[Michael41a]

Hi Forum,

ich habe mal mein System mit Bitlocker "gesichert" (ohne TMP-Chip). Damit nix schief geht, habe ich nach der Verschlüsselung mal den Schlüssel ausprobiert, und zwar beide. Den auf den USB-Stick, und den, den man mit der Hand eingeben kann.

Gibt man den Schlüssel mit der Hand ein, sagt Bitlocker fein säuberlich, ob die sechsstellige Zahl richtig eingegeben wurde. Stimmt sie, kann man (und nur dann) die nächste Zahl eingeben. Stimmt sie nicht, verlangt Bitlocker eine Korrektur. Insgesamt sind es acht Blöcke mit sechsstelligen Zahlen, die eingegeben werden müssen.

Nur wo bitte ist da sie Sicherheit? Man muß nur so lange probieren, schlimmstenfalls bis zur Zahl 999999, bis die Zahl stimmt. Dann gibt man die nächste Zahl ein und probiert wieder. Acht mal insgesamt. Es dauert vielleicht ein wenig, aber nicht übermäßig lange, und man hat den Schlüssel und kann das "verschlüsselte" System starten.

Tut mir leid, aber so wie ich das bisher sehe, ist Bitlocker kein sicherer Schutz. Jeder Drittklässler kann den Schlüssel knacken. Sagt mir, wenn ich mich täusche.

Grüßle

[Spiderman]

Was erwartest du von MS, einem US Unternehmen das mit Windows Marktführer bei den OS ist ?

Die bekommen mit Sicherheit Auflagen was sie dürfen und was nicht.

Was war das denn für ein Theater um die 128 Bit Verschlüsselungsstärke des IE 5 für das Ausland, also für uns auch.

Die 128 Bit haben wir immer noch, seit über 8 Jahren, einige Banken haben extra Software entwickelt, um eine 256 Bit Verschlüsselung zu erhalten.

Über das automatisches Update wurden schon öfters Systeme ungefragt verändert, das kann dann nicht nur MS, sondern auch der ISP und die staatlichen Sicherheitsbehörden.

Jeder Sicherheitsexperte kann bestätigen, ein sicheres OS ist möglichst schlank, hat nur die nötigsten Anwendungen installiert, selbst eine Ping.exe hilft einem Hacker.

Ich halte das Verschlüsseln der Festplatte eh nur bei Laptops für sinnvoll, ein Desktop PC geht selten verloren.

Gruß
Spiderman

[Michael41a]

Zitat (Spiderman: 09.10.2008, 08:26)

Ich halte das Verschlüsseln der Festplatte eh nur bei Laptops für sinnvoll, ein Desktop PC geht selten verloren.

Ich hatte vor ein paar Tagen ein Problem mit dem Speicher. Da noch Garantie drauf war, mußte ich den Rechner zum Geschäft bringen. Die haben dann den Speicher getestet und später getauscht.

Bevor ich den Rechner weggegeben habe, hatte ich alle Festplatten ausgebaut. Das hätte ich mir mit einem verschlüsselten System sparen können.

Aber im Grunde stimmt es schon, was Du sagst. Ich bin gerade dabei, wieder zu entschlüsseln.

Gruß
Michael

[Spiderman]

Für einen Experten dürfte das Entschlüsseln kein Problem sein, und ein Laie kann mit Software die ein Experte geschrieben hat auch Entschlüsseln.

Selbst wenn die gesamte Festplatte verschlüsselt wird(braucht Startmedium zum entschlüsseln), gibt es doch bestimmte(von der Position) Blöcke auf der Disk, wo bestimmte Daten stehen müssten, wie Bootloader, MFT, Root, und wenn man weiß, das ist der Bootloader nur eben codiert, kann man den Schlüssel durch BruteForce oder zurückrechnen mit allen bekannten Verschlüsselungs Methoden schnell finden.

Es gibt Programme die überschreiben alles mit Zufallsdaten, das ist sicher.

Bei Laptops könnte man besser alle wichtigen Daten auf CD/RW speichern, auf der Platte nur das OS.

Gruß
Spiderman

[tavoc]

naja das sind erstmal knapp 8 000 000 Versuche im schlimmsten Fall nötig, nehmen wir das mittel an, also 4 000 000.

Weiß du denn ob Bitlocker nicht nach einer gewissen Anzahl von Versuchen die Eingabe sperrt? Z.b. für eine Stunde oder auf dauerhaft?

Bei einer Stunde wären das bei einer Sperrung nach 3 Versuchen:

4000 000 / 3 = 152 Jahre

EDIT:

Ich sehe das funktioniert so:

Um das Finden der korrekten PIN durch Ausprobieren zu verhindern, sperrt das TPM nach ca. 15 Fehleingaben die Eingabe weiterer PINs für eine mit jeder wei-teren Fehleingabe zunehmenden Zeitspanne. Bei den TPM einiger Hersteller (unter anderem Infineon) bleibt diese Sperre auch nach einem Neustart aktiv. Die Sperre kann auch mutwillig ausgelöst worden sein, um dem Benutzer zu schaden.
Um diese Sperre aufzuheben, muss das TPM im BIOS oder in der TPM-Verwal-tung unter Vista gelöscht und neu initialisiert werden. Der Vorgang entspricht der in Abschnitt 4.4.1 beschriebenen Ersteinrichtung des TPM.

Quelle: http://testlab.sit.fraunhofer.de/content/o...r-Leitfaden.pdf

Bitlocker ist halt mehr mit TPM Chip geeignet...

Dieser Beitrag wurde von tavoc bearbeitet: 09. Oktober 2008 - 09:51

[Michael41a]

Pfeiltaste nach oben (neue Zahl) -> Pfeiltaste nach rechts (gucken, ob die Zahl stimmt). Mit ein bißchen Übung schafft man so locker drei bis vier Zahlen pro Sekunde. Bei 4.000.000 angenommenen Versuchen macht das etwa 300 bis 400 Std. probieren und man hat den Schlüssel - bei Handarbeit. Setzt man ein Programm ein, wie Spiderman schrieb, geht es noch schneller.

Okay, es kann sein, daß Microsoft eine Sperre eingebaut hat. Es deutet allerdings nichts darauf hin.

Gruß
Michael

[clickme]

Zitat

Nur wo bitte ist da sie Sicherheit? Man muß nur so lange probieren, schlimmstenfalls bis zur Zahl 999999, bis die Zahl stimmt. Dann gibt man die nächste Zahl ein und probiert wieder. Acht mal insgesamt.

Gibt es schon. Nennt sich Bruteforce.

Zitat

Pfeiltaste nach oben (neue Zahl) -> Pfeiltaste nach rechts (gucken, ob die Zahl stimmt). Mit ein bißchen Übung schafft man so locker drei bis vier Zahlen pro Sekunde.

Da es die von dir erfundene Methode schon gibt, gibt es auch schon Programme die das deutlich schneller schaffen als du mit Übung

Aber: Jetzt sag mir mal welche Verschlüsselung (PKI, etc.) sich nicht durch Bruteforce umgehen lässt?! Nein, Bitlocker ist nicht fürn Ar***. Verschlüsselung ist demnach fürn Ar***...

[Michael41a]

Zitat (clickme: 10.10.2008, 15:50)

Aber: Jetzt sag mir mal welche Verschlüsselung (PKI, etc.) sich nicht durch Bruteforce umgehen lässt?! Nein, Bitlocker ist nicht fürn Ar***. Verschlüsselung ist demnach fürn Ar***...

Ich denke, z.B. TrueCrypt mit einem etwa 30stelligen guten Paßwort (welches man nur im Kopf aufbewahrt) ist sicher.

[Michael41a]

Zitat (tavoc: 09.10.2008, 10:49)

naja das sind erstmal knapp 8 000 000 Versuche im schlimmsten Fall nötig, nehmen wir das mittel an, also 4 000 000.

Weiß du denn ob Bitlocker nicht nach einer gewissen Anzahl von Versuchen die Eingabe sperrt? Z.b. für eine Stunde oder auf dauerhaft?

Bei einer Stunde wären das bei einer Sperrung nach 3 Versuchen:

4000 000 / 3 = 152 Jahre

Es läuft anders, wie ich jetzt gelesen habe. Hier die Funktionsbeschreibung:

http://blogs.msdn.co.../10/694692.aspx

In Kurzfassung: Bitlocker erkennt bei der Eingabe einer Zahl, die durch 11 teilbar ist, diese als richtig an und gibt das Feld frei. Es ist nicht so (wie ich gedacht hatte), daß nur die richtig eingegebene Zahl das Feld freigibt. Das hätte Bitlocker tatsächlich unbrauchbar gemacht.

Damit scheint Bitlocker doch sicher zu sein.