wake-up-neo.net

Was verschlüsselt BitLocker tatsächlich und wann?

Ich benötige die vollständige Festplattenverschlüsselung für Business-Laptops, auf denen eine aktuelle Version von Windows 10 Pro ausgeführt wird. Die Computer verfügen über ein NVMe-SSD-Laufwerk von Samsung und eine Intel Core i5-8000-CPU.

Nach einigen aktuellen Webrecherchen stehen derzeit nur zwei Optionen zur Verfügung: Microsoft BitLocker und VeraCrypt. Ich bin mir des Status von Open und Closed Source und der damit verbundenen Auswirkungen auf die Sicherheit voll bewusst.

Nachdem ich einige Informationen zu BitLocker gelesen habe, die ich noch nie zuvor verwendet habe, habe ich den Eindruck, dass ab Windows 10 BitLocker nur neu geschriebene Daten auf der Festplatte verschlüsselt aber aus Leistungsgründen nicht alles, was bereits vorhanden ist. (Diese Dokumentation besagt, dass ich die Wahl habe, aber nicht. Sie haben mich nicht gefragt, was ich möchte, nachdem ich es aktiviert habe.) Ich habe in der Vergangenheit die TrueCrypt-Systemverschlüsselung verwendet und weiß, dass die vorhandene Datenverschlüsselung eine sichtbare Aufgabe ist ein paar Stunden. Ich kann ein solches Verhalten mit BitLocker nicht beobachten. Keine erkennbare CPU- oder Festplattenaktivität im Hintergrund.

Das Aktivieren von BitLocker ist wirklich einfach. Klicken Sie auf eine Schaltfläche, und speichern Sie den Wiederherstellungsschlüssel an einem sicheren Ort. Der gleiche Prozess mit VeraCrypt brachte mich dazu, die Idee aufzugeben. Ich musste tatsächlich ein voll funktionsfähiges Wiederherstellungsgerät erstellen, auch zu Testzwecken auf einem Einwegsystem.

Ich habe auch gelesen, dass VeraCrypt derzeit einen Designfehler hat, der einige NVMe-SSDs extrem langsam macht mit Systemverschlüsselung. Ich kann es nicht verifizieren, weil das Setup zu kompliziert ist. Zumindest nach der Aktivierung von BitLocker kann ich keine signifikante Änderung der Festplattenleistung feststellen. Auch das VeraCrypt-Team verfügt nicht über ausreichende Ressourcen, um diesen "komplizierten Fehler" zu beheben. Außerdem können Windows 10-Upgrades nicht mit VeraCrypt ausgeführt werden , was häufiges Dekodieren und Verschlüsseln der Festplatte erforderlich macht. Ich hoffe, BitLocker funktioniert hier besser.

Daher bin ich fast mit der Verwendung von BitLocker zufrieden. Aber ich muss verstehen, was es tut. Leider gibt es online fast keine Informationen dazu. Die meisten bestehen aus Blog-Posts, die einen Überblick geben, aber keine genauen Informationen enthalten. Also frage ich hier.

Was geschieht mit vorhandenen Daten, nachdem BitLocker auf einem System mit einem Laufwerk aktiviert wurde? Was passiert mit neuen Daten? Was bedeutet es, BitLocker auszusetzen? (Dies ist nicht das Gleiche wie die dauerhafte Deaktivierung und damit die Entschlüsselung aller Daten auf der Festplatte.) Wie kann ich den Verschlüsselungsstatus überprüfen oder die Verschlüsselung aller vorhandenen Daten erzwingen? (Ich meine nicht genutzten Speicherplatz, das ist mir egal und für SSDs ist es erforderlich, siehe TRIM.) Gibt es einige detailliertere Daten und Aktionen zu BitLocker außer "Suspend" und "Decrypt"?

Und vielleicht auf der anderen Seite, in welcher Beziehung steht BitLocker zu EFS (verschlüsseltes Dateisystem)? Wenn nur neu geschriebene Dateien verschlüsselt werden, scheint EFS einen sehr ähnlichen Effekt zu haben. Aber ich weiß, wie man EFS bedient, es ist viel verständlicher.

33
ygoe

Durch Aktivieren von BitLocker wird ein Hintergrundprozess gestartet, der alle vorhandenen Daten verschlüsselt. (Auf Festplatten ist dies traditionell ein langer Prozess, da jeder Partitionssektor gelesen und neu geschrieben werden muss. Auf selbstverschlüsselten Festplatten kann dies sofort erfolgen.) Wenn also gesagt wird, dass nur neu geschriebene Daten verschlüsselt werden, bezieht sich dies auf den Status unmittelbar nach BitLocker-Aktivierung und nicht mehr gültig, sobald die Hintergrundverschlüsselungsaufgabe abgeschlossen ist. Der Status dieses Vorgangs wird im selben Fenster der BitLocker-Systemsteuerung angezeigt und bei Bedarf angehalten.

Der Microsoft-Artikel muss sorgfältig gelesen werden: Er befasst sich eigentlich nur mit der Verschlüsselung von used Bereichen der Festplatte. Sie machen lediglich darauf aufmerksam, dass dies den größten Einfluss auf neue Systeme hat, auf denen Sie keine Daten noch außer dem Basisbetriebssystem haben (und daher alle Daten "neu geschrieben" werden). . Das heißt, Windows 10 wird alle Ihre vorhandenen Dateien nach der Aktivierung verschlüsseln - es verschwendet einfach keine Zeit damit, Festplattensektoren zu verschlüsseln, die noch nichts enthalten. (Sie können diese Optimierung über Gruppenrichtlinien deaktivieren.)

(Der Artikel weist auch auf einen Nachteil hin: Bereiche, in denen zuvor gelöschte Dateien gespeichert waren, werden ebenfalls als "unbenutzt" übersprungen. Wenn Sie also ein gut genutztes System verschlüsseln, wischen Sie den freien Speicherplatz mit einem Tool ab und lassen Sie dann Windows TRIM ausführen, wenn Sie haben eine SSD, bevor Sie BitLocker aktivieren, oder verwenden Sie die Gruppenrichtlinie, um dieses Verhalten zu deaktivieren.)

Im selben Artikel werden auch neuere Windows-Versionen erwähnt, die selbstverschlüsselnde SSDs nach dem OPAL-Standard unterstützen. Der Grund, warum Sie keine Hintergrund-E/A sehen, kann sein, dass die SSD vom ersten Tag an intern verschlüsselt wurde und BitLocker dies erkannte und nur die Schlüsselverwaltung auf SSD-Ebene übernahm, anstatt den Verschlüsselungsaufwand zu duplizieren auf Betriebssystemebene. Das heißt, dass sich die SSD beim Einschalten nicht mehr selbst entsperrt, sondern Windows dies tun muss. Dies kann über eine Gruppenrichtlinie deaktiviert werden, wenn das Betriebssystem die Verschlüsselung unabhängig von dieser Einstellung ausführen soll.

Durch das Anhalten von BitLocker wird eine Klartextkopie des Hauptschlüssels direkt auf die Festplatte geschrieben. (In der Regel wird dieser Hauptschlüssel zuerst mit Ihrem Kennwort oder mit einem TPM verschlüsselt.) Wenn er angehalten ist, kann der Datenträger auf eigene Faust entsperrt werden. Dies ist eindeutig ein unsicherer Zustand. Windows Update kann jedoch das TPM neu programmieren, damit es mit dem aktualisierten Betriebssystem übereinstimmt , zum Beispiel. Durch die Wiederaufnahme von BitLocker wird dieser einfache Schlüssel einfach von der Festplatte gelöscht.

BitLocker ist nicht mit EFS verwandt. Letzteres funktioniert auf Dateiebene und ordnet Schlüssel Windows-Benutzerkonten zu (dies ermöglicht eine differenzierte Konfiguration, macht es jedoch unmöglich, die eigenen Dateien des Betriebssystems zu verschlüsseln), während ersteres auf der Ebene des gesamten Datenträgers funktioniert. Sie können zusammen verwendet werden, obwohl BitLocker meistens EFS überflüssig macht.

(Beachten Sie, dass sowohl BitLocker als auch EFS über Mechanismen verfügen, mit denen Active Directory-Administratoren in Unternehmen die verschlüsselten Daten wiederherstellen können - entweder durch Sichern des BitLocker-Hauptschlüssels in AD oder durch Hinzufügen eines EFS Datenwiederherstellungsagenten alle Dateien.)

41
grawity