Verschlüsselungsmöglichkeiten

Hallo Community
ich lese schon seit einiger Zeit diesem Forum mit und habe mich nun entschlossen zu registrieren.

Mich beschäftigt, seit dem ersten Aufkommen von Windows 8 Tablets, das Thema Datensicherheit. Ein solches Gerät ist so Mobil, dass es auch mal ganz gerne im Eifer vergessen, liegen gelassen oder gestohlen wird.
Mir ist klar das es äußert Unwahrscheinlich das verlorene Gerät wiederzukommen, daher würde mich interessieren was alles für Möglichkeiten gibt die Daten auf HDD des Tablets sicher zu schützen.
Das allseits bekannte TrueCrypt fällt leider aus, da ein Tablet nicht zwingend eine Tastatur hat.

Kann es sein, dass es momentan nur das MS eigene Bitlocker gibt?

Um Bitlocker effektiv zu nutzen braucht es dann ein TPM und Win 8 Pro. Damit ist die Auswahl des Tablets schon sehr stark eingeschränkt und teuer Macht. Mir Fallen spontan nur Geräte ein.

-Surface Pro
-Lenovo Tablet (N3S25GE)
-Dell Latitude 10
-HP ElitePad 900

Wie schützt ihr denn eure Geräte?

Grüße dering

Warum ist denn die fehlende tastatur ein Problem? Eine OnScreen Tastatur sollte doch für die Passworteingabe ausreichen?

LG pdelvo

Hallo pdelvo,
Um Container nach dem Windowsstart zu öffnen sicherlich. Wenn ich aber das ganz System verschlüsseln möchte, brauche ich eine OnScreen Tastatur auf BIOS Ebene. Das gibt es, soviel ich weiß, nicht bei Windows 8 bzw. TrueCrypt nicht.

Gruß dering

Das selbe Problem beschäftigt mich aktuell auch gerade.

TrueCrypt ist der Hammer und es gibt nichts besseres. Die "alten" Motion Tablets haben eine BIOS OnScreen Tastatur und da geht es wunderbar mit Win7/8.

Bei den aktuellen Tablets habe ich noch nichts herausgefunden ob man die BIOS OnScreen Tastatur irgend wie aktivieren kann, wenn überhaupt vorhanden.

@Al Falcone
Ach hab ich schon mal was gelernt. Das wäre mal interessant zu wissen, wie das bei der aktuellen Tablet-Generation ist.

Wenn Bitlocker beim Bootvorgang den Wiederherstellungsschlüssel verlangt, hab dann dafür eine OS-Tastatur?

gute Frage, bin auch quasi ein bisschen ratlos am ausprobieren......

@Al Falcone: Theoretisch sollte es eine Tastatur geben, da das neue Boot-Menü auch bereits ein eigenes Mini-OS ist, welches Touch usw. unterstützt.
Um mal etwas zu übertreiben, wäre es ja möglich, ein minimalistisches Windows 8 Pro zu booten und darin eine mit TrueCrypt verschlüsselte Win8VHD mittels mitgeliefertem Hyper-V zu starten.

Hab mal bei TrueCrypt auf der HP nachgesehen. Bei Geplant steht:

F u t u r e
The following features are planned to be implemented in future versions:
- Full support for Windows 8
- Ability to encrypt Windows system partitions/drives on UEFI-based computers (GPT)
- Command line options for volume creation (already implemented in Linux and Mac OS X versions)
- 'Raw' CD/DVD volumes
and more.

Frage ist halt, was Zukunft heißt und wie wichtig die Daten sind. Aber denke mal schon, dass durch den Einsatz von von Windows 8 Tablets auch Truecrypt, Safeguard Easy usw. sich etwas da einfallen lassen. Schwierig dürfte es dann aber wohl im Zusammenhang mit Secure Boot werden. Sie müssten dann ja quasi ihren Bootloader signieren lassen, damit dieser genutzt werden kann.

Ich habe ein "geschrottetes" Gehäuse von einem Ativ Smart PC Pro, der innerlich noch 100% geht. Ich werde einfach auf gut Glück mal mit TrueCrypt 7.1.a probieren.

@Elmenhorster
solche Überlegungen, booten in ein Win 8 Minimalsystem, hatte ich mir zwar auch schon gemacht... Wird aber sicher zu kompliziert um das im Alltag mit "nicht PC affinen Usern" im Haushalt nutzbar zu machen.

ich hoffe mal, das sich TrueCrypt da noch was einfallen lässt. Würde glaub ich nicht nur mich sehr freuen. Die Zeit wäre auf jeden Fall reif dafür.

@Al Falcone
Ich bin mal auf das Ergebnis gespannt.
Das Ativ Smart PC Pro hat doch auch TPM und Win 8 Pro....
Testtest du auch ob, Bitlocker beim Wiederherstellungsschlüssel und bei TPM+PIN eine OS-Tastatur hat?

@all
Folgenden Leitfaden des SIT hab ich vorhin gefunden http://testlab.sit.fraunhofer.de/con...-Leitfaden.pdf
Hier sind haben interessante Informationen zu dem Thema Datensicherheit, Angriffsvektoren und Bitlocker Modis zusammengetragen.

Sorry Wenn ich das Thema noch mal hoch hole, folgenden Link habe ich aber gerade zu dem Thema gefunden und ich denke das könnte für einige interessant sein http://social.technet.microsoft.com/...e-0cc465670c9e
Demnach ist eine OnScreen Tastatur im Preboot Prozess nicht vorgesehen. Das Problem ist nicht nur fehlende TPM+Pin Möglichkeit, sonder man unterwegs ist, kann man ohne eine Tastatur noch nicht mal den Wiederherstellungsschlüssel eingeben :/

Zitat von dering

Sorry Wenn ich das Thema noch mal hoch hole, folgenden Link habe ich aber gerade zu dem Thema gefunden und ich denke das könnte für einige interessant sein http://social.technet.microsoft.com/...e-0cc465670c9e
Demnach ist eine OnScreen Tastatur im Preboot Prozess nicht vorgesehen. Das Problem ist nicht nur fehlende TPM+Pin Möglichkeit, sonder man unterwegs ist, kann man ohne eine Tastatur noch nicht mal den Wiederherstellungsschlüssel eingeben :/

Hab mir dazu mal die passende Gruppenrichtlinie rausgesucht:

Mit dieser Richtlinieneinstellung können Benutzer Authentifizierungsoptionen aktivieren, für die eine Benutzereingabe in der PXE (Pre-Boot eXecution Environment) erforderlich ist, auch wenn die Plattform keine Pre-Boot-Eingabefunktion bietet.

Die Windows-Bildschirmtastatur (wie sie beispielsweise von Slates verwendet wird) ist in der PXE, in der für BitLocker zusätzliche Informationen wie eine PIN oder ein Kennwort erforderlich sind, nicht verfügbar.

Es wird empfohlen, dass Administratoren diese Richtlinie nur für Geräte aktivieren, die über eine alternative Methode für die Pre-Boot-Eingabe verfügen (beispielsweise durch Anschließen einer USB-Tastatur).

Beachten Sie, dass die Optionen unter der Richtlinie "Zusätzliche Authentifizierung beim Start anfordern" auf diesen Geräten möglicherweise nicht verfügbar sind, wenn diese Option nicht aktiviert wird. Zu diesen Optionen zählen Folgende:
- TPM-Systemstart-PIN konfigurieren: Erforderlich/Zulässig
- TPM-Systemstartschlüssel und -PIN konfigurieren: Erforderlich/Zulässig
- Verwendung von Kennwörtern für Betriebssystemlaufwerke konfigurieren.

Wird nachher nochmal durch die Richtlinien gucken, was es da sonst noch für Möglichkeiten gibt zur Authentifizierung. Aber selbst bei der Bereitstellung des Schlüssels über einen USB-Stick wird wohl ein PIN benötigt, was wiederum eine Tastatur voraussetzt. Mal gucken...

Auf den Windows RT Geräten ist eh die einzige Chance eine OnDevice-Encryption wie sie auch WP8 unterstützt. Das ließe sich per EAS konfigurieren, weiß aber nicht ob das dort so vorgesehen ist. Weil dort kannst du fix nix anderes aufspielen was vor Windows starten würde. Generell gibt's dort auch kein TrueCrypt, weil das ja weitergehende Rechte benötigen würde als Metro Apps erhalten können und alles was nicht Metro ist lässt sich auf den Windows RT Devices sowieso nicht installieren (also auf den ganzen ARM basierten Geräten).

Bei den x86ern gäbe es dann ohnehin Bitlocker.

Ist leider nichts, weder Bitlocker noch TrueCrypt liessen sich OHNE USB Tastatur zum einer Eingabe des PW überreden.

Auch brachte es nichts das ganze mit einem Security Token zu probieren, das scheiterte an der PIN Eingabe welche wiederum ohne USB Tastatur nicht funktionierte.



FAZIT:

Die Sicherheit leidet sehr stark bei den Win8 Tablets!!!!


Zudem ist da noch ein weiteres Problem aufgetaucht

Windows-8-Schnellstart gefährdet Daten

Wenn man die standardmässig aktive Schnellstartfunktion von Windows 8 nutzt, sind dessen Daten in Gefahr, sobald man von einem parallel installierten Linux oder aus einem von USB-Stick oder CD gestarteten Rettungssystem auf die Windows-8-Partitionen schreibt. Der Grund: Schaltet man Windows 8 bei aktiviertem Schnellstart über das Menü oder den Netzschalter aus, fährt Windows nicht wirklich herunter, sondern begibt sich in einen speziellen Schlafzustand. Informationen über den aktuellen Zustand der Dateisysteme werden dabei im Speicher gehalten.

Bootet man nun ein anderes System und schreibt aus diesem heraus auf eine Windows-8-Partition, tauchen diese Dateien unter Windows nicht auf – das Dateisystem ist in einem inkonsistenten Zustand. Wie heise open berichtet, wurde das Problem von den Entwicklern des Linux-NTFS-Treibers Ntfs3g entdeckt. Fedora 17 liefert bereits eine angepasste Version des Ntfs-3g-Treibers aus.

Weitere Details, Hilfestellung, wie man das Problem vermeidet, und das Diskussionforum finden Sie auf heise open

http://www.heise.de/open/artikel/Lin...n-1780057.html

Copyright © 2013 Heise Zeitschriften Verlag

Windows RT kann Wechseldatenträger wie USB-Sticks oder SD-Karten zwar nicht selbst mit BitLocker verschlüsseln, kann aber Wechseldatenträger lesen, die mit BitLocker To Go auf einem Windows 8 PC verschlüsselt wurden.

Also nach meinen Tests auf einem Notebook, würde Bitlocker in Verbindung mit einem TPM ohne PIN schon ein gewisses Maß an Sicherheit bringen.

Denn ändert sich irgend etwas am Bootloader bzw, ist irgend etwas unnormal, sperrt das TPM die Bitlocker Entschlüsselung.
Wenn sich also nichts am Bootvorgang ändern kann, muss der Angreifer das Windows-Login-Passwort herkömmlich knacken...

Die einzige Möglichkeit die der Angreifer dann noch hat, sind Programmlücken zu nutzen.
(Sicherheitslücken in vorab gestartete Diensten o.Ä.)
Dazu braucht er schon mehr Kenntnis über genau das System hinterm Login Screen.

Wenn ich es richtig verstanden gab, ist das Heise Szenario ist für mich kein Problem. Ich würde kein Parallel System installieren.

Stellt sich aber die Frage, ob auch nach dem herunterfahren noch unverschlüsselte Daten im Speicher gehalten werden.... Das wäre ja ein Sicherheitsdesaster!?!

Notebook ist kein Problem, habe mein Vaio zu 100% verschlüsselt, aber da ist es dank Tastatur eh kein Problem.

Guten Morgen....

@Al Falcone
was ich eigentlich sagen wollte ist, dass eine Grund-Verschlüsselung nicht zwingend eine PIN Abfrage wärend der Bootroutine benötigt. Ich habe es momentan (an meinem Notebook) auch ohne PIN, die erste PW Eingabe ist der Lockscreen.

Ist zwar nicht absolut sicher (absolut gibt es sowieso nicht) aber die Hürden hängen schon höher.

Aus dem Dokument des SIT Seite 28 http://testlab.sit.fraunhofer.de/con...-Leitfaden.pdf

Eine wichtige Trennlinie verläuft zwischen den Betriebsarten mit PIN oder USB-Schlüssel einerseits und der Verwendung allein mit dem TPM andererseits. Oh-ne Authentisierungsmittel oder Schlüssel in Nutzerhand kann ein Angreifer das System jederzeit hochfahren, also vom ausgeschalteten in den laufenden Zu-stand bringen. Falls ein Angreifer also ohne Mitwirkung legitimer Benutzer eine Schwachstelle im Betriebssystem oder in automatisch startenden Diensten und Anwendungen ausnutzen kann, bietet der Nur-TPM-Modus deutlich weniger Schutz als die anderen TPM-gestützten Betriebsarten. Über die Wahrscheinlich-keit solcher Schwachstellen lässt sich keine allgemeingültige Aussage treffen, da sie stark von der Softwareausstattung und Konfiguration des jeweiligen Sys-tems abhängt.

Prinzipiell würde man also Win 8 Pro in Verbindung mit Bitlocker und TPM (ohne PIN) auch sicher bekommen. Mit den oben genannten Abstrichen, was nicht super aber noch akzeptabel ist.
Ich denke da ist noch viel Raum für Verbesseung.

Was aber wieder zu Probleme führt wenn das Win8 Tablet in einer Win2k12 Domain ist und die extremen Sicherheitseinstellungen der GPOs aktiviert sind.

Da hast du wieder recht....
Für den privaten Einsatz spielt das aber eher eine untergeordnete Rolle.

Letztendlich sieht das aber so aus, dass ich um ein Tablet mit TPM nicht herum komme. Schade, damit ist das Asus vivo Tab Smart wieder gestrichen :/

Da Windows 8 immer noch ein Windows ist, dürfte es sicherlich nicht sooo lange dauern, bis Truecrypt, Safeguard Easy usw. kompatibel sind. Und da der mobile Sektor auch größer wird, hoffe ich, lassen sich die Hersteller für alternative Eingabemethoden was einfallen, sei es eine OnScreen-Tastatur oder was auch immer. Vielleicht liefert Microsoft ja (mit einem SP?) eine OnScreen-Tastatur für die PreBoot-Phase nach.

Sollte eine Firma wirklich solche extreme Sicherheitseinstellungen mittels GPO vorschreiben, wird ja sowas in der Planung auch beachtet und dann entweder eine passende Tastatur dazu gegeben oder eine Alternative genutzt. Aber es wird ja nicht blind etwas aufgesetzt, ohne sich der Folgen bewusst zu sein.