/ / So schützen Sie Ihre mit BitLocker verschlüsselten Dateien vor Angreifern

So schützen Sie Ihre mit BitLocker verschlüsselten Dateien vor Angreifern

BitLocker, die integrierte VerschlüsselungstechnologieWindows hat in letzter Zeit einige Hits abbekommen. Ein kürzlich durchgeführter Exploit hat gezeigt, dass der TPM-Chip eines Computers entfernt werden muss, um dessen Verschlüsselungsschlüssel zu extrahieren. Viele Festplatten brechen BitLocker. Hier ist eine Anleitung zum Vermeiden von BitLocker-Fallstricken.

Beachten Sie, dass alle diese Angriffe physisch sindZugriff auf Ihren Computer. Das ist der springende Punkt bei der Verschlüsselung - um zu verhindern, dass ein Dieb, der Ihren Laptop oder jemanden gestohlen hat, ohne Ihre Erlaubnis Zugriff auf Ihren Desktop-PC erhält, Ihre Dateien anzeigt.

Standard-BitLocker ist auf Windows Home nicht verfügbar

Während fast alle modernen Verbraucher in BetriebSysteme werden standardmäßig mit Verschlüsselung ausgeliefert. Windows 10 bietet jedoch noch keine Verschlüsselung für alle PCs. Macs, Chromebooks, iPads, iPhones und sogar Linux-Distributionen bieten allen Benutzern Verschlüsselung. Microsoft bündelt BitLocker jedoch immer noch nicht mit Windows 10 Home.

Einige PCs verfügen möglicherweise über eine ähnliche VerschlüsselungTechnologie, die Microsoft ursprünglich als "Geräteverschlüsselung" bezeichnet hat und jetzt manchmal als "BitLocker-Geräteverschlüsselung" bezeichnet. Wir werden dies im nächsten Abschnitt behandeln. Diese Geräteverschlüsselungstechnologie ist jedoch eingeschränkter als BitLocker.

Wie ein Angreifer dies ausnutzen kann: Exploits sind nicht erforderlich! Wenn Ihr Windows Home-PC nur nicht verschlüsselt ist, kann ein Angreifer die Festplatte entfernen oder ein anderes Betriebssystem auf Ihrem PC starten, um auf Ihre Dateien zuzugreifen.

Die Lösung: Zahlen Sie 99 US-Dollar für ein Upgrade auf Windows 10 Professional und aktivieren Sie BitLocker. Sie können auch eine andere Verschlüsselungslösung wie VeraCrypt, den kostenlosen Nachfolger von TrueCrypt, ausprobieren.

VERBUNDEN: Warum berechnet Microsoft 100 US-Dollar für die Verschlüsselung, wenn sie sonst von allen verschenkt wird?

BitLocker lädt manchmal Ihren Schlüssel zu Microsoft hoch

Viele moderne Windows 10-PCs verfügen über eine ArtVerschlüsselung mit dem Namen "Geräteverschlüsselung". Wenn Ihr PC dies unterstützt, wird diese automatisch verschlüsselt, nachdem Sie sich mit Ihrem Microsoft-Konto (oder einem Domänenkonto in einem Unternehmensnetzwerk) bei Ihrem PC angemeldet haben. Der Wiederherstellungsschlüssel wird dann automatisch auf die Server von Microsoft (oder die Server Ihrer Organisation in einer Domäne) hochgeladen.

Dies schützt Sie vor dem Verlust Ihrer Dateien. Auch wenn Sie Ihr Microsoft-Kontokennwort vergessen haben und sich nicht anmelden können, können Sie den Kontowiederherstellungsprozess verwenden und wieder auf Ihren Verschlüsselungsschlüssel zugreifen.

Wie ein Angreifer dies ausnutzen kann: Das ist besser als keine Verschlüsselung. Dies bedeutet jedoch, dass Microsoft gezwungen sein kann, Ihren Verschlüsselungsschlüssel mit einem Haftbefehl an die Regierung weiterzugeben. Oder, noch schlimmer, ein Angreifer könnte theoretisch den Wiederherstellungsprozess eines Microsoft-Kontos missbrauchen, um Zugriff auf Ihr Konto und Ihren Verschlüsselungsschlüssel zu erhalten. Wenn der Angreifer physischen Zugriff auf Ihren PC oder seine Festplatte hatte, konnte er diesen Wiederherstellungsschlüssel verwenden, um Ihre Dateien zu entschlüsseln - ohne dass Sie Ihr Kennwort benötigen.

Die Lösung: Zahlen Sie 99 US-Dollar für ein Upgrade auf Windows 10 Professional, aktivieren Sie BitLocker über die Systemsteuerung und wählen Sie, wenn Sie dazu aufgefordert werden, keinen Wiederherstellungsschlüssel auf die Microsoft-Server hochzuladen.

VERBUNDEN: Aktivieren der Festplattenverschlüsselung unter Windows 10

Viele Solid-State-Laufwerke unterbrechen die BitLocker-Verschlüsselung

Einige Solid-State-Laufwerke bieten Unterstützung für„Hardwareverschlüsselung“. Wenn Sie ein solches Laufwerk in Ihrem System verwenden und BitLocker aktivieren, vertraut Windows darauf, dass Ihr Laufwerk die Aufgabe übernimmt und nicht die üblichen Verschlüsselungstechniken ausführt. Denn wenn das Laufwerk die Arbeit in Hardware erledigen kann, sollte das schneller sein.

Es gibt nur ein Problem: Forscher haben herausgefunden, dass viele SSDs dies nicht richtig implementieren. Beispielsweise schützt der Crucial MX300 Ihren Verschlüsselungsschlüssel standardmäßig mit einem leeren Kennwort. Windows meldet möglicherweise, dass BitLocker aktiviert ist, im Hintergrund wird jedoch möglicherweise nicht viel ausgeführt. Das ist beängstigend: BitLocker sollte SSDs nicht im Stillen vertrauen, um die Arbeit zu erledigen. Dies ist eine neuere Funktion, daher betrifft dieses Problem nur Windows 10 und nicht Windows 7.

Wie ein Angreifer dies ausnutzen könnte: Windows sagt möglicherweise, dass BitLocker aktiviert ist, aberBitLocker kann untätig sein und Ihre SSD kann Ihre Daten nicht sicher verschlüsseln. Ein Angreifer könnte möglicherweise die schlecht implementierte Verschlüsselung auf Ihrem Solid-State-Laufwerk umgehen, um auf Ihre Dateien zuzugreifen.

Die Lösung: Ändern Sie die Einstellung „Verwendung hardwarebasiert konfigurieren“Verschlüsselung für Laufwerke mit festen Daten “in der Windows-Gruppenrichtlinie auf„ Deaktiviert “. Sie müssen das Laufwerk anschließend entschlüsseln und erneut verschlüsseln, damit diese Änderung wirksam wird. BitLocker beendet das Vertrauen in Laufwerke und erledigt die gesamte Arbeit in Software anstelle von Hardware.

VERBUNDEN: Sie können BitLocker bei der Verschlüsselung Ihrer SSD unter Windows 10 nicht vertrauen

TPM-Chips können entfernt werden

Ein Sicherheitsforscher hat kürzlich demonstriertein weiterer Angriff. BitLocker speichert Ihren Verschlüsselungsschlüssel im Trusted Platform Module (TPM) Ihres Computers. Hierbei handelt es sich um eine spezielle Hardware, die manipulationssicher sein soll. Leider könnte ein Angreifer ein 27-Dollar-FPGA-Board und Open-Source-Code verwenden, um es aus dem TPM zu extrahieren. Dies würde die Hardware zerstören, aber das Extrahieren des Schlüssels und das Umgehen der Verschlüsselung ermöglichen.

Wie ein Angreifer dies ausnutzen kann: Wenn ein Angreifer über Ihren PC verfügt, kann er theoretisch all diese ausgefallenen TPM-Schutzfunktionen umgehen, indem er an der Hardware manipuliert und den Schlüssel abzieht, was eigentlich nicht möglich ist.

Die Lösung: Konfigurieren Sie BitLocker so, dass eine Pre-Boot-PIN erforderlich istin Gruppenrichtlinien. Mit der Option "Start-PIN mit TPM erforderlich" wird Windows gezwungen, eine PIN zum Entsperren des TPM beim Start zu verwenden. Sie müssen eine PIN eingeben, wenn Ihr PC startet, bevor Windows gestartet wird. Dadurch wird das TPM jedoch mit einem zusätzlichen Schutz gesperrt, und ein Angreifer kann den Schlüssel nicht aus dem TPM extrahieren, ohne Ihre PIN zu kennen. Das TPM schützt vor Brute-Force-Angriffen, sodass Angreifer nicht nur jede PIN einzeln erraten können.

VERBUNDEN: Aktivieren einer Pre-Boot-BitLocker-PIN unter Windows

Schlaf-PCs sind anfälliger

Microsoft empfiehlt, den Ruhemodus zu deaktivieren, wennVerwenden von BitLocker für maximale Sicherheit. Der Ruhezustand ist in Ordnung - BitLocker kann eine PIN erfordern, wenn Sie Ihren PC aus dem Ruhezustand aktivieren oder wenn Sie ihn normal starten. Im Energiesparmodus bleibt der PC jedoch mit seinem im RAM gespeicherten Verschlüsselungsschlüssel eingeschaltet.

Wie ein Angreifer dies ausnutzen kann: Wenn ein Angreifer Ihren PC hat, kann er ihn aufweckenUnter Windows 10 müssen sie möglicherweise eine numerische PIN eingeben. Mit physischem Zugriff auf Ihren PC kann ein Angreifer möglicherweise auch den direkten Speicherzugriff (Direct Memory Access, DMA) verwenden, um den Inhalt des Arbeitsspeichers Ihres Systems abzurufen und den BitLocker-Schlüssel abzurufen. Ein Angreifer kann auch einen Kaltstart-Angriff ausführen: Starten Sie den laufenden PC neu und holen Sie sich die Schlüssel aus dem RAM, bevor sie verschwinden. Dies kann sogar die Verwendung eines Gefrierschranks zur Senkung der Temperatur und Verlangsamung dieses Prozesses beinhalten.

Die Lösung: Schalten Sie Ihren PC in den Ruhezustand oder fahren Sie ihn herunteres schlafen lassen. Verwenden Sie eine Pre-Boot-PIN, um den Startvorgang sicherer zu machen und Kaltstart-Angriffe zu blockieren. BitLocker benötigt auch eine PIN, wenn der Ruhezustand wieder aufgenommen wird, wenn beim Start eine PIN erforderlich ist. Mit Windows können Sie auch über eine Gruppenrichtlinieneinstellung neue DMA-Geräte deaktivieren, wenn dieser Computer gesperrt ist. Dies bietet einen gewissen Schutz, auch wenn ein Angreifer Ihren PC während der Ausführung in Besitz nimmt.

VERBUNDEN: Sollten Sie Ihren Laptop herunterfahren, in den Ruhezustand versetzen oder in den Ruhezustand versetzen?

Wenn Sie mehr zu diesem Thema lesen möchten, finden Sie auf der Website von Microsoft eine ausführliche Dokumentation zum Sichern von Bitlocker.

Lesen Sie auch

So verschlüsseln und schützen Sie Ihre USB-Laufwerke mit einem Kennwort ohne zusätzliche Software
Erstellen einer verschlüsselten Containerdatei mit BitLocker unter Windows
Einfache Verschlüsselung von Dateien unter Windows, Linux und Mac OS X
Was ist der Unterschied zwischen BitLocker und EFS (Encrypting File System) unter Windows?
BitLocker To Go verschlüsselt tragbare Flash-Laufwerke in Windows 7
Verwendung eines USB-Sticks zum Entsperren eines mit BitLocker verschlüsselten PCs
So schützen Sie Dateien und Ordner mit einem Kennwort durch Verschlüsselung
So stellen Sie Ihre Dateien von einem BitLocker-verschlüsselten Laufwerk wieder her