Pre-Boot-Authentifizierung: Verschlüsselung ohne PBA unzureichend?

In einem aktuellen Hintergrundartikel in seinem Blog für IT-Professionals geht Microsoft davon aus, dass die Pre-Boot-Authentifizeriung, ein anerkanntes Identifizierungsverfahren bei der Verschlüsselung von Daten, nicht mehr notwendig ist. Falsch, sagt der Security-Experte Garry McCracken, Vice President of Technology Partnerships bei WinMagic.


Anzeige

Ich stelle den Text, der mir schon einige Tage vorliegt, mal hier im Blog ein. Dann können betroffene Administratoren entsprechend reagieren.

Microsoft und die Pre-Boot-Authentifizierung

In einem Hintergrundartikel zur Verschlüsselung mit BitLocker geht Microsoft davon aus, dass die Pre-Boot-Authentifizierung, ein seit langem bekanntes und von Compliance-Richtlinien anerkanntes Identifizierungsverfahren, für die Festplattenverschlüsselung nicht mehr wirklich notwendig sei – solange andere Sicherheitsmaßnahmen wie die Authentifizierung mittels TPM und Startup-Key umgesetzt werden können.

WinMagic widerspricht

Garry McCracken, Vice President of Technology bei WinMagic widerspricht dieser Einschätzung Microsofts. Eine Verschlüsselung ohne Pre-Boot-Authentifizierung ist laut McCracken in keiner Form vertraulich. Ein Computer mit einem selbstverschlüsselnden Laufwerk (SED) oder softwarebasierter Festplattenverschlüsselung (FDE), die ohne Nutzer-Validierung direkt mit einem Benutzerkonto startet, legt Daten vollständig offen und setzt sie dem Risiko zahlreicher Angriffe aus, darunter auch der kürzlich wiederauferstandene Kaltstartangriff.

Dabei wird die Trägheit der Hardware, beispielsweise in Laptops, ausgenutzt. Unter bestimmten Bedingungen lassen sich aus der Hardware Verschlüsselungskeys auslesen und folglich auch die Daten auf der Festplatte. Ein Versuch von Pulse Security hat unlängst gezeigt, wie einfach sich das TPM mit Hardware für weniger als 50 Dollar und ein wenig Code-Wissen hacken lässt. Ich hatte im September 2018 im Artikel Cold Boot-Attacke erlaubt Passwort-/Datenklau genau über diesen Sachverhalt berichtet.

Warum ist die Pre-Boot-Authentifizierung wichtig?

Die Pre-Boot-Authentifizierung stellt eine Umgebung außerhalb des Betriebssystems als vertrauenswürdige Authentifizierungsebene zur Verfügung. Sie verhindert, dass Daten vom Laufwerk – einschließlich des Betriebssystems – ausgelesen werden, bis der Benutzer bestätigt hat, dass er die richtigen Zugangsdaten besitzt.

Ohne Pre-Boot-Authentifizierung wird zunächst das Betriebssystem hochgefahren und erst dann der Benutzer zur Authentifizierung aufgefordert. Diese Option verlässt sich auf die Betriebssystemsicherheit des Geräts, um sensible Daten zu schützen, was übrigens nicht mit einer der bekanntesten Compliance-Richtlinien, dem PCI DSS, konform ist.

Etwas plakativer formuliert: Jemand, der behauptet, die Pre-Boot-Authentifizierung wäre unnötig, behauptet, dass es sicherer ist, Daten vor der Authentifizierung offen zu legen oder zu entschlüsseln als danach.

Datenübergriffe gehen tiefer als bloß bis zur Hardware-Ebene


Anzeige

Auch wird behauptet, dass die Pre-Boot-Authentifizierung nur notwendig ist, um sich vor RAM Angriffen zu schützen, bei denen der Angreifer direkten Zugriff auf den RAM hat – entweder physisch oder über einen DMA-Port. Das ist ebenso falsch. Speicherangriffe sind nicht die einzigen möglichen Angriffe.

Ist Windows erst gestartet und das Laufwerk „entsperrt“, bietet die Festplattenverschlüsselung keinen kryptografischen Schutz mehr, der deutlich leistungsstärker ist als die native Betriebssystemsicherheit.

Wenn man einen Computer automatisch bis zur Betriebssystem-Eingabeaufforderung booten lässt, vertraut man ganz auf die Sicherheit von Betriebssystem und Geräte-Hardware. Man muss sich darauf verlassen, dass der Anmeldebildschirm des Betriebssystems Angreifer fernhält und, dass das Gerät keine Daten über LAN, WAN oder andere Ports oder Verbindungen nach außen lässt. Und das, obwohl der Datenverschlüsselungs-Key im Klartext im Speicher vorhanden ist und alle Daten lesbar sind.

Moderne Betriebssysteme bestehen aus Millionen von Codezeilen und sind sehr komplex. Auch die Computer-Hardware entwickelt sich rasant weiter. Zusammen bilden sie eine riesige Angriffsfläche mit unzähligen potenziell unbekannten Schwachstellen. Es ist sehr schwierig, wenn nicht gar unmöglich, ein angemessenes Maß an Sicherheit zu schaffen, damit eine Authentifizierung vor der Entschlüsselung überflüssig wird.

Sicherheit versus Benutzerfreundlichkeit

Die Argumentation gegen die Pre-Boot-Authentifizierung scheint mehr auf Benutzerfreundlichkeit und hohen Gesamtbetriebskosten als auf Sicherheitsgründen zu beruhen. Kurz: Eine Authentifizierung mittels kryptischen PINs oder Startup-Keys, und das immer und immer wieder, ist sehr unkomfortabel, wenn diese von Hand eingegeben werden müssen. Die Bearbeitung von Support-Anfragen von Nutzern, die ihren PIN vergessen oder ihren Startup-Key verloren haben, würde zu viel Zeit und Mühe kosten.

Das mag stimmen. Es bedeutet aber nicht, dass die Sicherheits- und Compliance-Standards gesenkt werden sollten, um die potenziell hohen Gesamtbetriebskosten der Pre-Boot-Authentifizierung zu vermeiden. Vielmehr sollten Unternehmen darauf achten, PBA-Lösungen einzusetzen, die diese Probleme bereits gelöst haben, etwa indem die PBA im Hintergrund und automatisiert, das heißt ohne manuelle Eingabe von PINs oder Einstecken von Startup-Keys, abläuft.

Die Pre-Boot-Authentifizierung ist und bleibt ein wichtiger Bestandteil jeder Datenverschlüsselungslösung, so Mc Cracken. Garry McCracken verantwortet den Technologie-Bereich bei WinMagic und ist anerkannter Security-Experte mit jahrzehntelanger Erfahrung in der Verschlüsselung von Daten.


Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Pre-Boot-Authentifizierung: Verschlüsselung ohne PBA unzureichend?


  1. Anzeige
  2. David sagt:

    Hi,

    Danke für die Info. Da sehen wir, wie “wichtig” Win unsere Datensicherheit ist.
    Der Punkt ist klar und deutlich hier beschrieben: “Sicherheit versus Benutzerfreundlichkeit”.
    Sicherheit? Wozu? Wir alle vertrauen doch Win!

  3. Bernhard Diener sagt:

    Mir scheinen völlig andere Versionen der Websites/Aussagen vorzuliegen…
    Mal der Reihe nach: Zak McKracken ;-) sagt im Mai 2018, dass MS BL mit PIN empfiehlt, gleichzeitig aber “zugibt”, dass diese preboot-Authentifizierung “Anwender belästigt und die IT-Verwaltungskosten erhöht.“”

    Das liest sich anders als hier dargestellt.

    Auch der Inhalt des Absatzes “Microsoft und die Pre-Boot-Authentifizierung” ist so zusammengefasst kaum aus dem verlinkten Hintergrundartikel zu entnehmen. MS stellt dort genau dar, wann es PBA für nötig erachtet, und wann nicht und kommt keineswegs zu dem hier dargestellten Schluss “…nicht mehr wirklich notwendig, solange andere Sicherheitsmaßnahmen wie die Authentifizierung mittels TPM und Startup-Key umgesetzt werden können”, sondern differenziert je nach Angriffsszenario, gegen das man schützen möchte.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.