Users Guide
9
Unterstützung für Modul vertrauenswürdiger
Plattform und BitLocker
Ein TPM ist ein sicherer Microcontroller mit kryptografischen Fähigkeiten, der grundlegende, mit Sicherheit in
Verbindung stehende Funktionen im Zusammenhang mit Verschlüsselungsschlüsseln zur Verfügung stellt. Er wird auf
der Hauptplatine des Systems installiert und kommuniziert über einen Hardwarebus mit dem Rest des Systems. Unter
Verwendung von BIOS-Setup-Befehlen können Sie den Besitz des Systems und seines TPM geltend machen.
Das TPM speichert die Plattformkonfiguration als Satz von Werten in einem Satz von
Plattformkonfigurationsregistern (PCRs). Daher kann ein einzelnes solches Register z. B. Informationen zum Hersteller
der Hauptplatine speichern, während ein anderes Informationen zum Hersteller des Prozessors speichert und ein drittes
wiederum die Firmware-Version der Plattform usw. Systeme, die ein TPM enthalten, erstellen einen Schlüssel, der mit
Plattformmessungen in Verbindung steht. Der Schlüssel kann nur freigegeben werden, wenn diese Plattformmessungen
dieselben Werte aufweisen, die sie zum Zeitpunkt der Schlüsselerstellung haben. Dieser Vorgang wird als
Versiegeln
des Schlüssels vor dem TPM bezeichnet. Die Entschlüsselung wird als
Entsiegelung
bezeichnet.Wenn zum ersten Mal
ein versiegelter Schlüssel erstellt wird, zeichnet das TPM einen Snapshot von Konfigurationswerten und Datei-Hashes
auf. Ein versiegelter Schlüssel wird nur
entsiegelt
oder freigegeben, wenn die aktuellen Systemwerte mit denen des
Snapshots übereinstimmen. BitLocker verwendet versiegelte Schlüssel zum Ermitteln von Angriffen auf die Integrität
des Systems. Daten sind so lange gesperrt, bis bestimmte Hardware- oder Softwarebedingungen erfüllt sind.
BitLocker vermindert den unberechtigten Datenzugriff durch die Kombination von zwei wichtigen
Datensicherungsverfahren:
• Gesamten Windows-Betriebssystemdatenträger auf der Festplatte verschlüsseln: BitLocker verschlüsselt alle
Benutzerdateien und Systemdateien des Betriebssystemdatenträgers.
• Integrität von Frühstartkomponenten und Startkonfigurationsdaten überprüfen: Auf Systemen mit TPM-Version
1.2 setzt BitLocker die verbesserten Sicherheitsfunktionalitäten des TPM wirksam ein und stellt sicher, dass der
Zugriff auf Ihre Daten nur dann möglich ist, wenn die Startkomponenten des Systems unverändert sind und sich
die verschlüsselte Festplatte auf dem Originalsystem befindet.
BitLocker ist für Systeme konzipiert, die einen kompatiblen TPM-Microchip und ein kompatibles BIOS enthalten. Ein
kompatibles TPM wird als TPM der Version 1.2 definiert. Ein kompatibles BIOS unterstützt TPM und Static Root of Trust
Measurement. BitLocker versiegelt den Master-Verschlüsselungsschlüssel im TPM und erlaubt die Freigabe des
Schlüssels nur, wenn sich Codemessungen seit einem vorhergehenden sicheren Startvorgang nicht verändert haben.
Sie werden gezwungen, einen Wiederherstellungsschlüssel zum Fortsetzen des Startvorgangs bereitzustellen, falls sich
bei Messungen Änderungen ergeben haben sollten. Das Szenario einer One-to-Many-BIOS-Aktualisierung führt dazu,
dass BitLocker die Aktualisierung anhält und vor Abschluss des Startvorgangs einen Wiederherstellungsschlüssel
anfordert.
BitLocker sichert die auf einem System gespeicherten Daten anhand von
vollständiger Datenträgerverschlüsselung
und
sicherem Start
. Hierbei wird sichergestellt, dass die auf einem System gespeicherten Daten auch dann verschlüsselt
bleiben, wenn das System bei Nichtlaufen des Betriebssystems in unbefugte Hände gerät, und dass das Betriebssystem
so lange daran gehindert wird, zu starten und das Laufwerk zu entschlüsseln, bis Sie den BitLocker-Schlüssel
bereitstellen.
TPM interagiert mit BitLocker, um zum Zeitpunkt des Systemstarts Schutz zu bieten. Das TPM muss aktiviert werden,
bevor es von BitLocker verwendet werden kann. Sollten sich die Startinformationen geändert haben, geht BitLocker in
den Wiederherstellungsmodus über. Sie benötigen jetzt ein Wiederherstellungskennwort, um erneut Zugriff auf die
Daten zu erhalten.
49