Druckbare Version
Dir sollte klar sein, dass das eher eine Fehlersitutation ist als der Normalfall. Musste bei meinem Surface trotz mehrfacher OS und UEFI Updates noch nie den Schlüssel eingeben. Also mal keine Panik schieben.Zitat:
Bei jedem Update muss man also ein Num Pad rauskamen
Wenn ich Bitlocker richtig verstehe, wird der Wiederherstellungsschlüssel nach jeder Änderung am Bootloader verlangt. Das ist ja richtig und gewünscht.
Wenn Windows jetzt beim Hochbooten den tollen Satz zeigt "Update n von m wird installiert, schalten sie den PC nicht aus" (oder so Ähnlich) wird Bitlocker davor auf jeden Fall das Kenwort verlangt haben, da der Bootloader sich geändert hat.
Und solche Updates werden Erfahrungsgemäß sicher häufiger vorkommen :/
Naja bleibt mir nichts anderes über, als das am Notebook zu beobachten.
Kannst du jetzt den Wiederherstellungsschlüssel mit dem Touch Cover eingeben? Dann wär ja alles Super! :)
Dem war aber bisher nicht so. Ich nehme an, es gibt Wege das TPM zu überzeugen, dass das Update "authentisch" ist.Zitat:
Wenn Windows jetzt beim Hochbooten den tollen Satz zeigt "Update n von m wird installiert, schalten sie den PC nicht aus" (oder so Ähnlich) wird Bitlocker davor auf jeden Fall das Kenwort verlangt haben, da der Bootloader sich geändert hat.
Und solche Updates werden Erfahrungsgemäß sicher häufiger vorkommen :/
Wüsste nicht wie ich das forcieren könnte.Zitat:
Kannst du jetzt den Wiederherstellungsschlüssel mit dem Touch Cover eingeben? Dann wär ja alles Super!
Laut dem Bericht:
http://drewby.com/bitlocker-recovery-for-surface
kann ich das wohl durch mehrfache Fehleingabe des Passwords erreichen. Möchte ich aber ungern ausprobieren.
Auf jeden Fall hat man den Bitlocker offenbar nur mit Windows 8 Pro oder Windows RT an Board. Ein normales Windows 8 scheinbar nicht.
Die einzige Möglichkeit ist, die Verschlüsselung Pausieren zu lassen, das Update machen und dann wieder weiterlaufen lassen.... Auch nicht gerade sehr Praxistauglich.
Aber der Link ist interessant. Hätte er nämlich eine extra Tastatur gebraucht, hätte er es sicher beschreiben. Bleibt wohl nur abwarten und schauen wie sich das gerät nun wirklich verhält.
Eigentlich muss man da nichts pausieren lassen, wenn das update eine "Trusted Component" während der secure boot Phase vornimmt, was ja offensichtlich der Fall ist.Zitat:
Die einzige Möglichkeit ist, die Verschlüsselung Pausieren zu lassen, das Update machen und dann wieder weiterlaufen lassen.... Auch nicht gerade sehr Praxistauglich.
Auf dem Laptop so ausprobiert und funktioniert unter Windows 8 Pro/Enterprise!
- 500GB Partition erstellt
- diese mit TrueCrypt 7.1a verschlüsselt
- alle Pfade entsprechend dahin zeigend angepasst
- alle Funktionen durchgespielt und es funktioniert alles wie es auch unter Windows 7 so funktioniert hat
So kann ich meine Firmendaten sicher verschlüsseln und habe diese dann auch verschlüsselt bei mir!
Urgs, mit TrueCrypt hat man doch bestimmt noch die alte pre Boot Authentication, wo man jedes mal Password eingeben muss. Da ist man mit Bitlocker und Secure Boot schon weiter.
Nur leider knackt man Bitlocker ohne Probleme im Gegensatz zu TrueCrypt ;)
JA klaro, viel Spass dabei. Die einzig bekannte Attacke auf Bitlocker its auch auf Truecrypt anwendbar.Zitat:
Nur leider knackt man Bitlocker ohne Probleme im Gegensatz zu TrueCrypt
Wie zur Hölle kommt man denn jetzt bitte schon an ein Surface Pro? Ich will meins auch endlich, aber es wurde ja noch nicht mal offiziell präsentiert. Man findet auch absolut noch keine Reviews (ich zumindest nicht).
Reviews gibts schon. Microsoft hat es einigen Reportern gezeigt. Im Ausstattungsthread zum surface pro hab ich 2 Links gepostet
Mit der kostenlosen PocketPC.ch App von meinem LG-E900 aus geschrieben.
In dem die Firma in der man Arbeitet Microsoft sehr sehr sehr viel Geld dafür zahlt für Premier / Service Advantage Support, Software und auch für die neusten Testgeräte. ;)Zitat:
Zitat von MrEnglish
---------- Hinzugefügt um 13:19 ---------- Vorheriger Beitrag war um 13:17 ----------
Wenn du meinst, ich verdiene ja damit bloss ~50% meines Geldes.Zitat:
Zitat von Tala
Naja ohne Probleme würde ich nicht sagen und TrueCrypt hat auch sein schwächen.
eine um die Sicherheit bei Bitlocker zu vergrößern, sollte man auf jeden Fall TPM+Pin nutzen. Ansonsten wird durch ein normales booten des Systems der Volumenkey einfach vom TPM freigeben
Und wenn ich höre, das Software angeblich beim Booten dem TPM erzählen kann, das alles so i.O. ist, erschreckt mich das schon. Als diesen Komfort Plus sehe ich als dickes Minus im Bereich der Sicherheit. :(
Kleines Beispiel.......
Aktuell schreibe ich dies von einem Sony Vaio VPCZ13V9E mit Win7 64Bit Ultimate.
- 8GB RAM
- i7 M640 @2,8GHz
- 4x 64GB mSATA SSD im RAID 0
- Die komplette 256GB SSD habe ich mit TreuCrypt verschlüsselt
- AES-Twofish-Serpent cascading encryption
- Whirlpool hash algorithm
- 30 Stelliges Passwort
- Passfile auf dem Stick
so kommt niemand auch nur ansatzweise in einer möglichen Zeit an meine Daten heran. Ohne dass die SSD's den Geist aufgeben vor lauter Überlastung, Abnutzung. Normales arbeiten ist ohne Probleme oder Einschränkungen möglich. Ausser im Benchmark merkt man absolut nichts von der Verschlüsselung.
OK. ich gebe zu die Schwächen sind in deinem Fall schon sehr klein :)
Leider wird das selbst auf einem Surface Pro nicht funktionieren...... Da muss man dann zwingend mangels Alternativen auf Bitlocker zurückgreifen. Und selbst da scheint das nicht optimal zu funktionieren :/
Ja leider geht es noch nicht auf Win8, da muss die TrueCrypt Community noch einmal über die Bücher.
Habe die angeschrieben und auf die Problematik bei den Tablets mit fehlender Tastatur hingeweisen.
Ich hoffe das TrueCrypt was anständiges hinbekommt. Ich musste gerade zum x-ten mal meinen Wiederherstellungsschlüssel eingeben. Wenn ich den nicht in einer Keepass im Handy dabei hätte wär ich verloren.
Also wenn sich Bitlocker auf einem Tablet genauso gebärdet, dann ist das absolut indiskutabel.
Was kann man denn machen, wenn BL nun ausscheidet, und TC noch keine Tablets unterstützt?
Habt ihr einen Rat?
Meine privaten Daten könnte ich ja in einen TC Container hängen, aber was mache ich z.B. Mit meinen e-Mails. Die e-Mail App bekomme ich da nicht rein, oder :/
doch du kannst in Outlook ohne Probleme das PST File dorthin verweisen lassen. Einfach immer vor dem starten von Outlook den Container öffnen und anhängen.Zitat:
Zitat von dering
Anhang 116706
Die Win8 E-Mail App nutze ich nicht, da ich alles mit Outlook 2010/2013 mache.
Genaugenommen ist es so, dass der TPM im Zusammenhang mit Secure Boot, die Integrität der Software überwacht und nicht andersrum und das bis zum Login.Zitat:
Und wenn ich höre, das Software angeblich beim Booten dem TPM erzählen kann, das alles so i.O. ist, erschreckt mich das schon.
Selbst relativ teure Tools welche Bitlocker und Truecrypt knacken können beruhen auf der Erlangung des Schlüssels nach einer Eingabe des selbigen im Klartext, wenn der Rechner im Standby ist. Siehe hierzu auch den Report vom Fraunhofer Institut. Damit ist die manuelle Eingabe des Schlüssels ironischerweise auch der größte Schwachpunkt von Truecrypt und Bitlocker.
Zeit ist irrelevant. Keiner würde auf die aberwitzige Idee kommen AES brute force zu knacken. Schon bei 128-bit AES würde das mit den schnellsten Maschinen Millionen von Jahren dauern. Brute Force Attacks kann man also ausschliessen.Zitat:
so kommt niemand auch nur ansatzweise in einer möglichen Zeit an meine Daten heran.
Da ich Standby nie nutze, den Schlüssel nirgens notiert oder erfasst habe und an den Stick eh niemand heran kommt, bin ich zu 99,9999% sicher das an meine Daten niemand heran kommt.
@Tala
entschuldige meine flapsige Ausdruksweise. Was ich sagen wollte ist, offensichtlich ist es möglich, das nach einem UEFI Update das TPM dies Systemintegrität nicht geprüft werden muss. Nur weil das update irgendwie signiert ist.
Damit wird zumindest eine kleine Hintertür aufgemacht und der Verschlüsselungsschutz auf kosten der Bequemlichkeit eingeschränkt.
Die meisten Privatanwender dürften bei einem simplen Diebstahl weiterhin sicher sein, da die Interessen anderswo liegen. Aber für die Insdrustrie würde ich das so nicht implementieren.
Leider ändert das wieder nichts an der tatsache. Wenn ich momentan mein System überhaupt etwas sicher machen will, brauche ich schon Win Pro und TPM und muss zur Sicherheit trotzdem immer eine Tastatur mitschleppen.
Kann man TrueCrypt auf einem Tablet nur über einen "USB-Dongle" oder noch besser über ein Keyfile auf einer SD-Karte starten, ohne Eingabe im Pre-Boot?
Zu Hause brauche ich den Schutz nicht zwingend, wenn es auch schön wäre und für unterwegs kann man den Dongle auch rausnehmen und separat mitführen.
Habe ich so noch nie probiert, ich nutze immer doppelte Sicherung mit PW und Stick.Zitat:
Zitat von dering
Den Stick benötige ich nur zum Booten und danach nicht mehr, sobald die Notebooks laufen ist der Stick versorgt.Zitat:
Zitat von dering
Dank der SSD schalte ich die Geräte immer ganz ab um so ein auslesen des Schlüssels zu verhindern.
Ein neues starten dauert ja dank der SSD auch nur ein paar Sekunden.
Das könnte mit Windows 8 schon wieder schwierig werden, da das ja im Normalfall gar nicht mehr richtig runter fährt.
Wie wäre das denn eigentlich mit Fingerabdruck Scannern? Könnte ein solcher in ein Tablet eingebaut (gibt's glaub ich schon) eine adäquate Alternative zu einer Passworteingabe darstellen?
Fingerabdruckscanner sind nett, aber zu schnell zu fälschen/kopieren. Zumal der Scanner quasi ja schon vor allen anderen Komponenten aktiv sein müsste.
Bei einer vollständigen Systemverschlüssrlung sollte das "nicht vollständige Herunterfahren" von Win 8 auch kein Problem sein. Das Speicherabbild ist ja trotzdem verschlüsselt auf der HDD und der Arbeitsspeicher ist Spannungslos.
Mein alter IBM/Lenovo hatte einen Fingerscanner, der schon während des Bootens funktionierte. Ich hab den aber auch eher als Spielzeug angesehen :)
@Al Falcone
Hast du zufällig das Thema, dass die TouchCover Tastatur nicht zur Eingabe von TrueCrypt Passwörtern im Preboot taugt, weiter verfolgt?
Also, ob es Einstellmöglichkeiten in der Software gibt?
<Edit>
Vorlegenden link habe ich gerade gefunden.
Ich hoffe er lässt sich öffnen, da ich gerade alles mit dem iPhone mache :)
http://www.microsoft.com/Surface/en-US/support/surface-with-windows-rt/warranty-service-and-recovery/windows-rt-stops-responding
In dem Artikel wird immer von "Tap or Click" gesprochen. Demnach könnte man davon ausgehen, das es zumindest in der Bitlocker Umgebung eine Onscreen Tastatur bzw. das Typecover funktioniert :)
(Die Beschreibung ist zwar für RT, sollte aber auch bei Win 8 so umgesetzt sein, vermute ich)
Mmh, da muss man vorsichtig sein. Surface und Surface Pro heißen zwar ähnlich und sehen vielleicht noch ähnlich aus, aber das war's dann schon fast mit den Gemeinsamkeiten. Bei Windows RT nennt sich das dann auch nicht umsonst Device Encryption, nicht Bitlocker. In wieweit die Verschlüsselung ähnlich ist kann Al Falcone vielleicht besser beantworten.
Interessant zu wissen wäre übrigens wie man beim Pro das UEFI steuert, funktioniert da touch schon oder geht das nur mit Tastatur?
Kann ich frühstens am Montag wieder testen, da der Chef Coder das Teil am Wochenende nun bei sich hat. ;)
Sehr interessant das Video
http://youtu.be/iTNEwiHAlYI
(Entschuldigt den blöden stummellink, ich Brauch endlich ein Tablet und hab kein Bock alles mit den iPhone zu machen :) )
Ab ca. 2:10 sieht man sehr gut, dass es eine Touchscreen Eingabe für den Bitlocker Volumen Key gibt!
<Edit>
Kein Stummel Link, anscheint wurde das Video automatisch eingebunden, sehr gut :)
Also die Gemeinsamkeiten sind eher verblüffend. RT ist ein penibel für ARM kompiliertes Windows 8. Wie durch den Jailbreak herausgekommen ist, sind sogar die meisten Desktop libraries alle vorhanden.Zitat:
Mmh, da muss man vorsichtig sein. Surface und Surface Pro heißen zwar ähnlich und sehen vielleicht noch ähnlich aus, aber das war's dann schon fast mit den Gemeinsamkeiten. Bei Windows RT nennt sich das dann auch nicht umsonst Device Encryption, nicht Bitlocker.
Und ja, Windows RT hat den von Windows 8 Pro bekannten Bitlocker an Board inclusive TPM und secure boot.
@Dering danke für den Video Link
Komisch gibt es da Unterschiede die Länderspezifisch sind?
Aber es wird da nur der Bitlocker PIN unterstützt, keine Buchstaben. Also fällt dies auch durch!
Was dort gezeigt wird, ist die Eingabe des Wiederstellungsschlüssels. Der wird von Bitlocker während des Einrichtprozesses automatisch generiert und ist 58 stellig.
Daher ist schon ein gewisses Maß an Sicherheit da.
Den muss man immer eingeben, wenn das TPM die Integrität des Bootvorgangs anzweifelt.
Offensichtlich kann man auch ein Wiederstellungskennwort haben. Ich weiß aber noch nicht, wie man das setzten kann.
Ja schon klar, aber ein rein Numerischer Code ist extrem unsicher egal ob 6, 10, oder 100 Stellen. Das meinte ich damit. Es gibt zig Rainbow Table womit man solche Numerischen Codes innert Minuten knackt.
Langsam werden deine Behauptungen aber abenteuerlich:Zitat:
Ja schon klar, aber ein rein Numerischer Code ist extrem unsicher egal ob 6, 10, oder 100 Stellen. Das meinte ich damit. Es gibt zig Rainbow Table womit man solche Numerischen Codes innert Minuten knackt.
- Alphabet Kardinalität und Länge stehen in einem direkten Zusammenhang, die Passwordlänge ist ist demnach abhängig von der Kardinalität bei identischer Sicherheit
- Rainbow Tables sind allgemein anwendbar, auch hier hängt die Größe der Table direkt von der Kardinalität des Alphabets und der Password Länge ab
- Bei Numerischen Passwordlängen von 56 Zeichen ist die Anwenung von Rainbow Tables nicht praktikabel, bei Kettenlängen von 10^28 wär die Tabelle immernoch 10^28 Einträge groß und man müsste selbst wenn der hash gefunden würde noch 10^28 weitere hashes berechnen - viel Spass damit...
- Gegenmassnahmen sind zum Beispiel die Verwendung von Salt. Auch das ist wiederum unabhängig von der Frage der Kardinalität des Alphabets.
Ich kann die gerne mal ein 256bit hash geben und du sagst mir einen Tag später mein 56Zeichen Numerisches Password... Das können wir am Anfang mal ohne Salt ausprobieren um es dir einfacher zu machen...
ich hab das auch mal so grob überschlagen. Wenn ich also ich mit einfachen mathematischen Kenntnissen die Zeit überschlage rechne ich wie folgt:
10^58 Möglichkeiten gibt es. Wenn ich jetzt einfach mal in den Raum stelle, es würde eine Möglichkeit geben 1x10^24 Passworte pro sec zu probieren, würde das immer noch grob 1,5x10^38 (zahl mit 38 Nullen !!!) brauchen um die ersten 50% aller Möglichkeiten zu probieren.
(10^58)/(10^24) *50% <- das dann auf Jahre hochrechnen
Sehe ich da was falsch? Für mich hat das schon ein gewisses Maß an Sicherheit.
Der Speicher im RT ist doch von Haus aus mit Bitlocker verschlüsselt. Über was diskutiert ihr hier eigentlich?
@Setter
Über die grundsätzliche Möglichkeiten ein Win 8 (nicht RT) Tablet ohne Tastatur zu schützen
Theoretisch ja aber praktisch nein, denn mit den Rainbow Tables kannst Du das locker machen.Zitat:
Zitat von dering
Ich knacke auf meinem i7 mit 8GB RAM ein 60 stelliges REIN numerisches PW ~45 Minuten. Es kommt bloss auf das optimale Werkzeug und seine Plug-Ins an das man einsetzt.
Ich kann Dir gerne näheres dazu erläutern aber nicht hier im Public Bereich. Denn eine Anleitung zum Hacken gebe ich nicht!
Grundsätzlich richtig. Grob würde eine einzelne CPU maximal 10^9 hashes pro Sekunde berechen können (an einem guten Tag mit Rückenwind und das aufgerundet). Wenn wir also nun 10^6 CPUs hätten würd man etwa auf 10^15 pro Sekunde kommen. Mit Rainbow-Tables kann man nun einen Kompromiss zwischen Rechenleistung und Speicher finden. Eine komplette Tabelle würde demnach 10^56 Einträge haben mit allen möglichen Passwörtern. Nun ist die Idee, dass man nicht alle Einträge abspeichert sondern nur eine Teilemenge, und die restliche Teilmenge berechnet (das nennt man Rainbow-Tables). Mein Beispiel von oben hat nun angenommen, dass man alle 10^28 Tabellen Einträge nur noch ein Eintrag hat. Damit hätte die Tabelle immernoch 10^28 Einträge. Ein Eintrag besteht aus einem Password (56 Byte) und einem Hash(32 Byte). Wir reden hier von einer Rainbow Table der Größe 10^28*88Byte = 88*10^16 TB. Unter dieser Bedingung könnte man sich darauf beschränken im Mittel "nur" noch 10^28 hashes zu berechnen. Das wäre dann mit 1Mio CPUs "nurnoch" 10^13 Sekunden oder "nurnoch" 1Mio Jahre.Zitat:
10^58 Möglichkeiten gibt es. Wenn ich jetzt einfach mal in den Raum stelle, es würde eine Möglichkeit geben 1x10^24 Passworte pro sec zu probieren, würde das immer noch grob 1,5x10^38 (zahl mit 38 Nullen !!!) brauchen um die ersten 50% aller Möglichkeiten zu probieren.
Natürlich habe ich die Zeit die Rainbow-Table auszurechen noch nicht bedacht, eine solche Rainbow-Table existiert noch nicht... wenn sie Al Falcone nicht aus dem Hut zaubert :p
die Rainbow Tables kann man ohne Probleme kaufen ask google ;)
Meinst Du, Tala, echt ich würde diese einfach weiter geben? Nicht wirklich, damit könnte ich extrem viel verdienen aber ich nutze diese lieber für mich selber.
z.B.
http://project-rainbowcrack.com/table.htm
http://www.osforensics.com/download.html
http://www.ethicalhacker.net/content/view/94/24/
http://www.codinghorror.com/blog/200...-cracking.html
http://www.rainbowtables.net/products.php
Klar kann man die kaufen, aber keine für Password Längen von 56. Hatte ich aber oben auch schon vorgerechnet. Wir reden hier von Password Längen von 15 und drunter, für rein numerische Passwörter natürlich etwas mehr.Zitat:
die Rainbow Tables kann man ohne Probleme kaufen ask Google
Ebenfalls oben erwähnt habe ich, dass normalerweise die Passwörter "gesalted" werden. Ein Salt verlängert die effektive Passwordlänge gegen Rainbow-Table Attacken. Ferner erfordert ein alphnumerischer Salt, welchem man einem numerischen Password hinzufügt, dass auch eine alphanumerische Rainbow-Table benutzt werden muss.
