Ist USB-basierter Bitlocker so sicher wie TPM-basiert?

Question

Ist USB-basierter Bitlocker so sicher wie TPM-basiert?

Mein Computer hat kein TPM

Es gibt eine Option zum Aktivieren von Bitlocker, wenn ich nur USB zum Speichern des privaten Schlüssels verwendet habe

Wie würde sich die Sicherheit in diesem Szenario auswirken?

Ist es so sicher wie TPM?

Wenn mein Haus zum Beispiel von FBI oder Syariah Cops überfallen wurde und sie den USB gefunden haben, aber mein Windows-Passwort nicht kennen, sind meine Daten in Ordnung?

Wenn ich meinen Computer selten herunterfahre und nur in den Ruhezustand versetze, kann ich dann einfach den USB-Stick ausblenden irgendwo?

Auch wie erkläre ich das

Auf Computern ohne kompatibles TPM kann BitLocker Folgendes bereitstellen verschlüsselung, aber nicht die zusätzliche Sicherheit von Schließschlüsseln mit dem TPM. In diesem Fall muss der Benutzer einen Startschlüssel erstellen, der gespeichert auf einem USB-Stick.

Http://windows.microsoft.com/en-id/windows-vista/bitlocker-drive-encryption-overview

1

windows security usb bitlocker tpm

Author: user4951, 2014-09-11

Source

3 answers

score 2 · Answer 1

Der USB-Stick müsste noch in Verbindung mit dem Bitlocker-Passwort verwendet werden, um das Laufwerk zu entschlüsseln, alles, was das TPM-Modul tut, ist es auf dem Modul zu speichern, so dass Sie keinen leicht verlorenen USB-Stick tragen müssen.

Wenn Sie ihnen Ihr Bitlocker-Passwort nicht mitteilen, sind Sie genauso geschützt

score 0 · Answer 2

Das Sicherheitsmodell ist anders. (Diese Antwort ist in Arbeit.)

Starttaste auf USB - Stick

Vorteile:

Kein TPM erforderlich.
2FA: Der Benutzer benötigt sowohl den [[10]} - Startschlüssel (standardmäßig auf einem USB-Stick gespeichert) als auch den [[13]} - PC, um die Systemfestplatte zu entschlüsseln.

Nachteile:

Möglicherweise überschreiben oder formatieren Sie versehentlich Ihr USB-Flashlaufwerk, sodass Sie den Wiederherstellungsschlüssel manuell eingeben müssen in um Windows booten zu können. Dieses Risiko kann durch Verwendung eines USB-Sticks mit Hardware-Schreibschutz gemildert werden.
Wenn Ihr USB - Stick verloren geht oder gestohlen wird, kann ein Angreifer, der in den Besitz davon gelangt, den [[10]} - Startschlüssel daraus lesen (und kopieren). Dieser spezielle Angriff kann durch die Verwendung eines Hardware-verschlüsselten USB-Flashlaufwerks (z. B. this; es gibt andere Marken) gemildert werden.
Wenn Ihr PC ausreichend ist kompromittiert, dann könnte ein Angreifer möglicherweise den - Startschlüssel von Ihrem USB-Flash-Laufwerk lesen, während er während des Startvorgangs in den PC eingelegt wird. Dies gilt auch für Hardware-verschlüsselte USB-Flash-Laufwerke, da diese entsperrt werden müssen, damit der PC booten kann. Wenn Ihr PC jedoch in diesem Ausmaß kompromittiert wäre, wäre derjenige, der ihn kompromittiert hätte, wahrscheinlich bereits in der Lage, alles zu lesen, was BitLocker schützt, dh den Startschlüssel würde wahrscheinlich für sie überflüssig sein.

TPM -

Vorteile:

Sie müssen kein USB-Flash-Laufwerk kaufen.
Kein Risiko, dass das USB - Flash-Laufwerk verloren geht oder gestohlen wird.
Im Gegensatz zu USB-Sticks sollen TPMs verhindern, dass die privaten Daten, die sie speichern, gelesen werden. Stattdessen verwenden sie Challenge-Response-Mechanismen. Daher kann ein Angreifer ohne fortgeschrittene Fähigkeiten oder Ausrüstung den privaten Schlüssel nicht von einem TPM.

Nachteile:

Angreifer mit fortgeschrittenen Fähigkeiten oder Geräten und mit elektronischem oder physischem Zugriff auf den PC können den privaten Schlüssel möglicherweise von einem TPM abrufen, z. B. durch:
- das TPM öffnen und mit einem Elektronenmikroskop seinen Inhalt ablesen; oder
- Einsatz eines [[64]}Seitenkanalangriffs wie RSA Timing analysis oder differential power analysis.
Angreifer mit ausreichend fortgeschrittene Fähigkeiten können das TPM möglicherweise dazu bringen, die Challenge-Response erfolgreich auszuführen , selbst wenn Windows von einem Angreifer geändert wurde. (Dies ist eher ein Angriff gegen "Secure Boot" als gegen BitLocker an sich.) Wenn Ihr PC jedoch in diesem Ausmaß kompromittiert wäre, könnte jeder, der ihn kompromittiert hat, bereits in der Lage sein, alles zu lesen, was BitLocker schützt.
Wenn Sie das BitLocker-geschützte Laufwerk auf ein anderes verschieben PC, Sie müssen manuell den Wiederherstellungsschlüssel eingeben.

score 0 · Answer 3

Kein "USB-basiertes Bitlocker verschlüsseltes Laufwerk" [1] ist nicht so sicher wie das Verschlüsseln eines Laufwerks mit einem TPM & weil:

Im Gegensatz zu früheren (abgelaufen?) antworten, Bitlocker ohne TPM funktioniert nicht mit Multi-Faktoren. Ein Startschlüssel auf einem USB-Stick und ein Bitlocker-Passwort sind also zwei unabhängige Zugriffs - "Schlüssel" auf das Laufwerk. Sie benötigen nur einen, um das Laufwerk zu entsperren.

Solche Schlüssel heißen ' protectors'. Für ein Systemlaufwerk stehen andere Beschützer zur Verfügung als für ein Datenlaufwerk. Ein OS-Laufwerk kann einen Startschlüssel haben. Da ein Datenlaufwerk nicht gebootet wird, kann man in diesem Fall einen' RecoveryKey ' Protector verwenden. Beide erstellen ein *.bek-Datei, die nach dem folgenden Befehl...

manage-bde -protectors -add -help

... kann austauschbar verwendet werden, weil sie beide 'Externe Keyfile' Protektoren sind. Der Befehl listet alle möglichen Beschützer auf. (Passwörter, Chipkarten, Keyfiles, TPM, etc.)

Warum ist TPM sicherer?

Weil Sie mit einem TPM einen Protektor hinzufügen können, der an sich ist hing von mehreren "Geheimnissen" ab. Mögliche Optionen:

TPMAndPIN
TPMAndStartupKey
TPMAndPINAndStartupKey
TPM

Die ersten 3 imitieren das Multi-Faktor-Verhalten, obwohl der TPM-Teil an die Maschine gebunden und nicht mobil ist.

Die USB-basierten Erfahrungen basierten auf einem System ohne TPM. Wenn ein Bootsystem während des Startvorgangs kein USB-Laufwerk mit Startschlüssel sieht, Bitlocker fordert Sie auf, das Kennwort einzugeben, vorausgesetzt, es existiert ein 'Passwortschutz'. Wenn es den Startschlüssel sieht, wird es einfach Windows booten. Ein USB-Laufwerk mit LED können Sie überprüfen, ob das System, wenn auch das Lesen des USB-Laufwerks; einige USB-Ports möglicherweise nicht aktiv vor dem Booten, wenn Sie einige BIOS-Einstellungen optimieren.

Abschluss

Wenn Sie das Laufwerk nur mit a-TPM verschlüsseln, wird das Laufwerk nur geschützt, wenn das Laufwerk selbst auf einen anderen Computer verschoben wird. Jeder kann die ursprüngliche Maschine booten, keine zusätzlichen Geheimnisse sind erforderlich. Dies wäre fast gleichbedeutend mit der Situation, dass ein USB-Laufwerk für Nicht-TPM-Maschinen in den USB-Port stecken bleibt.

Wenn Sie-TPMAndPIN verwenden, müssen Sie beim Booten eine PIN eingeben die sicherer ist als eine Nicht-TPM-USB-Laufwerkvariante, da das Geheimnis etwas ist, das Sie kennen, nicht etwas, das Sie haben; vorausgesetzt, Ihre PIN ist nicht Ihr Geburtstag und lang.

Für den Datensatz können Sie kein TPM für ein Datenlaufwerk verwenden. Aber Sie können Daisy-Chain-Laufwerke zu das ursprüngliche TPM-geschützte Betriebssystem-Laufwerk.

Es wird empfohlen, mehr als einen Beschützer hinzuzufügen, falls Sie den primären verlieren oder vergessen. Ein numerisches Passwort (- RecoveryPassword) könnte an einem sicheren Ort gespeichert werden.

Wenn Sie nur Zugriff auf ein Nicht-TPM-System haben: Konfigurieren Sie einen Yubikey mit einem langen statischen Passwort von 25-30 Zeichen. Verwenden Sie dieses Passwort zusätzlich mit etwas, das Sie vor oder nach dem statischen Passwort verketten (5-10) als Passwortschutz für Bitlocker. Das ahmt nach multi-Faktor-Authentifizierung, obwohl für Puristen ist es nicht real MFA.

[1] = ab Thema Starter: Laufwerk verschlüsselt mit Bitlocker ohne TPM und mit Startschlüssel auf USB-Laufwerk.

Ich habe das Wort "Laufwerk" verwendet; Sie können dies als "Partition" lesen, da Bitlocker pro Partition und nicht pro Laufwerk aktiviert ist.

Https://docs.microsoft.com/nl-nl/windows/security/information-protection/bitlocker/bitlocker-device-encryption-overview-windows-10