So aktivieren Sie Bitlocker, wenn es deaktiviert ist. So verschlüsseln Sie ein Laufwerk oder Flash-Laufwerk mit geheimen Daten mithilfe von Bitlocker

16.02.2022 |

BitLocker-Laufwerkverschlüsselung

Bitlocker – BitLocker (vollständiger Name BitLockerDrive Encryption) ist in die Betriebssysteme Windows Vista Ultimate/Enterprise, Windows 7 Ultimate, Windows Server 2008 R2, Windows Server 2012 und Windows 8 integriert.

Mit BitLocker können Sie das gesamte Speichermedium (logisches Laufwerk, SD-Karte, USB-Stick) verschlüsseln. Gleichzeitig werden die Verschlüsselungsalgorithmen AES 128 und AES 256 unterstützt.

Vielleicht interessiert Sie auch der Artikel „“, in dem wir versucht haben herauszufinden, ob es möglich ist, die Windows-Festplattenverschlüsselung zu knacken.

Der Wiederherstellungsschlüssel für die Verschlüsselung kann auf einem Computer, auf einem USB-Gerät oder auf einem TPM-Hardwarechip (Trusted Platform Module) gespeichert werden. Sie können auch eine Kopie des Schlüssels in Ihrem Microsoft-Konto speichern (aber warum?).

ERLÄUTERUNG Sie können den Schlüssel nur auf Computern im TPM-Chip speichern, bei denen der TPM-Chip im Motherboard integriert ist. Wenn die Hauptplatine des Computers mit einem TPM-Chip ausgestattet ist, kann der Schlüssel entweder nach Authentifizierung mit einem USB-Stick/einer Smartcard oder nach Eingabe eines PIN-Codes daraus ausgelesen werden.

Im einfachsten Fall können Sie den Benutzer mit einem regulären Passwort authentifizieren. Für James Bond wird diese Methode natürlich nicht funktionieren, aber für die meisten normalen Benutzer, die einige ihrer Daten vor Kollegen oder Verwandten verbergen möchten, wird sie völlig ausreichen.

Mit BitLocker können Sie jedes Volume verschlüsseln, einschließlich des Startvolumes – also des Volumes, von dem aus Windows startet. Dann muss das Passwort beim Booten eingegeben werden (oder andere Authentifizierungsmittel wie TPM verwenden).

BERATUNG Ich rate Ihnen dringend davon ab, Ihr Boot-Volume zu verschlüsseln. Erstens nimmt die Leistung ab. Auf der Website technet.microsoft heißt es, dass der Leistungsabfall typischerweise 10 % beträgt, aber in Ihrem speziellen Fall können Sie mit einer stärkeren „Verlangsamung“ des Computers rechnen – alles hängt von seiner Konfiguration ab. Und tatsächlich müssen nicht alle Daten verschlüsselt werden. Warum dieselben Programmdateien verschlüsseln? Es gibt nichts Vertrauliches an ihnen. Zweitens, wenn etwas mit Windows passiert, befürchte ich, dass alles schlimm enden kann – das Formatieren des Volumes und der Verlust von Daten.

Daher ist es am besten, ein Volume zu verschlüsseln – ein separates logisches Laufwerk, ein externes USB-Laufwerk usw. – und dann alle Ihre geheimen Dateien auf diesem verschlüsselten Laufwerk abzulegen. Sie können auch Programme, die geschützt werden müssen, auf einer verschlüsselten Festplatte installieren, beispielsweise dasselbe 1C Accounting.

Sie werden eine solche Festplatte nur bei Bedarf anschließen – doppelklicken Sie auf das Festplattensymbol, geben Sie das Passwort ein und erhalten Sie Zugriff auf die Daten.

Was kann mit BitLocker verschlüsselt werden?

Sie können jedes Laufwerk außer Netzwerk- und optischen Laufwerken verschlüsseln. Hier ist eine Liste der unterstützten Laufwerksverbindungstypen: USB, Firewire, SATA, SAS, ATA, IDE, SCSI, eSATA, iSCSI, Fibre Channel.

Die Verschlüsselung von über Bluetooth verbundenen Volumes wird nicht unterstützt. Und obwohl die Speicherkarte eines über Bluetooth mit einem Computer verbundenen Mobiltelefons wie ein separater Datenträger aussieht, kann sie nicht verschlüsselt werden.

Unterstützt werden die Dateisysteme NTFS, FAT32, FAT16 und ExFAT. Andere Dateisysteme werden nicht unterstützt, einschließlich CDFS, NFS, DFS, LFS und Software-RAID-Arrays (Hardware-RAID-Arrays werden unterstützt).

Sie können Solid-State-Laufwerke verschlüsseln: (SSD-Laufwerke, Flash-Laufwerke, SD-Karten), Festplatten (einschließlich der über USB angeschlossenen). Die Verschlüsselung anderer Laufwerkstypen wird nicht unterstützt.

BitLocker-Laufwerkverschlüsselung

Gehen Sie zu Ihrem Desktop, starten Sie den Datei-Explorer und klicken Sie Klicken Sie mit der rechten Maustaste auf die Festplatte, die Sie verschlüsseln möchten. Ich möchte Sie daran erinnern, dass es sich dabei um ein logisches Volume, eine SD-Karte, ein Flash-Laufwerk, ein USB-Laufwerk oder ein SSD-Laufwerk handeln kann. Wählen Sie im angezeigten Menü die Option „BitLocker aktivieren“ aus.


Aktivieren Sie den BitLocker-Verschlüsselungsbefehl

Zunächst werden Sie gefragt, wie Sie mit der verschlüsselten Festplatte umgehen: mit einem Passwort oder einer Smartcard. Sie müssen eine der Optionen auswählen (oder beide: dann sind sowohl das Passwort als auch die Smartcard betroffen), sonst wird die Schaltfläche Weiter nicht aktiv.

Wie entfernen wir die Bitlocker-Sperre?

Im nächsten Schritt werden Sie aufgefordert, eine Sicherungskopie des Schlüssels zu erstellen
Erholung.

Sichern Sie den Wiederherstellungsschlüssel

ERLÄUTERUNG Mit dem Wiederherstellungsschlüssel können Sie das Laufwerk entsperren, falls Sie Ihr Passwort vergessen oder Ihre Smartcard verloren haben. Sie können die Erstellung eines Wiederherstellungsschlüssels nicht ablehnen. Und das ist richtig, denn nach meiner Rückkehr aus dem Urlaub habe ich mein Passwort für die verschlüsselte Festplatte vergessen. Die gleiche Situation kann Ihnen passieren. Daher wählen wir eine der vorgeschlagenen Methoden zur Archivierung des Wiederherstellungsschlüssels aus.

  • Speichern Sie den Schlüssel in einem Microsoft-Konto. Ich empfehle diese Methode nicht: Es besteht keine Internetverbindung – Sie können Ihren Schlüssel nicht erhalten.
  • Das Speichern in einer Datei ist die beste Möglichkeit. Die Datei mit dem Wiederherstellungsschlüssel wird auf den Desktop geschrieben.
Speichern Sie den Wiederherstellungsschlüssel auf dem Desktop
  • Sie verstehen, es sollte von dort an einen zuverlässigeren Ort übertragen werden, beispielsweise auf einen USB-Stick. Es ist auch wünschenswert, ihn umzubenennen, damit nicht sofort anhand des Dateinamens klar wird, dass es sich um genau den gleichen Schlüssel handelt. Sie können diese Datei öffnen (Sie werden später sehen, wie sie aussieht) und den Wiederherstellungsschlüssel selbst in eine Datei kopieren, sodass nur Sie wissen, was die Zeichenfolge ist und in welcher Datei sie sich befindet. Es ist besser, die Originaldatei später mit dem Wiederherstellungsschlüssel zu löschen. Es wird also zuverlässiger sein.
  • Das Ausdrucken des Wiederherstellungsschlüssels ist eine ziemlich verrückte Idee, es sei denn, Sie legen dieses Stück Papier anschließend in einen Safe und verschließen ihn mit sieben Schlössern.

Jetzt müssen Sie bestimmen, welchen Teil der Festplatte Sie verschlüsseln möchten.

Welcher Teil der Festplatte soll verschlüsselt werden?

Sie können nur den belegten Speicherplatz oder die gesamte Festplatte auf einmal verschlüsseln. Wenn Ihre Festplatte fast leer ist, ist es viel schneller, nur den verwendeten Speicherplatz zu verschlüsseln. Betrachten Sie die Optionen:

  • Auf einem 16-GB-Flash-Laufwerk seien nur 10 MB Daten. Wählen Sie die erste Option und das Laufwerk wird sofort verschlüsselt. Neue Dateien, die auf das Flash-Laufwerk geschrieben werden, werden im laufenden Betrieb, d. h. automatisch, verschlüsselt.
  • Die zweite Option eignet sich, wenn sich viele Dateien auf der Festplatte befinden und diese fast vollständig voll ist. Bei demselben 16-GB-Flash-Laufwerk, jedoch mit bis zu 15 GB gefüllt, ist der Unterschied in der Verschlüsselungszeit gemäß der ersten oder zweiten Option praktisch nicht zu unterscheiden (das sind 15 GB, das sind 16 – es werden verschlüsselt).
    fast gleichzeitig).
  • Wenn jedoch nur wenige Daten auf der Festplatte vorhanden sind und Sie die zweite Option wählen, dauert die Verschlüsselung im Vergleich zur ersten Methode quälend lange.

Sie müssen also nur noch den Knopf drücken. Starten Sie die Verschlüsselung.

Festplattenverschlüsselung mit Bitlocker

Warten Sie, bis die Festplatte verschlüsselt ist. Schalten Sie den Computer nicht aus und starten Sie ihn nicht neu, bis die Verschlüsselung abgeschlossen ist. Sie erhalten hierzu eine entsprechende Meldung.

Bei einem Stromausfall wird die Windows-Startverschlüsselung dort fortgesetzt, wo sie unterbrochen wurde. So steht es auf der Microsoft-Website. Ob dies für die Systemplatte zutrifft, habe ich nicht überprüft – ich wollte kein Risiko eingehen.

Fortsetzung des Artikels auf der nächsten Seite. Um zur nächsten Seite zu gelangen, klicken Sie auf die Schaltfläche 2, die sich unter den Schaltflächen sozialer Netzwerke befindet.

Viele nutzen die Windows-Verschlüsselungsfunktion, aber nicht jeder denkt über die Sicherheit dieser Datenschutzmethode nach. Heute werden wir über die Bitlocker-Verschlüsselung sprechen und versuchen herauszufinden, wie gut der Windows-Festplattenschutz implementiert ist.

Wie Sie Bitlocker einrichten, können Sie übrigens im Artikel „“ nachlesen.

  • Vorwort
  • Wie funktioniert Bitlocker?
    • Schwachstellen
    • Wiederherstellungsschlüssel
    • BitLocker öffnen
    • BitLocker To Go
  • Abschluss

Der Artikel wurde zu Forschungszwecken verfasst. Alle darin enthaltenen Informationen dienen ausschließlich Informationszwecken. Es richtet sich an Sicherheitsprofis und solche, die es werden wollen.

Wie funktioniert Bitlocker?

Was ist Bitlocker?

BitLocker ist eine native Festplattenverschlüsselungsfunktion in den Betriebssystemen Windows 7, 8, 8.1, 10. Mit dieser Funktion können Sie vertrauliche Daten auf Ihrem Computer sicher verschlüsseln, sowohl auf der Festplatte und SSD als auch auf Wechselmedien.

Wie wird BitLocker eingerichtet?

Die Zuverlässigkeit von BitLocker sollte nicht am Ruf von AES gemessen werden. Offen gesagt weist ein beliebter Verschlüsselungsstandard keine Schwachstellen auf, seine Implementierungen in bestimmten kryptografischen Produkten weisen jedoch häufig zahlreiche Schwachstellen auf. Microsoft gibt den vollständigen Code für die BitLocker-Technologie nicht bekannt. Es ist lediglich bekannt, dass es in verschiedenen Windows-Versionen auf unterschiedlichen Schemata basierte und die Änderungen in keiner Weise kommentiert wurden. Darüber hinaus verschwand es in Build 10586 von Windows 10 einfach und tauchte nach zwei Builds wieder auf. Allerdings das Wichtigste zuerst.

Die erste Version von BitLocker verwendete den CBC-Modus (Ciphertext Block Chaining). Schon damals waren seine Mängel offensichtlich: einfacher Angriff auf einen bekannten Text, geringe Widerstandsfähigkeit gegen Angriffe durch die Art der Substitution und so weiter. Daher hat Microsoft sofort beschlossen, den Schutz zu verstärken. Bereits in Vista wurde dem AES-CBC-Schema der Elephant Diffuser-Algorithmus hinzugefügt, was den direkten Vergleich von Chiffretextblöcken erschwert. Dabei ergaben gleiche Inhalte zweier Sektoren nach der Verschlüsselung mit einem Schlüssel ein völlig anderes Ergebnis, was die Berechnung eines gemeinsamen Musters erschwerte. Der Standardschlüssel selbst war jedoch kurz – 128 Bit. Durch Verwaltungsrichtlinien kann es auf 256 Bit erweitert werden, aber lohnt sich das?

Für den Nutzer ändert sich nach dem Wechsel des Schlüssels äußerlich nichts – weder an der Länge der eingegebenen Passwörter noch an der subjektiven Geschwindigkeit der Vorgänge. Wie die meisten Festplattenverschlüsselungssysteme verwendet BitLocker mehrere Schlüssel ... und keiner davon ist für Benutzer sichtbar. Hier ist ein schematisches Diagramm von BitLocker.

  • Wenn BitLocker mithilfe eines Pseudozufallszahlengenerators aktiviert wird, wird eine Master-Bitfolge generiert. Dies ist der Volume-Verschlüsselungsschlüssel – FVEK (Full Volume Encryption Key). Er ist es nun, der den Inhalt jedes Sektors verschlüsselt.
  • FVEK wiederum wird mit einem anderen Schlüssel – VMK (Volume Master Key) – verschlüsselt und in verschlüsselter Form in den Volume-Metadaten gespeichert.
  • Der VMK selbst ist ebenfalls verschlüsselt, jedoch auf unterschiedliche Weise nach Wahl des Benutzers.
  • Auf neuen Motherboards wird der VMK-Schlüssel standardmäßig mit dem SRK-Schlüssel (Storage Root Key) verschlüsselt, der in einem separaten Kryptoprozessor – einem Trusted Platform Module (TPM) – gespeichert ist. Der Benutzer hat keinen Zugriff auf den TPM-Inhalt und er ist für jeden Computer einzigartig.
  • Wenn auf der Platine kein separater TPM-Chip vorhanden ist, wird anstelle von SRK ein vom Benutzer eingegebener PIN-Code zum Verschlüsseln des VMK-Schlüssels verwendet oder ein auf Anfrage angeschlossener USB-Stick mit vorab geschriebenen Schlüsselinformationen verwendet.
  • Zusätzlich zum TPM oder Flash-Laufwerk können Sie den VMK-Schlüssel mit einem Passwort schützen.

Dieses allgemeine Verhalten von BitLocker setzte sich in nachfolgenden Windows-Versionen bis heute fort. Allerdings haben sich die Schlüsselgenerierungs- und Verschlüsselungsmodi von BitLocker geändert. Daher entfernte Microsoft im Oktober 2014 stillschweigend den zusätzlichen Elephant Diffuser-Algorithmus und ließ nur das AES-CBC-Schema mit seinen bekannten Mängeln übrig. Offizielle Stellungnahmen hierzu gab es zunächst nicht. Unter dem Deckmantel eines Updates wurde den Menschen einfach eine abgeschwächte Verschlüsselungstechnologie mit demselben Namen zur Verfügung gestellt. Vage Erklärungen für diesen Schritt folgten, nachdem unabhängige Forscher die Vereinfachungen in BitLocker bemerkten.

Formal war die Entfernung von Elephant Diffuser erforderlich, um sicherzustellen, dass Windows den US Federal Information Processing Standards (FIPS) entspricht, aber ein Argument widerlegt diese Version: Vista und Windows 7, die Elephant Diffuser verwendeten, wurden in Amerika ohne Probleme verkauft.

Ein weiterer imaginärer Grund für die Ablehnung des zusätzlichen Algorithmus ist die fehlende Hardwarebeschleunigung für Elephant Diffuser und der Geschwindigkeitsverlust bei dessen Verwendung. In früheren Jahren, als die Prozessoren jedoch langsamer waren, kam ihnen die Geschwindigkeit der Verschlüsselung aus irgendeinem Grund entgegen. Und das gleiche AES war bereits weit verbreitet, bevor es separate Befehlssätze und spezielle Chips für seine Beschleunigung gab. Im Laufe der Zeit war es möglich, auch für Elephant Diffuser eine Hardwarebeschleunigung vorzunehmen oder den Kunden zumindest die Wahl zwischen Geschwindigkeit und Sicherheit zu geben.

Eine andere, inoffizielle Version sieht realistischer aus. Der „Elefant“ störte Mitarbeiter, die weniger Aufwand für die Entschlüsselung der nächsten Festplatte aufwenden wollten, und Microsoft interagiert bereitwillig mit Behörden, selbst wenn ihre Anfragen nicht ganz legal sind. Bestätigt indirekt die Verschwörungstheorie und die Tatsache, dass vor Windows 8 beim Erstellen von Verschlüsselungsschlüsseln in BitLocker der in Windows integrierte Pseudozufallszahlengenerator verwendet wurde. In vielen (wenn nicht allen) Windows-Versionen war dies Dual_EC_DRBG – ein „kryptografisch starkes PRNG“, das von der US-amerikanischen National Security Agency entwickelt wurde und eine Reihe inhärenter Schwachstellen enthielt.

Natürlich löste die heimliche Schwächung der eingebauten Verschlüsselung eine heftige Welle der Kritik aus. Unter ihrem Druck hat Microsoft BitLocker erneut umgeschrieben und PRNG in neuen Windows-Versionen durch CTR_DRBG ersetzt. Darüber hinaus ist in Windows 10 (ab Build 1511) das Standardverschlüsselungsschema AES-XTS, das gegen die Manipulation von Chiffretextblöcken immun ist. Andere bekannte BitLocker-Fehler wurden in den neuesten Builds von „Tens“ behoben, aber das Hauptproblem blieb immer noch. Es ist so absurd, dass es andere Innovationen bedeutungslos macht. Es geht um die Grundsätze des Schlüsselmanagements.

Die Aufgabe, BitLocker-Laufwerke zu entschlüsseln, wird auch dadurch erleichtert, dass Microsoft aktiv eine alternative Methode zur Wiederherstellung des Zugriffs auf Daten über den Data Recovery Agent fördert. Die Bedeutung des „Agenten“ besteht darin, dass er die Verschlüsselungsschlüssel aller Laufwerke im Unternehmensnetzwerk mit einem einzigen Zugriffsschlüssel verschlüsselt. Sobald Sie es haben, können Sie jeden Schlüssel und damit jede von derselben Firma verwendete Festplatte entschlüsseln. Komfortabel? Ja, insbesondere beim Hacken.

Die Idee, einen Schlüssel für alle Schlösser zu verwenden, wurde bereits mehrfach in Frage gestellt, wird aber aus Bequemlichkeitsgründen weiterhin in der einen oder anderen Form zurückgegeben. So hat Ralph Leighton Richard Feynmans Memoiren über eine charakteristische Episode seiner Arbeit am Manhattan-Projekt im Los Alamos Laboratory aufgezeichnet: „... Ich habe drei Safes geöffnet – und alle drei mit einer Kombination. Ich habe sie alle gemacht: Ich habe die Safes mit allen Geheimnissen der Atombombe geöffnet - die Technologie zur Gewinnung von Plutonium, eine Beschreibung des Reinigungsprozesses, Informationen darüber, wie viel Material benötigt wird, wie die Bombe funktioniert, wie Neutronen hergestellt werden, wie die Bombe angeordnet ist, welche Abmessungen sie hat – mit einem Wort, alles, was man in Los Alamos kannte, die ganze Küche!

BitLocker erinnert ein wenig an das sichere Gerät, das in einem anderen Fragment des Buches „Natürlich machen Sie Witze, Mr. Feynman!“ beschrieben wird. Der imposanteste Safe im streng geheimen Labor hatte die gleiche Schwachstelle wie ein einfacher Aktenschrank. „... Es war ein Oberst, und er hatte einen viel komplizierteren, zweitürigen Safe mit großen Griffen, der vier dreiviertel Zoll dicke Stahlstangen aus dem Rahmen zog. Ich schaute auf die Rückseite einer der imposanten Bronzetüren und stellte fest, dass das digitale Zifferblatt mit einem kleinen Vorhängeschloss verbunden war, das genau wie das Schloss an meinem Kleiderschrank in Los Alamos aussah. Es war offensichtlich, dass das Hebelsystem von derselben kleinen Stange abhing, die die Aktenschränke verriegelte. Als ich irgendeine Aktivität darstellte, begann ich, wahllos am Zifferblatt zu drehen. Zwei Minuten später – klick! - Der Safe wurde geöffnet. Wenn die Tresortür oder die oberste Schublade des Aktenschranks geöffnet ist, ist die Kombination ganz einfach zu finden. Das habe ich getan, als Sie meinen Bericht gelesen haben, nur um Ihnen die Gefahr aufzuzeigen.

BitLocker-Kryptocontainer sind für sich genommen recht sicher. Wenn Ihnen jemand ein Flash-Laufwerk mitbringt, das aus dem Nichts kommt und mit BitLocker To Go verschlüsselt ist, ist es unwahrscheinlich, dass Sie es in angemessener Zeit entschlüsseln können. In einem realen Szenario mit verschlüsselten Laufwerken und Wechselmedien gibt es jedoch viele Schwachstellen, die sich leicht nutzen lassen, um BitLocker zu umgehen.

BitLocker-Sicherheitslücken

Sicher ist Ihnen aufgefallen, dass Sie bei der ersten Aktivierung von Bitlocker lange warten müssen. Dies ist nicht verwunderlich – der Prozess der Sektor-für-Sektor-Verschlüsselung kann mehrere Stunden dauern, da es nicht einmal möglich ist, alle Blöcke von Terabyte-Festplatten schneller zu lesen. Die Deaktivierung von BitLocker erfolgt jedoch fast augenblicklich – wie kommt es dazu?

Tatsache ist, dass Bitlocker im deaktivierten Zustand die Daten nicht entschlüsselt. Alle Sektoren bleiben mit dem FVEK-Schlüssel verschlüsselt. Der Zugriff auf diesen Schlüssel wird einfach in keiner Weise mehr eingeschränkt. Alle Prüfungen werden deaktiviert und der VMK bleibt in den Klartext-Metadaten aufgezeichnet. Jedes Mal, wenn der Computer eingeschaltet wird, liest der Betriebssystemlader den VMK (ohne das TPM zu überprüfen, einen Schlüssel auf einem Flash-Laufwerk oder ein Passwort anzufordern) und entschlüsselt damit automatisch den FVEK und dann alle Dateien, wenn auf sie zugegriffen wird. Für den Benutzer wird alles wie ein völliger Mangel an Verschlüsselung aussehen, aber die aufmerksamsten Benutzer bemerken möglicherweise einen leichten Leistungsabfall des Festplattensubsystems. Genauer gesagt - das Fehlen einer Geschwindigkeitssteigerung nach der Deaktivierung der Verschlüsselung.

Es gibt noch etwas anderes Interessantes in diesem Schema. Trotz des Namens (Full-Disk-Verschlüsselungstechnologie) bleiben einige Daten bei der Verwendung von BitLocker immer noch unverschlüsselt. MBR und BS bleiben in offener Form (es sei denn, die Festplatte wurde in GPT initialisiert), fehlerhafte Sektoren und Metadaten bleiben erhalten. Ein offener Bootloader lässt Raum für Fantasie. In pseudoschädlichen Sektoren ist es praktisch, andere Malware zu verbergen, und Metadaten enthalten viele interessante Dinge, einschließlich Kopien von Schlüsseln. Wenn Bitlocker aktiv ist, werden sie verschlüsselt (jedoch schwächer als FVEK den Inhalt der Sektoren verschlüsselt), und wenn es deaktiviert ist, liegen sie einfach im Klartext. Dies alles sind potenzielle Angriffsvektoren. Sie sind potenziell, weil es neben ihnen noch viel einfachere und universellere gibt.

Bitlocker-Wiederherstellungsschlüssel

Neben FVEK, VMK und SRK verwendet BitLocker einen anderen Schlüsseltyp, der „nur für den Fall“ generiert wird. Dies sind die Wiederherstellungsschlüssel, mit denen ein weiterer beliebter Angriffsvektor verknüpft ist. Benutzer haben Angst, ihr Passwort zu vergessen und den Zugriff auf das System zu verlieren, und Windows selbst empfiehlt ihnen eine Notfallanmeldung. Dazu fordert Sie der BitLocker-Verschlüsselungsassistent im letzten Schritt auf, einen Wiederherstellungsschlüssel zu erstellen. Eine Weigerung, es zu erstellen, ist nicht vorgesehen. Sie können nur eine der wichtigsten Exportoptionen auswählen, die jeweils sehr anfällig sind.

In den Standardeinstellungen wird der Schlüssel als einfache Textdatei mit einem erkennbaren Namen exportiert: „BitLocker-Wiederherstellungsschlüssel #“, wobei statt # die Computer-ID geschrieben wird (ja, direkt im Dateinamen!). Der Schlüssel selbst sieht so aus.

Wenn Sie das in BitLocker festgelegte Passwort vergessen (oder nie gewusst) haben, suchen Sie einfach nach der Datei mit dem Wiederherstellungsschlüssel. Sicherlich wird es in den Dokumenten des aktuellen Benutzers oder auf seinem Flash-Laufwerk gespeichert. Vielleicht ist es sogar auf ein Blatt Papier gedruckt, wie Microsoft empfiehlt.

Um den Wiederherstellungsschlüssel schnell zu finden, ist es praktisch, die Suche nach Erweiterung (txt), Erstellungsdatum (wenn Sie ungefähr wissen, wann BitLocker hätte aktiviert werden können) und Dateigröße (1388 Byte, wenn die Datei nicht bearbeitet wurde) einzuschränken. . Wenn Sie den Wiederherstellungsschlüssel gefunden haben, kopieren Sie ihn. Damit können Sie die Standardautorisierung in BitLocker jederzeit umgehen. Drücken Sie dazu einfach Esc und geben Sie den Wiederherstellungsschlüssel ein. Sie können sich problemlos anmelden und sogar das Passwort in BitLocker in ein beliebiges ändern, ohne das alte anzugeben!


BitLocker öffnen

Real kryptographisch Das System ist ein Kompromiss zwischen Komfort, Geschwindigkeit und Zuverlässigkeit. Es sollte Verfahren zur transparenten Verschlüsselung mit spontaner Entschlüsselung, Methoden zur Wiederherstellung vergessener Passwörter und komfortables Arbeiten mit Schlüsseln umfassen. All dies schwächt jedes System, egal auf wie starken Algorithmen es basiert. Daher ist es nicht notwendig, nach Schwachstellen zu suchen direkt im Rijndael-Algorithmus oder in verschiedenen Schemata des AES-Standards. Es ist viel einfacher, sie in den Besonderheiten einer bestimmten Implementierung zu finden.

Im Fall von Microsoft reicht diese „Spezifität“ aus. Beispielsweise werden Kopien von BitLocker-Schlüsseln standardmäßig an SkyDrive gesendet und im Active Directory hinterlegt.

Was ist, wenn Sie sie verlieren ... oder Agent Smith fragt. Es ist unbequem, einen Kunden und noch mehr einen Agenten warten zu lassen. Aus diesem Grund der Vergleich kryptografische Stärke AES-XTS und AES-CBC mit Elephant Diffuser treten ebenso in den Hintergrund wie Empfehlungen zur Erhöhung der Schlüssellänge. Egal wie lange es dauert, der Angreifer wird es leicht bekommen unverschlüsselt bilden .

Das Abrufen treuhänderisch hinterlegter Schlüssel von einem Microsoft- oder AD-Konto ist die wichtigste Möglichkeit, BitLocker zu knacken. Wenn der Benutzer kein Konto in der Microsoft-Cloud registriert hat und sich sein Computer nicht in der Domäne befindet, gibt es immer noch Möglichkeiten, die Verschlüsselungsschlüssel zu extrahieren. Im normalen Betrieb werden immer offene Kopien davon gespeichert Arbeitsspeicher(sonst gäbe es keine „transparente Verschlüsselung“). Dies bedeutet, dass sie in ihrer Dump- und Ruhezustandsdatei verfügbar sind.

Warum werden sie überhaupt dort aufbewahrt?

Wie lächerlich es ist – der Einfachheit halber lächle. BitLocker wurde ausschließlich zum Schutz vor Offline-Angriffen entwickelt. Sie gehen immer mit einem Neustart und dem Verbinden der Festplatte mit einem anderen Betriebssystem einher, was zum Löschen des Arbeitsspeichers führt. In den Standardeinstellungen entlädt das Betriebssystem jedoch den Arbeitsspeicher, wenn ein Fehler auftritt (der provoziert werden kann) und schreibt den gesamten Inhalt jedes Mal in die Ruhezustandsdatei, wenn der Computer in den Tiefschlaf wechselt. Wenn Sie sich also kürzlich mit aktiviertem BitLocker bei Windows angemeldet haben, besteht eine gute Chance, dass Sie eine entschlüsselte Kopie des VMK erhalten und diese zum Entschlüsseln des FVEK und dann der Daten selbst in der Kette verwenden.

Lass uns das Prüfen? Alle oben beschriebenen BitLocker-Hacking-Methoden sind in einem Programm zusammengefasst – Forensic Disk Decryptor, entwickelt von der inländischen Firma Elcomsoft. Es kann automatisch Verschlüsselungsschlüssel extrahieren, verschlüsselte Volumes als virtuelle Laufwerke bereitstellen und sie im Handumdrehen entschlüsseln.

Darüber hinaus implementiert EFDD eine weitere, nicht triviale Möglichkeit, an Schlüssel zu gelangen – den Angriff über den FireWire-Port. Dies empfiehlt sich für den Fall, dass die Ausführung Ihrer Software auf dem angegriffenen Computer nicht möglich ist. Wir installieren immer das EFDD-Programm selbst auf unserem Computer, und auf dem gehackten versuchen wir, mit den minimal notwendigen Aktionen auszukommen.

Lassen Sie uns beispielsweise einfach ein Testsystem mit aktivem BitLocker ausführen und „unsichtbar“ einen Speicherauszug erstellen. Wir simulieren also eine Situation, in der ein Kollege zum Mittagessen ausgeht und seinen Computer nicht gesperrt hat. Wir starten RAM Capture und erhalten in weniger als einer Minute einen vollständigen Speicherauszug in einer Datei mit der Erweiterung .mem und einer Größe, die der auf dem Computer des Opfers installierten RAM-Größe entspricht.

Als eine Müllkippe zu machen - im Großen und Ganzen ohne Unterschied. Unabhängig von der Endung handelt es sich dabei um eine Binärdatei, die dann von EFDD automatisch auf Schlüsselsuche analysiert wird.

Wir schreiben den Dump auf einen USB-Stick oder übertragen ihn über das Netzwerk, setzen uns dann an unseren Computer und führen EFDD aus.

Wählen Sie die Option „Schlüssel extrahieren“ und geben Sie als Quelle der Schlüssel den Pfad zur Datei mit dem Speicherauszug ein.

BitLocker ist ein typischer Krypto-Container wie PGP Disk oder TrueCrypt. Diese Container erwiesen sich für sich genommen als recht zuverlässig, aber Clientanwendungen für die Arbeit mit ihnen unter Windows verstreuen Verschlüsselungsschlüssel im RAM. Daher ist in EFDD ein universelles Angriffsszenario implementiert. Das Programm sucht sofort nach Verschlüsselungsschlüsseln aller drei Arten beliebter Krypto-Container. Daher können Sie alle Punkte überprüft lassen – was ist, wenn das Opfer heimlich oder PGP verwendet!

Nach einigen Sekunden zeigt Elcomsoft Forensic Disk Decryptor alle gefundenen Schlüssel in seinem Fenster an. Der Einfachheit halber können sie in einer Datei gespeichert werden – dies wird sich in Zukunft als nützlich erweisen.

Jetzt ist BitLocker kein Hindernis mehr! Sie können einen klassischen Offline-Angriff durchführen – zum Beispiel einen Rückzug Festplatte und kopieren Sie den Inhalt. Schließen Sie es dazu einfach an Ihren Computer an und führen Sie EFDD im Modus „Entschlüsseln oder Mounten der Festplatte“ aus.

Nach Angabe des Pfads zu den Dateien mit gespeicherten Schlüsseln führt EFDD Ihrer Wahl eine vollständige Entschlüsselung des Volumes durch oder öffnet es sofort als virtuelle Festplatte. Im letzteren Fall werden die Dateien beim Zugriff entschlüsselt. In beiden Fällen werden keine Änderungen am Originalband vorgenommen, sodass Sie es am nächsten Tag zurückgeben können, als wäre nichts passiert. Die Arbeit mit EFDD erfolgt spurlos und nur mit Kopien der Daten und bleibt daher unsichtbar.

BitLocker To Go

Beginnend mit der „Sieben“ in Windows wurde es möglich, Flash-Laufwerke, USB-HDDs und andere externe Medien zu verschlüsseln. Eine Technologie namens BitLocker To Go verschlüsselt Wechseldatenträger auf die gleiche Weise wie lokale Laufwerke. Die Verschlüsselung wird durch den entsprechenden Eintrag im Explorer-Kontextmenü aktiviert.

Bei neuen Laufwerken können Sie nur den belegten Bereich verschlüsseln – der freie Speicherplatz der Partition ist jedoch voller Nullen und es gibt dort nichts zu verbergen. Wenn das Laufwerk bereits verwendet wurde, empfiehlt es sich, die Vollverschlüsselung darauf zu aktivieren. Andernfalls bleibt ein als frei markierter Standort unverschlüsselt. Es kann im Klartext kürzlich gelöschte Dateien enthalten, die noch nicht überschrieben wurden.

Selbst die schnelle Verschlüsselung nur eines stark frequentierten Bereichs dauert mehrere Minuten bis mehrere Stunden. Diese Zeit hängt von der Datenmenge, der Bandbreite der Schnittstelle, den Eigenschaften des Laufwerks und der Geschwindigkeit der kryptografischen Berechnungen des Prozessors ab. Da die Verschlüsselung mit einer Komprimierung einhergeht, erhöht sich der freie Speicherplatz auf der verschlüsselten Festplatte normalerweise geringfügig.

Wenn Sie das nächste Mal ein verschlüsseltes Flash-Laufwerk an einen Computer mit Windows 7 oder höher anschließen, wird der BitLocker-Assistent automatisch gestartet, um das Laufwerk zu entsperren. Im Explorer wird es vor dem Entsperren als gesperrter Datenträger angezeigt.

Hier können Sie sowohl die bereits besprochenen Möglichkeiten zur Umgehung von BitLocker (z. B. Suche nach dem VMK-Schlüssel in einem Speicherauszug oder einer Ruhezustandsdatei) als auch neue Möglichkeiten im Zusammenhang mit Wiederherstellungsschlüsseln nutzen.

Wenn Sie das Passwort nicht kennen, aber einen der Schlüssel gefunden haben (manuell oder mit EFDD), gibt es zwei Hauptoptionen für den Zugriff auf das verschlüsselte Flash-Laufwerk:

  • Verwenden Sie den integrierten BitLocker-Assistenten, um direkt mit dem Flash-Laufwerk zu arbeiten.
  • Verwenden Sie EFDD, um das Flash-Laufwerk vollständig zu entschlüsseln und sein Sektor-für-Sektor-Image zu erstellen.

Mit der ersten Option können Sie sofort auf die auf dem Flash-Laufwerk aufgezeichneten Dateien zugreifen, diese kopieren oder ändern und auch Ihre eigenen brennen. Die zweite Option dauert deutlich länger (ab einer halben Stunde), hat aber ihre Vorteile. Das entschlüsselte Sektor-für-Sektor-Bild ermöglicht Ihnen eine detailliertere Analyse des Dateisystems auf der Ebene eines forensischen Labors. In diesem Fall wird das Flash-Laufwerk selbst nicht mehr benötigt und kann unverändert zurückgegeben werden.

Das resultierende Bild kann sofort in jedem Programm geöffnet werden, das das IMA-Format unterstützt, oder zunächst in ein anderes Format konvertiert werden (z. B. mit UltraISO).

Natürlich werden neben der Suche nach dem Wiederherstellungsschlüssel für BitLocker2Go auch alle anderen BitLocker-Umgehungsmethoden in EFDD unterstützt. Gehen Sie einfach alle verfügbaren Optionen nacheinander durch, bis Sie einen Schlüssel eines beliebigen Typs finden. Der Rest (bis zu FVEK) wird entlang der Kette von selbst entschlüsselt und Sie erhalten vollen Zugriff auf die Festplatte.

Abschluss

Die BitLocker-Technologie zur vollständigen Festplattenverschlüsselung unterscheidet sich je nach Windows-Version. Sobald es richtig konfiguriert ist, können Sie Krypto-Container erstellen, deren Stärke theoretisch mit TrueCrypt oder PGP vergleichbar ist. Der integrierte Mechanismus zum Arbeiten mit Tasten in Windows macht jedoch alle algorithmischen Tricks zunichte. Insbesondere der VMK-Schlüssel, der zum Entschlüsseln des Hauptschlüssels in BitLocker verwendet wird, wird mithilfe von EFDD in wenigen Sekunden aus einem hinterlegten Duplikat, einem Speicherauszug, einer Ruhezustandsdatei oder einem FireWire-Port-Angriff wiederhergestellt.

Sobald Sie den Schlüssel haben, können Sie einen klassischen Offline-Angriff durchführen, bei dem alle Daten auf dem „geschützten“ Laufwerk heimlich kopiert und automatisch entschlüsselt werden. Daher sollte BitLocker nur in Verbindung mit anderen Schutzmaßnahmen verwendet werden: Encrypting File System (EFS), Rights Management Service (RMS), Programmstartkontrolle, Geräteinstallations- und Verbindungskontrolle sowie strengere lokale Richtlinien und allgemeine Sicherheitsmaßnahmen.

Der Artikel verwendete die Materialien der Website:

Hallo Leser des ComService-Firmenblogs (Naberezhnye Chelny). In diesem Artikel werden wir uns weiterhin mit den in Windows integrierten Systemen befassen, die die Sicherheit unserer Daten erhöhen sollen. Heute ist es das Laufwerkverschlüsselungssystem Bitlocker. Die Datenverschlüsselung ist notwendig, um sicherzustellen, dass Ihre Daten nicht von Fremden verwendet werden. Wie sie dorthin gelangt, ist eine andere Sache.

Bei der Verschlüsselung handelt es sich nur um den Prozess der Datenkonvertierung notwendige Leute. Für den Zugriff werden meist Schlüssel oder Passwörter verwendet.

Die vollständige Festplattenverschlüsselung verhindert den Zugriff auf Daten, wenn Sie Ihre Festplatte an einen anderen Computer anschließen. Auf dem System des Angreifers ist möglicherweise ein anderes Betriebssystem installiert, um den Schutz zu umgehen. Dies hilft jedoch nicht, wenn Sie BitLocker verwenden.

Die BitLocker-Technologie wurde mit der Veröffentlichung des Betriebssystems Windows Vista eingeführt und in verbessert. Bitlocker ist in den Versionen Ultimate, Enterprise und Pro verfügbar. Besitzer anderer Versionen müssen nach suchen.

Artikelstruktur

1. So funktioniert die BitLocker-Laufwerkverschlüsselung

Ohne auf Einzelheiten einzugehen, sieht es so aus. Das System verschlüsselt das gesamte Laufwerk und gibt Ihnen die Schlüssel dazu. Wenn Sie die Systemfestplatte verschlüsseln, wird sie ohne Ihren Schlüssel nicht gestartet. Dasselbe wie die Schlüssel zur Wohnung. Du hast sie, du wirst hineinfallen. Bei Verlust müssen Sie den Ersatzcode (Wiederherstellungscode (wird während der Verschlüsselung ausgegeben) verwenden) und das Schloss ändern (die Verschlüsselung erneut mit anderen Schlüsseln durchführen).

Für zuverlässiger Schutz Es ist wünschenswert, dass der Computer über ein Trusted Platform Module (TPM) verfügt. Wenn dies der Fall ist und die Version 1.2 oder höher ist, wird der Prozess verwaltet und Sie verfügen über stärkere Schutzmethoden. Wenn dieser nicht vorhanden ist, kann nur der Schlüssel auf dem USB-Laufwerk verwendet werden.

BitLocker funktioniert wie folgt. Jeder Sektor der Festplatte wird separat mit einem Schlüssel (Full-Volume-Verschlüsselungsschlüssel, FVEK) verschlüsselt. Es wird der AES-Algorithmus mit 128-Bit-Schlüssel und Diffusor verwendet. Der Schlüssel kann in Gruppensicherheitsrichtlinien auf 256 Bit geändert werden.

Wenn die Verschlüsselung abgeschlossen ist, sehen Sie das folgende Bild

Schließen Sie das Fenster und prüfen Sie, ob sich der Startschlüssel und der Wiederherstellungsschlüssel an sicheren Orten befinden.

3. Flash-Laufwerksverschlüsselung – BitLocker To Go

Warum sollte die Verschlüsselung pausiert werden? Damit BitLocker Ihr Laufwerk nicht blockiert und Sie nicht auf das Wiederherstellungsverfahren zurückgreifen. Systemeinstellungen (und der Inhalt der Startpartition) werden während der Verschlüsselung für zusätzlichen Schutz festgelegt. Eine Änderung kann zu einer Computersperre führen.

Wenn Sie „BitLocker verwalten“ auswählen, können Sie den Wiederherstellungsschlüssel speichern oder drucken und den Startschlüssel duplizieren

Sollte einer der Schlüssel (Startschlüssel oder Wiederherstellungsschlüssel) verloren gehen, können Sie ihn hier wiederherstellen.

Verschlüsselung für externe Laufwerke verwalten

Zur Verwaltung der Verschlüsselungseinstellungen eines Flash-Laufwerks stehen die folgenden Funktionen zur Verfügung

Sie können das Entsperrkennwort ändern. Sie können das Passwort nur entfernen, wenn Sie zum Entsperren des Schlosses eine Smartcard verwenden. Sie können den Wiederherstellungsschlüssel auch speichern oder ausdrucken und die Festplattenentsperrung dafür automatisch aktivieren.

5. Wiederherstellen des Festplattenzugriffs

Wiederherstellen des Zugriffs auf das Systemlaufwerk

Befindet sich das Flash-Laufwerk mit dem Schlüssel außerhalb der Zugriffszone, kommt der Wiederherstellungsschlüssel ins Spiel. Wenn Sie Ihren Computer starten, sehen Sie etwa das folgende Bild

Um den Zugriff wiederherzustellen und Windows zu starten, drücken Sie die Eingabetaste

Wir sehen einen Bildschirm, in dem Sie aufgefordert werden, den Wiederherstellungsschlüssel einzugeben

Mit Eingabe der letzten Ziffer und sofern der Wiederherstellungsschlüssel korrekt ist, startet das Betriebssystem automatisch.

Wiederherstellen des Zugriffs auf Wechseldatenträger

Um den Zugriff auf Informationen auf einem Flash-Laufwerk wiederherzustellen, klicken Sie auf „Passwort vergessen?“.

Wählen Sie „Wiederherstellungsschlüssel eingeben“.

und geben Sie diesen schrecklichen 48-stelligen Code ein. Weiter klicken

Wenn der Wiederherstellungsschlüssel übereinstimmt, wird das Laufwerk entsperrt

Es erscheint ein Link zum Verwalten von BitLocker, über den Sie das Kennwort ändern können, um das Laufwerk zu entsperren.

Abschluss

In diesem Artikel haben wir erfahren, wie wir unsere Informationen schützen können, indem wir sie mit dem integrierten BitLocker-Tool verschlüsseln. Es ist frustrierend, dass diese Technologie nur in älteren oder fortgeschrittenen Windows-Versionen verfügbar ist. Es wurde auch klar, warum diese 100 MB große versteckte und Startpartition beim Einrichten einer Festplatte mit Windows-Tools erstellt wird.

Vielleicht werde ich die Verschlüsselung von Flash-Laufwerken verwenden oder. Dies ist jedoch unwahrscheinlich, da es gute Alternativen in Form von Cloud-Speicherdiensten wie und dergleichen gibt.

Vielen Dank, dass Sie den Artikel in den sozialen Medien geteilt haben. Alles Gute!

BitLoker ist eine proprietäre Technologie, die den Schutz von Informationen durch komplexe Partitionsverschlüsselung ermöglicht. Der Schlüssel selbst kann im „TRM“ oder auf einem USB-Gerät platziert werden.

TPM ( VertrauenswürdigePlattformModul) ist ein Kryptoprozessor, der Kryptoschlüssel speichert, um Daten zu schützen. Gewöhnt an:

  • erfüllen Authentifizierung;
  • schützen Informationen aus Diebstahl;
  • verwalten Netzwerkzugang;
  • schützen Software aus Veränderungen;
  • Daten schützen vom Kopieren.

Trusted Platform Module im BIOS

Normalerweise wird ein Modul im Rahmen der Modulinitialisierung gestartet und muss nicht aktiviert/deaktiviert werden. Bei Bedarf ist die Aktivierung jedoch über die Modulverwaltungskonsole möglich.

  1. Klicken Sie auf die Menüschaltfläche „Start“ Laufen", schreiben tpm.msc.
  2. Wählen Sie unter „Aktion“ „ AnmachenTPM". Schauen Sie sich den Leitfaden an.
  3. Starten Sie den PC neu Befolgen Sie die auf dem Monitor angezeigten BIOS-Anweisungen.

So aktivieren Sie „BitLoker“ ohne „Trusted Platform Module“ in Windows 7, 8, 10

Beim Starten des BitLoker-Verschlüsselungsprozesses für die Systempartition auf dem PC vieler Benutzer erscheint die Benachrichtigung „Dieses Gerät kann das TPM nicht verwenden.“ Der Administrator muss die Einstellung aktivieren. Anwendung zulassen BitLocker ohne kompatibelTPM". Um die Verschlüsselung anzuwenden, müssen Sie das entsprechende Modul deaktivieren.

Deaktivieren Sie die TPM-Nutzung

Um die Systempartition ohne das „Trusted Platform Module“ verschlüsseln zu können, müssen Sie die Parametereinstellungen im GPO-Editor (lokale Gruppenrichtlinien) des Betriebssystems ändern.

So aktivieren Sie BitLoker

Um BitLoker zu starten, müssen Sie dem folgenden Algorithmus folgen:

  1. Klicken Sie mit der rechten Maustaste auf das Startmenü und klicken Sie auf „ Schalttafel».
  2. Klicke auf "".
  3. Drücken Sie " AnmachenBitlocker».
  4. Warten Sie, bis die Überprüfung abgeschlossen ist, und klicken Sie auf „ Weiter».
  5. Lesen Sie die Anweisungen und klicken Sie auf das „ Weiter».
  6. Es beginnt der Vorbereitungsprozess, bei dem Sie den PC nicht ausschalten sollten. Andernfalls können Sie das Betriebssystem nicht starten.
  7. Drücke den " Weiter».
  8. Geben Sie das Passwort ein, das zum Entsperren des Laufwerks beim Starten des PCs verwendet wird. Klicken Sie auf die Taste „ Weiter».
  9. Wählen Speichermethode Wiederherstellungs-Schlüssel. Mit diesem Schlüssel können Sie auf die Festplatte zugreifen, wenn Sie Ihr Passwort verlieren. Weiter klicken.
  10. Wählen Verschlüsselung der gesamten Partition. Weiter klicken.
  11. Drücken Sie " Neuer Verschlüsselungsmodus", Weiter klicken".
  12. Aktivieren Sie das Kontrollkästchen „ Führen Sie die Systemprüfung durchBitlocker", klicken Sie auf Weiter.
  13. Starten Sie Ihren PC neu.
  14. Geben Sie beim Einschalten des PCs das bei der Verschlüsselung angegebene Passwort ein. Klicken Sie auf die Eingabetaste.
  15. Die Verschlüsselung beginnt sofort nach dem Start des Betriebssystems. Klicken Sie auf das „BitLoker“-Symbol in der Benachrichtigungsleiste, um den Fortschritt zu sehen. Bedenken Sie, dass der Verschlüsselungsprozess viel Zeit in Anspruch nehmen kann. Es hängt alles davon ab, wie viel Speicher die Systempartition hat. Bei der Durchführung des Vorgangs arbeitet der PC weniger produktiv, da der Prozessor ausgelastet ist.

So deaktivieren Sie BitLocker

Die BitLocker-Verschlüsselungstechnologie erschien erstmals vor zehn Jahren und hat sich mit jeder Windows-Version geändert. Allerdings waren nicht alle darin enthaltenen Änderungen darauf ausgelegt, die kryptografische Stärke zu erhöhen. In diesem Artikel werfen wir einen genaueren Blick auf verschiedene Versionen von BitLocker (einschließlich der in neueren Builds von Windows 10 vorinstallierten Versionen) auf einem Gerät und zeigen Ihnen, wie Sie diesen integrierten Schutzmechanismus umgehen.

Offline-Angriffe

BitLocker war Microsofts Antwort auf eine wachsende Zahl von Offline-Angriffen, die besonders einfach auf Windows-Rechnern durchgeführt werden konnten. Jeder mit kann sich wie ein Hacker fühlen. Er schaltet einfach den nächstgelegenen Computer aus und startet ihn dann wieder – bereits mit seinem eigenen Betriebssystem und einem tragbaren Satz an Dienstprogrammen zum Auffinden von Passwörtern, vertraulichen Daten und zum Zerlegen des Systems.

Am Ende des Arbeitstages können Sie mit einem Kreuzschlitzschraubendreher sogar einen kleinen Kreuzzug veranstalten – öffnen Sie die Computer ausgeschiedener Mitarbeiter und ziehen Sie die Laufwerke heraus. Noch am selben Abend kann der Inhalt ausgeworfener Discs bequem von zu Hause aus auf tausend und eine Art analysiert (und sogar geändert) werden. Am nächsten Tag reicht es, früh zu kommen und alles wieder an seinen Platz zu bringen.

Es ist jedoch nicht notwendig, direkt am Arbeitsplatz fremde Computer zu öffnen. Nach der Wiederverwertung alter Computer und dem Austausch von Laufwerken gehen viele vertrauliche Daten verloren. In der Praxis führen nur wenige Menschen das sichere Löschen und Low-Level-Formatieren stillgelegter Festplatten durch. Was kann junge Hacker und Sammler digitaler Aas verhindern?

Wie Bulat Okudzhava sang: „Die ganze Welt besteht aus Einschränkungen, um nicht vor Glück verrückt zu werden.“ Die Haupteinschränkungen in Windows liegen auf der Ebene der Zugriffsrechte auf NTFS-Objekte, die keinen Schutz vor Offline-Angriffen bieten. Windows prüft lediglich die Lese- und Schreibberechtigungen, bevor Befehle verarbeitet werden, die auf Dateien oder Verzeichnisse zugreifen. Diese Methode ist sehr effektiv, solange alle Benutzer auf einem vom Administrator konfigurierten System mit begrenzten Konten ausgeführt werden. Wenn Sie jedoch ein anderes Betriebssystem starten, ist von diesem Schutz keine Spur mehr. Der Benutzer kann die Zugriffsrechte selbst neu zuweisen oder sie einfach ignorieren, indem er einen anderen Dateisystemtreiber installiert.

Es gibt viele ergänzende Methoden zur Abwehr von Offline-Angriffen, darunter physischen Schutz und Videoüberwachung, aber die effektivsten davon erfordern den Einsatz einer starken Kryptografie. Die digitalen Signaturen von Bootloadern verhindern die Ausführung von betrügerischem Code. Die einzige Möglichkeit, die Daten selbst auf einer Festplatte wirklich zu schützen, besteht darin, sie zu verschlüsseln. Warum fehlt die vollständige Festplattenverschlüsselung in Windows so lange?

Von Vista bis Windows 10

Es gibt verschiedene Arten von Menschen, die bei Microsoft arbeiten, und nicht alle programmieren mit dem hinteren linken Fuß. Leider werden die endgültigen Entscheidungen in Softwareunternehmen längst nicht mehr von Programmierern, sondern von Vermarktern und Managern getroffen. Das Einzige, worauf sie bei der Entwicklung eines neuen Produkts wirklich achten, ist das Verkaufsvolumen. Je einfacher es für eine Hausfrau ist, die Software zu verstehen, desto mehr Kopien dieser Software können verkauft werden.

„Stellen Sie sich vor, ein halbes Prozent der Kunden macht sich Sorgen um ihre Sicherheit! Das Betriebssystem ist bereits ein komplexes Produkt, und Sie verängstigen die Zielgruppe immer noch mit der Verschlüsselung. Lasst uns auf ihn verzichten! Früher kamen sie zurecht!“ - so könnte das Top-Management von Microsoft argumentieren, bis XP im Unternehmenssegment populär wurde. Unter den Administratoren haben sich zu viele Spezialisten bereits Gedanken über Sicherheit gemacht, um ihre Meinung außer Acht zu lassen. Daher erschien die lang erwartete Volumenverschlüsselung in der nächsten Windows-Version, allerdings nur in den Editionen Enterprise und Ultimate, die auf den Unternehmensmarkt ausgerichtet sind.

Die neue Technologie heißt BitLocker. Vielleicht war dies die einzig gute Komponente von Vista. BitLocker verschlüsselte das gesamte Volume und machte Benutzer- und Systemdateien unter Umgehung des installierten Betriebssystems unlesbar. Wichtige Dokumente, Katzenbilder, die Registry, SAM und SICHERHEIT – alles erwies sich bei einem Offline-Angriff jeglicher Art als unlesbar. In der Microsoft-Terminologie ist ein „Volume“ nicht unbedingt eine Festplatte als physisches Gerät. Ein Volume kann eine virtuelle Festplatte, eine logische Partition oder umgekehrt sein – eine Kombination aus mehreren Festplatten (übergreifendes oder Stripeset-Volume). Sogar ein einfaches Flash-Laufwerk kann als gemountetes Volume betrachtet werden, für dessen Ende-zu-Ende-Verschlüsselung es ab Windows 7 eine separate Implementierung gibt – BitLocker To Go (weitere Einzelheiten finden Sie in der Seitenleiste am Ende des Artikels). ).

Mit der Einführung von BitLocker ist es schwieriger geworden, ein Betriebssystem eines Drittanbieters zu starten, da alle Bootloader digital signiert wurden. Dank des Kompatibilitätsmodus ist die Problemumgehung jedoch weiterhin möglich. Es lohnt sich, den BIOS-Bootmodus von UEFI auf Legacy zu ändern und die Secure Boot-Funktion zu deaktivieren, und das gute alte bootfähige Flash-Laufwerk wird sich wieder als nützlich erweisen.

So verwenden Sie BitLocker

Analysieren wir den praktischen Teil am Beispiel von Windows 10. In Build 1607 kann BitLocker über die Systemsteuerung aktiviert werden (Abschnitt „System und Sicherheit“, Unterabschnitt „BitLocker-Laufwerkverschlüsselung“).


Wenn das Motherboard jedoch nicht über die TPM-Version 1.2 oder höher verfügt, kann BitLocker nicht einfach so verwendet werden. Um es zu aktivieren, müssen Sie zum Editor für lokale Gruppenrichtlinien (gpedit.msc) gehen und den Zweig „Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> BitLocker-Laufwerkverschlüsselung -> Betriebssystemlaufwerke“ auf die Einstellung „ erweitern. Mit dieser Richtlinieneinstellung können Sie die Anforderung „Zusätzliche Authentifizierung beim Start“ konfigurieren. Darin müssen Sie die Einstellung „Verwendung von BitLocker ohne kompatibles TPM zulassen …“ finden und aktivieren.


In den angrenzenden Abschnitten lokaler Richtlinien können Sie zusätzliche BitLocker-Einstellungen festlegen, einschließlich Schlüssellänge und AES-Verschlüsselungsmodus.


Nachdem wir die neuen Richtlinien angewendet haben, kehren wir zur Systemsteuerung zurück und folgen den Anweisungen des Verschlüsselungs-Setup-Assistenten. Als zusätzlichen Schutz können Sie ein Passwort eingeben oder einen bestimmten USB-Stick anschließen.



Obwohl BitLocker als Technologie zur vollständigen Festplattenverschlüsselung gilt, ermöglicht es nur eine teilweise Verschlüsselung ausgelasteter Sektoren. Das ist schneller als alles zu verschlüsseln, allerdings gilt diese Methode als weniger sicher. Schon allein deshalb, weil in diesem Fall gelöschte, aber noch nicht überschriebene Dateien noch einige Zeit zum direkten Lesen verfügbar bleiben.


Vollständige und teilweise Verschlüsselung

Nachdem alle Parameter eingestellt wurden, muss noch ein Neustart durchgeführt werden. Windows fordert Sie auf, ein Passwort einzugeben (oder ein USB-Flash-Laufwerk anzuschließen), dann startet es im normalen Modus und beginnt im Hintergrund mit der Volume-Verschlüsselung.


Abhängig von den gewählten Einstellungen, der Festplattengröße, der Prozessorfrequenz und der Unterstützung bestimmter AES-Befehle kann die Verschlüsselung einige Minuten bis mehrere Stunden dauern.


Nachdem dieser Vorgang abgeschlossen ist, erscheinen neue Elemente im Explorer-Kontextmenü: Ändern des Passworts und ein schneller Übergang zu den BitLocker-Einstellungen.


Bitte beachten Sie, dass für alle Aktionen, außer der Passwortänderung, Administratorrechte erforderlich sind. Die Logik hier ist einfach: Da Sie sich erfolgreich am System angemeldet haben, bedeutet dies, dass Sie das Passwort kennen und das Recht haben, es zu ändern. Wie vernünftig ist das? Wir werden es bald erfahren!


So funktioniert BitLocker

Die Zuverlässigkeit von BitLocker sollte nicht am Ruf von AES gemessen werden. Offen gesagt weist ein beliebter Verschlüsselungsstandard keine Schwachstellen auf, seine Implementierungen in bestimmten kryptografischen Produkten weisen jedoch häufig zahlreiche Schwachstellen auf. Microsoft gibt den vollständigen Code für die BitLocker-Technologie nicht bekannt. Es ist lediglich bekannt, dass es in verschiedenen Windows-Versionen auf unterschiedlichen Schemata basierte und die Änderungen in keiner Weise kommentiert wurden. Darüber hinaus verschwand es in Build 10586 von Windows 10 einfach und tauchte nach zwei Builds wieder auf. Allerdings das Wichtigste zuerst.

Die erste Version von BitLocker verwendete den CBC-Modus (Ciphertext Block Chaining). Schon damals waren seine Mängel offensichtlich: einfacher Angriff auf einen bekannten Text, geringe Widerstandsfähigkeit gegen Angriffe durch die Art der Substitution und so weiter. Daher hat Microsoft sofort beschlossen, den Schutz zu verstärken. Bereits in Vista wurde dem AES-CBC-Schema der Elephant Diffuser-Algorithmus hinzugefügt, was den direkten Vergleich von Chiffretextblöcken erschwert. Dabei ergaben gleiche Inhalte der beiden Sektoren nach der Verschlüsselung mit einem Schlüssel ein völlig anderes Ergebnis, was die Berechnung eines gemeinsamen Musters erschwerte. Der Standardschlüssel selbst war jedoch kurz – 128 Bit. Durch Verwaltungsrichtlinien kann es auf 256 Bit erweitert werden, aber lohnt sich das?

Für den Nutzer ändert sich nach dem Wechsel des Schlüssels äußerlich nichts – weder an der Länge der eingegebenen Passwörter noch an der subjektiven Geschwindigkeit der Vorgänge. Wie die meisten Festplattenverschlüsselungssysteme verwendet BitLocker mehrere Schlüssel ... und keiner davon ist für Benutzer sichtbar. Hier ist ein schematisches Diagramm von BitLocker.

  1. Wenn BitLocker mithilfe eines Pseudozufallszahlengenerators aktiviert wird, wird eine Master-Bitfolge generiert. Dies ist der Volume-Verschlüsselungsschlüssel – FVEK (Full Volume Encryption Key). Er ist es nun, der den Inhalt jedes Sektors verschlüsselt.
  2. FVEK wiederum wird mit einem anderen Schlüssel – VMK (Volume Master Key) – verschlüsselt und in verschlüsselter Form in den Volume-Metadaten gespeichert.
  3. Der VMK selbst ist ebenfalls verschlüsselt, jedoch auf unterschiedliche Weise nach Wahl des Benutzers.
  4. Auf neuen Motherboards wird der VMK-Schlüssel standardmäßig mit dem SRK-Schlüssel (Storage Root Key) verschlüsselt, der in einem separaten Kryptoprozessor – einem Trusted Platform Module (TPM) – gespeichert wird. Der Benutzer hat keinen Zugriff auf den TPM-Inhalt und er ist für jeden Computer einzigartig.
  5. Wenn auf der Platine kein separater TPM-Chip vorhanden ist, wird anstelle von SRK ein vom Benutzer eingegebener PIN-Code zum Verschlüsseln des VMK-Schlüssels verwendet oder ein auf Anfrage angeschlossener USB-Stick mit vorab geschriebenen Schlüsselinformationen verwendet.
  6. Zusätzlich zum TPM oder Flash-Laufwerk können Sie den VMK-Schlüssel mit einem Passwort schützen.

Dieses allgemeine Muster der Funktionsweise von BitLocker hat sich in den nachfolgenden Versionen von Windows bis heute fortgesetzt. Allerdings haben sich die Schlüsselgenerierungs- und Verschlüsselungsmodi von BitLocker geändert. Daher entfernte Microsoft im Oktober 2014 stillschweigend den zusätzlichen Elephant Diffuser-Algorithmus und ließ nur das AES-CBC-Schema mit seinen bekannten Mängeln übrig. Offizielle Stellungnahmen hierzu gab es zunächst nicht. Unter dem Deckmantel eines Updates wurde den Menschen einfach eine abgeschwächte Verschlüsselungstechnologie mit demselben Namen zur Verfügung gestellt. Vage Erklärungen zu diesem Schritt folgten, nachdem unabhängige Forscher Vereinfachungen in BitLocker bemerkten.

Formal war die Entfernung von Elephant Diffuser erforderlich, um sicherzustellen, dass Windows den Anforderungen der US Federal Information Processing Standards (FIPS) entspricht, aber ein Argument widerlegt diese Version: Vista und Windows 7, die Elephant Diffuser verwendeten, wurden ohne Probleme verkauft Amerika.

Ein weiterer imaginärer Grund für die Ablehnung des zusätzlichen Algorithmus ist die fehlende Hardwarebeschleunigung für Elephant Diffuser und der Geschwindigkeitsverlust bei dessen Verwendung. In früheren Jahren, als die Prozessoren jedoch langsamer waren, kam ihnen die Geschwindigkeit der Verschlüsselung aus irgendeinem Grund entgegen. Und das gleiche AES war bereits weit verbreitet, bevor es separate Befehlssätze und spezielle Chips für seine Beschleunigung gab. Im Laufe der Zeit war es möglich, auch für Elephant Diffuser eine Hardwarebeschleunigung vorzunehmen oder den Kunden zumindest die Wahl zwischen Geschwindigkeit und Sicherheit zu geben.

Eine andere, inoffizielle Version sieht realistischer aus. Der „Elefant“ stand den NSA-Mitarbeitern im Weg, die weniger Aufwand für die Entschlüsselung der nächsten Festplatte aufwenden wollten, und Microsoft interagiert bereitwillig mit den Behörden, selbst wenn ihre Anfragen nicht ganz legitim sind. Bestätigt indirekt die Verschwörungstheorie und die Tatsache, dass vor Windows 8 beim Erstellen von Verschlüsselungsschlüsseln in BitLocker der in Windows integrierte Pseudozufallszahlengenerator verwendet wurde. In vielen (wenn nicht allen) Windows-Versionen war dies Dual_EC_DRBG – ein „kryptografisch starkes PRNG“, das von der US-amerikanischen National Security Agency entwickelt wurde und eine Reihe inhärenter Schwachstellen enthielt.

Natürlich löste die heimliche Schwächung der eingebauten Verschlüsselung eine heftige Welle der Kritik aus. Unter ihrem Druck hat Microsoft BitLocker erneut umgeschrieben und PRNG in neuen Windows-Versionen durch CTR_DRBG ersetzt. Darüber hinaus ist in Windows 10 (ab Build 1511) das Standardverschlüsselungsschema AES-XTS, das gegen die Manipulation von Chiffretextblöcken immun ist. In den neuesten Builds der „Zehner“ wurden weitere bekannte BitLocker-Mängel behoben, das Hauptproblem blieb jedoch weiterhin bestehen. Es ist so absurd, dass es andere Innovationen bedeutungslos macht. Es geht um die Grundsätze des Schlüsselmanagements.

Los Alamos-Prinzip

Die Aufgabe, BitLocker-Laufwerke zu entschlüsseln, wird auch dadurch erleichtert, dass Microsoft aktiv eine alternative Methode zur Wiederherstellung des Zugriffs auf Daten über den Data Recovery Agent fördert. Die Bedeutung des „Agenten“ besteht darin, dass er die Verschlüsselungsschlüssel aller Laufwerke im Unternehmensnetzwerk mit einem einzigen Zugriffsschlüssel verschlüsselt. Sobald Sie es haben, können Sie jeden Schlüssel und damit jede von derselben Firma verwendete Festplatte entschlüsseln. Komfortabel? Ja, insbesondere beim Hacken.

Die Idee, einen Schlüssel für alle Schlösser zu verwenden, wurde bereits mehrfach in Frage gestellt, wird aber aus Bequemlichkeitsgründen weiterhin in der einen oder anderen Form zurückgegeben. So hat Ralph Leighton Richard Feynmans Memoiren über eine charakteristische Episode seiner Arbeit am Manhattan-Projekt im Los Alamos Laboratory aufgezeichnet: „...ich habe drei Tresore geöffnet – und alle drei mit einer Kombination.<…>Ich habe sie alle gemacht: Ich habe die Safes mit allen Geheimnissen der Atombombe geöffnet - die Technologie zur Gewinnung von Plutonium, eine Beschreibung des Reinigungsprozesses, Informationen darüber, wie viel Material benötigt wird, wie die Bombe funktioniert, wie Neutronen hergestellt werden, wie die Bombe angeordnet ist, welche Ausmaße sie hat – mit einem Wort, alles, was man in Los Alamos kannte, die ganze Küche!“.

BitLocker erinnert ein wenig an das sichere Gerät, das in einem anderen Fragment des Buches „Natürlich machen Sie Witze, Mr. Feynman!“ beschrieben wird. Der imposanteste Safe im streng geheimen Labor hatte die gleiche Schwachstelle wie ein einfacher Aktenschrank. „... Es war ein Oberst, und er hatte einen viel komplizierteren, zweitürigen Safe mit großen Griffen, der vier dreiviertel Zoll dicke Stahlstangen aus dem Rahmen zog.<…>Ich schaute auf die Rückseite einer der imposanten Bronzetüren und stellte fest, dass das digitale Zifferblatt mit einem kleinen Vorhängeschloss verbunden war, das genau wie das Schloss an meinem Kleiderschrank in Los Alamos aussah.<…>Es war offensichtlich, dass das Hebelsystem auf derselben kleinen Stange beruhte, die auch die Aktenschränke verriegelte.<…>. Ich stellte eine Art Aktivität dar und begann, das Glied willkürlich zu drehen.<…>Zwei Minuten später – klick! - Der Safe wurde geöffnet.<…>Wenn die Tresortür oder die oberste Schublade des Aktenschranks geöffnet ist, ist die Kombination ganz einfach zu finden. Das habe ich getan, als Sie meinen Bericht gelesen haben, nur um Ihnen die Gefahr aufzuzeigen..

BitLocker-Kryptocontainer sind für sich genommen recht sicher. Wenn Ihnen jemand ein Flash-Laufwerk mitbringt, das aus dem Nichts kommt und mit BitLocker To Go verschlüsselt ist, ist es unwahrscheinlich, dass Sie es in angemessener Zeit entschlüsseln können. In einem realen Szenario mit verschlüsselten Laufwerken und Wechselmedien gibt es jedoch viele Schwachstellen, die sich leicht nutzen lassen, um BitLocker zu umgehen.

Mögliche Schwachstellen

Möglicherweise ist Ihnen aufgefallen, dass Sie bei der ersten Aktivierung von BitLocker lange warten müssen. Dies ist nicht verwunderlich – der Prozess der Sektor-für-Sektor-Verschlüsselung kann mehrere Stunden dauern, da es nicht einmal möglich ist, alle Blöcke von Terabyte-Festplatten schneller zu lesen. Die Deaktivierung von BitLocker erfolgt jedoch fast augenblicklich – wie kommt es dazu?

Tatsache ist, dass bei deaktiviertem BitLocker die Daten nicht entschlüsselt werden. Alle Sektoren bleiben mit dem FVEK-Schlüssel verschlüsselt. Der Zugriff auf diesen Schlüssel wird einfach in keiner Weise mehr eingeschränkt. Alle Prüfungen werden deaktiviert und der VMK bleibt in den Klartext-Metadaten aufgezeichnet. Jedes Mal, wenn der Computer eingeschaltet wird, liest der Betriebssystemlader den VMK (ohne das TPM zu überprüfen, einen Schlüssel auf einem Flash-Laufwerk oder ein Passwort anzufordern) und entschlüsselt damit automatisch den FVEK und dann alle Dateien, wenn auf sie zugegriffen wird. Für den Benutzer wird alles wie ein völliger Mangel an Verschlüsselung aussehen, aber der Aufmerksamste bemerkt möglicherweise einen leichten Leistungsabfall des Festplattensubsystems. Genauer gesagt - das Fehlen einer Geschwindigkeitssteigerung nach der Deaktivierung der Verschlüsselung.

Es gibt noch etwas anderes Interessantes in diesem Schema. Trotz des Namens (Full-Disk-Verschlüsselungstechnologie) bleiben einige Daten bei der Verwendung von BitLocker immer noch unverschlüsselt. MBR und BS bleiben in offener Form (es sei denn, die Festplatte wurde in GPT initialisiert), fehlerhafte Sektoren und Metadaten bleiben erhalten. Ein offener Bootloader lässt Raum für Fantasie. Es ist praktisch, Rootkits und andere Malware in pseudoschädlichen Sektoren zu verstecken, und Metadaten enthalten viele interessante Dinge, einschließlich Kopien von Schlüsseln. Wenn BitLocker aktiv ist, werden sie verschlüsselt (aber schwächer als FVEK, der den Inhalt von Sektoren verschlüsselt), und wenn sie deaktiviert ist, liegen sie einfach im Klartext. Dies alles sind potenzielle Angriffsvektoren. Sie sind potenziell, weil es neben ihnen noch viel einfachere und universellere gibt.

Wiederherstellungs-Schlüssel

Neben FVEK, VMK und SRK verwendet BitLocker einen anderen Schlüsseltyp, der „nur für den Fall“ generiert wird. Dies sind die Wiederherstellungsschlüssel, mit denen ein weiterer beliebter Angriffsvektor verknüpft ist. Benutzer haben Angst, ihr Passwort zu vergessen und den Zugriff auf das System zu verlieren, und Windows selbst empfiehlt ihnen eine Notfallanmeldung. Dazu fordert Sie der BitLocker-Verschlüsselungsassistent im letzten Schritt auf, einen Wiederherstellungsschlüssel zu erstellen. Eine Weigerung, es zu erstellen, ist nicht vorgesehen. Sie können nur eine der wichtigsten Exportoptionen auswählen, die jeweils sehr anfällig sind.

In den Standardeinstellungen wird der Schlüssel als einfache Textdatei mit einem erkennbaren Namen exportiert: „BitLocker-Wiederherstellungsschlüssel #“, wobei statt # die Computer-ID geschrieben wird (ja, direkt im Dateinamen!). Der Schlüssel selbst sieht so aus.


Wenn Sie das in BitLocker festgelegte Passwort vergessen (oder nie gewusst) haben, suchen Sie einfach nach der Datei mit dem Wiederherstellungsschlüssel. Sicherlich wird es in den Dokumenten des aktuellen Benutzers oder auf seinem Flash-Laufwerk gespeichert. Vielleicht ist es sogar auf ein Blatt Papier gedruckt, wie Microsoft empfiehlt. Warten Sie einfach, bis Ihr Kollege eine Pause macht (und vergisst wie immer, seinen Computer zu sperren) und beginnen Sie mit der Suche.


Melden Sie sich mit dem Wiederherstellungsschlüssel an

Um den Wiederherstellungsschlüssel schnell zu finden, ist es praktisch, die Suche nach Erweiterung (txt), Erstellungsdatum (wenn Sie sich vorstellen können, wann BitLocker ungefähr aktiviert wurde) und Dateigröße (1388 Byte, wenn die Datei nicht bearbeitet wurde) einzuschränken. Wenn Sie den Wiederherstellungsschlüssel gefunden haben, kopieren Sie ihn. Damit können Sie die Standardautorisierung in BitLocker jederzeit umgehen. Drücken Sie dazu einfach Esc und geben Sie den Wiederherstellungsschlüssel ein. Sie können sich problemlos anmelden und sogar Ihr BitLocker-Passwort in ein beliebiges ändern, ohne das alte anzugeben! Das erinnert schon an Tricks aus der Überschrift „Westbau“.


BitLocker öffnen

Ein echtes kryptografisches System ist ein Kompromiss zwischen Komfort, Geschwindigkeit und Zuverlässigkeit. Es sollte Verfahren für eine transparente Verschlüsselung mit spontanen Entschlüsselungs- und Wiederherstellungsmethoden bereitstellen vergessene Passwörter und bequemes Arbeiten mit Schlüsseln. All dies schwächt jedes System, egal auf wie starken Algorithmen es basiert. Daher ist es nicht notwendig, direkt im Rijndael-Algorithmus oder in verschiedenen Schemata des AES-Standards nach Schwachstellen zu suchen. Es ist viel einfacher, sie in den Besonderheiten einer bestimmten Implementierung zu erkennen.

Im Fall von Microsoft reicht diese „Spezifität“ aus. Beispielsweise werden Kopien von BitLocker-Schlüsseln standardmäßig an SkyDrive gesendet und im Active Directory hinterlegt. Wofür? Was ist, wenn Sie sie verlieren ... oder Agent Smith fragt. Es ist unbequem, einen Kunden und noch mehr einen Agenten warten zu lassen.

Aus diesem Grund gerät der Vergleich der kryptografischen Stärke von AES-XTS und AES-CBC mit Elephant Diffuser in den Hintergrund, ebenso wie Empfehlungen zur Erhöhung der Schlüssellänge. Egal wie lang es ist, ein Angreifer kann es leicht im Klartext erhalten.

Empfang treuhänderisch hinterlegter Schlüssel von Konto Microsoft oder AD ist der Hauptweg, um BitLocker zu knacken. Wenn der Benutzer kein Konto in der Microsoft-Cloud registriert hat und sich sein Computer nicht in der Domäne befindet, gibt es immer noch Möglichkeiten, die Verschlüsselungsschlüssel zu extrahieren. Im Normalbetrieb werden deren offene Kopien immer im RAM gespeichert (ansonsten gäbe es keine „transparente Verschlüsselung“). Dies bedeutet, dass sie in ihrer Dump- und Ruhezustandsdatei verfügbar sind.

Warum werden sie überhaupt dort aufbewahrt? Wie es lächerlich ist - der Einfachheit halber. BitLocker wurde ausschließlich zum Schutz vor Offline-Angriffen entwickelt. Sie gehen immer mit einem Neustart und dem Verbinden der Festplatte mit einem anderen Betriebssystem einher, was zum Löschen des Arbeitsspeichers führt. In den Standardeinstellungen entlädt das Betriebssystem jedoch den Arbeitsspeicher, wenn ein Fehler auftritt (der provoziert werden kann) und schreibt den gesamten Inhalt jedes Mal in die Ruhezustandsdatei, wenn der Computer in den Tiefschlaf wechselt. Wenn Sie sich daher kürzlich bei Windows mit aktiviertem BitLocker angemeldet haben, besteht eine gute Chance, eine entschlüsselte Kopie des VMK-Schlüssels zu erhalten und diese zum Entschlüsseln des FVEK und dann der Daten selbst entlang der Kette zu verwenden. Lass uns das Prüfen?

Alle oben beschriebenen BitLocker-Hacking-Methoden sind in einem Programm zusammengefasst – Forensic Disk Decryptor, entwickelt von der inländischen Firma Elcomsoft. Es kann Verschlüsselungsschlüssel automatisch extrahieren, verschlüsselte Volumes als virtuelle Laufwerke bereitstellen und sie im Handumdrehen entschlüsseln.

Darüber hinaus implementiert EFDD eine weitere, nicht triviale Möglichkeit, an Schlüssel zu gelangen – einen Angriff über den FireWire-Port, der zu verwenden ist, wenn es nicht möglich ist, Ihre Software auf dem angegriffenen Computer auszuführen. Wir installieren immer das EFDD-Programm selbst auf unserem Computer und versuchen, auf dem gehackten Programm mit den minimal notwendigen Aktionen auszukommen.

Lassen Sie uns beispielsweise einfach ein Testsystem mit aktivem BitLocker ausführen und „unsichtbar“ einen Speicherauszug erstellen. Wir simulieren also eine Situation, in der ein Kollege zum Mittagessen ausgeht und seinen Computer nicht gesperrt hat. Wir starten RAM Capture und erhalten in weniger als einer Minute einen vollständigen Speicherauszug in einer Datei mit der Erweiterung .mem und einer Größe, die der auf dem Computer des Opfers installierten RAM-Größe entspricht.


Einen Speicherauszug erstellen

Als eine Müllkippe zu machen - im Großen und Ganzen ohne Unterschied. Unabhängig von der Endung handelt es sich dabei um eine Binärdatei, die dann von EFDD automatisch auf Schlüsselsuche analysiert wird.

Wir schreiben den Dump auf einen USB-Stick oder übertragen ihn über das Netzwerk, setzen uns dann an unseren Computer und führen EFDD aus.

Wählen Sie die Option „Schlüssel extrahieren“ und geben Sie als Quelle der Schlüssel den Pfad zur Datei mit dem Speicherauszug ein.

Geben Sie die Quelle der Schlüssel an

BitLocker ist ein typischer Krypto-Container wie PGP Disk oder TrueCrypt. Diese Container erwiesen sich für sich genommen als recht zuverlässig, aber Clientanwendungen für die Arbeit mit ihnen unter Windows verstreuen Verschlüsselungsschlüssel im RAM. Daher ist in EFDD ein universelles Angriffsszenario implementiert. Das Programm sucht sofort nach Verschlüsselungsschlüsseln aller drei Arten beliebter Krypto-Container. Daher können Sie alle Punkte überprüft lassen – was ist, wenn das Opfer heimlich TrueCrypt oder PGP verwendet!

Nach einigen Sekunden zeigt Elcomsoft Forensic Disk Decryptor alle gefundenen Schlüssel in seinem Fenster an. Der Einfachheit halber können sie in einer Datei gespeichert werden – dies wird sich in Zukunft als nützlich erweisen.

Jetzt ist BitLocker kein Hindernis mehr! Sie können einen klassischen Offline-Angriff durchführen – beispielsweise die Festplatte eines Kollegen herausziehen und deren Inhalt kopieren. Schließen Sie es dazu einfach an Ihren Computer an und führen Sie EFDD im Modus „Entschlüsseln oder Mounten der Festplatte“ aus.

Nach Angabe des Pfads zu den Dateien mit gespeicherten Schlüsseln führt EFDD eine vollständige Entschlüsselung des Volumes durch oder öffnet es sofort als virtuelle Festplatte. Im letzteren Fall werden die Dateien beim Zugriff entschlüsselt. In beiden Fällen werden keine Änderungen am Originalband vorgenommen, sodass Sie es am nächsten Tag zurückgeben können, als wäre nichts passiert. Die Arbeit mit EFDD erfolgt spurlos und nur mit Datenkopien und bleibt daher unsichtbar.

BitLocker To Go

Beginnend mit der „Sieben“ in Windows wurde es möglich, Flash-Laufwerke, USB-HDDs und andere externe Medien zu verschlüsseln. Eine Technologie namens BitLocker To Go verschlüsselt Wechseldatenträger auf die gleiche Weise wie lokale Laufwerke. Die Verschlüsselung wird durch den entsprechenden Eintrag im Explorer-Kontextmenü aktiviert.


Bei neuen Laufwerken können Sie nur den belegten Bereich verschlüsseln – der freie Speicherplatz der Partition ist jedoch voller Nullen und es gibt dort nichts zu verbergen. Wenn das Laufwerk bereits verwendet wurde, empfiehlt es sich, die Vollverschlüsselung darauf zu aktivieren. Andernfalls bleibt ein als frei markierter Standort unverschlüsselt. Es kann im Klartext kürzlich gelöschte Dateien enthalten, die noch nicht überschrieben wurden.


Selbst die schnelle Verschlüsselung nur eines stark frequentierten Bereichs dauert mehrere Minuten bis mehrere Stunden. Diese Zeit hängt von der Datenmenge, der Bandbreite der Schnittstelle, den Eigenschaften des Laufwerks und der Geschwindigkeit der kryptografischen Berechnungen des Prozessors ab. Da die Verschlüsselung mit einer Komprimierung einhergeht, erhöht sich der freie Speicherplatz auf der verschlüsselten Festplatte normalerweise geringfügig.

Wenn Sie das nächste Mal ein verschlüsseltes Flash-Laufwerk an einen Computer mit Windows 7 oder höher anschließen, wird der BitLocker-Assistent automatisch gestartet, um das Laufwerk zu entsperren. Im Explorer wird es vor dem Entsperren als gesperrtes Laufwerk angezeigt.


Hier können Sie sowohl die bereits besprochenen Möglichkeiten zur Umgehung von BitLocker (z. B. Suche nach dem VMK-Schlüssel in einem Speicherauszug oder einer Ruhezustandsdatei) als auch neue Möglichkeiten im Zusammenhang mit Wiederherstellungsschlüsseln nutzen.

Wenn Sie das Passwort nicht kennen, aber einen der Schlüssel gefunden haben (manuell oder mit EFDD), gibt es zwei Hauptoptionen für den Zugriff auf das verschlüsselte Flash-Laufwerk:

  • Verwenden Sie den integrierten BitLocker-Assistenten, um direkt mit dem Flash-Laufwerk zu arbeiten.
  • Verwenden Sie EFDD, um das Flash-Laufwerk vollständig zu entschlüsseln und sein Sektor-für-Sektor-Image zu erstellen.

Mit der ersten Option können Sie sofort auf die auf dem Flash-Laufwerk aufgezeichneten Dateien zugreifen, diese kopieren oder ändern und auch Ihre eigenen brennen. Die zweite Option dauert viel länger (ab einer halben Stunde), hat aber ihre Vorteile. Das entschlüsselte Sektor-für-Sektor-Bild ermöglicht Ihnen eine detailliertere Analyse des Dateisystems auf der Ebene eines forensischen Labors. In diesem Fall wird das Flash-Laufwerk selbst nicht mehr benötigt und kann unverändert zurückgegeben werden.


Das resultierende Bild kann sofort in jedem Programm geöffnet werden, das das IMA-Format unterstützt, oder zunächst in ein anderes Format konvertiert werden (z. B. mit UltraISO).


Natürlich werden neben der Suche nach dem Wiederherstellungsschlüssel für BitLocker2Go auch alle anderen BitLocker-Umgehungsmethoden in EFDD unterstützt. Gehen Sie einfach alle verfügbaren Optionen nacheinander durch, bis Sie einen Schlüssel eines beliebigen Typs finden. Der Rest (bis zu FVEK) wird entlang der Kette von selbst entschlüsselt und Sie erhalten vollen Zugriff auf die Festplatte.

Schlussfolgerungen

Die BitLocker-Technologie zur vollständigen Festplattenverschlüsselung unterscheidet sich je nach Windows-Version. Sobald es richtig konfiguriert ist, können Sie Krypto-Container erstellen, deren Stärke theoretisch mit TrueCrypt oder PGP vergleichbar ist. Der in Windows integrierte Mechanismus zum Arbeiten mit Tasten macht jedoch alle algorithmischen Tricks zunichte. Insbesondere der VMK-Schlüssel, der zum Entschlüsseln des Hauptschlüssels in BitLocker verwendet wird, wird von EFDD in wenigen Sekunden aus einem hinterlegten Duplikat, einem Speicherauszug, einer Ruhezustandsdatei oder einem FireWire-Port-Angriff wiederhergestellt.

Nachdem Sie den Schlüssel erhalten haben, können Sie einen klassischen Offline-Angriff durchführen, bei dem alle Daten auf dem „geschützten“ Laufwerk diskret kopiert und automatisch entschlüsselt werden. Daher sollte BitLocker nur in Verbindung mit anderen Schutzmaßnahmen verwendet werden: Encrypting File System (EFS), Rights Management Service (RMS), Programmstartkontrolle, Geräteinstallations- und Verbindungskontrolle sowie strengere lokale Richtlinien und allgemeine Sicherheitsmaßnahmen.

Traubenkonserven für den Winter: Rezepte

Traubenkonserven für den Winter: Rezepte

2023-08-10 00:43:51

Göttliche Hähnchenbrust mit Paprika im Ofen In Paprika marinierte Hähnchenbrust

Göttliche Hähnchenbrust mit Paprika im Ofen In Paprika marinierte Hähnchenbrust

2023-08-10 00:43:51

Wie man Stroganoff vom Rind kocht

Wie man Stroganoff vom Rind kocht

2023-08-10 00:43:51

Ganache-Rezept für einen Kuchenbelag aus dunkler Schokolade

Ganache-Rezept für einen Kuchenbelag aus dunkler Schokolade

2023-08-10 00:43:51



Fehler: Der Inhalt ist geschützt!!