BitLocker, die in Windows integrierte Verschlüsselungstechnologie, hat in letzter Zeit einige Hits hinnehmen müssen. Ein kürzlich durchgeführter Exploit demonstrierte das Entfernen des TPM-Chips eines Computers, um seine Verschlüsselungsschlüssel zu extrahieren, und viele Festplatten zerstören BitLocker. Hier ist eine Anleitung, um die Fallstricke von BitLocker zu vermeiden.
Beachten Sie, dass alle diese Angriffe physischen Zugriff auf Ihren Computer erfordern. Das ist der springende Punkt bei der Verschlüsselung – um einen Dieb, der Ihren Laptop gestohlen hat, oder jemanden daran zu hindern, sich Zugriff auf Ihren Desktop-PC zu verschaffen und Ihre Dateien ohne Ihre Erlaubnis anzuzeigen.
Inhaltsverzeichnis
Standard BitLocker ist unter Windows Home nicht verfügbar
Während fast alle modernen Consumer-Betriebssysteme standardmäßig mit Verschlüsselung ausgeliefert werden, bietet Windows 10 immer noch nicht auf allen PCs eine Verschlüsselung. Macs, Chromebooks, iPads, iPhones und sogar Linux-Distributionen bieten allen Benutzern Verschlüsselung. Aber Microsoft bündelt BitLocker immer noch nicht mit Windows 10 Home.
Einige PCs verfügen möglicherweise über eine ähnliche Verschlüsselungstechnologie, die Microsoft ursprünglich als „Geräteverschlüsselung“ bezeichnete und jetzt manchmal als „BitLocker-Geräteverschlüsselung“ bezeichnet. Wir werden das im nächsten Abschnitt behandeln. Diese Geräteverschlüsselungstechnologie ist jedoch eingeschränkter als das vollständige BitLocker.
Wie ein Angreifer dies ausnutzen kann: Exploits sind nicht erforderlich! Wenn Ihr Windows Home-PC einfach nicht verschlüsselt ist, kann ein Angreifer die Festplatte entfernen oder ein anderes Betriebssystem auf Ihrem PC starten, um auf Ihre Dateien zuzugreifen.
Die Lösung: Zahlen Sie 99 US-Dollar für ein Upgrade auf Windows 10 Professional und aktivieren Sie BitLocker. Sie können auch eine andere Verschlüsselungslösung wie VeraCrypt, den Nachfolger von TrueCrypt, ausprobieren, die kostenlos ist.
BitLocker lädt manchmal Ihren Schlüssel zu Microsoft hoch
Viele moderne Windows 10-PCs verfügen über eine Verschlüsselungsart namens „Geräteverschlüsselung“. Wenn Ihr PC dies unterstützt, wird er automatisch verschlüsselt, nachdem Sie sich mit Ihrem Microsoft-Konto (oder einem Domänenkonto in einem Firmennetzwerk) an Ihrem PC anmelden. Der Wiederherstellungsschlüssel wird dann automatisch auf die Server von Microsoft (oder die Server Ihrer Organisation in einer Domäne) hochgeladen.
Dies schützt Sie vor dem Verlust Ihrer Dateien – selbst wenn Sie Ihr Microsoft-Kontokennwort vergessen und sich nicht anmelden können, können Sie den Kontowiederherstellungsprozess verwenden und wieder auf Ihren Verschlüsselungsschlüssel zugreifen.
Wie ein Angreifer dies ausnutzen kann: Das ist besser als keine Verschlüsselung. Dies bedeutet jedoch, dass Microsoft gezwungen sein könnte, Ihren Verschlüsselungsschlüssel mit einem Haftbefehl an die Regierung weiterzugeben. Oder, noch schlimmer, ein Angreifer könnte theoretisch den Wiederherstellungsprozess eines Microsoft-Kontos missbrauchen, um Zugriff auf Ihr Konto und Ihren Verschlüsselungsschlüssel zu erhalten. Wenn der Angreifer physischen Zugriff auf Ihren PC oder seine Festplatte hatte, könnte er diesen Wiederherstellungsschlüssel verwenden, um Ihre Dateien zu entschlüsseln – ohne Ihr Passwort zu benötigen.
Die Lösung: Zahlen Sie 99 US-Dollar für ein Upgrade auf Windows 10 Professional, aktivieren Sie BitLocker über die Systemsteuerung und entscheiden Sie sich, keinen Wiederherstellungsschlüssel auf die Server von Microsoft hochzuladen, wenn Sie dazu aufgefordert werden.
Viele Solid-State-Laufwerke brechen die BitLocker-Verschlüsselung
Einige Solid-State-Laufwerke werben für die Unterstützung von „Hardwareverschlüsselung“. Wenn Sie ein solches Laufwerk in Ihrem System verwenden und BitLocker aktivieren, vertraut Windows darauf, dass Ihr Laufwerk die Aufgabe erledigt und nicht die üblichen Verschlüsselungstechniken ausführt. Wenn das Laufwerk die Arbeit in Hardware verrichten kann, sollte das schließlich schneller sein.
Es gibt nur ein Problem: Forscher haben festgestellt, dass viele SSDs dies nicht richtig implementieren. Der Crucial MX300 schützt beispielsweise Ihren Verschlüsselungsschlüssel standardmäßig mit einem leeren Passwort. Windows sagt möglicherweise, dass BitLocker aktiviert ist, aber es tut möglicherweise nicht viel im Hintergrund. Das ist beängstigend: BitLocker sollte nicht stillschweigend darauf vertrauen, dass SSDs die Arbeit erledigen. Dies ist eine neuere Funktion, daher betrifft dieses Problem nur Windows 10 und nicht Windows 7.
Wie ein Angreifer dies ausnutzen könnte: Windows sagt möglicherweise, dass BitLocker aktiviert ist, aber BitLocker sitzt möglicherweise untätig daneben und lässt Ihre SSD beim sicheren Verschlüsseln Ihrer Daten fehlschlagen. Ein Angreifer könnte möglicherweise die schlecht implementierte Verschlüsselung in Ihrem Solid-State-Laufwerk umgehen, um auf Ihre Dateien zuzugreifen.
Die Lösung: Ändern Sie die Option „Verwendung hardwarebasierter Verschlüsselung für Festplattenlaufwerke konfigurieren“ in der Windows-Gruppenrichtlinie auf „Deaktiviert“. Sie müssen das Laufwerk anschließend entschlüsseln und erneut verschlüsseln, damit diese Änderung wirksam wird. BitLocker hört auf, Laufwerken zu vertrauen, und erledigt die gesamte Arbeit in Software anstelle von Hardware.
TPM-Chips können entfernt werden
Ein Sicherheitsforscher demonstrierte kürzlich einen weiteren Angriff. BitLocker speichert Ihren Verschlüsselungsschlüssel im Trusted Platform Module (TPM) Ihres Computers, einer speziellen Hardware, die manipulationssicher sein soll. Leider könnte ein Angreifer verwenden ein $27-FPGA-Board und etwas Open-Source-Code um es aus dem TPM zu extrahieren. Dies würde die Hardware zerstören, aber das Extrahieren des Schlüssels und das Umgehen der Verschlüsselung ermöglichen.
Wie ein Angreifer dies ausnutzen kann: Wenn ein Angreifer Ihren PC besitzt, kann er theoretisch all diese ausgefallenen TPM-Schutzmaßnahmen umgehen, indem er die Hardware manipuliert und den Schlüssel extrahiert, was nicht möglich sein sollte.
Die Lösung: Konfigurieren Sie BitLocker so, dass eine Pre-Boot-PIN in der Gruppenrichtlinie erforderlich ist. Die Option „Start-PIN mit TPM erforderlich“ zwingt Windows dazu, eine PIN zu verwenden, um das TPM beim Start zu entsperren. Sie müssen beim Hochfahren Ihres PCs eine PIN eingeben, bevor Windows gestartet wird. Dadurch wird das TPM jedoch mit zusätzlichem Schutz gesperrt, und ein Angreifer kann den Schlüssel nicht aus dem TPM extrahieren, ohne Ihre PIN zu kennen. Das TPM schützt vor Brute-Force-Angriffen, sodass Angreifer nicht jede PIN einzeln erraten können.
Schlafende PCs sind anfälliger
Microsoft empfiehlt, den Energiesparmodus zu deaktivieren, wenn BitLocker für maximale Sicherheit verwendet wird. Der Ruhezustand ist in Ordnung – Sie können BitLocker eine PIN anfordern lassen, wenn Sie Ihren PC aus dem Ruhezustand reaktivieren oder wenn Sie ihn normal starten. Im Ruhemodus bleibt der PC jedoch mit seinem im RAM gespeicherten Verschlüsselungsschlüssel eingeschaltet.
Wie ein Angreifer dies ausnutzen kann: Wenn ein Angreifer Ihren PC besitzt, kann er ihn aufwecken und sich anmelden. Unter Windows 10 muss er möglicherweise eine numerische PIN eingeben. Mit physischem Zugriff auf Ihren PC kann ein Angreifer möglicherweise auch Direct Memory Access (DMA) verwenden, um den Inhalt des Arbeitsspeichers Ihres Systems abzugreifen und den BitLocker-Schlüssel zu erhalten. Ein Angreifer könnte auch einen Kaltstart-Angriff ausführen – den laufenden PC neu starten und die Schlüssel aus dem RAM holen, bevor sie verschwinden. Dies kann sogar die Verwendung eines Gefrierschranks beinhalten, um die Temperatur zu senken und diesen Prozess zu verlangsamen.
Die Lösung: Versetzen Sie Ihren PC in den Ruhezustand oder fahren Sie ihn herunter, anstatt ihn im Ruhezustand zu lassen. Verwenden Sie eine Pre-Boot-PIN, um den Startvorgang sicherer zu machen und Kaltstartangriffe zu blockieren – BitLocker erfordert auch eine PIN, wenn es aus dem Ruhezustand reaktiviert wird, wenn es so eingestellt ist, dass beim Booten eine PIN erforderlich ist. Mit Windows können Sie auch „Deaktivieren Sie neue DMA-Geräte, wenn dieser Computer gesperrt ist” auch über eine Gruppenrichtlinieneinstellung – das bietet einen gewissen Schutz, selbst wenn ein Angreifer Ihren PC erwischt, während er läuft.
Wenn Sie mehr zu diesem Thema lesen möchten, bietet Microsoft eine detaillierte Dokumentation für Bitlocker sichern auf seiner Webseite.