BitLocker Hardware Verschlüsselung Empfehlung

English version can be found here.

Anfang November haben zwei Forscher aus Nijmegen, Niederlande, ein beunruhigendes Research paper veröffentlicht. In ihrer Forschung untersuchten sie die Hardware-basierte Verschlüsselung von modernen SSD Festplatten. Dabei fanden sie heraus, dass alle getesteten Modelle ohne den Schlüssel vollständig entschlüsselt werden können. Das originale Paper gibt es hier zum Download.

Microsoft reagierte darauf mit dem Advisory ADV180028. Darin wird empfohlen, Hardware-basierte Verschlüsselung vorerst zu deaktivieren und nur noch Software Verschlüsselung zu nutzen.

Wir haben mit unserem Security Team einige Tests durchgeführt, indem wir speziell die Unterschiede in der Performance getestet haben. Wir können mit gutem Gewissen die Software-basierte Entschlüsselung empfehlen.

Dies lässt sich relativ einfach über z.b. eine GPO steuern. Dazu unter Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> BitLocker-Laufwerkverschlüsselung in allen 3 Ordnern (Betriebssystemlaufwerke, Festplattenlaufwerke und Wechseldatenträger) die Policy mit dem Namen „Verwendung der hardwarebasierten Verschlüsselung für … konfigurieren“ auf Deaktiviert setzen. Das reicht aus, um die Hardware Verschlüsselung zu unterbinden.

Ist eine Festplatte bereits verschlüsselt, wird diese durch das Setzen der GPO nicht neu verschlüsselt. Es lohnt sich also zu checken, wo Hardware Verschlüsselung im Einsatz ist:

manage-bde -status

Hier ist der Punkt Verschlüsselungsmethode wichtig. Steht dort nicht etwas wie AES 128 oder AES 256 sondern Hardware-basiert, sollte die BitLocker Verschlüsselung aufgehoben und die Festplatte neu verschlüsselt werden.

In diesem Beispiel ist keine Hardware Verschlüsselung im Einsatz. Dies ist das gewünschte Ergebnis.