.: Daniel Melanchthon :.

Banging your head against a wall uses 150 Calories an hour.

Bitte ein Bitlocker!

Bitte ein Bitlocker!

  • Comments 5
  • Likes

Nachträglicher Hinweis am 1. November 2006: Diese Anleitung war für frühere Windows Vista-Versionen und ist mittlerweile überholt!

Nun hat man erfolgreich eine Beta-Version von Windows Vista auf seinem Rechner installiert und fragt sich, was es denn nun mit DRM und TPM so auf sich hat. In einem bekannten deutschen Forum muß zu Vista nur der Begriff TPM gemeinsam genannt werden, um immer wieder eine verbale Schlammschlacht zu eröffnen. Entstammt TPM wirklich dem Reich des Bösen?

Das Gegenteil ist der Fall: Der TPM-Chip eines Notebooks wird in Windows Vista für einen sehr sinnvollen Zweck genutzt, nämlich die Festplattenverschlüsselung mit der Bitlocker-Technologie. Dieses Feature erlaubt die komplette Verschlüsselung der Partition, auf der Vista installiert ist. Zum Einstieg in die Thematik ein paar Links, die die Technik und deren Implementierung genau beschreiben:

Wie kann man Bitlocker nun genau implementieren? Es gibt drei verschiedene Möglichkeiten:

  1. TPM
    Die Nutzung eines TPM-Chips ist transparent für den Endanwender. Für ihn ändert sich an der Bedienung des Computers nichts. Wenn allerdings die Festplatte ausgebaut und in einem anderen Rechner verwendet wird und somit der orginale TPM-Chip nicht ausgelesen werden kann, wechselt BitLocker in den Recovery Mode. Jetzt muß ein Recovery Key angegeben werden, um den Zugriff auf die Partition wieder zu ermöglichen.
  2. Boot-Schlüssel
    Der Benutzer benötigt einen Boot-Schlüssel zum Starten des Computers. Dieser Schlüssel kann entweder ein physikalisches Gerät (zum Beispiel ein USB-Stick mit einem maschinenlesbaren Schlüssel) oder sein oder ist etwas, was man wissen muß (eine benutzerspezifische PIN).
  3. Systeme ohne TPM-Chip
    Viele Computer haben noch gar keinen TPM-Chip der Spezifikation 1.2 eingebaut. Solange das BIOS den USB-Stack während des Bootvorganges einbindet, kann Bitlocker zusammen mit einem USB-Stick genutzt werden. Der Stick muß am Computer vor dem Einschalten eingesteckt sein. Der auf dem Stick gespeicherte Schlüssel wird dann vom Computer während des Bootvorgangs ausgelesen und entsperrt die mit Bitlocker geschützte Partition.

Wenn man dem oben zitierten Whitepaper zur Einrichtung folgt, kann man schon heute mit den aktuellen Beta-Versionen Bitlocker ausprobieren. Voraussetzung ist eine Startpartition von 450 MB Größe, die aktiv gesetzt ist und den Vista-Bootmanager installiert hat. Anbei eine Kurzanleitung für die Nutzung auf Systemen ohne TPM-Chip mit Hilfe eines USB-Sticks, wie ich sie selbst auf meinem Notebook umgesetzt habe.

Ich unterscheide drei verschiedene Szenarien:

  1. Leerer Computer, auf dem Vista mit Bitlocker neu installiert werden soll.
  2. Computer mit bestehender Vista-Installation, auf dem schon eine 450 MB große Partition für die Nutzung durch Bitlocker bei der ursprünglichen Installation vorgesehen wurde.
  3. Computer mit bestehender Vista-Installation, wobei nur eine Partition existiert, die die gesamte Festplatte umfaßt.

Wer auf seinem Computer noch weitere Betriebsysteme oder weitere Festplatten installiert hat, sollte diese Anleitungen nicht Schritt für Schritt befolgen, weil ansonsten eventuell auf die anderen Betriebsysteme nicht mehr zugegriffen werden kann.

Wie immer der obligatorische Hinweis bei der Nutzung von Beta-Software: Bitte nicht im Produktionsbetrieb testen, sondern ausschließlich in einer Testumgebung, bis das Wissen aufgebaut ist, wie die Technik genau funktioniert. Wer mit Bitlocker einen Fehler begeht, kann auf die Daten nicht mehr zugreifen. Es gibt keine Hintertür oder Masterschlüssel!

Bitlocker mit Windows Vista auf leerer Festplatte (alle Daten werden gelöscht)

  1. Booten von der Setup DVD (x86 oder amd64).
  2. Gewünschte Sprache konfigurieren und links unten System recovery options auswählen.
  3. Jedes gefundene OS in den System Recovery Options abwählen und Next klicken.
  4. Command line window auswählen.
  5. Im cmd.exe Fenster folgendes eintippen:
    diskpart.exe
    select disk 0
    clean
    create partition primary
    assign letter=c
    format quick
    shrink minimum=450
    create partition primary
    active
    assign letter=d
    format quick
    exit
    chkdsk /f c:
    chkdsk /f d:
    exit
  6. Zurück in der GUI Close wählen (das rote X in der rechten oberen Ecke) und es geht zurück zum Hauptdialog.
  7. Install now auswählen und die Installation auf die große Partition durchführen 

Bitlocker mit Windows Vista auf einer Festplatte mit zwei Partitionen

  1. Booten von der Setup DVD (x86 oder amd64).
  2. Gewünschte Sprache konfigurieren und links unten System recovery options auswählen.
  3. Jedes gefundene OS in den System Recovery Options abwählen und Next klicken.
  4. Command line window auswählen.
  5. Im cmd.exe Fenster folgendes eintippen:
    diskpart.exe
    select disk 0
    list partition
    select partition 1
    [wenn 1 die 450 MB Partition ist]
    active
    exit
    x:\boot\bootsect /nt60 ALL
    [installiert den Vista-Bootmanager, wobei x: das Laufwerk mit der Setup-DVD ist, ansonsten den richtigen Laufwerksbuchstaben auswählen]
  6. Kopieren der Bootdateien von der Vista Systempartition auf die aktivierte Startpartition [Laufwerksbuchstaben passend auswählen - hier gehe ich davon aus, daß die 450 MB Partition c: und die Vista Systempartition d: ist]
    xcopy d:\boot c:\boot\ /cherky
    attrib –r –s –h d:\bootmgr
    xcopy d:\bootmgr c:\
    attrib +r +h +s c:\bootmgr
    attrib +r +h +s d:\bootmgr
    attrib +r +h +s c:\boot
    chkdsk /f c:
    chkdsk /f d:
    exit
  7. Computer neu starten und die Setup-DVD aus dem Laufwerk nehmen.

Bitlocker mit Windows Vista auf einer Festplatte mit einer Partition über die gesamte Festplatte

  1. Booten von der Setup DVD (x86 oder amd64).
  2. Gewünschte Sprache konfigurieren und links unten System recovery options auswählen.
  3. Jedes gefundene OS in den System Recovery Options abwählen und Next klicken.
  4. Command line window auswählen.
  5. Im cmd.exe Fenster folgendes eintippen:
    diskpart.exe
    select disk 0
    list partition
    select partition 1
    [wenn 1 die 450 MB Partition ist]
    shrink minimum=450
    create partition primary
    active
    assign letter=d
    format quick
    exit
    x:\boot\bootsect /nt60 ALL
    [installiert den Vista-Bootmanager, wobei x: das Laufwerk mit der Setup-DVD ist, ansonsten den richtigen Laufwerksbuchstaben auswählen]
  6. Kopieren der Bootdateien von der Vista Systempartition auf die aktivierte Startpartition [Laufwerksbuchstaben passend auswählen - hier gehe ich davon aus, daß die 450 MB Partition d: und die Vista Systempartition c: ist]
    xcopy c:\boot d:\boot\ /cherky
    attrib –r –s –h c:\bootmgr
    xcopy c:\bootmgr d:\
    attrib +r +h +s d:\bootmgr
    attrib +r +h +s c:\bootmgr
    attrib +r +h +s d:\boot
    chkdsk /f c:
    chkdsk /f d:
    exit
  7. Computer neu starten und die Setup-DVD aus dem Laufwerk nehmen.

Danach kann man in der Systemsteuerung von Windows Vista unter Sicherheit Bitlocker für die Partition aktivieren, auf der Windows Vista installiert ist. Es werden ein Boot-Schlüssel und ein Recovery Passwort erzeugt. Der Boot-Schlüssel muß auf einem USB-Stick gespeichert werden, der zum Booten des Rechners dann eingesetzt sein muß. Das Recovery Passwort kann ausgedruckt und im Safe hinterlegt werden oder auch auf einem eigenen Datenträger abgelegt und danach gesichert aufbewahrt werden.

Neben der manuellen Konfiguration unterstützt Bitlocker auch Scripting und Integration in Active Directory und Verwaltung über Gruppenrichtlinine. Die von Bitlocker genutzten Schlüssel (sowohl TPM, als auch für Recovery) können in Firmenumgebungen auch direkt im Active Directory gespeichert werden.

Mein eigenes Arbeitsnotebook, das mit einem aktuellen Vista-Build läuft, hat zwar keinen TPM-Chip eingebaut - ich nutze aber jetzt schon Bitlocker mit einem externen USB-Stick sehr erfolgreich. Einem eventuellen Notebookverlust durch Diebstahl oder ähnliches kann ich damit heute beruhigter als mit Windows XP entgegensehen, wobei natürlich der Fall nie eintreten soll :-)

Comments
  • Sie zeigen doch bereits selbst, dass der TPM vollkommen überflüssig ist. Die Funktion, die der TPM in Bitlocker übernimmt, lässt sich bereits mit einem simplen USB-Stick erreichen. Desweiteren vergessen Sie zu erwähnen, dass der TPM nicht nur für "gute" Verschlüsselung verwendet werden wird. So werden DRM-Systeme darauf aufsetzen, um den Kunden (bzw. den potentiellen Verbrecher) noch besser und effektiver in seinen Rechten beschneiden zu können.

  • Das ist (leider) die typische Form von Kommentaren, wie man sie immer wieder in einem bekannten deutschen Forum trifft. Der USB-Stick macht den TPM-Chip keineswegs überflüssig. Mit TPM-Chip kann ich zum Beispiel Bitlocker nutzen und den Schlüssel im TPM-Chip abgelegen. Damit kann ich ohne zusätzlichen Stick trotzdem maximale Sicherheit erreichen:

    Wenn ein Angreifer die Festplatte entfernt, um sie in einem anderen System auslesen zu können oder wenn er die Bootkonfiguration verändern möchte, wird das sofort bemerkt und die Festplatte ist nicht mehr zugänglich. Weiterhin läßt sich der TPM-Chip auch noch mit der Eingabe einer PIN kombinieren.

    Leider führt allein der Begriff TPM schon oft zu reflexhaftem Ablehnen mit Verweis auf die Analogie "Kunde=potentieller Verbrecher" und "böse Verschlüsselung" zum "Beschneiden von Kundenrechten".

    Die Verschlüsselung ist doch mit beiden Methoden die gleiche. Nur der Ablageort des Schlüssels ist mit dem TPM wesentlich sicherer zu gestalten als mit einem USB-Stick. Wie einfach läßt sich zum Beispiel der Schlüssel von einem USB-Stick kopieren? Mit Ihrem Argument müssen Sie auch Smartcards und Einmalpaßwortgeneratoren wie SecurID Tokens ablehnen.

  • Sie schreiben:
    Wenn ein Angreifer die Festplatte entfernt, um sie in einem anderen System auslesen zu können oder wenn er die Bootkonfiguration verändern möchte, wird das sofort bemerkt und die Festplatte ist nicht mehr zugänglich.

    Was ist bei der USB-Stick-Lösung daran anders? Wenn der Schlüssel auf dem USB-Stick liegt und der Angreifer nur die Platte hat, kommt er auch nicht an die Daten.

    Zudem ließe sich der Schlüssel auf dem USB-Stick auch verschlüsseln, sodass er für einen Angreifer nutzlos ist. Das TPM bringt keinerlei zusätzliche Funktionalität.

    Das allgemeine Problem, dass ich mit dem TPM habe, ist, dass er dem Nutzer nicht die volle Kontrolle über ihn gewährt. Eine Smartcard kann ich durchbrechen, um sie unbrauchbar zu machen, einen TPM hingegen nicht.

    Im Übrigen finde ich es recht amüsant, dass Sie in dicker roter Schrift betonen müssen, dass es keine Hintertür gibt. Jedoch wird niemand, der wirklich geheime Daten hat, auf dieses Versprechen vertrauen. Nur wenn der Quelltext offenliegt, kann sich der potentielle Nutzer selbst von der Fehlerfreiheit der Verschlüselung überzeugen.

  • -> Es gibt keine Hintertür oder Masterschlüssel!

    -> Microsoft kann für die Richtigkeit und Vollständigkeit der Inhalte in diesem Blog keine Haftung übernehmen.

    hmm ooookkkkaaayyy

  • Hallo Stefan,

    der Schlüssel kann auf dem USB-Stick ausgelesen und vor allem *kopiert* werden. Dafür muß der Stick nur kurz unbeobachtet liegen. Auf dem TPM-Chip dagegen ist der Schlüssel sicher verwahrt. Er läßt sich nur durch einen besonderen, administrativen Zugriff entsiegeln. Das ist der Vorteil gegenüber USB-Sticks.

    Mit dem TPM können die Notebooks geschützt werden, ohne daß ein Benutzer seine Arbeitsweise umstellen muß. Er braucht nicht ein zusätzliches Gerät (was man gern vergißt), er braucht kein weiteres Paßwort und trotzdem ist die Festplatte von einem Angreifer nicht auslesbar.

    Es geht hier um mehr Sicherheit bei geringem Komfortverlust.

    Zu den weiteren Bedenken: Haben Sie schon einmal mit einem TPM-Chip gearbeitet? Sie selbst können ihn aktivieren, deaktivieren, bestimmen, was darin gespeichert wird, etc. Der eine oder andere wird sich vielleicht noch daran erinnern, was für ein Wirbel Intel mit den Prozessorseriennummern verursacht hatte. Auch da wurde der Untergang des Abendlandes vorausgesagt - und nichts dergleichen ist passiert.

    Der TPM-Chip führt zu vielen, polarisierenden Diskussionen. Ich denke, daß sich im praktischen Einsatz der Vorteil einer solchen Lösung zeigen wird und dann auch die jetzigen Kritiker die Technik ein wenig weniger "ideologisiert" betrachten.

    Und zu dem Verweis auf die Formatierung der Warnung: Die fette rote Sschrift soll nur darauf hinweisen, daß sich jeder, der die Technik ausprobiert, im Klaren darüber ist, daß er nicht bei Microsoft anrufen kann, wenn er einen Fehler bei der Schlüsselverwahrung gemacht hat. Schon bei der EFS-Verschlüsselung gibt es keinen Weg, die Verschlüsselung rückgängig zu machen, wenn man den passenden Schlüssel verloren oder die Verschlüsselung angegriffen hat. Wenn man die entsprechenden Newsgroups liest, sieht man, daß das des öfteren passiert. Daher der Hinweis in wenig dezenter Form.

    BTW: Es gibt auch für Windows Programme, über die man bei berechtigtem Interesse den Quellcode einsehen kann ;-)

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment