Windows BitLocker: Microsoft gibt Schlüssel an Strafverfolger heraus

Windows Betriebssystem
ksk_halo schrieb:
Unser mittelständiges Maschinenbauunternehemen ist MS vollkommen ausgeliefert. Die wissen alles von unserer Technologie und unsere IT steht voll auf Cloudspeicherlösungen. Alles so schön einfach und bequem. Es fragt niemand ob es sinnvoll ist, unsere Konstruktion und Softwarelösungen auf Cloudspeichern offen zu legen.
Die komplette Kommunikation liegt dort. Vor ein paar Jahren hatten wir noch unsere eigenen Exchange Server im Haus. Alles angeblich zu teuer,
zuviel Administrationsaufwand.
Zum Vergrößern anklicken....
Witzig, unser mittelständisches Maschinenbau-Unternehmen hostet noch einen Exchange-Server, die Hälfte der Belegschaft krebst noch mit Office 2013 herum und das alles, weil Software-as-a-service in den Augen des CFO "moderne Wegelagerei" ist.
 
L0nestar schrieb:
weil Software-as-a-service in den Augen des CFO "moderne Wegelagerei" ist
Zum Vergrößern anklicken....
was ja auch irgendwo stimmt. Das alles-gibts-mitm-Abo Modell hat die Leute erschöpft. Es ist unnatürlich und steht dem menschlichen Naturell diametral entgegen. Es ist ein neokapitalistisches Instrument das der Illusion des grenzenlosen Wachstum nachempfunden ist und genauso alternativlos angeboten wird. Sehr zum Verdruss vieler Menschen. Aber es gibt Alternativen und ich hoffe doch sehr dass sie angenommen werden. Man wird nicht geholfen, ehe man nicht imstande ist sich selbst zu helfen
 
hikaru schrieb:
Luks bietet daher das Feature eines "Nuke"-Passworts, bei dessen Eingabe alle Schlüssel gelöscht werden, womit das Volume unzugänglich wird.
Der Haken daran: Das funktioniert höchstens einmal, und jemand der so tief in der IT steckt, um sich damit zu beschäftigen, hat garantiert Backups.
Zum Vergrößern anklicken....
Dann nutzt der Angreifer halt ein selbst kompiliertes LUKS, bei dem dieses Feature entfernt wurde? Oder arbeitet sowieso nur mit ReadOnly-Images.

Das hilft maximal, wenn man irgendwo (unterwegs) angehalten und schnell zur Entsperrung des Datenträgers mit der vorhandenen eigenen Hard-/Software gezwungen wird. Sobald jemand genügend Zeit hat, ist man sowieso der Dumme. :D
 
KB19 schrieb:
Sobald jemand genügend Zeit hat, ist man sowieso der Dumme. :D
Zum Vergrößern anklicken....
Weis nicht. Meine Passwörter für die LUKS Verschlüsselungen sind alle mindestens 15 Zeichen lang, Zeichen ohne offensichtlichem System, jede Platte anderes Passwort. Sind nirgends aufgeschrieben. Viel Glück mit Brute-Force.

Edit: Wollte noch ergänzen. Jemand hatte die Silk-Road Festnahme erwähnt. Als die ihn festgenommen haben, war sein Rechner an, entsperrt und er war gerade überall online eingeloggt. Die hatten das extra so gedreht, dass sie versucht haben ihn genau in solch einer Situation festzunehmen. Da hat also die Festplattenverschlüsselung keinerlei Rolle gespielt.
 
Zuletzt bearbeitet:
L0nestar schrieb:
[..] und das alles, weil Software-as-a-service in den Augen des CFO "moderne Wegelagerei" ist.
Zum Vergrößern anklicken....
Zum Thema SaaS(S) hat sich Richard Stallman mal geäußert. [1]

KB19 schrieb:
Dann nutzt der Angreifer halt ein selbst kompiliertes LUKS, bei dem dieses Feature entfernt wurde? Oder arbeitet sowieso nur mit ReadOnly-Images.
Zum Vergrößern anklicken....
Deshalb schrieb ich, dass die Sache einen Haken hat.

hoday schrieb:
Weis nicht. Meine Passwörter für die LUKS Verschlüsselungen sind alle mindestens 15 Zeichen lang, Zeichen ohne offensichtlichem System, jede Platte anderes Passwort. Sind nirgends aufgeschrieben. Viel Glück mit Brute-Force.
Zum Vergrößern anklicken....
Warte kurz, ich hol den Schraubenschlüssel!


[1] https://www.gnu.org/philosophy/who-does-that-server-really-serve.de.html
 
hikaru schrieb:
Warte kurz, ich hol den Schraubenschlüssel!
Zum Vergrößern anklicken....
Und was machst du dann mit der ausgebauten Festplatte?
Beitrag automatisch zusammengeführt:

hikaru schrieb:
Gegenüber Strafverfolgern und Anderen, die ggf. in der Position sind, Gewalt gegen einen auszuüben, gilt letztendlich xkcd:Security [1], und die Vorstellung, solchen Methoden (im Extremfall bis zur Folter) standhalten zu können, ist illusorisch.

Luks bietet daher das Feature eines "Nuke"-Passworts, bei dessen Eingabe alle Schlüssel gelöscht werden, womit das Volume unzugänglich wird.
Der Haken daran: Das funktioniert höchstens einmal, und jemand der so tief in der IT steckt, um sich damit zu beschäftigen, hat garantiert Backups.


[1] https://xkcd.com/538/
Zum Vergrößern anklicken....
Oder du setzt halt einfach bei jedem deiner Backups ein anderes Nuke-Passwort.
 
Zuletzt bearbeitet:
hoday schrieb:
Und was machst du dann mit der ausgebauten Festplatte?
Zum Vergrößern anklicken....
Das war wohl eher darauf bezogen: https://xkcd.com/538/

Und das meinte ich ebenfalls, dass man mit genügend Zeit der Dumme ist. Wir sind wahrscheinlich alle keine Jack Bauer, die jahrelanger Folter standhalten, ohne den Mund aufzumachen. 😁

Falls Du dann die Nuke-Passphrase rausrückst, starten sie einfach von vorne und das Leiden geht weiter. Damit das wirklich klappt, müsste der Key schon ausschließlich in einem TPM o.ä. liegen und die Nuke-Funktion quasi in Hardware implementiert sein. Oder übersehe ich etwas?

Ok, eine Situation gibt es, wo sie helfen könnte: Wenn ich merke, dass sich etwas anbahnt, z.B. bei einer Grenzkontrolle, könnte ich das Gerät schnell einschalten und die Nuke-Passphrase eingeben. Noch bevor es jemand in die Finger bekommt. In dieser Situation wäre es unwahrscheinlich, dass die Personen Zugriff auf Backups haben.
 
Zuletzt bearbeitet:
Hier noch ein Video des Kanals "heise & c't" dazu:
Um diese Inhalte anzuzeigen, benötigen wir die Zustimmung zum Setzen von Drittanbieter-Cookies.
Für weitere Informationen siehe die Seite Verwendung von Cookies.
 
KB19 schrieb:
Das war wohl eher darauf bezogen: https://xkcd.com/538/

Und das meinte ich ebenfalls, dass man mit genügend Zeit der Dumme ist. Wir sind wahrscheinlich alle keine Jack Bauer, die jahrelanger Folter standhalten, ohne den Mund aufzumachen. 😁

Falls Du dann die Nuke-Passphrase rausrückst, starten sie einfach von vorne und das Leiden geht weiter. Damit das wirklich klappt, müsste der Key schon ausschließlich in einem TPM o.ä. liegen und die Nuke-Funktion quasi in Hardware implementiert sein. Oder übersehe ich etwas?

Ok, eine Situation gibt es, wo sie helfen könnte: Wenn ich merke, dass sich etwas anbahnt, z.B. bei einer Grenzkontrolle, könnte ich das Gerät schnell einschalten und die Nuke-Passphrase eingeben. Noch bevor es jemand in die Finger bekommt. In dieser Situation wäre es unwahrscheinlich, dass die Personen Zugriff auf Backups haben.
Zum Vergrößern anklicken....
Du kannst LUKS auch mit einem Hardwarekey einrichten. Dann könntest du schnell deinen Yubikey zerstören und die Festplatte wäre nicht mehr entschlüsselbar.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • IT Refresh - IT Teile & mehr
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben