Microsoft setzt bei self-encrypting drives (SEDs) auf Bitlocker-Verschlüsselung

[English]Microsoft hat einen Paradigmenwechsel bezüglich der Verschlüsselung von self-encrypting Laufwerken (SEDs) eingeleitet. Statt sich auf die Verschlüsselungsfunktionen von SSDs zu verlassen, kommt jetzt bei bestimmten Windows 10-Builds eine AES-Verschlüsselung mit Bitlocker zum Einsatz.


Anzeige

Ursache: SSD-Hersteller patzen bei Verschlüsselung

Manche Laufwerke unterstützen die automatische Verschlüsselung der gespeicherten Inhalte. Diese self-encrypting drives (SEDs) sind eigentlich eine gute Sache, da sich das Betriebssystem nicht um die Verschlüsselung kümmern muss.

Das Problem ist aber, dass diese Laufwerke bezüglich der Verschlüsselung nicht zuverlässig arbeiten. Im November 2018 musste Microsoft den Sicherheitshinweis ADV180028 mit dem Titel Guidance for configuring BitLocker to enforce software encryption veröffentlichen. Hintergrund war, dass bei den self-encrypting drives (SEDs) Schwachstellen bei der Hardwareverschlüsselung gab.

Auf Windows-Computern mit selbstverschlüsselnden Laufwerken war BitLocker Drive Encryption™ so konfiguriert, dass standardmäßig die Hardwareverschlüsselung verwendet wurde. Kunden, die durch die aufgedeckten Schwachstellen beunruhigt waren, denen empfahl Microsoft zu handeln. Administratoren, die die Softwareverschlüsselung auf Computern mit selbstverschlüsselnden Laufwerken erzwingen möchten, können dies durch die Bereitstellung einer Gruppenrichtlinie erreichen. Diese Gruppenrichtlinie überschreibt das Windows-Standardverhalten, sprich: Auf die Hardwareverschlüsselung wird verzichtet und Bitlocker verschlüsselt die Daten softwaremäßig.

Microsoft schwenkt bei Verschlüsselung auf Bitlocker um

Nun beginnt Microsoft damit, die Hardwareverschlüsselung in Windows 10 zu deaktivieren und setzt auf eine Softwareverschlüsselung mittels Bitlocker. Ich wurde durch den nachfolgenden Tweet darauf aufmerksam.

Bei Update KB4516071 für Windows 10 Version 1709 vom 24. September 2019 findet sich der nachfolgende Hinweis:

Changes the default setting for BitLocker when encrypting a self-encrypting hard drive. Now, the default is to use software encryption for newly encrypted drives. For existing drives, the type of encryption will not change.

Beim Verschlüsseln eines 'selbstverschlüsselnden Laufwerks' ändert sich durch das Update die Einstellung. Statt auf die Verschlüsselung durch das Laufwerk zu setzen, übernimmt Windows 10 selbst diese Aufgabe mittels Bitlocker. Der gleiche Text findet sich bei Update KB4516061 für Windows 10 Version 1607 und Windows Server 2016.

Inzwischen berichten Sites wie Tom's Hardware ebenfalls (mit Verweis auf den Tweet und weitere Einlassungen von @SwiftOnSecurity) über diesen Sachverhalt. Bei anderen Windows 10-Builds habe ich bisher noch keinen Hinweis auf diese Änderung gefunden. Ich bin nicht sicher, ob und wann bei anderen Windows 10-Builds diese Einstellungsänderung kommt.


Anzeige

Ähnliche Artikel:
Microsoft Security Advisory Notification ADV180028 zu Bitlocker auf SSDs (6. Nov. 2018)
Windows 10: Bitlocker verschlüsselt automatisch

Windows 10: Wichtiger Secure Boot/Bitlocker Bug-Fix


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Datenträger, Sicherheit, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Microsoft setzt bei self-encrypting drives (SEDs) auf Bitlocker-Verschlüsselung

  1. 1ST1 sagt:

    Das ist ja sowieso die Emfehlung seit dem diese Sicherheitslücke gefunden wurde. Da man leider den SSD-Herstellern nicht trauen kann, ist das die logische Konsequenz.

  2. Nick sagt:

    In Sachen Verschlüsselung ist weder eine SSD noch Bitlocker vertrauenswürdig. Wenn man das Thema Verschlüsselung wirklich ernst nimmt, dann kommt man um Veracrypt bzw. dm-crypt/LUKS nicht herum. Für einzelne Dateien empfiehlt sich GnuPG. Anderseits wenn man ohnehin Windows nutzt, dann kann man auch gleich Bitlocker nutzen, da sich beides nicht viel nimmt.

    • JohnRipper sagt:

      Ahja.

      Wenn ich MS nich traue: Was bringt mir eine Verschlüsselung, wenn hinterher die Daten unverschlüsselt auf einem Windows Gomputer verarbeitet (bzw. mind angezeigt werden).

      Wenn ich sogar US-Unternehmen nicht traue: Dateien auf einem US Betriebssystem, das auf US Hardware läuft, usw…

      Leute..nachdenken

  3. DavidXanatos sagt:

    Ich mag Veracrypt wegen der Altlasten nicht, da kann ich ja nicht mal die volume's erweitern oder schrinken.

    DiskCryptor ist viel besser, leider schon eine weile nicht maintained, aber bis jetzt funktioniert er mit win 10 einwandfrei, solange man nicht auf UEFI boot angewiesen ist.

  4. Anonymous sagt:

    Die Hardware Verschlüsselung bei SED-s kann nicht deaktiviert werden, da diese immer aktiv.

Schreibe einen Kommentar zu JohnRipper Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.