Bitlocker Erfahrungen und Anwenderberichte

Hi.
Zu Vollverschlüsselung muss man wissen, dass diese erst richtig sicher wird (gegen sogenannte "cold-boot-Attacken"), wenn man eine Preboot-Kennwortabfrage einschaltet. Dies geht bei Bitlocker über eine PIN.
Fünfenscanner: kein Problem. Vierenscanner: weiß ich nicht.
Win8: kein Problem
Extern auslesen: nur wenn das andere System Bitlocker hat. Dann wird ein Kennwort abgefragt.

Moin,

ich setzte Bitlocker auf ca 10 Laptops ein.
Die PIN-Abfrage habe ich nicht implementiert.
Erfahrung sind gut, sofern fu die Keys aufbewahrst (an einem sicheren Ort).
Einmal ist mir ein TPM-Chip durchgebraten, ein weiteres mal hat ein Hardwaretausch (war glaube ich nur ne andere USB_Maus - da kann ich mich täuschen, war aber nichts wildes) zu einer Schlüsseleingabe gezwungen, lief aber reibungslos.
Speziell Lappi´s ab Core2Duo oder vergleichbar haben ausreichend Leistung fürs Ver- und Entschlüsseln und Virenscanner ist auch kaum ein Problem (Avira Pro).
Erstverschlüsselung (core i5, fragt nicht nach dem Modell) dauert bei einer 320er Platte (50/50-Partition) ca 1,5 STd., ältere Core2Duo (Modell um T2400) benötigen (auch dank langsamerer Platte) deutlich länger (bis zu 8 Stunden)...
Allerings wirst du wirst du wohl nicht per USB an die HDD rankommen (das ist ja auch eigentlich nicht erwünscht), auch klonen wirst du nicht können (zumindest ghoffe ich, dass das nichts bringt)
Win8 ?!?
Probier es aus und berichte !!!

Gruß

Carsten

@Carsten:
-Klonen kann man gebitlockerte Platten dann, wenn man sie im laufenden Betrieb imaged. Geht mit allen Verschlüsselungen.
-man kommt per USB oder was auch immer ran
Solltest Du. Siehe http://www.youtube.com/watch?v=JDaicPIgn9 ... - anwendbar auf alle Verschlüsselungen ohne preboot Authentifizierung.

Edit: Klonen kann man natürlich auch über Sektorkopierprogramme wie Clonezilla.

Hallo,


Kann ich nicht bestätigen. Ob die FDE für ein Imaging transparent ist, hängt von den jeweiligen Lösung ab. Bitlocker bietet da aus meiner Sicht einen wesentlichen Kompatibilitätsvorteil. Dennoch funktioniert das Imaging unter Windows 7 z.B. mit Acronis B&R 10 erst ab einem bestimmten Build reibungsfrei.


Alle RAM-basierten Angriffsmöglichkeiten (derzeit Cold-Boot, DMA und Bus-Catcher) funktionieren unabhängig von der Authentifizierungsmethode gegen alle konventionellen FDE-Lösungen. Vielleicht verstehe ich dich falsch, aber eine Preboot-Authentifizierung ist schon prinzipbedingt Bestandteil der FDE, wer oder was (TPM) sich authentifiziert, ist erst mal egal. Unterschiede je nach der gewählten Authentifizierungsmethode ergeben sich für Bitlocker bei der Umsetzung eines Evil-Maid-Angriffs. Dabei stellt allerdings nicht die PIN sondern ein TPM das größte Hindernis für eine fehlerfreie Preboot-Interaktion dar.

Grüße
Richard

Hallo Richard.
Zum Klonen: Ich kann es mit allen mir bekannten Verschlüsselungen bestätigen und zwar sowohl für online-Imaging (drive snapshot wird verwendet) als auch für offline cloning mit clonezilla. Verwendete Verschlüsselungen: Bitlocker, PGP WDE 10, Truecrypt 5/6/7, Seagate FDE.

Zum Thema PBA (preboot Authentifizierung):
Das stimmt ganz und gar nicht für coldboot. Sieh mal bitte, wer das Video gemacht hat: nicht Hans Wurst, sondern das Center for Information Technology Policy der Universität Princeton. Wie DMA und DBUS-Catcher vor dem Überwinden der PBA an die Daten kommen sollen, erläutere bitte.

Nun ja, ich habe verschiedene Versionen von Bitlocker, PGP, SecureDoc und SafeGuard gegen verschiedene Acronis und Symantec Lösungen/Versionen/Builds getestet und das Bild daraus ist halt ein anderes, gemischtes. Die Build von Acronis, die Biltocker unter Windows 7 nicht packt (bzw. in neun von zehn Fällen am Ende einen Fehler ausspuckt), ist unter Vista problemlos einsetzbar. Die Hersteller räumen schließlich auch ein, dass bestimmte Konstellationen nicht unterstützt werden. Es lassen sich jeweils funktionierende Kombinationen finden, keine Frage. Aber ebenso funktioniert vieles nicht bzw. ich habe nicht die Erkenntnisse dazu, dass ich einem Kunden sagen könnte, es würde pauschal tadellos funktionieren.


Da haben wir uns missverstanden bzw. Du hast Cold-Boot in eine meines Erachtens etwas unorthodoxe Assoziationskette gesetzt.
An dem Video habe ich nichts auszusetzen, eine tadellose CB-Attacke. Aber wie alle RAM-Methoden eben gegen ein laufendes, entsperrtes System. Ich wollte nur darauf hinweisen, dass es bei dieser Art von Angriffen nicht darauf ankommt, wie das System entsperrt wurde, denn einen anderen Eindruck hat dein Beitrag für mich erweckt.
Wenn ich Dich jetzt richtig verstanden habe, hast Du dich auf eine Anwendbarkeit der CB-Attacke gegen ausgeschaltete, durch Nur-TPM-Konfiguration selbst entsperrende Systeme bezogen. So ein Vorgehen ist natürlich denkbar und durch eine PIN zu verhindern (durch USB-Stick aber auch). Allerdings besteht bei solchen Systemen selten der Bedarf, überhaupt den kryptografischen Schlüssel zu ermitteln. Das müsste eine nicht transportable Maschine mit nicht abtrennbarem TPM sein. Und dann würde ich es lieber über DMA machen, was bei Servern eigentlich immer geht.
Man muss einfach auseinander halten: Angriffsvektor für RAM-Methoden ist nicht die Preboot-Authentifizierung und da ist diesbezüglich nichts zu reißen. Wodurch im Anwendungsfall eine Authentifizierung beim Start erzwungen werden sollte, ist eine andere Frage. Wenn der Angreifer die konkreten Authentifizierungsmittel aufbringen kann, sei es, dass sie im gestohlenen Laptop eingebaut sind oder noch am USB-Port stecken, sind RAM-Methoden das geringste Problem des Besitzers.

Grüße
Richard