N'abend zusammen,

Bitlocker bietet ja die Möglichkeit auch ohne TPM Chip zu laufen. Ab Windows 8 hat man nach Modifizierung der Gruppenrichtlinie die Möglichkeit, bei jedem Start ein Kennwort einzugeben oder einen USB Stick zu nutzen.
Beim USB-Stick wird eine entsprechende Entschlüsselungsdatei gespeichert um beim Start das System freizugeben.

Beim Kennwort wird bei jedem Start (auch aus dem Standby) ein Kennwort benötigt. Soweit, so gut. Aber wo bzw. wie wird das Kennwort gespeichert? Könnte man nicht einfach die SSD/HDD ausbauen und an einem anderen Rechner das Bitlocker Kennwort auslesen?

Interessant finde ich ja die SEDs, die quasi ohne Performanceverlust ver und entschlüsseln können. Aber ich hätte keine "Lust", ständig einen USB Stick mit zu haben um den Systemstart freizugeben. Die Kennwortfunktioniert hört sich gut an, aber ist sie auch "sicher"?

Kurzes tl;dr-Version: Kennwortfunktion ist nicht unsicher.

Lange Version:
Ich denke es läuft bei Bitlocker so wie bei jeder Verschlüsselung. Da wird nicht irgendwo ein Passwort gespeichert, welches man mit einem Text-Editor oder ähnliches auslesen kann. Das System nimmt das eingetippte Passwort und versucht damit die ersten paar Kilobytes der verschlüsselten Datei/Partition/Festplatte (= der Header von der Verschlüsselung) zu entschlüsseln. Bei TrueCrypt (und sicherlich auch Bitlocker oder jedes andere Verschlüsselungsprogramm) ist genau spezifiziert, welche Daten im Header gespeichert werden. Mal ein ganz blödes und laienhaftes Beispiel: Das erste Wort im Header muss zwingend "Bitlocker" heißen.

Wenn der mit dem eingetippten Passwort entschlüsselten Header Sinn ergeben (also z.B. das Wort "Bitlocker" gefunden), entschlüsselt es die nächsten Kilobytes im Header, die den Masterkey enthalten. Und mithilfe diesem Masterkey kann das Verschlüsselungsprogramm dann die restlichen Daten der gesamten Partition/Festplatte lesen & entschlüsseln.
Es gibt also 2 Verschlüsselungen: 1x der Header. Der lässt sich nur mit korrekten Passwort entschlüsseln. Und 1x die restlichen Daten, die mit dem Masterkey aus dem Header ver-/entschlüsselt werden.

Wenn der mit dem eingetippten Passwort entschlüsselten Header keinen Sinn ergibt (z.B. statt "Bitlocker" wird nur der Datensalat "ksahdhdksa" gefunden), weiß das Programm, dass das Passwort falsch war.

So zumindest läuft es bei TrueCrypt grob in dieser Art. Und natürlich nur sehr laienhaft beschrieben, in Wirklichkeit ist es noch viel komplizierter, da spielen auch Hashes und "Salt" mit rein.

Danke für die Erklärung :)

Das fehlendee Bauteil bei dir ist "Hash".
Aus deinem Passwort lässt sich immer ein bestimmter "Hash" generieren, aus dem "Hash" selbst aber nicht so leicht dein Passwort.

So funktioniert ja auch das verschlüsseln der Passwörter in irgendwelchen Datenbanken - speicherte man die früher noch im Klartext, wird heutzutage ein "Hash" generiert. Wie Darkman.X aber schon schrieb, wird das mit Salts und mehrmaligen "hashen" noch verstärkt, sodass es ungemein schwer wird, das Passwort zu erraten.

Probleme hat man allerdings, wenn das System noch läuft, während es jemanden in die Hände fällt. Denn im laufenden System klebt das Zeug im Klartext irgendwo im Speicher und lässt sich aufspüren. (ich nehme an, dass es auch bei Bitlocker so ist :D)

Hallo,

habe einen Dienstlappi zu Haus im Einsatz, welcher mit 2 Festplatten augestattet ist. Die Systemplatte ist mit Bitlocker verschlüsselt, hab keine Adminrechte, bin "nur" Hauptbenutzer.

Ich möchte gern ein 2. OS installieren für private Zwecke, sprich dienstl. und private Anwendungen klar trennen.

1. Wenn ich die 2. Platte dafür nutze, gibts aufgrund der Veränderung im Bootmgr Probleme mit Bitlocker, richtig?

2. Wenn ich die verschlüsselte Systemplatte ausbaue und gegen eine private tausche, meckert Bitlocker dann auch, wenn die verschlüsselte Systemplatte wieder einbaue?

3. Zum Abschluss noch eine allgemeine Frage zu Bitlocker, hab ich das richtig verstanden, das selbst wenn ich den Akku ausbaue (um diesen zu schonen), Bitlocker sich quer stellt?

Danke und Gruß, Heiner