Bitlocker: Perfekter Datenschutz
Verschlüsseltes Vista
Windows-Passwort stellt keine Sicherheit dar
Bitlocker: Perfekter Datenschutz
Windows-Systeme zu hacken ist bisher noch zu einfach: Wer den PC mit Bootmedien wie einer Linux-Live-CD startet, kann auch Schutzmechanismen wie die NTFS-basierte Verschlüsselung EFS (Encrypting File System) aushebeln. Denn EFS verschlüsselt nicht alle auf der Festplatte gespeicherten Daten. Zahlreiche Pre-Boot- und Systemdateien sowie temporäre Daten bleiben für Hacker angreifbar. Besonders fahrlässig: Selbst wertvolle Daten auf gestohlenen und verlorenen Notebooks wurden von den meisten Anwendern zuvor nicht einmal durch EFS geschützt. Ein Windows-Passwort allein verhindert eben nicht den Datenklau per Live-CD.
Die totale Verschlüsselung
Hier setzt Bitlocker an. Das auch als Full Volume Encryption (FVE) bekannte Vista-Feature verschlüsselt das Betriebssystem-Laufwerk (Volume) komplett sektorbasiert. Es schützt also sämtliche Daten inklusive Auslagerungsdatei (Paging File), Speicherabbilder (Hibernation File) und aller Systemdateien. Werden auf dem verschlüsselten Laufwerk Applikationen von Drittanbietern installiert, so schützt Bitlocker auch deren Daten unter seinem Dach (Umbrella Protection). Wer die so genannte Bitlocker-Laufwerkverschlüsselung aktiviert, muss aber bedenken, dass nicht die gesamte Festplatte geschützt wird. Bitlocker verschlüsselt nur die Partition, auf der Windows Vista installiert ist. Existieren daneben noch Daten-Partitionen, bleiben diese ungeschützt. Microsoft geht davon aus, dass Anwender solche Partitionen per EFS absichern. Denn EFS wird indirekt ebenfalls durch Bitlocker geschützt, da die EFS-Schlüssel sich auf der verschlüsselten Betriebssystem-Partition befinden. Mit Windows Vista Enterprise und Ultimate wird Bitlocker automatisch installiert, erfordert jedoch eine spezielle Partitionierung der Festplatte und muss manuell aktiviert werden (siehe Kasten). Andere Vista-Versionen unterstützen Bitlocker hingegen gar nicht. Umständlich: Wer die Laufwerksverschlüsselung unter Longhorn Server nutzen will, muss die Bitlocker-Dateien erst von der DVD nachinstallieren, BIOS und TPM auf Kompatibilität prüfen sowie die TPM- und Bitlocker-Treiber nachrüsten.
Systemvoraussetzungen
Bitlocker: Perfekter Datenschutz
Um alle Sicherheitsfunktionen von Bitlocker nutzen zu können, muss Ihr PC über folgende Komponenten verfügen: K TPM-Chip der Spezifikation 1.2 K TCG 1.2-konformes BIOS K USB-Support durch BIOS in der Pre-Boot-Phase K eine Boot-Partition für Windows K eine unverschlüsselte Systempartition größer als 50 MByte für hardwarespezifische Daten, die das BIOS nach dem Booten der Plattform für das Laden von Windows benötigt K einen USB-Stick für das Speichern des Recovery-Schlüssels
Nutzungsvarianten
Je nach Ausstattung des PCs und Sicherheitsbedürfnis des Anwenders lässt Bitlocker fünf Start-Optionen zu.
(1) PC ohne TPM: Wer keinen TPM in seinem PC hat, kann Bitlocker dennoch nutzen. Dafür wird der für das Entschlüsseln der Daten nötige Startup-Key auf einen USB-Stick gespeichert. Dieser muss sich im PC befinden, damit Bitlocker das Booten ermöglicht.
(2) PC mit TPM: Das Entschlüsseln der Daten ist an die im TPM gespeicherte Prüfsumme der erkannten Systemkomponenten gebunden. Wie unter (1) kann der Zugriff zunächst nur auf dem PC erfolgen, auf dem die Daten verschlüsselt wurden.
(3) TPM und PIN: Als zusätzlichen Authentifizierungsfaktor müssen Sie bei jedem Neustart eine vier- bis 20-stellige PIN (Persönliche Identifikationsnummer) eingeben.
(4) TPM und Startup-Key: Statt eine PIN einzugeben, schließen Sie einen USB-Stick an, von dem der benötigte Startup-Key gelesen wird. Ohne diesen bootet Bitlocker das System nicht und bricht den Vorgang ab.
(5) Recovery-Schlüssel: Um nach einem Fehler in der Prüfsumme, etwa durch einen Hacker-Angriff oder den Einbau der Festplatte in einen anderen PC, dennoch auf die Daten zugreifen zu können, entschlüsselt Bitlocker diese auch per Recovery-Key. Dieser kann über die [F]-Tasten als Recovery-PIN eingetippt, von einem Netzlaufwerk oder einem USB-Stick eingelesen werden.
Prüfung früher Boot-Komponenten
Bitlocker: Perfekter Datenschutz
Haben Sie beim Aktivieren von Bitlocker die gewünschten Sicherheitsoptionen gewählt, ist ein Reboot erforderlich, bevor die Vista-Partition verschlüsselt wird. Bitlocker ermittelt dabei auch einen Fingerabdruck früher Boot-Komponenten. Dieser Prüfsummen-Hashwert soll später sicherstellen, dass das System nicht manipuliert wurde.
Nur wenn der standardmäßig im TPM gespeicherte Fingerabdruck unverändert ist, beginnt Bitlocker die mehrstufige Entschlüsselung und leitet den Boot-Prozess ein.
Damit sollen PCs besser vor Bootsektor-Viren und Rootkit-Attacken geschützt werden. Verändert ein Angreifer etwa den Bootsektor, baut der Anwender die verschlüsselte Festplatte in einen anderen PC ein oder tauscht das Mainboard aus, verändert sich dieser Hashwert und Bitlocker blockiert den Zugriff auf Betriebssystem und Daten. Erst wenn die Integrität der überwachten Bootkomponenten sichergestellt ist, weist Bitlocker den TPM an, die restlichen Daten zu entschlüsseln. Danach wird die Verantwortung für den Systemschutz dem Betriebssystem übergeben. Von der Integritätsprüfung erfasst werden etwa BIOS, Master Boot Record, Boot-Manager, NTFS-Boot-Sektor, NTFS-Boot-Block und das CRTM (Core Root of Trust of Measurement).
Mehrstufiger Schlüsselkasten
Bitlocker: Perfekter Datenschutz
Die Verschlüsselung durch Bitlocker erfolgt sektorbasiert. Und wie die Grafik auf Seite 156 zeigt, sind die Daten durch die erforderlichen Schlüssel mehrfach vor unbefugtem Zugriff geschützt. Die Basis stellt der Full Volume Encryption Key (FVEK) dar, der die Daten direkt auf der Festplatte verschlüsselt. Bitlocker unterstützt dafür derzeit zwischen 128 und 512 Bit. Die Standardverschlüsselung erfolgt mit einem 128 Bit starken AES-Algorithmus. Der FVEK wird wiederum durch den Volume Master Key (VMK) verschlüsselt.
Den Ablauf der Entschlüsselung der Daten zeigt die Grafik auf Seite 155. Um auf verschlüsselte Daten zugreifen zu können, wenn Bitlocker deaktiviert wurde, existiert auch ein so genannter Clear Key. Dieser wird unverschlüsselt auf der Festplatte gespeichert und nutzt VMK und FVEK, um die trotz Bitlocker-Deaktivierung weiterhin verschlüsselten Daten verfügbar zu machen. Wird Bitlocker wieder aktiviert, besteht natürlich kein Zugriff auf einen Clear Key. Zusätzlich zu den an den TPM gebundenen Schlüsseln können Sie einen Startup-Key auf einen USB-Stick speichern. Dieser muss beim Booten angeschlossen sein und stellt neben dem TPM einen zweiten Authentifizierungsfaktor dar.
Rettungsstrategie inklusive
Bitlocker: Perfekter Datenschutz
Verschlüsselung ist stets eine riskante Sache. Kommt der Schlüssel zum Dechiffrieren der Daten abhanden, sind diese hoffnungslos verloren. So kann auch der TPM einen Defekt aufweisen, der Startup-Key zerstört sein, oder Sie haben Ihre PIN vergessen, müssen Boot-Komponenten updaten, das Mainboard austauschen oder wollen das verschlüsselte Laufwerk in einem anderen PC nutzen. In all diesen Fällen wären Ihre Daten rettungslos verloren, gäbe es nicht die Recovery-Konsole von Bitlocker.
Über diese und den entsprechenden Recovery-Schlüssel kommen Sie imm
er wieder an Ihre Daten. Legen Sie beim Aktivieren von Bitlocker also unbedingt ein Wiederherstellungs-Passwort an. Dieser 48-stellige Code besteht aus acht Blöcken mit je sechs Ziffern. Sie können ihn anzeigen, ausdrucken und als Textdatei speichern, etwa auf einem USB-Stick. Parallel zu Ihrem Passwort speichert Bitlocker den Recovery-Key, das Äquivalent zum Startup-Key. Der Recovery-Key entschlüsselt seinerseits eine Kopie des verschlüsselten VMK-BLOB (Binary Large Object), der den Zugriff auf die Daten ermöglicht.
Wenn Sie also ein Bitlocker-geschütztes Laufwerk in einen anderen PC einbauen, muss lediglich der USB-Stick mit dem Recovery-Key angeschlossen sein, um die verschlüsselte Partition nutzen zu können. Die Wiederherstellungs-Codes sollten Sie sehr sicher verwahren, da sie den Zugriff auf alle verschlüsselten Daten völlig unabhängig vom TPM erlauben. Um für alle Eventualitäten gerüstet zu sein, können Sie Ihren Recovery-Key auch auf einen weiteren USB-Stick kopieren und diesen an einem anderen sicheren Ort bewahren. Administratoren können das Anlegen von Recovery-Keys per Group-Policy allerdings auch unterbinden.
Bitlocker auf dem Server
Bitlocker: Perfekter Datenschutz
Wie bereits erwähnt, unterstützt auch Longhorn Server die Laufwerksverschlüsselung. Anders als bei der Client-Variante chiffrieren Sie hier jedoch auch Daten-Partitionen. Diese werden dann zwar durch andere Schlüssel geschützt als die System-Partition, werden aber von Longhorn ganz normal gemountet. Denn die Schlüssel der Daten-Volumes liegen auf dem System-Volume. Ein so genannter externer Wrapping-Key (EWK) schützt die Daten-VMKs mit 256 Bit AES. Für das automatische Entschlüsseln der Daten-Laufwerke ist ein Feature namens Auto-Unlock zuständig.
Diese Funktion kopiert dann den EWK selbstständig in die Registry der Betriebssystem-Partition. So sind Daten-Volumes nur nutzbar, wenn auch das OS-Volume einwandfrei startet. Den kopierten EWK löscht das System wieder, wenn Bitlocker auf dem System-Laufwerk deaktiviert wird. Dann muss der Admin den Wiederherstellungs-Schlüssel per Hand eingeben, um auf die Daten zugreifen zu können. Für das Recovery-Szenario von Daten-Partitionen muss entsprechend auch eine Kopie des EWK auf einem USB-Stick vorliegen.
Weitere Infos
Bitlocker: Perfekter Datenschutz
Verschlüsselungs-Tools, viele weitere technische Details sowie einen längeren Workshop zu Bitlocker (englisch) finden Sie zusätzlich auf der Heft-CD: I PCP-Code: CRYPTO
Zusatzinfos rund um Bitlocker bietet auch das Technet von Microsoft: www.microsoft.com/technet/windowsvista/security/bitlockr.mspx
Bitlocker-Spezifikationen und White- papers für Entwickler und Profis: www.microsoft.com/whdc/system/platform/hwsecurity/
Website der TCG mit
Details zu den TCG/TPM-Spezifikationen:
www.trustedcomputinggroup.org
Tutorials und viel Know-how auch zum Thema Verschlüsselung:
www.admin-wissen.de