none
Windows 10 Pro | Bitlocker & eDrive - Schlüsselmanagement | Dokumentation RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Und mal wieder ein Neuling.

    Nach gefühlten Tagen im Netz zum Thema eDrive und Bitlocker habe ich leider noch keine 100% zufriedenstellende und ganzheitliche Dokumentation gefunden, deswegen möchte ich hier in der Community fragen, wie die Auffassung zu den folgenden Punkten ist - oder aber, ob ich eventuell den Wald vor lauter Bäumen nicht gesehen habe und es doch eine Dokumentation mit all diesen Punkten gibt.

    Zur Situation: Windows 10 Pro (uEFI mode), Intel CPUs mit PTT (TPM), PCBA mit EFI 2.3.1+, SSD mit bestätigter eDrive Funktion, wie Samsung 850 Pro, Intel 2500 series, Crucial MX300.

    Bei den SSDs wird eDrive initialisiert und nachfolgend die Installation direkt mit Bitlocker ausgeführt - damit sollte Bitlocker das Management der SSD Verschlüsselung übernehmen und den Nutzer nicht länger damit nerven.

    Zu den Fragen:

    Wie genau läuft die Freigabe der SSD und wann wird welcher Schlüssel wie geschickt?

    Beim Windows Logon gibt der Nutzer: user/pass (z.B.: Username: Ben | Pass: Chantalle) an, welches Windows (oder AD) prüft. Danach gibt Bitlocker automatisch ein 'ok' an die TPM Engine, welches einen Schlüssel (128Bit lang) an die SSD sendet, die daraufhin den Zugriff gestattet. Die SSD selbst speichert die Daten verschlüsselt basierend auf einem weiteren geheimen (256Bit) Schlüssel, der die SSD aber nie verlässt und sich auch nicht sichern lässt.

    Die Wiederherstellung'diskette' von Bitlocker hilft beim Wiederherstellen des ersten 128Bit Schlüssels, wird also auch benötigt, wenn das PCBA oder CPU defekt ist und das System mit neuen Hardwarekomponenten erstellt werden muss.

    Oder in kurz:

    Bitlocker prüft ob Nutzer zugreifen darf - wenn ja: Bitlocker sendet den in der TPM Engine gespeicherten Key, den es bei der SSD zum authentifizieren braucht.

    Im TPM Modul sind aber weder user / Pass noch der encryption key der SSD gespeichert, da dieser ja auf der SSD selbst liegt.

    Kommt das in etwa hin? Hat dazu eventuell schon jemand etwas offizielles von MS gesehen, eventuell auch gültig für den aktuellen Release von Win10 Pro?

    Vielen Dank schon einmal für die Tipps und Hilfestellungen!

    Mittwoch, 2. November 2016 18:13
    |