Was ist ein TPM und warum benötigt Windows eines für die Festplattenverschlüsselung?

Die BitLocker-Festplattenverschlüsselung erfordert normalerweise ein TPM unter Windows. Die EFS-Verschlüsselung von Microsoft kann niemals ein TPM verwenden. Die neue Funktion "Geräteverschlüsselung" unter Windows 10 und 8.1 erfordert auch ein modernes TPM, weshalb sie nur auf neuer Hardware aktiviert ist. Aber was ist ein TPM?

TPM steht für "Trusted Platform Module". Es ist ein Chip auf dem Motherboard Ihres Computers, der eine manipulationssichere Verschlüsselung der gesamten Festplatte ermöglicht, ohne dass extrem lange Passphrasen erforderlich sind.

Was ist es genau?

VERBINDUNG: Einrichten der BitLocker-Verschlüsselung unter Windows

Das TPM ist ein Chip, der Teil des Motherboards Ihres Computers ist. Wenn Sie einen handelsüblichen PC gekauft haben, wird er auf das Motherboard gelötet. Wenn Sie einen eigenen Computer gebaut haben, können Sie einen als Zusatzmodul kaufen, wenn Ihr Motherboard dies unterstützt. Das TPM generiert Verschlüsselungsschlüssel, wobei ein Teil des Schlüssels für sich bleibt. Wenn Sie also die BitLocker-Verschlüsselung oder Geräteverschlüsselung auf einem Computer mit TPM verwenden, wird ein Teil des Schlüssels im TPM selbst und nicht nur auf der Festplatte gespeichert. Dies bedeutet, dass ein Angreifer das Laufwerk nicht einfach vom Computer entfernen und versuchen kann, an anderer Stelle auf seine Dateien zuzugreifen.

Dieser Chip bietet hardwarebasierte Authentifizierung und Manipulationserkennung, sodass ein Angreifer nicht versuchen kann, den Chip zu entfernen und auf einem anderen Motherboard zu platzieren, oder das Motherboard selbst manipulieren kann, um zu versuchen, die Verschlüsselung zu umgehen - zumindest theoretisch.

Verschlüsselung, Verschlüsselung, Verschlüsselung

Für die meisten Menschen ist die Verschlüsselung der relevanteste Anwendungsfall. Moderne Windows-Versionen verwenden das TPM transparent. Melden Sie sich einfach mit einem Microsoft-Konto auf einem modernen PC an, auf dem die Geräteverschlüsselung aktiviert ist, und verwenden Sie die Verschlüsselung. Wenn Sie die BitLocker-Festplattenverschlüsselung aktivieren, verwendet Windows ein TPM zum Speichern des Verschlüsselungsschlüssels.

Normalerweise erhalten Sie nur Zugriff auf ein verschlüsseltes Laufwerk, indem Sie Ihr Windows-Anmeldekennwort eingeben. Es ist jedoch mit einem längeren Verschlüsselungsschlüssel geschützt. Dieser Verschlüsselungsschlüssel ist teilweise im TPM gespeichert, sodass Sie Ihr Windows-Anmeldekennwort und denselben Computer benötigen, von dem das Laufwerk stammt, um Zugriff zu erhalten. Aus diesem Grund ist der „Wiederherstellungsschlüssel“ für BitLocker etwas länger - Sie benötigen diesen längeren Wiederherstellungsschlüssel, um auf Ihre Daten zuzugreifen, wenn Sie das Laufwerk auf einen anderen Computer verschieben.

Dies ist ein Grund, warum die ältere Windows EFS-Verschlüsselungstechnologie nicht so gut ist. Es gibt keine Möglichkeit, Verschlüsselungsschlüssel in einem TPM zu speichern. Das bedeutet, dass es seine Verschlüsselungsschlüssel auf der Festplatte speichern muss, und macht es viel weniger sicher. BitLocker kann auf Laufwerken ohne TPMs funktionieren, aber Microsoft hat alles daran gesetzt, diese Option auszublenden, um hervorzuheben, wie wichtig ein TPM für die Sicherheit ist.

Warum TrueCrypt TPMs meidet?

VERBINDUNG: 3 Alternativen zu Now-Defunct TrueCrypt für Ihre Verschlüsselungsanforderungen

Natürlich ist ein TPM nicht die einzige praktikable Option für die Festplattenverschlüsselung. In den FAQ von TrueCrypt, die jetzt entfernt wurden, wurde betont, warum TrueCrypt kein TPM verwendet hat und niemals verwenden würde. TPM-basierte Lösungen wurden als falsches Sicherheitsgefühl eingestuft. Auf der TrueCrypt-Website wird nun natürlich angegeben, dass TrueCrypt selbst anfällig ist, und es wird empfohlen, stattdessen BitLocker zu verwenden, der TPMs verwendet. Es ist also ein bisschen verwirrend im TrueCrypt-Land.

Dieses Argument ist jedoch weiterhin auf der Website von VeraCrypt verfügbar. VeraCrypt ist eine aktive Abzweigung von TrueCrypt. Die FAQ von VeraCrypt besteht darauf, dass BitLocker und andere Dienstprogramme, die auf TPM basieren, es verwenden, um Angriffe zu verhindern, bei denen ein Angreifer Administratorzugriff oder physischen Zugriff auf einen Computer haben muss. "Das einzige, was TPM fast garantiert bietet, ist ein falsches Sicherheitsgefühl", heißt es in den FAQ. Es heißt, dass ein TPM bestenfalls „redundant“ ist.

Das ist ein bisschen wahr. Keine Sicherheit ist absolut. Ein TPM ist wohl eher eine Komfortfunktion. Durch das Speichern der Verschlüsselungsschlüssel in der Hardware kann ein Computer das Laufwerk automatisch oder mit einem einfachen Kennwort entschlüsseln. Es ist sicherer als nur das Speichern dieses Schlüssels auf der Festplatte, da ein Angreifer die Festplatte nicht einfach entfernen und in einen anderen Computer einlegen kann. Es ist an diese spezielle Hardware gebunden.

Letztendlich muss man über ein TPM nicht viel nachdenken. Ihr Computer verfügt entweder über ein TPM oder nicht - und moderne Computer werden dies im Allgemeinen tun. Verschlüsselungstools wie Microsoft BitLocker und „Geräteverschlüsselung“ verwenden automatisch ein TPM, um Ihre Dateien transparent zu verschlüsseln. Das ist besser, als überhaupt keine Verschlüsselung zu verwenden, und es ist besser, als einfach die Verschlüsselungsschlüssel auf der Festplatte zu speichern, wie dies das EFS (Encrypting File System) von Microsoft tut.

Was TPM vs. nicht TPM-basierte Lösungen oder BitLocker vs. TrueCrypt und ähnliche Lösungen betrifft - nun, das ist ein kompliziertes Thema, für das wir hier nicht wirklich qualifiziert sind.

Bildnachweis: Paolo Attivissimo auf Flickr