Noch ein Shorty aus dem Microsoft-Kosmos bzgl. Datenverschlüsselung. Die seit Windows 8 in bestimmten Konstellationen standardmäßig durchgeführte Geräteverschlüsselung überträgt den Master-Schlüssel an Microsoft. Ist nix grundsätzlich neues (zwischen vielen Microsoft-Artikeln sogar dokumentiert). Die Site theintercept.com (hat die Snowden-Dokumente publiziert) hat sich des Themas aber mal angenommen.
Anzeige
In China wurde gerade ein Gesetz durchgewunken, dass Tech-Firmen die Generalschlüssel für die Datenverschlüsselung beim Staat hinterlegen müssen (siehe z.B. diesen betanews.com-Artikel). So what? Bei Microsofts Windows handelt man viel pragmatischer – die Verschlüsselung erfolgt automatisch und die Encryption-Schlüssel werden in bestimmten Konstellationen einfach an Microsoft übertragen – und Du kannst als Benutzer nix dagegen unternehmen.
Ich hab das Thema nur ganz weit am Rande verfolgt, weil ich (mangels Hardware) nicht davon betroffen bin/war. Auf die Schnelle habe ich jetzt nur einen Artikel von deskmodder.de sowie den Microsoft-Artikel Schützen von Dateien mit der Laufwerkverschlüsselung zum Thema Geräteverschlüsselung in Windows 8.1 gefunden. Microsoft schreibt:
Die Geräteverschlüsselung steht auf allen PCs unter Windows RT 8.1 sowie auf PCs unter Windows 8.1 mit InstantGo-Unterstützung zur Verfügung. Mit InstantGo kann der PC umgehend aus dem Energiesparmodus reaktiviert werden. Ihre Apps und Daten sind auf dem neuesten Stand. Weitere Informationen dazu, ob Sie die Geräteverschlüsselung auf Ihrem PC verwenden können, finden Sie in den Infos, die Sie zusammen mit Ihrem PC erhalten haben, oder auf der Website des PC-Herstellers.
Im Microsoft-Artikel wird dann noch ausgeführt, "Wenn Sie sich mit einem Microsoft-Konto angemeldet haben, ist der Schutz für den PC aktiviert, und der Wiederherstellungsschlüssel wird automatisch online in Ihrem Microsoft-Konto gesichert. Falls Sie eine weitere Kopie des Wiederherstellungsschlüssels haben möchten, können Sie ihn ausdrucken oder als Datei speichern."
Also: Im Prinzip ist die Information "im Kleingedruckten" zu finden. Aber es kommt auf die Details und deren Interpretation an. Auf der Site theintercept.com, die auch die Snowden-Dokumente an die Öffentlichkeit gebracht hat, ist nun der Artikel RECENTLY BOUGHT A WINDOWS COMPUTER? MICROSOFT PROBABLY HAS YOUR ENCRYPTION KEY erschienen. Dort nimmt man sich des oben skizzierten Sachverhalts an und geht auf die Thematik ein. Die Quintessenz aus diesem Artikel lässt sich in folgenden Punkten zusammenfassen.
- Gold-Standard ist, dass der Master-Key für die Verschlüsselung beim Nutzer bleibt und nur dieser die Daten auch entschlüsseln kann.
- Verlässt dieser Master-Key den Computer, um irgendwo in der Cloud zu landen, hast Du die Kontrolle darüber verloren. Dann ist die Verschlüsselung prinzipiell Schall und Rauch.
- Selbst wenn man Microsoft "gute Absichten" unterstellt – Angestellte oder Hacker könnten an die Keys gelangen.
Kurz zusammen gefasst: Der Gold-Standard ist bekannt. Im Pharmabereich, in dem ich früher zu tun hatte, gab es eine good manufacturing practice, mit entsprechenden Regularien – wäre schön, wenn ein Splitterchen dieser Ansätze irgendwann bei den IT-Herstellern landen würde.
Anzeige
Und wie halten es die Hersteller mit der Geräteverschlüsselung und dem Generalschlüssel?
- Bei Apple unterstützt man die Geräteverschlüsselung z.B. auf neuen Macs ebenfalls. Bei der Funktion FileFault kann der Benutzer optional das Backup des Recovery-Schlüssels in iCloud speichern lassen.
- Bei Microsoft ist es aber so geregelt, dass der Recovery-Schlüssel bei einer Geräteverschlüsselung automatisch über das zur Anmeldung benutzte Microsoft-Konto an Microsoft übertragen wird (nur bei Bitlocker hat es der Benutzer in der Hand, ob er den Schlüssel ausdrucken, lokal auf einen USB-Stick oder im Microsoft-Konto speichern will).
Microsoft bietet zwar eine Möglichkeit an, den Recovery-Schlüssel aus dem Microsoft-Konto zu löschen. Ob der Schlüssel aber nicht schon in Autobackups enthalten oder nicht anderweitig bei Microsoft gespeichert ist, entzieht sich der Kontrolle durch den Benutzer. Zitat aus dem theintercept-Artikel:
In short, there is no way to prevent a new Windows device from uploading your recovery key the first time you log in to your Microsoft account, even if you have a Pro or Enterprise edition of Windows. And this is worse than just Microsoft choosing an insecure default option. Windows Home users don't get the choice to not upload their recovery key at all. And while Windows Pro and Enterprise users do get the choice (because they can use BitLocker), they can't exercise that choice until after they've already uploaded their recovery key to Microsoft's servers.
Mit anderen Worten: Die haben es mal wieder richtig versaut – so im Sinne " wir wissen, was für euch Benutzer gut ist" – we take care of you. Im theintercept-Artikel ist beschrieben, wie man den Recovery-Key in seinem Microsoft-Konto löschen kann. Bei Interesse lest ihr den englischsprachigen Artikel durch.
PS: Ich habe mal nachgeschaut, mangels geeigneten Geräten habe ich da keine "Generalschlüssel" abgelegt. Und Verschlüsselung in den Home-Versionen ließe sich ja durchaus mit Fremdtools wie VeraCrypt durchführen. Ach ja – hatte ich erwähnt, dass ich mittlerweise meine alte Hardware mit BIOS und ohne dieses UEFI-/TPM-Geraffel wie einen Augapfel hüte und nix wegwerfe?
Update: Bei heise.de finden sich zwischenzeitlich ein paar deutschsprachige Ergänzungen.
Anzeige
Ich hab noch nie irgendwas mit Bitlocker Verschlüsselt geschweige den mit InstantGo über UEFI aktiviert wie käme ich auch auf die Idee zu glauben das dies irgendwie sicher sei.
Für wirklich wichtige Sachen hab ich eine verschlüsselte USB 3.0 Festplatte.
Ich verschlüssle zwar nicht,aber wenn ich es täte,dann fände ich es doch sehr ideal,wenn Microsoft meinen Key sicher verwahrt und ich ihn abrufen kann,sollte ich ihn vergessen haben!
Es geht dabei immer noch um Homeuser-Geräte mit der Device Encryption und grundsätzlich eben nicht um Bitlocker. Und im Homeuser-Umfeld dürfte der verlorene Schlüssel ein größeres Problem darstellen, so dass es schon sinnvoll ist, wenn der standardmäßig im Konto landet.
Die wenigsten Homeuser dürften ernsthafte Probleme mit den US Geheimdiensten fürchten müssen. ;-)
Vor allem bringt es doch gar nichts, wenn der im OneDrive Laufwerk hinterlegte Key in die Hände des Geheimdienstes oder anderen Bösewichten fallen würde. Der Key kann doch Remote über das Netz gar nicht angewandt werden. Um den Recovery Key zu nutzen braucht man >>lokalen<< Zugriff auf den Rechner. Und wenn der Geheimdienst vor der Türe steht um lokalen zugriff auf den Rechner zu bekommen, dann hat man eine ganz anderes Problem…
Also mal wieder unnötige Panikmache.
Ganz interessant in dem Zusammenhang ist auch der Artikel bei Ars Technica: http://arstechnica.com/information-technology/2015/12/microsoft-may-have-your-encryption-key-heres-how-to-take-it-back/
Danke für die Ergänzungen @Nils und @Ingo. Ich würde nicht von Panikmache sprechen wollen – es ist imho einfach Mist, wenn ein automatischer Vorgang keine Auswahl zulässt, wo der Recovery-Key gespeichert werden soll. Man mag drüber diskutieren, ob das für unbedarfte Benutzer gut oder schlecht ist – für jemand, der sich auskennt, ist das ein unnötiger Schlenker. Das ist das, was ich als "gut gedacht ist ungleich gut gemacht" meine. Aber ich bin da wohl zu extrem in meiner Denke.
Auch ich bin – vorsichtig formuliert – erstaunt über die Ansichten mancher User.
Hi,
im verlinkten Heise-Artikel ist von Bitlocker-Keys der Pro-Version die Rede, also die Win10 Version, die bei kleinen und Mittelständischen Unternehmen im Einsatz sind, die so leichter Opfer von Wirtschaftsspionage kommen können, von Rechtsanwälten, deren Mandanten durch einen entwendeten Laptop in Gefahr geraten können, obwohl er Bitlocker verschlüsselt ist, Rechner von Dissidenten etc. Die Liste ist lang.
Bei der Enterprise-Version von Windows scheint der Key ja nicht in der Cloud zu landen. Mit so einer Aktion schießt sich MS schön und gänzlich unnötig ins eigene Knie und schürt berechtigte Panikmache bei kleinen Unternehmen und bei Menschen, die ihre Daten zwingend schützen müssen.
Viele Grüße
Christian