{"id":14626,"date":"2019-06-25T11:50:30","date_gmt":"2019-06-25T09:50:30","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=14626"},"modified":"2019-06-24T09:55:54","modified_gmt":"2019-06-24T07:55:54","slug":"pre-boot-authentifizierung-verschluesselung-ohne-pba-schuetzt-weder-ausreichend-noch-ist-sie-compliance-konform","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=14626","title":{"rendered":"Pre-Boot-Authentifizierung: Verschl\u00fcsselung ohne PBA sch\u00fctzt weder ausreichend, noch ist sie Compliance-konform"},"content":{"rendered":"\n<p>Autor\/Redakteur: <a href=\"https:\/\/www.winmagic.com\/de\/\">Garry McCracken, Vice President of Technology bei WinMagic<\/a>\/gg<\/p>\n\n\n\n<p>In einem aktuellen <a href=\"https:\/\/docs.microsoft.com\/en-us\/windows\/security\/information-protection\/bitlocker\/bitlocker-countermeasures\">Hintergrundartikel <\/a>zur Verschl\u00fcsselung mit BitLocker geht Microsoft davon aus, dass die Pre-Boot-Authentifizierung, ein seit langem bekanntes und von Compliance-Richtlinien anerkanntes Identifizierungsverfahren, f\u00fcr die Festplattenverschl\u00fcsselung nicht mehr wirklich notwendig sei \u2013 solange andere Sicherheitsma\u00dfnahmen wie die Authentifizierung mittels TPM und Startup-Key umgesetzt werden k\u00f6nnen.<\/p>\n\n\n\n<figure class=\"wp-block-image\"><img loading=\"lazy\" decoding=\"async\" width=\"750\" height=\"450\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2019\/06\/WinMagic_GarryMcCracken.jpg\" alt=\"\" class=\"wp-image-14627\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2019\/06\/WinMagic_GarryMcCracken.jpg 750w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2019\/06\/WinMagic_GarryMcCracken-300x180.jpg 300w\" sizes=\"auto, (max-width: 750px) 100vw, 750px\" \/><figcaption>Der Autor Garry McCracken verantwortet den Technologie-Bereich bei WinMagic und ist anerkannter Security-Experte mit jahrzehntelanger Erfahrung in der Verschl\u00fcsselung von Daten (Bild: WinMagic)<\/figcaption><\/figure>\n\n\n\n<!--more-->\n\n\n\n<p>Dem\nwiderspreche ich. Eine Verschl\u00fcsselung ohne Pre-Boot-Authentifizierung ist in\nkeiner Form vertraulich. Ein Computer mit einem selbstverschl\u00fcsselnden Laufwerk\n(SED) oder softwarebasierter Festplattenverschl\u00fcsselung (FDE), die ohne\nNutzer-Validierung direkt mit einem Benutzerkonto startet, legt Daten\nvollst\u00e4ndig offen und setzt sie dem Risiko zahlreicher Angriffe aus, darunter\nauch der k\u00fcrzlich wiederauferstandene Kaltstartangriff. Dabei wird die Tr\u00e4gheit\nder Hardware, beispielsweise in Laptops, ausgenutzt. Unter bestimmten\nBedingungen lassen sich aus der Hardware Verschl\u00fcsselungskeys auslesen und\nfolglich auch die Daten auf der Festplatte. Ein Versuch von Pulse Security hat\nunl\u00e4ngst gezeigt, wie einfach sich das TPM mit Hardware f\u00fcr weniger als 50\nDollar und ein wenig Code-Wissen hacken l\u00e4sst.<\/p>\n\n\n\n<p><strong>Warum\nist die Pre-Boot-Authentifizierung so wichtig?<\/strong><br>\nDie Pre-Boot-Authentifizierung stellt eine Umgebung au\u00dferhalb des\nBetriebssystems als vertrauensw\u00fcrdige Authentifizierungsebene zur Verf\u00fcgung.\nSie verhindert, dass Daten vom Laufwerk \u2013 einschlie\u00dflich des Betriebssystems \u2013\nausgelesen werden, bis der Benutzer best\u00e4tigt hat, dass er die richtigen\nZugangsdaten besitzt.<\/p>\n\n\n\n<p>Ohne\nPre-Boot-Authentifizierung wird zun\u00e4chst das Betriebssystem hochgefahren und\nerst dann der Benutzer zur Authentifizierung aufgefordert. Diese Option\nverl\u00e4sst sich auf die Betriebssystemsicherheit des Ger\u00e4ts, um sensible Daten zu\nsch\u00fctzen, was \u00fcbrigens nicht mit einer der bekanntesten Compliance-Richtlinien,\ndem PCI DSS, konform ist. <\/p>\n\n\n\n<p>Etwas plakativer formuliert: Jemand, der behauptet, die Pre-Boot-Authentifizierung w\u00e4re unn\u00f6tig, behauptet, dass es sicherer ist, Daten vor der Authentifizierung offen zu legen oder zu entschl\u00fcsseln als danach. <\/p>\n\n\n\n<!--nextpage-->\n\n\n\n<p><strong>Daten\u00fcbergriffe\ngehen tiefer als blo\u00df bis zur Hardware-Ebene<\/strong><br>\nAuch wird behauptet, dass die Pre-Boot-Authentifizierung nur notwendig ist, um\nsich vor RAM Angriffen zu sch\u00fctzen, bei denen der Angreifer direkten Zugriff\nauf den RAM hat \u2013 entweder physisch oder \u00fcber einen DMA-Port. <\/p>\n\n\n\n<p>Das\nist ebenso falsch. Speicherangriffe sind nicht die einzigen m\u00f6glichen Angriffe.\nIst Windows erst gestartet und das Laufwerk \u201eentsperrt\u201c, bietet die\nFestplattenverschl\u00fcsselung keinen kryptografischen Schutz mehr, der deutlich\nleistungsst\u00e4rker ist als die native Betriebssystemsicherheit. Wenn man einen\nComputer automatisch bis zur Betriebssystem-Eingabeaufforderung booten l\u00e4sst,\nvertraut man ganz auf die Sicherheit von Betriebssystem und Ger\u00e4te-Hardware.\nMan muss sich darauf verlassen, dass der Anmeldebildschirm des Betriebssystems\nAngreifer fernh\u00e4lt und, dass das Ger\u00e4t keine Daten \u00fcber LAN, WAN oder andere\nPorts oder Verbindungen nach au\u00dfen l\u00e4sst. Und das, obwohl der Datenverschl\u00fcsselungs-Key\nim Klartext im Speicher vorhanden ist und alle Daten lesbar sind. <\/p>\n\n\n\n<p>Moderne\nBetriebssysteme bestehen aus Millionen von Codezeilen und sind sehr komplex.\nAuch die Computer-Hardware entwickelt sich rasant weiter. Zusammen bilden sie\neine riesige Angriffsfl\u00e4che mit unz\u00e4hligen potenziell unbekannten\nSchwachstellen. Es ist sehr schwierig, wenn nicht gar unm\u00f6glich, ein angemessenes\nMa\u00df an Sicherheit zu schaffen, damit eine Authentifizierung vor der\nEntschl\u00fcsselung \u00fcberfl\u00fcssig wird.<\/p>\n\n\n\n<p><strong>Sicherheit\nversus Benutzerfreundlichkeit<\/strong><br>\nDie Argumentation gegen die Pre-Boot-Authentifizierung scheint mehr auf\nBenutzerfreundlichkeit und hohen Gesamtbetriebskosten als auf\nSicherheitsgr\u00fcnden zu beruhen. Kurz: Eine Authentifizierung mittels kryptischen\nPINs oder Startup-Keys, und das immer und immer wieder, ist sehr unkomfortabel,\nwenn diese von Hand eingegeben werden m\u00fcssen. Die Bearbeitung von\nSupport-Anfragen von Nutzern, die ihren PIN vergessen oder ihren Startup-Key\nverloren haben, w\u00fcrde zu viel Zeit und M\u00fche kosten. <\/p>\n\n\n\n<p>Das\nmag stimmen. Es bedeutet aber nicht, dass die Sicherheits- und\nCompliance-Standards gesenkt werden sollten, um die potenziell hohen\nGesamtbetriebskosten der Pre-Boot-Authentifizierung zu vermeiden. Vielmehr\nsollten Unternehmen darauf achten, PBA-L\u00f6sungen einzusetzen, die diese Probleme\nbereits gel\u00f6st haben, etwa indem die PBA im Hintergrund und automatisiert, das\nhei\u00dft ohne manuelle Eingabe von PINs oder Einstecken von Startup-Keys, abl\u00e4uft.\nDie Pre-Boot-Authentifizierung ist und bleibt ein wichtiger Bestandteil jeder\nDatenverschl\u00fcsselungsl\u00f6sung. <\/p>\n","protected":false},"excerpt":{"rendered":"<p>In einem aktuellen Hintergrundartikel zur Verschl\u00fcsselung mit BitLocker geht Microsoft davon aus, dass die Pre-Boot-Authentifizierung, ein seit langem bekanntes und von Compliance-Richtlinien anerkanntes Identifizierungsverfahren, f\u00fcr die Festplattenverschl\u00fcsselung nicht mehr wirklich notwendig sei \u2013 solange andere Sicherheitsma\u00dfnahmen wie die Authentifizierung mittels TPM und Startup-Key umgesetzt werden k\u00f6nnen.<\/p>\n","protected":false},"author":1,"featured_media":14627,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[3220,1016,4562,175,9295,3728,12521,3711,12522,4193,1605],"class_list":["post-14626","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-bitlocker","tag-compliance","tag-fde","tag-microsoft","tag-pba","tag-pci-dss","tag-pre-boot-authentifizierung","tag-sed","tag-startup-key","tag-tpm","tag-winmagic"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/14626","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=14626"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/14626\/revisions"}],"predecessor-version":[{"id":14628,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/14626\/revisions\/14628"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/14627"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=14626"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=14626"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=14626"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}