Wie sicher ist BitLocker ohne TPM und mit SED?

tag-icon tag-icon security encryption sed bitlocker
Wie sicher ist BitLocker ohne TPM und mit SED?

Ich versuche, eine Quelle für einige grundlegende Informationen zu BitLocker zu finden. Angenommen, ich habe ein selbstverschlüsselndes Laufwerk (SED) wie ein Samsung EVO, aber kein TPM. Ich aktiviere BitLocker. Es gibt zwei Möglichkeiten:

  1. Nur Passwort
  2. Passwort und Schlüssel auf dem USB-Stick

Meine scheinbar recht grundlegenden Fragen sind:

  1. Ist der Schlüssel bei der Option „Nur Passwort“ ein Hash des Passworts oder wird er irgendwo in der Pre-Boot-Authentifizierungsumgebung gespeichert? Wenn er gespeichert ist, ist er mit dem Passwort verschlüsselt?

  2. Wie ist der Schlüssel mit dem Passwort und dem Schlüssel auf dem USB-Stick geschützt? Ist er mit dem Passwort verschlüsselt?

  3. Wie ist der Schlüssel geschützt, während die Maschine läuft? Bei SED benötigt nur das Laufwerk den Schlüssel zum Betrieb, aber wenn Sie in den Ruhezustand wechseln, vergisst die Maschine ihn und der PC muss ihn erneut bereitstellen. Fordert Windows Sie erneut zur Eingabe des Kennworts/USB-Laufwerks auf oder speichert es den Schlüssel irgendwo im RAM?

Es ist nicht ganz klar, wie der Schlüssel geschützt ist, wenn man kein TPM hat. Ist das Passwort wirklich sicher? Was passiert, wenn der USB-Schlüssel zusammen mit dem PC gestohlen wird?

Antwort1

  1. (Diese Frage wird vorerst übersprungen.)
  2. Die externe Schlüsseldatei (*.bek) auf dem USB-Laufwerk ist nicht geschützt.Es ist kein Passwort erforderlich.Die *.bek-Datei entsperrt den Schlüssel, der eigentlich zur Verschlüsselung verwendet wurde. Sie können diese externe Schlüsseldatei also aus der Protektorliste des Laufwerks löschen und eine neue externe Schlüsseldatei generieren, falls sie jemals verloren geht. (Eine erneute Verschlüsselung ist nicht erforderlich.) Ein Passwort ist ein zusätzlicher Protektor/Schlüssel eines Laufwerks, um dieses zu entsperren.Sie können entweder das Laufwerk oder das USB-Laufwerk mit dem Kennwort entsperren. Sie benötigen nicht beides.
  3. Das Betriebssystem fragt nach dem Aufwachen aus dem Standby-Modus nicht erneut nach dem Schlüssel. Zum Aufwachen aus dem Ruhezustand ist das USB-Laufwerk oder das Kennwort erforderlich. (Entschuldigung, ich habe keine Angaben dazu gemacht, wo der Schlüssel tatsächlich gespeichert ist; ich kann die richtige Quelle zur Überprüfung nicht finden.)

Randnotiz: Das Verschlüsseln des USB-Laufwerks (mit dem externen StartUp-Schlüssel *.bek) funktioniert bei systemverschlüsselten Laufwerken nicht, da das USB-Laufwerk während des Bootvorgangs zugänglich sein muss. Bei nicht systemverschlüsselten Laufwerken funktioniert es. Entsperren Sie dann zuerst das USB-Laufwerk mit einem Kennwort, klicken Sie dann auf Entsperren des verschlüsselten Laufwerks und klicken Sie auf [Schlüssel von USB-Station laden].Auf diese Weise haben Sie tatsächlich eine zweistufige Entsperrung erstellt, die ein Kennwort und eine Schlüsseldatei (USB-Laufwerk lesen) erfordert.Das RecoveryPassword (Zahlen) umgeht dies übrigens alles.

verwandte Informationen