Was ist "sicherer", wenn Zugang zu einem Notebook (hat TPM) besteht? Den Key von Bitlocker auf dem TPM oder auf einem USB-Stick zu sichern, der immer abgezogen wird?

Was ist dein Ziel?
Du könntest ja auch das TPM mit einem PIN kombinieren, damit erhältst du eine gute Sicherheit und dennoch einen hohen Komfort.

Wollte einzig den Unterschied (Sicherheit) in Post #1 wissen

Wollte einzig den Unterschied (Sicherheit) in Post #1 wissen
Wie sicher TPM ist, kann dir keiner sagen.
Ich denke, das macht die Antwort auf deine Frage schwer.

Generell steht und fällt Sicherheit bei TPM mit der technischen Umsetzung und TPM ist nicht Open Source. Also kann die Umsetzung miserabel oder total super sein.
Den Stick würde ich als generell problematisch erachten.

a) was machst du, wenn er kaputt geht. Wo liegt die weitere Sicherung?
b) was machst du, wenn du ihn verlierst?

Edit: Der TPM Teil kann dir auch kaputt gehen, ist in meinen Augen aber unwahrscheinlicher als der Stick.

TPM allein ist eine schlechte Idee (https://www.syss.de/pentest-blog/2019/neues-syss-proof-of-concept-video-lpc-bus-sniffing-attack-against-microsoft-bitlocker-in-tpm-only-mode/) - immer mit einem weiteren Faktor für die Pre-Boot Authentication benutzen (https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-countermeasures)!

Vom Stick gibt es Sicherungen. Verlieren ist ausgeschlossen. Am PC versehentlich stecken lassen aber schon.

Beim TPM hab ich persönlich kein gutes Gefühl

Den Recovery Key solltest du dir eh ausdrucken und offline sichern.

Ist alles gesichert... :wink:
Und wenn ich den nicht hätte, könnte ich den ja auslesen (vom noch laufenden OS)

Hah... Das waren noch Zeiten :ulol:

https://www.computerbase.de/news/netzpolitik/ueberwachung-microsoft-hat-bitlocker-schluessel-heimlich-an-das-fbi-weitergegeben.95907/

und das in der cloud speichern ist ja nicht nur für privatnutzer. alle unternehmen die fleißig auf intune wechseln - weil es so toll ist wenn man die kontrolle aus der hand gibt-, bei denen wird der recovery code natürlich auch in der microsoft cloud gespeichert (https://learn.microsoft.com/en-us/intune/intune-service/user-help/get-recovery-key-windows).

Die USA machen eh ihr Ding. Eine NSA wird ganz sicher im Zweifelsfrei auch jederzeit ohne Microsoft Beihilfe auf Bitlocker Daten kommen ist von auszugehen. Das es jedoch beim FBI nur eine recht geringe Anzahl von 20 Fällen jährlich gibt, deutet darauf hin das es sich wirklich um Schwerstkriminalität gehandelt hat.

Spanender ist ob es Berichte aus Deutschland gibt? Und ob dort auch entsperrt wird wegen Lappalien zum 2021 eingeführten §188 zur Majestätsbeleidigung. Dieser ist in seiner Tragweite nicht zu unterschätzen, seit dem gab es zehntausende Hausdurchsuchungen und Beschlagnahmungen von IT Hardware, weil jemand im Internet einen Politiker "1 Pimmel", "dumm" oder "Schwachkopf Deluxe" genannt hat.

Falls hierbei Beihilfe von Microsoft statt findet, sollte man Bitlocker wirklich den Rücken kehren.

Da hat aber jmd nach fast 6 Jahren tief gegraben… :freak:

Evtl erinnert sich noch jmd, als TrueCrypt quasi „tot“ war und auf deren Seite stand, dass man doch besser Bitlocker benutzen sollte :wink:

Schon damals gab es wilde Gerüchte, dass die Macher von TrueCrypt „sanft“ gezwungen wurden ihre Arbeit einzustellen und Bitlocker zu bewerben

Das war auch ein kleines Wunder wie plötzlich VeraCrypt aus dem Nichts kam :wink:

Der hat sich aber auch im Laufe der Zeit verändert... Ich hätte jedenfalls Probleme die jeweilige Metamorphose zu erkennen :crazy:

https://viadeo.journaldunet.com/p/mounir-idrassi-3888265

https://www.youtube.com/watch?v=rgjsDS4ynq8

https://amcrypto.jp/

:usweet:
https://news.ycombinator.com/item?id=18693073

edit:
Kommt ja nicht übermäßig viel, wenn man der Forensoft die Aufgabe stellt alle Threads mit Bitlocker im Titel aufzulisten. Das hat sie übrigens wie auch sonst unter 3s erledigt ;)