21.07.2014 Fachartikel: BitLocker

Am 28. Mai 2014 wurde die Entwicklung des frei erhältlichen Open Source Verschlüsselungsprogramms „TrueCrypt“ eingestellt. Die Entwickler empfehlen auf deren Webseite das Wechseln zu „BitLocker“ von Microsoft.

BitLocker ist ein Festplattenverschlüsselungsprogramm, das gesamte Datenträgerpartitionen mittels dem Verschlüsselungsstandard AES (Advanced Encryption Standard) in den Schlüssellängen 128 oder 256 Bit verschlüsselt.

Das Verschlüsseln ganzer Partitionen, wie beispielsweise der Systempartition hat entscheidende Vorteile anderen Verschlüsselungsprogrammen gegenüber, die lediglich Container oder Archive verschlüsseln: Es werden bei der Festplattenverschlüsselung alle Schreibzugriffe automatisch verschlüsselt, sodass keine Informationen unverschlüsselt auf der Festplatte gesichert werden. Somit sind zu jedem Zeitpunkt alle sich auf der Partition befindlichen Daten – wie beispielsweise Benutzer- und Systemdateien sowie Auslagerungs- und Ruhezustandsdateien oder auch temporäre Dateien – verschlüsselt. 

BitLocker unterstützt optional bei der Verschlüsselung der Systempartition eine sogenannte „Pre-Boot-Authentication“, also eine Authentifizierung bevor das Betriebssystem gestartet wird. Dabei wird entweder ein Start-PIN-Code abgefragt oder ein Systemstartschlüssel benötigt. Ein Systemstartschlüssel ist ein Zertifikat das auf einem USB-Flashlaufwerk gespeichert ist und von dort bezogen wird. Das bedeutet, dass ohne diesem USB-Flashlaufwerk, die Festplatte nicht entschlüsselt wird und das System somit nicht starten kann. 

Moderne Computer und Laptops im professionellen Umfeld sind oft mit einem TPM-Modul (Trusted Platform Module) ausgestattet. Dieses TPM-Modul ist ein Chip der unter anderem einen sicheren Ort zum Speichern von kryptografischen Schlüsseln bietet und Veränderungen an der Hardware feststellen kann. Im Zusammenspiel mit dem Betriebssystem bildet der TPM-Chip eine vertrauenswürdige Plattform. BitLocker greift standardmäßig auf ein aktiviertes TPM-Modul zu, indem private Schlüssel dort abgelegt werden und BitLocker in einen Wartungszustand verfällt, sofern die Hardware verändert wurde. Dies verhindert das Auslesen von Daten durch Manipulation der Hardware.

Für Computer ohne TPM-Chip kann der Schlüssel für BitLocker auch auf einem USB-Flashlaufwerk gespeichert werden, welches bei jedem Boot-Vorgang am Computer angeschlossen sein muss.

BitLocker bietet mehrere Möglichkeiten zur Speicherung eines Wiederherstellungsschlüssels für den Fall, dass das ursprüngliche Passwort vergessen wird. Dazu zählen: Das Speichern des Wiederherstellungsschlüssel auf einem USB-Flashlaufwerk, als Datei oder als Ausdruck in Papierform. In allen drei Fällen ist dafür zu sorgen, dass dieser Wiederherstellungsschlüssel sicher aufbewahrt wird, da damit die Daten entschlüsselt werden können. 
In einer Windows Domänen Struktur existiert noch eine vierte Option: die Speicherung im Active Directory. Das ist besonders für Unternehmen interessant, da dadurch eine Vielzahl an Geräten verwaltet werden kann.

BitLocker ist ausschließlich auf folgenden Microsoft Windows Betriebssystem Editionen verfügbar:

  • Windows Vista Ultimate, Enterprise
  • Windows 7 Ultimate, Enterprise
  • Windows Server 2008 Ultimate, Enterprise
  • Windows Server 2012 (als optionales Feature installierbar)
  • Windows 8 Pro, Enterprise
  • Windows 8.1 Pro, Enterprise

Andere Windows Editionen oder Microsoft-fremde Betriebssysteme, wie Mac OS X oder Linux-Distributionen, werden nicht unterstützt.

Seit Windows 8, Windows Server 2012, Windows 7 und Windows Server 2008 R2 kann BitLocker neben dem Systemlaufwerk, eingebaute Datenlaufwerke und Wechseldatenträger (wie USB-Flashlaufwerke, externe Festplatten, SD-Karten) ver- und entschlüsseln.

Die Variante für Wechseldatenträger wird als „BitLocker To Go“ bezeichnet und unterstützt portable Laufwerke mit den Dateisystemen NTFS, FAT16, FAT32 oder exFAT. Diese externen Datenträger können mit einem Passwort oder einer Smartcard geschützt werden, wobei eine automatische Entschlüsselung konfiguriert werden kann, wenn der Datenträger an einem bestimmten Computer, in Kombination eines bestimmten Benutzerkontos, verwendet wird. Diese Funktion bietet zwar Komfort, aber eine automatische Entschlüsselung ohne weitere Authentisierung ist sicherheitskritisch bedenklich.

Das BitLocker To Go-Lesetool ermöglicht, mit BitLocker verschlüsselte externe Datenträger, unter Windows XP oder Windows Vista, zu entschlüsseln. Es gilt zu beachten, dass ausschließlich FAT, FAT32 oder exFAT als Dateisystem vom BitLocker To Go-Lesetool unterstützt werden. 

Weiterführende Informationen 

Datum der Veröffentlichung: 21.07.2014

Für den Inhalt verantwortlich:
  • A-SIT Zentrum für sichere Informationstechnologie – Austria