3Sep
Die BitLocker-Festplattenverschlüsselung erfordert normalerweise ein TPM unter Windows. Microsofts EFS-Verschlüsselung kann niemals ein TPM verwenden. Die neue Funktion "Geräteverschlüsselung" unter Windows 10 und 8.1 erfordert auch ein modernes TPM, weshalb es nur auf neuer Hardware aktiviert ist. Aber was ist ein TPM?
TPM steht für "Trusted Platform Module".Es ist ein Chip auf dem Motherboard Ihres Computers, der die manipulationssichere Verschlüsselung von ganzen Festplatten ermöglicht, ohne dass extrem lange Passphrasen benötigt werden.
Was genau ist es?
Das TPM ist ein Chip, der Teil des Motherboards Ihres Computers ist. Wenn Sie einen Standard-PC gekauft haben, ist er auf das Motherboard gelötet. Wenn Sie Ihren eigenen Computer gebaut haben, können Sie einen als Zusatzmodul kaufen, wenn Ihr Motherboard dies unterstützt. Das TPM generiert Verschlüsselungsschlüssel und behält einen Teil des Schlüssels für sich. Wenn Sie also die BitLocker-Verschlüsselung oder die Geräteverschlüsselung auf einem Computer mit dem TPM verwenden, wird ein Teil des Schlüssels im TPM selbst und nicht nur auf der Festplatte gespeichert. Das bedeutet, dass ein Angreifer das Laufwerk nicht einfach vom Computer entfernen und versuchen kann, auf seine Dateien an anderer Stelle zuzugreifen.
Dieser Chip bietet hardwarebasierte Authentifizierung und Sabotageerkennung, so dass ein Angreifer nicht versuchen kann, den Chip zu entfernen und auf ein anderes Motherboard zu legen oder das Motherboard selbst zu manipulieren, um die Verschlüsselung zu umgehen - zumindest theoretisch.
Verschlüsselung, Verschlüsselung, Verschlüsselung
Für die meisten Menschen ist Verschlüsselung der wichtigste Anwendungsfall. Moderne Windows-Versionen verwenden das TPM transparent. Melden Sie sich einfach mit einem Microsoft-Konto auf einem modernen PC an, der mit "Geräteverschlüsselung" ausgeliefert wird und Verschlüsselung verwendet. Aktivieren Sie die BitLocker-Datenträgerverschlüsselung, und Windows verwendet ein TPM zum Speichern des Verschlüsselungsschlüssels.
Normalerweise erhalten Sie nur Zugriff auf ein verschlüsseltes Laufwerk, indem Sie Ihr Windows-Anmeldekennwort eingeben, das jedoch mit einem längeren Verschlüsselungsschlüssel geschützt ist. Dieser Verschlüsselungsschlüssel ist teilweise im TPM gespeichert. Sie benötigen also Ihr Windows-Anmeldekennwort und denselben Computer, von dem das Laufwerk stammt, um darauf zuzugreifen. Aus diesem Grund ist der "Wiederherstellungsschlüssel" für BitLocker etwas länger - Sie benötigen diesen längeren Wiederherstellungsschlüssel für den Zugriff auf Ihre Daten, wenn Sie das Laufwerk auf einen anderen Computer verschieben.
Dies ist ein Grund, warum die ältere Windows EFS-Verschlüsselungstechnologie nicht so gut ist. Es gibt keine Möglichkeit, Verschlüsselungsschlüssel in einem TPM zu speichern. Das bedeutet, dass die Verschlüsselungsschlüssel auf der Festplatte gespeichert werden müssen und weniger sicher sind. BitLocker kann auf Laufwerken ohne TPMs verwendet werden, aber Microsoft hat alles getan, um diese Option auszublenden, um zu verdeutlichen, wie wichtig ein TPM für die Sicherheit ist.
Warum TrueCrypt TPMs
gemieden wurde Natürlich ist ein TPM nicht die einzige praktikable Option für die Festplattenverschlüsselung. TrueCrypt's FAQ - jetzt heruntergefahren - betonte, warum TrueCrypt kein TPM verwendet hat und niemals verwenden würde. Es warf TPM-basierte Lösungen als falsches Sicherheitsgefühl ab. Die TrueCrypt-Website stellt nun fest, dass TrueCrypt selbst anfällig ist und empfiehlt stattdessen, BitLocker zu verwenden, bei dem TPMs verwendet werden. Es ist also ein verwirrendes Durcheinander im TrueCrypt-Land.
Dieses Argument ist jedoch weiterhin auf der Veracrypt-Website verfügbar. VeraCrypt ist eine aktive Abzweigung von TrueCrypt. Die FAQ von VeraCrypt besteht darauf, dass BitLocker und andere Dienstprogramme, die auf TPM angewiesen sind, Angriffe gegen Angriffe verhindern, bei denen ein Angreifer Administratorzugriff oder physischen Zugriff auf einen Computer benötigt."Das einzige, was TPM fast garantiert bietet, ist ein falsches Sicherheitsgefühl", heißt es in der FAQ.Es besagt, dass ein TPM bestenfalls "redundant" ist.
Da ist etwas Wahres dran. Keine Sicherheit ist absolut absolut. Ein TPM ist wohl eher ein Convenience-Feature. Durch das Speichern der Verschlüsselungsschlüssel in Hardware kann ein Computer das Laufwerk automatisch entschlüsseln oder mit einem einfachen Kennwort entschlüsseln. Es ist sicherer als das Speichern dieses Schlüssels auf der Festplatte, da ein Angreifer die Festplatte nicht einfach entfernen und in einen anderen Computer einfügen kann. Es ist an diese spezifische Hardware gebunden.
Letztendlich ist ein TPM nichts, worüber man viel nachdenken muss. Ihr Computer hat entweder ein TPM oder nicht - und moderne Computer werden es im Allgemeinen tun. Verschlüsselungswerkzeuge wie BitLocker von Microsoft und "Geräteverschlüsselung" verwenden automatisch ein TPM, um Ihre Dateien transparent zu verschlüsseln. Das ist besser, als überhaupt keine Verschlüsselung zu verwenden, und es ist besser, als einfach die Verschlüsselungsschlüssel auf dem Datenträger zu speichern, wie es Microsofts EFS( Encrypting File System) tut.
Was TPM vs. nicht TPM-basierte Lösungen angeht, oder BitLocker vs. TrueCrypt und ähnliche Lösungen - nun, das ist ein kompliziertes Thema, auf das wir hier nicht wirklich eingehen können.
Bildnachweis: Paolo Attivissimo auf Flickr
