Durch Zufall bin ich auf ein neues Feature von Windows 8 (Pro) gestoßen, was die Bitlocker Laufwerksverschlüsselung stark beschleunigen dürfte. Benchmarks von SSDs zeigen ja, dass die Performance der SSD bei Komplettverschlüsselung z.B. mit Truecrypt um 50-90% einbricht, selbst wenn potente Hardware verbaut ist (Core i7 Quadcore mit Native AES). Auch mit Bitlocker sah das ganze nicht viel besser aus. Viele Leute wollen oder können aber nicht auf die Laufwerksverschlüsselung verzichten.
Windows 8 kann nun Bitlocker, bei dem die Verschlüsselung nicht von der CPU, sondern vom Laufwerk selbst übernommen wird.
Man benötigt dafür:
- Windows 8 Pro
- ein Laufwerk, das "self encrypting device" bzw. "eDrive" unterstützt
- ein TPM-Modul
- wenn es sich um die Systemverschlüsselung handelt, wird außerdem native UEFI in mind. Version 2.3.1 benötigt.
Wenn alle Features erfüllt sind, schaltet Windows die Bitlocker Verschlüsselung wohl automatisch an. Die Verschlüsselung übernimmt der Laufwerkscontroller, was dann keine Performanceverluste mehr zur Folge hat.
Der Rest funktioniert genau wie beim normalen Bitlocker: Der Key für die Verschlüsselung wird im TPM Modul hinterlegt und nur freigegeben, wenn die Hardware "authentisch" ist. Optional kann man noch eine PIN vergeben, so dass der Key nur freigegeben wird, wenn zusätzlich die PIN eingegeben wird. Hat man die PIN vergessen, die Hardware verändert oder das TPM-Modul gelöscht, muss man den Key mit einem Wiederherstellungskennwort oder Wiederherstellungsschlüssel wieder herstellen.
Der Vorteil gegenüber normalem Bitlocker, TrueCrypt oder ähnlichen Lösungen sollte klar sein - kaum oder gar keine Performanceverluste mehr.
Aber ich frage mich, wie das im Vergleich (Sicherheit, Geschwindigkeit, Kompatibilität) zur integrierten Full Disk Encryption mancher SSDs abschneidet, die man per ATA-Kennwort aktiviert - laut meinen Infos ist es nur einfach einen Tick sicherer, aber was konkret das heißt, bleibt offen...
Ebenso ist im Netz die Fülle an Infos noch sehr dürftig. Es gibt kaum Quellen, die mal wirklich genaueres darüber schreiben - geschweige denn Erfahrungsberichte.
Hat schon mal jemand probiert, dieses Feature zu nutzen? War spezielle Hardware nötig? Wie sehen die Erfahrungen aus?
Quellen für meine Infos:
http://channel9.msdn.com/Events/Windows-Ecosystem-Summit/2011Taipei/SYS-007T (Video, dass es erklärt)
http://www.verboon.info/index.php/2011/11/windows-8-support-for-edrives/ (dürftige Infos)
http://www.trustedcomputinggroup.org/community/category/data_protection/4 (noch ein paar Infos)
http://social.technet.microsoft.com...e/thread/459db46e-2ac7-4279-b556-88e985e9f554 (Infos zu den Hardwareanforderungen)
Windows 8 kann nun Bitlocker, bei dem die Verschlüsselung nicht von der CPU, sondern vom Laufwerk selbst übernommen wird.
Man benötigt dafür:
- Windows 8 Pro
- ein Laufwerk, das "self encrypting device" bzw. "eDrive" unterstützt
- ein TPM-Modul
- wenn es sich um die Systemverschlüsselung handelt, wird außerdem native UEFI in mind. Version 2.3.1 benötigt.
Wenn alle Features erfüllt sind, schaltet Windows die Bitlocker Verschlüsselung wohl automatisch an. Die Verschlüsselung übernimmt der Laufwerkscontroller, was dann keine Performanceverluste mehr zur Folge hat.
Der Rest funktioniert genau wie beim normalen Bitlocker: Der Key für die Verschlüsselung wird im TPM Modul hinterlegt und nur freigegeben, wenn die Hardware "authentisch" ist. Optional kann man noch eine PIN vergeben, so dass der Key nur freigegeben wird, wenn zusätzlich die PIN eingegeben wird. Hat man die PIN vergessen, die Hardware verändert oder das TPM-Modul gelöscht, muss man den Key mit einem Wiederherstellungskennwort oder Wiederherstellungsschlüssel wieder herstellen.
Der Vorteil gegenüber normalem Bitlocker, TrueCrypt oder ähnlichen Lösungen sollte klar sein - kaum oder gar keine Performanceverluste mehr.
Aber ich frage mich, wie das im Vergleich (Sicherheit, Geschwindigkeit, Kompatibilität) zur integrierten Full Disk Encryption mancher SSDs abschneidet, die man per ATA-Kennwort aktiviert - laut meinen Infos ist es nur einfach einen Tick sicherer, aber was konkret das heißt, bleibt offen...
Ebenso ist im Netz die Fülle an Infos noch sehr dürftig. Es gibt kaum Quellen, die mal wirklich genaueres darüber schreiben - geschweige denn Erfahrungsberichte.
Hat schon mal jemand probiert, dieses Feature zu nutzen? War spezielle Hardware nötig? Wie sehen die Erfahrungen aus?
Quellen für meine Infos:
http://channel9.msdn.com/Events/Windows-Ecosystem-Summit/2011Taipei/SYS-007T (Video, dass es erklärt)
http://www.verboon.info/index.php/2011/11/windows-8-support-for-edrives/ (dürftige Infos)
http://www.trustedcomputinggroup.org/community/category/data_protection/4 (noch ein paar Infos)
http://social.technet.microsoft.com...e/thread/459db46e-2ac7-4279-b556-88e985e9f554 (Infos zu den Hardwareanforderungen)
Zuletzt bearbeitet:
