Vista intern: die Bitlocker-Laufwerkverschlüsselung

31. Januar 2008 - Von in Vista intern | Beitrag Seperat Öffnen

Mit der Bitlocker-Laufwerkverschlüsselung hat Microsoft ein Feature in Vista integriert, mit dessen Hilfe man ganz einfach seine sensiblen Daten vor Diebstahl schützen und gleichzeitig die komplette Startpartition so verschlüsseln kann, dass ein Systemstart ohne einen erforderlichen Schlüssel nicht mehr möglich ist. Die Bitlocker-Technologie vereinigt also quasi zwei Komponenten: die vollständige Verschlüsselung von Laufwerken und die Integritätsprüfung von Komponenten während des Systemstarts. Im Folgenden erkläre ich nun, wie Bitlocker überhaupt funktioniert:

Zuerst das Wichtigste: die Verschlüsselung der Laufwerke erfolgt durch den Advanced Encryption Standard (AES) mit einer Länge von 128 oder 256 Bit. Bitlocker bietet drei Modi: für die ersten beiden benötigt man ein aktuelles BIOS und einen Hardware-Chip namens Trusted Platform Modul (TPM). Hierbei handelt es sich um einen Chip, der nicht an einen Benutzer, sondern an ein System gebunden ist. Das TPM dient zur Identifizierung des Computers, da er den Bootvorgang oder den Betrieb nicht beeinflussen kann und enthält eine eindeutige Kennung. Den dritten Modus kann man auch ohne TPM benutzen – dazu später mehr.

BitLocker01
Bild-Quelle:BitLocker™ - The dirty details

Nun aber zu den eigentlichen Modi zurück: der erste Modus, der transparente Betriebsmodus, nutzt genau die Fähigkeiten des TPM-Chips aus, um für eine reibungslose, ja quasi im Hintergrund laufende Verschlüsselung zu sorgen. Der Benutzer kann sich also ganz normal anmelden und muss weder einen Schlüssel eingeben, noch einen USB-Stick anschließen, um das Betriebssystem zu starten. Aber nur, wenn überprüft wurde, dass die für den Bootvorgang nötigen Dateien nicht verändert wurden. Dann wird der Startup-Key, der durch den TPM-Chip verschlüsselt wurde und der für die Verschlüsselung des Startvolumes benötigt wird, an den Bootloader „weitergeleitet“. Wurden die Dateien manipuliert, startet das System nicht. Der zweite Modus ist der sogenannte Benutzer-Authentifizierung-Modus: dieser Modus verlangt, dass sich der Benutzer vor dem eigentlichen Startvorgang des Betriebssystems authentifiziert. Dies kann man auf zwei Art und Weisen tun: entweder man benutzt einen USB-Stick, der den benötigten Schlüssel enthält, oder man gibt den Schlüssel manuell ein.

BitLocker02
Bild-Quelle:BitLocker™ - The dirty details
 

Hat man allerdings kein TPM, kann man die Bitlocker-Verschlüsselung trotzdem benutzen. Für diesen Modus muss man Bitlocker allerdings erst einmal konfigurieren:
Öffnen Sie den Gruppenrichtlinien-Editor (Windows+R und dann gpedit.msc eingeben). Im Gruppenrichtlinien-Editor klicken sie auf „Computerkonfiguration“ dann auf „Administrative Vorlagen“, auf „Windows-Komponenten“ und schließlich auf „BitLocker-Laufwerkverschlüsselung“:
Screenshot Bitlocker - 1
Öffnen Sie nun die Option „Systemsteuerungssetup: Erweiterte Startoptionen aktivieren“ in der rechten Fensterhälfte:
Screenshot Bitlocker - 2
Wird nun der Bitlocker-Assistent gestartet, wird die neue Option angezeigt.
Der dritte Modus erfordert, wie schon der zweite, einen beim Start angeschlossenen USB-Stick, auf dem sich der Schlüssel für die Verschlüsselung des Startvolumes befindet. Zu beachten ist, dass das BIOS in der Lage sein sollte, USB-Sticks auszulesen.

Vor- und Nachteile von Bitlocker

  • skalierbarer Sicherheitsschutz
  • verbesserter Schutz der persönlichen Daten
  • Ein mit BitLocker geschützter Datenträger kann nicht ohne weiteres an einen anderen Computer angeschlossen werden
  • Im Falle eines Fehlers auf dem Datenträger kann es sein, dass die Daten unwiderruflich verloren sind, da sie nicht mehr entschlüsselt werden können

Microsoft betont, dass Bitlocker keine Hintertür enthalte und bis jetzt wurde das Gegenteil auch noch nicht bewiesen. Außerdem soll Bitlocker nur geringfügige Auswirkungen auf die Systemleistung haben. Am sichersten ist laut Microsoft der Einsatz von TPM und einem Startup-Key, da der Startup-Key zusätzlichen Schutz bietet, weil er entweder physisch in Form eines USB-Sticks, oder in Form einer manuellen Eingabe eines Schlüssels vorliegen muss.

Quellen:

BitLocker™ - The dirty details

Technet:
Link 1
Link 2

engl. Wikipedia:
http://en.wikipedia.org/wiki/BitLocker_Drive_Encryption

Dr. Vista Forum:
Link

INFOWEEKonline:
http://www.infoweek.ch/archive/ar_single.cfm?ar_id=18512&ar_subid=3&sid=0

Bookmark diesen Artikel

Bookmarke diesen Artikel Trackback URL zu diesem Artikel Trackback URL RSS Feed für Kommentare Kommentare RSS

Zufällige Beiträge

Tweetback für diesen Beitrag? Poste folgende URL http://tinyurl.com/7mm7ew in deinem tweet.

4 Kommentare

Neuen Kommentar schreiben

1. Eugen Webseite des Users schrieb am 31. Januar 2008 um 16:51

Vielleicht interessiert jemanden die von mir geschriebene Anleitung zur automatisierten Konfiguration von Bitlocker bei der Installation des Betriebsystems.
http://www.vistablog.at/stories/18832

2. sz1 schrieb am 31. Januar 2008 um 22:52

erstklassig :)

3. kwar43 schrieb am 07. Februar 2008 um 12:25

Wow! Weiter so! Wann kommt der nächste? Die Vista intern Beiträge sind echt nicht schlecht. Hut ab!

4. Pale schrieb am 05. Oktober 2009 um 18:49

gibt es soetwas schon für Win 7 (Beschreibung meine ich)

Schreibe einen Kommentar

Benutzerlogin


Registrieren

Werbung

Du möchtest vista-blog.de ohne Werbung genießen? Dann registriere dich.

Themen

Newsletter

Twitter Button from twitbuttons.com

Bookmarke den Vista-Blog

Wallpaper Diashow

Die letzten Kommentare:

Die letzten Forumsbeiträge

Link-Tipps / Blogroll

Offizielle Links

Partnerseiten

Weiterführende Links

Off Topic

Tagwolke

Archiv

Optionen

Dieser Blog ist ein rein kostenloses und non-kommerzielles Angebot und wurde von TYPO3 Agentur - Bergisch Media realisiert. - Impressum

Blogverzeichnis - Blog Verzeichnis bloggerei.de Bloggeramt.de