In der BitLocker Falle?!

Heute mittag erreichte mich ein Hilferuf eines verzweifelten Windows 10 Nutzers, der bis vor kurzem gar nicht wusste, dass er BitLocker nutzt…

Hallo Herr Andreas Schuster,

durch ein Problem mit meinem Surface bin ich auf Ihre Seite im Internet gestoßen. Da Sie auf dieser Seite über den Bitlocker berichten, möchte ich Sie um ein Rat fragen.

Ich habe folgendes Problem:

Mein ca. 2 Jahre altes Surface Pro (mit Windows 10) ist neulich während des Betriebes ohne Vorwarnung abgestürzt und es kam der Bluescreen.
Nach dem erzwungenen Neustart kam direkt das blaue Fenster (BitLocker) mit der Aufforderung den Wiederherstellungsschlüssel einzugeben.
Mein Laufwerk C wo auch Windows drauf installiert ist, wird vom BitLocker komplett gesperrt. Ich komme nicht drauf.

Da ich bis dahin von BitLocker nichts gewusst habe, musste ich mich ein paar Tage im Netz informieren.

Ich habe diesen BitLocker nie selber eingerichtet und musste zu meinem Bedauern feststellen, dass ich auch diesen (24stelligen) Schlüssel niemals abgespeichert hatte. In meinem Microsoft Konto gibt es leider auch keine Sicherung dieses Schlüssels. Das ist ärgerlich, denn ohne diesen Schlüssel komme ich nicht mehr an meine Daten.

Die Microsoft Hotline konnte mir auch nicht weiter helfen, außer der letzten Möglichkeit das System neu aufsetzen. Dann würden aber meine ganzen Daten verloren gehen.

Vielleicht habe Sie einen Rat für mich oder ein Trick, wie ich doch noch an meine Daten kommen kann? Eventuell gibt es Fachleute/Experten, die das machen könnten.

Ich würde mich freuen, wenn Sie mir antworten.

Mit freundlichen Grüßen
*Name entfernt*

Die BitLocker Konfiguration prüfen

Dazu muss man wissen, dass die Microsoft BitLocker Verschlüsselung allzu oft als „transparente“ Verschlüsselung aktiviert ist und viele Benutzer gar nicht darüber Bescheid wissen, dass eine Verschlüsselung aktiv ist. Man kann das aber ganz leicht prüfen, indem man im Explorer amLaufwerk C: mit der rechten Maustaste das Context-Menü öffnet und dann auf „BitLocker verwalten“ klickt.

BitLocker Konfiguration überprüfen und Einstellungen verwalten

Genau in dieser Systemeinstellung kann man sich jederzeit den Wiederherstellungsschlüssel sichern, den man benötigt, wenn es Probleme auf dem System gibt. Meine Empfehlung ist den Wiederherstellungsschlüssel auszudrucken und beispielsweise bei der Geräterechnung auszubewahren. So gehts:

Das hilft natürlich einem Hilfesuchendem nicht mehr, der sich nicht mehr erfolgreich am System anmelden kann, weil z.B.

  • Das Gerät nicht mehr korrekt bootet (fehlgeschlagenes Windows Update, Gerätetreiber, andere Bluescreens, defekte Hardware, etc.)
  • Man das Windows Kennwort vergessen hat und es sich nicht um ein zentral verwaltetes Firmennetzwerk mit Active Directory handelt

Microsoft hat eine sehr aktuell gepflegte Seite für die Suche nach einem verlorenen Wiederherstellungsschlüssel, hier der Link.

BitLocker deaktivieren oder entschlüsseln

Sollten auch die Microsoft Tipps nicht erfolgreich sein, kann man noch in seiner Cloud oder auf seinen externen Speichermedien (externe Festplatten, USB Sticks) nach der folgenden Datei suchen:
BitLocker-Wiederherstellungsschlüssel ** ** ** **-****-****-****-************.TXT
Wobei die Sterne „*“ jeweils ein Hex-Wert 0-9 bzw A-F sind.

Das steht in der Datei selbst:

Wiederherstellungsschlüssel für die BitLocker-Laufwerkverschlüsselung

Um zu überprüfen, ob es sich um den richtigen Wiederherstellungsschlüssel handelt, vergleichen Sie den Beginn des folgenden Bezeichners mit dem auf dem PC angezeigten Bezeichnerwert.

Bezeichner:

********-****-****-****-************

Falls der obige Bezeichner mit dem auf dem PC angezeigten Bezeichner übereinstimmt, sollten Sie den folgenden Schlüssel zum Entsperren des Laufwerks verwenden.

Wiederherstellungsschlüssel:

******- ****** – ****** – ****** – ****** – ****** – ****** – ******

Falls der obige Bezeichner nicht mit dem auf dem PC angezeigten Bezeichner übereinstimmt, handelt es sich nicht um den richtigen Schlüssel zum Entsperren des Laufwerks.

Versuchen Sie es mit einem anderen Wiederherstellungsschlüssel, oder suchen Sie unter „http://go.microsoft.com/fwlink/?LinkID=260589“ nach weiteren Informationen.

Sollte die Suche nach dem BitLocker Recovery Schlüssel nicht glücken, ist der einzige Schritt den installierten BitLocker zu hacken.

Um 22€ BitLocker selbst mit einem FPGA hacken

In allen Windows Versionen nutzt BitLocker für den wichtigsten Schlüssel den Volume Encryption Key (VEK) einen Krypto-Chip am Motherboard, den TPM-Chip. Genau da kann man angreifen, denn seit wenigen Wochen gibt es einen neuen BitLocker/TPM Hack von Denis Andzakovic unter dem folgenden Link: TPM-sniffing

Es handelt sich um einen programmierbaren FPGA mit der Bezeichnung ICE40 Eval Board. Denis Andzakovic hat sich die Mühe gemacht für diesen günstigen FPGA eine Firmware von Alexander Couzens anzupassen und diese auf Github zu stellen.

Um den Volume Master Key aus dem BitLocker auszulesen, muss man das programmierte FPGA mit dem TPM-Chip des Clients verbinden (zumeinst anlöten) und dann den den Client starten. BitLocker sendet einige Daten an den TPM-Chip und dieser antwortet mit dem Volume Encryption Key (VEK) den man mitprotokolliert. Dann den Client mit Linux booten oder die Festplatte an ein Linux-System anschliessen und die verschlüsselte C: Partition mit den im Hack beschrieben Tools über den VEK entschlüsseln. Kling einfach, ist es auch!

TPM Beispiel: ein Infineon SLB9665TT20
TPM Beispiel: ein Infineon SLB9665TT20

Den ICE40 FPGA habe ich mir bereits bei Mouser (
https://www.mouser.at/ProductDetail/Lattice/ICE40HX1K-STICK-EVN) um knapp 22€ in Deutschland bestellt. In ein paar Tagen werde ich dann den Hack ausprobieren.

BitLocker ohne eine Pre-Boot-Authentisierung wie Passwort, PIN oder Smartcard kann man heute in wenigen Stunden mit einem finanziellen Aufwand von nur 22€ hacken. Wenn man also wirklich wichtige Daten schützen möchte, dann aktiviert die TPM Pin oder besorgt Euch eine Verschlüsselung mit Pre-Boot-Authentisierung!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*