BitLocker, die Verschlüsselung Technologie, die in Windows integriert wird, hat bereits einige hits in letzter Zeit. Einen letzten exploit demonstriert das entfernen von einem computer mit TPM-chip zu extrahieren, Ihre Verschlüsselungs-keys, und viele Festplatten sind, brechen BitLocker. Hier ist eine Anleitung zur Vermeidung von BitLocker die fallen.
Beachten Sie, dass diese Angriffe, die alle benötigen physischen Zugriff auf Ihren computer. Das ist der ganze Sinn der Verschlüsselung zu schützen, ein Dieb mit Ihrem laptop oder jemanden, der erhält Zugriff auf Ihren desktop-PC aus anzeigen Ihrer Dateien ohne Ihre Erlaubnis.
Standard BitLocker Ist nicht Verfügbar auf Windows Home
Während fast alle modernen Verbraucher-Betriebssysteme Schiff mit Verschlüsselung standardmäßig Windows 10 noch nicht bieten-Verschlüsselung auf allen PCs. Macs, Chromebooks, iPads, iPhones und sogar Linux-Distributionen bieten Verschlüsselung, um alle Ihre Nutzer. Aber Microsoft immer noch nicht bundle BitLocker mit Windows 10 zu Hause.
Einige PCs möglicherweise mit ähnlichen Verschlüsselungs-Technologie, die von Microsoft ursprünglich genannt “device encryption” und jetzt manchmal nennt, “BitLocker device encryption.” Wir behandeln werden, dass in den nächsten Abschnitt. Jedoch, dieses Gerät-Verschlüsselungs-Technologie wird mehr begrenzt, als voll BitLocker.
Wie Kann ein Angreifer Dies Ausnutzen: Es gibt keine Notwendigkeit für Heldentaten! Wenn Ihr Windows-Heim-PC gerade nicht verschlüsselt ist, kann ein Angreifer entfernen Sie die Festplatte oder Booten von einem anderen Betriebssystem auf Ihrem PC auf Ihre Dateien zugreifen.
Die Lösung: Zahlen Sie $99 für ein upgrade auf Windows 10 Professional und BitLocker aktivieren. Sie könnte auch prüfen, versuchen eine andere Verschlüsselung-Lösung wie VeraCrypt, dem Nachfolger von TrueCrypt, das frei ist.
RELATED: Warum Stellt Microsoft Kostenlos $100 für die Verschlüsselung, Wenn Alle Anderen Gibt Es Weg?
BitLocker Manchmal lädt Ihre Schlüssel zu Microsoft
Viele moderne Windows-10-PCs kommen mit einer Art von Verschlüsselung namens “device encryption.” Wenn Ihr PC dies unterstützt, wird es automatisch verschlüsselt, nachdem Sie sich in Ihrem PC mit Ihrem Microsoft-Konto (oder ein Domänen-Konto in einem Unternehmensnetzwerk). Der recovery-Schlüssel wird dann automatisch hochgeladen von Microsoft-Server (oder den Servern Ihrer Organisation in einer Domäne).
Dies schützt Sie vor Verlust Ihrer Dateien—selbst wenn Sie vergessen, Ihre Microsoft-Konto-Passwort und können sich nicht anmelden, können Sie die Konto-Wiederherstellung Prozess und wieder Zugriff auf Ihren Schlüssel.
Wie Kann ein Angreifer Dies Ausnutzen: Das ist besser als gar keine Verschlüsselung. Dies bedeutet jedoch, dass Microsoft könnte gezwungen werden, offen zu legen Sie Ihre Schlüssel, um die Regierung mit einem Haftbefehl. Oder, noch schlimmer, ein Angreifer könnte theoretisch Missbrauch ein Microsoft-Konto recovery-Prozess, um Zugang zu Ihrem Konto und Zugriff auf Ihre Schlüssel. Wenn der Angreifer hatte physischen Zugriff auf Ihren PC oder Ihre Festplatte, dann könnten Sie verwenden, die recovery-Schlüssel zum entschlüsseln Sie Ihre Dateien ohne Ihr Passwort.
Die Lösung: Zahlen Sie $99 für ein upgrade auf Windows 10 Professional, aktivieren Sie BitLocker über die Systemsteuerung, und wählen Sie nicht zum hochladen eines recovery-Schlüssel von Microsoft-Server, wenn Sie dazu aufgefordert werden.
RELATED: Aktivieren der Festplattenverschlüsselung unter Windows 10
Viele Solid-State-Laufwerke Brechen Die BitLocker-Verschlüsselung
Einige solid-state-Laufwerke werben-Unterstützung für “hardware-Verschlüsselung.” Wenn Sie ein solches Laufwerk in Ihrem system und aktivieren der BitLocker, Windows-Vertrauen Sie Ihr Laufwerk, um den job tun, und nicht führen Sie Ihre üblichen Verschlüsselungs-Techniken. Nach allem, wenn Sie das Laufwerk kann die Arbeit nicht in der hardware, das sollte schneller sein.
Es gibt nur ein problem: Forscher haben entdeckt, dass viele SSDs nicht implementieren Sie diese ordnungsgemäß. Zum Beispiel, die Entscheidend MX300 schützt Ihre Verschlüsselungs-Schlüssel mit einem leeren Kennwort standardmäßig. Windows kann sagen, dass BitLocker aktiviert ist, aber es kann eigentlich nicht sein, tut viel im hintergrund. Das ist gruselig: BitLocker sollte nicht automatisch Vertrauen SSDs um die Arbeit zu tun. Dies ist eine neuere Funktion, so dass dieses problem betrifft nur Windows 10 und nicht Windows 7.
Wie ein Angreifer kann Diese: Windows kann sagen, dass BitLocker aktiviert ist, aber BitLocker kann sitzen untätig und lassen Sie Ihre SSD nicht sicher zu verschlüsseln Ihrer Daten. Ein Angreifer umgehen die schlecht implementierte Verschlüsselung in Ihrem solid-state-Laufwerk, um Ihre Dateien zugreifen.
Die Lösung: Ändern Sie die “Konfigurieren der Verwendung von hardware-basierten Verschlüsselung für Festplattenlaufwerke” – option in der Windows-Gruppenrichtlinie “Deaktiviert.” Sie müssen entschlüsseln und erneute verschlüsseln des Laufwerks danach für diese änderung wirksam wird. BitLocker nicht mehr Vertrauen-Laufwerke und wird alles tun, die Arbeit in software statt hardware.
Im ZUSAMMENHANG: Sie Können nicht Vertrauen BitLocker Verschlüsseln Sie Ihre SSD unter Windows 10
TPM-Chips Entfernt Werden Kann
Ein Sicherheits-Forscher vor kurzem gezeigt, ein weiterer Angriff. BitLocker speichert Ihren Schlüssel in Ihrem computer Trusted Platform Module (TPM), die eine spezielle hardware, die eigentlich manipulationssicher ist. Leider ein Angreifer kann mit einem $27-FPGA-board und open-source-code zu extrahieren aus der TPM. Dies würde zur Zerstörung der hardware, sondern würde es erlauben, das extrahieren der Schlüssel und das umgehen der Verschlüsselung.
Wie Kann ein Angreifer Dies Ausnutzen: Wenn ein Angreifer Ihren PC, Sie können theoretisch bypass all diejenigen, die Lust auf TPM-Schutz durch Manipulation der hardware und das extrahieren der Schlüssel, das soll nicht möglich sein.
Die Lösung: BitLocker so Konfigurieren, dass eine pre-boot PIN in den Gruppenrichtlinien. Die ist Erforderlich “Start-PIN bei TPM” – option zwingt Windows zu verwenden, eine PIN zum entsperren des TPM zu starten. Sie müssen geben Sie eine PIN ein, wenn Ihr Computer hochfährt, bevor Windows startet. Dies wird jedoch sperren Sie das TPM mit zusätzlichen Schutz, und ein Angreifer nicht in der Lage, extrahieren Sie den Schlüssel aus dem TPM-ohne Kenntnis Ihrer PIN. Das TPM schützt vor brute-force-Attacken, so dass die Angreifer nicht nur in der Lage sein, zu erraten, jeden PIN einzeln.
RELATED: so Aktivieren Sie einen Pre-Boot auf Windows-BitLocker-PIN
Schlafen PCs Sind Anfälliger
Microsoft empfiehlt das deaktivieren sleep-Modus, wenn Sie mit BitLocker für maximale Sicherheit. Hibernate-Modus ist in Ordnung—Sie können BitLocker erfordert eine PIN, wenn Sie morgens Ihren PC aus dem Ruhezustand oder, wenn Sie starten Sie es normalerweise. Aber in den sleep-Modus, der PC bleibt eingeschaltet mit seinen Schlüssel im RAM gespeichert.
Wie Kann ein Angreifer Dies Ausnutzen: Wenn ein Angreifer Ihren PC, Sie können aufwachen und anmelden. Auf Windows 10, müssen Sie möglicherweise geben Sie eine numerische PIN ein. Mit physischem Zugriff auf Ihren PC, kann ein Angreifer auch in der Lage sein, um die Verwendung von direct memory access (DMA) zu packen, den Inhalt Ihrer system-RAM und Holen Sie sich das BitLocker-Schlüssel. Ein Angreifer kann auch dann durchführen einer cold-boot-Angriff—starten Sie den PC laufen und schnappen Sie sich den Schlüssel aus dem RAM, bevor Sie verschwinden. Dies kann auch beinhalten die Verwendung eines Gefrierschrank um die Temperatur zu senken und verlangsamen diesen Prozess nach unten.
Die Lösung: Ruhezustand oder Herunterfahren Ihrem PC anstatt Sie eingeschlafen. Verwenden Sie einen pre-boot PIN, um den boot-Prozess sicherer und block-cold-boot-Attacken—BitLocker erfordert auch eine PIN bei der Wiederaufnahme aus dem Ruhezustand, wenn es ein PIN beim Booten. Windows können Sie auch “deaktivieren der neuen DMA-Geräte, wenn der computer ist gesperrt” durch eine Gruppenrichtlinien-Einstellung, zu—, bietet einen gewissen Schutz, selbst wenn ein Angreifer bekommt in Ihrem PC, während es läuft.
RELATED: Sollten Sie den Computer Herunterfahren, Sleep oder Hibernate Ihr Laptop?
Wenn Sie möchten, zu tun, etwas mehr zu Lesen über das Thema, Microsoft hat eine ausführliche Dokumentation zur Sicherung von Bitlocker auf seiner website.