G 3.97 Vertraulichkeitsverletzung trotz BitLocker Drive Encryption unter Windows Vista
BitLocker Drive Encryption (BDE) ist ein Programm zur Festplattenverschlüsselung. BitLocker erfordert mindestens zwei Partitionen eine unverschlüsselte Systempartition und die eigentliche Windows Partition, auch Boot-Partition genannt.
BDE verschlüsselt die Windows Partition vollständig mit Ausnahme des Bootsektors und eines Bereichs mit BitLocker-Metadaten. BDE verschlüsselt auch die Systempartition, von der aus die verschlüsselte Windows Partition gebootet wird. Weitere Partitionen, wie eine Datenpartition, lassen sich durch BDE erst ab dem Service Pack 1 für Windows Vista verschlüsseln.
Ein Benutzer eines Windows Vista IT-Systems ohne Service Pack 1 kann fälschlicherweise annehmen, dass BDE alle Daten verschlüsselt, einschließlich der in der Systempartition oder in einer Datenpartition gespeicherten Daten. Dadurch können Vertraulichkeitsverletzungen von Benutzerdaten begünstigt werden, wenn diese entgegen der Annahme des Benutzers unverschlüsselt sind. Ein Beispiel hierfür ist der Benutzer eines Laptops, der diesen unzureichend vor unbefugtem physischen Zugriff schützt.
Die BDE-Verschlüsselung verhält sich bei einem laufenden Windows Vista System vollkommen transparent. Damit entfaltet BDE nur dann seine Schutzfunktion, wenn das IT-System ausgeschaltet ist. Während des Startvorgangs von Windows Vista entschlüsselt BDE die Partitionen für die Zeitspanne, in der das IT-System eingeschaltet ist. Für diesen Zeitraum besteht kein Schutz der Vertraulichkeit durch BDE. Dies ermöglicht Vertraulichkeitsverletzungen durch Schadcode.
Die BDE-Konfiguration erfordert administrative Berechtigungen. Verfügt ein Benutzer oder Schadcode über administrative Berechtigungen, kann er diese zur unbefugten Deaktivierung von BDE, zum Hinzufügen zusätzlicher, eigener Schlüssel sowie zur Löschung von Schlüsselmaterial einsetzen.
Die Folge der Deaktivierung bzw. des unbefugten Hinzufügens eigener Schlüssel ist der Verlust der Vertraulichkeit. Das Löschen von Schlüsselmaterial führt zum Verlust der Verfügbarkeit des Gesamtsystems.
Die Deaktivierung von BDE oder das ungewollte Löschen von Schlüsselmaterial kann, administrative Berechtigungen vorausgesetzt, auch das Ergebnis einer fehlerhaften Bedienung des mit dem System ausgelieferten Wartungswerkzeugs manage-bde.wsf sein.
Eine Vertraulichkeitsverletzung trotz Windows Vista BitLocker Drive Encryption droht auch, wenn Unbefugte den Wiederherstellungsschlüssel (Recovery Key) kennen. Mit diesem lässt sich eine BDE-verschlüsselte Partition wieder entschlüsseln. Dies gilt unabhängig von einem Trusted Platform Module (TPM), da der Wiederherstellungsschlüssel insbesondere im Fall eines defekten TPM eine Entschlüsselung ermöglichen soll.