Deprecated: wp_make_content_images_responsive ist seit Version 5.5.0 veraltet! Benutze stattdessen wp_filter_content_tags(). in /home/customer/www/winmagic.com/public_html/blog-de/wp-includes/functions.php on line 4778

Findet Microsoft, dass Pre-Boot-Authentifizierung nicht nötig ist?

Behauptet Microsoft wirklich, dass eine Pre-Boot-Authentifizierung (PBA) für die Festplattenverschlüsselung (FDE) nicht notwendig ist? Diesen Eindruck könnte man tatsächlich aus den jüngsten Artikeln gewinnen (HIER und HIER), die vom Unternehmen veröffentlicht wurden. Der erste Artikel über „Arten von Angriffen auf Volume-Verschlüsselungs-Keys“ führt einige bekannte Angriffe auf, die „verwendet werden könnten, um einen Volume-Verschlüsselungs-Key zu kompromittieren – sei es für BitLocker oder eine Nicht-Microsoft-Verschlüsselungslösung“. Der zweite Artikel beinhaltet Aussagen wie „Microsoft empfiehlt seit vielen Jahren die Pre-Boot-Authentifizierung zum Schutz vor DMA- und Speicherremanenzangriffen. Heute empfiehlt Microsoft die Pre-Boot-Authentifizierung nur noch für PCs, auf denen die in diesem Dokument beschriebenen Abhilfemaßnahmen nicht implementiert werden können.

Lesen Sie die Microsoft-Artikel gerne selbst, wenn Sie möchten. Ich erkläre Ihnen jetzt, warum Microsoft unrecht hat. Eine Verschlüsselung ohne Authentifizierung ist in keiner Form vertraulich. Ein Computer mit einem selbstverschlüsselnden Laufwerk (SED) oder softwarebasierter Festplattenverschlüsselung, die ohne Authentifizierung direkt mit einem Benutzerkonto startet, legt Daten vollständig offen. Die Notwendigkeit der Authentifizierung ist offensichtlich, aber wann sollte sie erfolgen? Die beiden möglichen Optionen sind:

  1. Authentifizieren Sie den Benutzer, bevor das Laufwerk entsperrt und das Betriebssystem hochgefahren wird.
  2. Authentifizieren Sie den Benutzer, nachdem das Laufwerk entsperrt wurde. Entsperren Sie das Laufwerk automatisch, laden Sie dann das Betriebssystem oder eine Anwendung, und fordern Sie den Benutzer zur Authentifizierung auf.

Hinweis: Sie könnten auch beides tun, wenn Sie auf umfassenden Schutz Wert legen

Bei der ersten Option kommt die Pre-Boot-Authentifizierung ins Spiel. Sie stellt eine Umgebung außerhalb des Betriebssystems als vertrauenswürdige Authentifizierungsebene zur Verfügung. Die Pre-Boot-Authentifizierung verhindert, dass Daten aus dem Laufwerk – einschließlich des Betriebssystems – ausgelesen werden, bis der Benutzer bestätigt hat, dass er das richtige Passwort bzw. die richtigen Zugangsdaten besitzt.

Die zweite Option wäre normalerweise, dass das Betriebssystem den Benutzer nach dem Entsperren zur Eingabe der Authentifizierungsdaten auffordert. (Übrigens ist das nicht PCI DSS-konform: mehr dazu HIER.) Ich habe noch nie jemanden sagen hören, dass es sicherer ist, Daten vor der Authentifizierung freizuschalten oder zu entschlüsseln, aber der Microsoft-Artikel scheint zu behaupten, dass die Pre-Boot-Authentifizierung bei korrekter Betriebssystemkonfiguration und passender Hardware nicht notwendig ist. Das Argument lautet, dass die Pre-Boot-Authentifizierung nur nötig ist, um sich vor RAM-Angriffen zu schützen, bei denen der Angreifer direkten Zugriff auf den RAM hat – entweder physisch oder über einen DMA-Port – und den Datenverschlüsselungs-Key extrahiert. Mit der richtigen Konfiguration und der richtigen Hardware ist dies nicht möglich.

Das Argument, dass die Sicherheit der Pre-Boot-Authentifizierung nicht benötigt wird, ist aus zwei Gründen falsch:

  1. Ein Angreifer kann umfassende Ressourcen nutzen, um an die wertvollen Daten auf dem Gerät zu gelangen. Ohne eine Analyse der Hardware auf Modellbasis lässt sich das nicht ausschließen. Kennen Sie die Hersteller-, Modell- und Firmware-Version aller Hardware-Komponenten einschließlich TPMs und Speicher in Ihrem Unternehmen, damit Sie entscheiden können, ob eine gerätebasierte Pre-Boot-Authentifizierung benötigt wird oder nicht? Und selbst Microsoft sagt in diesem älteren ARTIKEL, dass „eine Authentifizierung mit TPM alleine das niedrigste Datenschutzniveau bietet.“ Diese Authentifizierungsmethode schützt vor Angriffen, die frühe Boot-Komponenten modifizieren. Aber das Schutzniveau kann durch potenzielle Schwachstellen in der Hardware oder in den frühen Boot-Komponenten beeinträchtigt werden.“
  2. Speicherangriffe sind nicht die einzigen möglichen Angriffe. Ist Windows erst gestartet und das Laufwerk „entsperrt“, bietet die Festplattenverschlüsselung keinen kryptografischen Schutz mehr, der deutlich leistungsstärker ist als die „programmierte“ Sicherheit, die ein Betriebssystem bieten kann. Wenn Sie Ihren Computer automatisch bis zur Betriebssystem-Eingabeaufforderung booten lassen, vertrauen Sie ganz auf die Betriebssystemsicherheit und die der Geräte-Hardware. Sie müssen sich darauf verlassen, dass der Anmeldebildschirm des Betriebssystems Angreifer fernhält und dass das Betriebssystem keine Daten über LAN, WAN oder andere Ports oder Verbindungen aus dem Gerät nach außen lässt – und das, obwohl der Datenverschlüsselungs-Key im Klartext im Speicher vorhanden ist und alle Daten lesbar sind. Moderne Betriebssysteme bestehen aus Millionen von Codezeilen und sind sehr komplex. Auch die Computer-Hardware entwickelt sich rasant weiter. Zusammen bilden sie eine riesige Angriffsfläche mit unzähligen potenziell unbekannten Schwachstellen. Es ist sehr schwierig, wenn nicht gar unmöglich, ein angemessenes Maß an Sicherheit zu erhalten, damit eine Authentifizierung vor der Entschlüsselung überflüssig wird.

Andererseits ist der Hauptzweck der Pre-Boot-Authentifizierung der kryptografische Schutz der Laufwerksschlüssel. Mit Pre-Boot-Authentifizierung wird die Angriffsfläche deutlich kleiner – und somit auch die Verwaltung weniger komplex. So kann beispielsweise der Antrag für die Pre-Boot-Authentifizierung bei einem Common Criteria-Labor zur Zertifizierung nach dem Collaborative Protection Profile (cPP) für die FDE Authorization Acquisition (cPP AA) eingereicht werden. Mehr dazu HIER.

Die Argumentation gegen die Pre-Boot-Authentifizierung betrifft eher die Benutzerfreundlichkeit und Gesamtbetriebskosten. Im Microsoft-Artikel über die „Konfiguration von BitLocker für Tablets“ heißt es beispielsweise, dass „die Pre-Boot-Authentifizierung im Unternehmen zu einer verminderten Benutzerfreundlichkeit führt und die Supportkosten erhöht (z. B. für vergessene PINs).Die Lösung ist NICHT, die Sicherheits- und Compliance-Standards zu senken, um den hohen Gesamtbetriebskosten der Pre-Boot-Authentifizierung aus dem Weg zu gehen, sondern Lösungen einzusetzen, die über eine vollwertige Pre-Boot-Authentifizierung verfügt und diese Probleme löst. So bietet beispielsweise SecureDoc von WinMagic eine benutzerbasierte Authentifizierung, Selbsthilfefunktionen für Anwender und eine Pre-Boot-Netzwerkanbindung. So entsteht ein hohes Maß an Benutzerfreundlichkeit, um den Sicherheitsanforderungen gerecht zu werden.

Zusammenfassend lässt sich sagen, dass Microsoft auf dem Holzweg ist. Der Fehler in der Logik des Unternehmens liegt darin, dass die Pre-Boot-Authentifizierung auf den Schutz vor Speicherangriffen NACH dem automatischen Entsperren des Laufwerks beschränkt ist. Man hat den Sinn der Pre-Boot-Authentifizierung nicht verstanden. Sie soll verhindern, dass Daten aus Laufwerken ausgelesen werden, z. B. aus dem Betriebssystem, noch BEVOR der Benutzer bestätigt hat, dass er das richtige Passwort oder die korrekten Zugangsdaten besitzt. Die Pre-Boot-Authentifizierung ist eine notwendige Komponente einer Festplattenverschlüsselungslösung, um die Vertraulichkeit (und Compliance) einer Festplattenverschlüsselung zu gewährleisten.

Comments

comments

Vorheriger Beitrag
Betriebssystemsicherheit
Nächster Beitrag
RSA Security Conference 2018

Related Posts

Es wurden keine Ergebnisse gefunden, die deinen Suchkriterien entsprechen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.

Menü