luks kann das sehr wohl.
dm-crypt/Device encryption - ArchWiki
Aber auch Bitlocker hat da so sein Risiko.
https://answers.microsoft.com/en-us...to-power/ab50f815-375d-459a-b7e6-ed3096c24308
Ach Mensch, wie ist denn das die ganze Zeit an mir vorbeigegangen? Ist eine ganze Weile her, seit ich das letzte Mal ein Laufwerk LUKS-verschlüsselt habe. Cool, wieder was gelernt.
Hatuja
Software-Overclocker(in)
Letztendlich schließt Windows damit ja nur zu MacOS, iOS, Linux und Android auf. Unter MacOS, iOS und Android gibt es keine unverschlüsselten Laufwerke mehr, je nach Linux-Distribution wird bei der Installation die Option angeboten oder ist schon vorausgewählt.
Auch deine Utopie "Es könnte nicht mehr lange dauern bis Microsoft Store zu Pflicht wird, um Programm zu Installieren." ist bereits, bis auf Linux, überall der Standard und keinen kümmert es!
Ich sehe dagegen auch für den Normal-Benutzer Vorteile. Notebooks (die auch als solche benutzt werden, also mobil sind) können immer verloren gehen oder gestohlen werden. Genau wie Smartphones.
Bei defekten PCs oder auch einzelnen Laufwerken ist es mit Verschlüsselung kein Problem mehr, sie an den Hersteller/Händler zu geben, ohne befürchten zu müssen, dass die privaten Fotos, etc. irgendwo im Internet auftauchen.
Auch den alten PC bei eBay zu verkaufen, mit Datenträger, ist kein Problem mehr. Zumindest PCs von OEMs wird mittlerweile beim vollständigen zurücksetzten von Windows auch der Bitlocker-Key gelöscht. Ein Wiederherstellen der Daten ist dann faktisch nicht mehr möglich.
Ich setzte daher auf allen meinen Laufwerken Bitlocker ein!
Wäre es dann nicht besser, bei der Wurzel des Problem anzusetzen: Dem fehlenden Backup?
Vor defekten Laufwerken oder einem Verschlüsselungstrojaner hilft eine unverschlüsselte Festplatte herzlich wenig.
Klar verstehe ich dein Problem, aber nur für den Fall eines Defektes auf alle Sicherheitsfunktionen zu verzichten fände ich falsch!
Ich bin da der selben Meinung wie @Painkiller :
[...]
Kein Backup, kein Mitleid.
Du kannst seit Windows 10 alle Arten von Laufwerken mit Bitlocker verschlüsseln. Also auch USB-Sticks und USB-Festplatten. Vor allem für USB-Sticks ist das sehr sinnvoll, denn die gehen ja doch öfters mal verloren.
Zumindest mildert es das Problem unter Umständen ab. Wo ver-/entschlüsselt wird, muss immer extra "Aufwand" betrieben werden. Auch SED-fähige Laufwerke werden langsamer, wenn die Verschlüsselung genutzt wird. Manche mehr, manche weniger. Zumal neuere CPUs bessere Verschlüsselungs-Mechanismen in Hardware haben und das bei heutigen M.2 SSDs meiner Meinung nach nicht mehr so stark ins Gewicht fällt wie früher.
Und selbst wenn eine halbwegs aktuelle SSD mehr als 20% an Leistung verliert, wird man das nur in Benchmarks merken. Wie schnell ist eine durchschnittlich M.2 SSD zur Zeit? 4000 MB/s? Selbst beim spielen wird man den Unterschied zwischen 3000MB/s und 4000MB/s nicht merken...
Ja, das Problem mit dem BIOS-Update kenne ich von "früher" tatsächlich auch. In den letzten zwei oder drei Jahren ist mir das Problem aber nicht mehr untergekommen.
Aus meiner Erfahrung ist es am Besten, das BIOS-Update über eine Windows-Executable zu machen.
Wenn der Hersteller des Mainboards/BIOS seine Arbeit gemacht hat, teils der Updater Windows mit, dass es ein BIOS/TPM-Update macht. Darauf reagiert Windows dann und kann, wenn nötig, auch für die Zeit des Updates Bitlocker deaktivieren.
Viele OEM verteilen ihre BIOS-Updates daher auch bereits per Windows Update.
Hatuja
Software-Overclocker(in)
Ich habe mir das Video eben mal angesehen. Ist schon Interessant, aber zu kurz gegriffen bzw. veraltet.
Worauf er nicht oder nur sehr kurz und oberflächlich eingeht:
Das nicht näher spezifizierte Lenovo X1 Carbon scheint relativ alt zu sein. Zumindest hat es einen Sticker für Windows 8 auf der Unterseite. Baujahr müsste also zwischen 2012 und 2015 liegen. Es ist also schon um die 10 Jahre alt und nutzt ein externes TPM 1.0 oder 1.2 Modul. Windows 11 würde auf diesem Gerät also nicht laufen.
Heutige PCs verwenden, wie auch kurz in dem Video angesprochen, fTPM. Das TPM-Modul ist also in die CPU integriert, sodass der gezeigte Angriff durch mitschneiden des Datentransfers nicht möglich ist.
Angriffe gegen fTPM sind deutlich schwieriger. Erfolgreich waren, soweit ich weiß, nur MITM Angriffe auf den RAM bzw. das einfrieren des RAM-Moduls mit anschließendem auslesen in einem externen Gerät. Dagegen gibt es Mittlerweile aber auch Schutzmechanismen, bei dem der Bitlocker Key selbst nur verschlüsselt im RAM abgelegt wird.
Ähnliche Themen
