computerwoche.de

Security

Vista-Verschlüsselung kein Allheilmittel

24.05.2006
Von Martin Seiler

USB-Stick sperrt Vista auf

Besser ist es, wenn der Schlüs- sel zusätzlich auf einem USB-Stick gespeichert wird. Beim Booten prüft das System dann, ob der Stick im Rechner steckt - nur wenn das der Fall ist, startet Vista.

Deutlich mehr Sicherheit bietet die zusätzliche Abfrage einer PIN. Solange die geheim bleibt, können nur Berechtigte auf die verschlüsselten Informationen zugreifen. Dabei kommt die "Anti-Hammering"-Funktion des TPM zum Tragen: Nach jeder falschen PIN-Eingabe verdoppelt sich die Zeit, bis ein erneuter Versuch gestartet werden kann. "Nach 20 erfolglosen Anläufen handelt es sich schon um mehrere Tage, die bis zu einer erneuten Möglichkeit abgewartet werden müssen", erläutert Biddle. Er hält die Kombination aus TPM plus PIN für eine "großartige Lösung", weil sie dem Anwender Sicherheit bietet, ohne dass dieser dafür extra einen Dongle mit sich tragen muss. Auch hier ist die Kombination mit einem USB-Dongle möglich. Ist dieser beim Start nicht in den Rechner eingesteckt, verweigert das System den Dienst.

Ohne TPM nicht empfehlenswert

Schließlich ist es auch möglich, Bitlocker ohne TPM zu nutzen und nur den USB-Dongle für die Speicherung des Krypto-Schlüssels zu verwenden. Diese Option ist vor allem interessant, wenn Vista auf einem Rechner installiert wird, der entweder keinen oder einen älteren TPM (vor Version 1.2) installiert hat. Dem Security-Experten Bruce Schneier zufolge ist dieses Szenario jedoch eher als Notlösung zu sehen, weil es nicht mit jeder Hardware funktioniert und das Bios zudem in der Lage sein muss, den USB-Stick zu erkennen.

Microsoft will mit Bitlocker eigenen Angaben zufolge vor allem Unternehmen ansprechen. In diesem Umfeld hält der Hersteller eine Lösung mit Dongle für "schwer umzusetzen", weil der Aufwand für die Verwaltung der Geräte zu groß ist. Hinzu kommt, dass ein verlorener Dongle ein Sicherheitsrisiko darstellt. Da aber konkrete Anfragen von Kunden vorlägen, werde auch die Dongle-Variante angeboten. "Wir glauben, dass die meisten Anwender Bitlocker im reinen TPM-Modus benutzen werden", erklärt Biddle.