Connect with us

Wie man

So schützen Sie Ihre mit BitLocker verschlüsselten Dateien vor Angreifern

So schützen Sie Ihre mit BitLocker verschlüsselten Dateien vor Angreifern

BitLocker, die in Windows integrierte Verschlüsselungstechnologie, hat in letzter Zeit einige Treffer hinnehmen müssen. Ein kürzlich durchgeführter Exploit demonstrierte das Entfernen des TPM-Chips eines Computers, um seine Verschlüsselungsschlüssel zu extrahieren, und viele Festplatten zerstören BitLocker. Hier ist eine Anleitung, um die Fallstricke von BitLocker zu vermeiden.

Beachten Sie, dass alle diese Angriffe physischen Zugriff auf Ihren Computer erfordern. Das ist der Sinn der Verschlüsselung – um einen Dieb, der Ihren Laptop gestohlen hat, oder jemanden daran zu hindern, sich Zugriff auf Ihren Desktop-PC zu verschaffen und Ihre Dateien ohne Ihre Erlaubnis anzuzeigen.

Standard BitLocker ist unter Windows Home nicht verfügbar

Während fast alle modernen Consumer-Betriebssysteme standardmäßig mit Verschlüsselung ausgeliefert werden, bietet Windows 10 immer noch nicht auf allen PCs eine Verschlüsselung. Macs, Chromebooks, iPads, iPhones und sogar Linux-Distributionen bieten allen Benutzern Verschlüsselung. Aber Microsoft bündelt BitLocker immer noch nicht mit Windows 10 Home.

Einige PCs verfügen möglicherweise über eine ähnliche Verschlüsselungstechnologie, die Microsoft ursprünglich als «Geräteverschlüsselung» bezeichnete und jetzt manchmal als «BitLocker-Geräteverschlüsselung» bezeichnet. Wir werden das im nächsten Abschnitt behandeln. Diese Geräteverschlüsselungstechnologie ist jedoch eingeschränkter als das vollständige BitLocker.

Wie ein Angreifer das ausnutzen kann: Es gibt keine Notwendigkeit für Exploits! Wenn Ihr Windows Home-PC einfach nicht verschlüsselt ist, kann ein Angreifer die Festplatte entfernen oder ein anderes Betriebssystem auf Ihrem PC starten, um auf Ihre Dateien zuzugreifen.

Die Lösung: Zahlen Sie 99 US-Dollar für ein Upgrade auf Windows 10 Professional und aktivieren Sie BitLocker. Sie können auch eine andere Verschlüsselungslösung wie VeraCrypt, den Nachfolger von TrueCrypt, ausprobieren, die kostenlos ist.

BitLocker lädt manchmal Ihren Schlüssel zu Microsoft hoch

Viele moderne Windows 10-PCs verfügen über eine Verschlüsselungsart namens „Geräteverschlüsselung“. Wenn Ihr PC dies unterstützt, wird er automatisch verschlüsselt, nachdem Sie sich mit Ihrem Microsoft-Konto (oder einem Domänenkonto in einem Unternehmensnetzwerk) an Ihrem PC anmelden. Der Wiederherstellungsschlüssel wird dann automatisch auf die Server von Microsoft (oder die Server Ihrer Organisation in einer Domäne) hochgeladen.

Dies schützt Sie vor dem Verlust Ihrer Dateien – selbst wenn Sie Ihr Microsoft-Kontokennwort vergessen und sich nicht anmelden können, können Sie den Kontowiederherstellungsprozess verwenden und wieder auf Ihren Verschlüsselungsschlüssel zugreifen.

Wie ein Angreifer das ausnutzen kann: Das ist besser als keine Verschlüsselung. Dies bedeutet jedoch, dass Microsoft gezwungen sein könnte, Ihren Verschlüsselungsschlüssel mit einem Haftbefehl an die Regierung weiterzugeben. Oder, noch schlimmer, ein Angreifer könnte theoretisch den Wiederherstellungsprozess eines Microsoft-Kontos missbrauchen, um Zugriff auf Ihr Konto und Ihren Verschlüsselungsschlüssel zu erhalten. Wenn der Angreifer physischen Zugriff auf Ihren PC oder seine Festplatte hatte, könnte er diesen Wiederherstellungsschlüssel verwenden, um Ihre Dateien zu entschlüsseln – ohne Ihr Passwort zu benötigen.

Die Lösung: Zahlen Sie 99 US-Dollar für ein Upgrade auf Windows 10 Professional, aktivieren Sie BitLocker über die Systemsteuerung und entscheiden Sie sich, keinen Wiederherstellungsschlüssel auf die Server von Microsoft hochzuladen, wenn Sie dazu aufgefordert werden.

Viele Solid-State-Laufwerke brechen die BitLocker-Verschlüsselung

Einige Solid-State-Laufwerke werben für die Unterstützung der „Hardwareverschlüsselung“. Wenn Sie ein solches Laufwerk in Ihrem System verwenden und BitLocker aktivieren, vertraut Windows darauf, dass Ihr Laufwerk die Aufgabe erledigt und nicht die üblichen Verschlüsselungstechniken ausführt. Wenn das Laufwerk die Arbeit in Hardware erledigen kann, sollte das schließlich schneller sein.

Es gibt nur ein Problem: Forscher haben herausgefunden, dass viele SSDs dies nicht richtig implementieren. Beispielsweise schützt die Crucial MX300 Ihren Verschlüsselungsschlüssel standardmäßig mit einem leeren Passwort. Windows sagt möglicherweise, dass BitLocker aktiviert ist, aber es tut möglicherweise nicht viel im Hintergrund. Das ist beängstigend: BitLocker sollte nicht stillschweigend darauf vertrauen, dass SSDs die Arbeit erledigen. Dies ist eine neuere Funktion, daher betrifft dieses Problem nur Windows 10 und nicht Windows 7.

Wie ein Angreifer das ausnutzen könnte: Windows sagt möglicherweise, dass BitLocker aktiviert ist, aber BitLocker sitzt möglicherweise untätig daneben und lässt Ihre SSD beim sicheren Verschlüsseln Ihrer Daten fehlschlagen. Ein Angreifer könnte möglicherweise die schlecht implementierte Verschlüsselung in Ihrem Solid-State-Laufwerk umgehen, um auf Ihre Dateien zuzugreifen.

Die Lösung: Ändern Sie die Option «Verwendung der hardwarebasierten Verschlüsselung für Festplattenlaufwerke konfigurieren» in der Windows-Gruppenrichtlinie auf «Deaktiviert». Sie müssen das Laufwerk anschließend entschlüsseln und erneut verschlüsseln, damit diese Änderung wirksam wird. BitLocker hört auf, Laufwerken zu vertrauen, und erledigt die gesamte Arbeit in Software anstelle von Hardware.

TPM-Chips können entfernt werden

Ein Sicherheitsforscher demonstrierte kürzlich einen weiteren Angriff. BitLocker speichert Ihren Verschlüsselungsschlüssel im Trusted Platform Module (TPM) Ihres Computers, einer speziellen Hardware, die manipulationssicher sein soll. Leider könnte ein Angreifer verwenden ein $27-FPGA-Board und etwas Open-Source-Code um es aus dem TPM zu extrahieren. Dies würde die Hardware zerstören, würde jedoch das Extrahieren des Schlüssels und das Umgehen der Verschlüsselung ermöglichen.

Wie ein Angreifer das ausnutzen kann: Wenn ein Angreifer Ihren PC hat, kann er theoretisch all diese ausgefallenen TPM-Schutzmaßnahmen umgehen, indem er die Hardware manipuliert und den Schlüssel extrahiert, was nicht möglich sein soll.

Die Lösung: Konfigurieren Sie BitLocker so, dass eine Pre-Boot-PIN in der Gruppenrichtlinie erforderlich ist. Die Option «Start-PIN mit TPM erforderlich» erzwingt Windows, eine PIN zu verwenden, um das TPM beim Start zu entsperren. Sie müssen beim Hochfahren Ihres PCs eine PIN eingeben, bevor Windows gestartet wird. Dadurch wird das TPM jedoch mit zusätzlichem Schutz gesperrt, und ein Angreifer kann den Schlüssel nicht aus dem TPM extrahieren, ohne Ihre PIN zu kennen. Das TPM schützt vor Brute-Force-Angriffen, sodass Angreifer nicht jede PIN einzeln erraten können.

Schlafende PCs sind anfälliger

Microsoft empfiehlt, den Energiesparmodus zu deaktivieren, wenn BitLocker für maximale Sicherheit verwendet wird. Der Ruhezustand ist in Ordnung – Sie können BitLocker eine PIN anfordern lassen, wenn Sie Ihren PC aus dem Ruhezustand reaktivieren oder wenn Sie ihn normal starten. Im Ruhemodus bleibt der PC jedoch mit seinem im RAM gespeicherten Verschlüsselungsschlüssel eingeschaltet.

Wie ein Angreifer das ausnutzen kann: Wenn ein Angreifer über Ihren PC verfügt, kann er ihn aufwecken und sich anmelden. Unter Windows 10 muss er möglicherweise eine numerische PIN eingeben. Bei physischem Zugriff auf Ihren PC kann ein Angreifer möglicherweise auch direkten Speicherzugriff (DMA) verwenden, um den Inhalt des Arbeitsspeichers Ihres Systems zu erfassen und den BitLocker-Schlüssel zu erhalten. Ein Angreifer könnte auch einen Kaltstart-Angriff ausführen – den laufenden PC neu starten und die Schlüssel aus dem RAM holen, bevor sie verschwinden. Dies kann sogar die Verwendung eines Gefrierschranks beinhalten, um die Temperatur zu senken und diesen Prozess zu verlangsamen.

Die Lösung: Versetzen Sie Ihren PC in den Ruhezustand oder fahren Sie ihn herunter, anstatt ihn im Ruhezustand zu lassen. Verwenden Sie eine Pre-Boot-PIN, um den Startvorgang sicherer zu machen und Kaltstartangriffe zu blockieren – BitLocker erfordert auch eine PIN, wenn es aus dem Ruhezustand reaktiviert wird, wenn es so eingestellt ist, dass beim Booten eine PIN erforderlich ist. Windows lässt Sie auch „Deaktivieren Sie neue DMA-Geräte, wenn dieser Computer gesperrt ist” auch über eine Gruppenrichtlinieneinstellung – das bietet einen gewissen Schutz, selbst wenn ein Angreifer Ihren PC ergreift, während er läuft.

Wenn Sie mehr zu diesem Thema lesen möchten, bietet Microsoft eine detaillierte Dokumentation für Bitlocker sichern auf seiner Webseite.

Continue Reading
Click to comment

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Tendencia