Meinst du den Microsoft NSA-Key? 
TPM 2.0 für Windows 11
-
-
Hab schon besser gelacht
-
Entschldige den dummen Witz... aber TPM mag ich nicht wirklich. Und der "Backup-Key" weckt Erinnerungen an Windows 95/98, als Heise den NSA-Key in Windows DLLs gefunden hatte, und Microsoft dazu gesagt hatte, das man damit Kunden helfen wollte PWs zu recovern, die sie vergessen hätten...
-
-
stimmt...
-
platte verschlüsseln und die Schlüssel in einer TPM Enklave packen... Super. Und wenn das board defekt ist, sind alle Daten pfutsch... Oder wie?
Wenn du Bitlocker einschaltest, bekommst du einen Recovery-Schlüssel, bestehend aus 8 Blöcken zu je ca. 8-10 Zeichen, den du dir unbedingt wegsichern musst, oder ausdrucken. Wenn du das Mainboard tauschen musst, erkennt Bitlocker das, und du bekommst die Chance, diesen Key wieder einzuhämmern. Damit bleibt die Platte lesbar und wird mit einem neuen TPM "verheiratet", wenn einer da ist.
-
Quelle?
Wofür? Dass es anfangs hieß, dass TPM 2.0 benötigt wird oder dass jetzt nur noch TPM 1.2 benötigt wird?
Entschldige den dummen Witz... aber TPM mag ich nicht wirklich.
Das ist doch keine Aussage von MS, dass "jetzt statt TPM 2.0 nur noch TPM 1.2 benötigt" wird und impliziert wird, dass sich MS das "mal eben anders überlegt hätte". Was ist das denn hier für ein Stammtischniveau?!
Bei einem fTPM kann der Schlüssel ja nicht sicher untergebracht sein - wie sollte das gehen?
Das SoC enthält eMMC Speicher, auf dem auf einer RPBM Partition der Key hinterlegt wird. Darauf greift dann das TEE zu. RPBM? TEE? Guckst du hier.
Ich denke, dass Windows 11 mit dem TPM-Modul auch in der Lage ist, Software-Installationen zu kontrollieren, insbesondere auch bei Lizenz-pflichtiger Software.
Korrekt. Das geht aber auch ohne TPM durch Verdongelung mit einer HW-Prüfsumme. So funktioniert der Check, dass du deine Windows-Lizenz nicht einfach auf einem weiteren Rechner aktivierst, während der andere nicht läuft...
Wenn man von den Exploits überhaupt erfährt. Viele werde ja gar nicht veröffentlicht, weil sie für Staatstrojaner benötigt werden. Aber das ist ein anderes Thema.
Wir sind also definitiv am Stammtisch.
Und wenn das board defekt ist, sind alle Daten pfutsch... Oder wie?
Wenn du keinen Recovery-Key hast: Ja. Das ist aber hier ja nun auch Sinn und Zweck der Übung. Wie soll sonst das OS zwischen "MB kaputt" und "Platte geklaut und woanders eingebaut" unterscheiden?
Wobei: kein backup, kein Mitleid. Oder wie war das ?!?
Das sowieso 😉
-
Entschldige den dummen Witz... aber TPM mag ich nicht wirklich.
Weil? Vielleicht überlese ich das ja alles nur, aber ich hab' noch keinen Grund gelesen, warum "man TPM nicht mag", zumal ja zumindest bei iPhones alles auf die tolle Privatsphäre durch die Secure Enclave abfahren. Was nichts anderes als ein "fTPM" ist.
Wenn du Bitlocker einschaltest, bekommst du einen Recovery-Schlüssel, bestehend aus 8 Blöcken zu je ca. 8-10 Zeichen, den du dir unbedingt wegsichern musst, oder ausdrucken.
Oder alternativ im MS-Konto ablegst. Dann funktioniert eine WIederherstellung (oder Freischaltung z.B. nach HW-Tausch) auch mit copy & paste aus dem Microsoft-Konto.
-
Man sollte den unbedingt selbst irgendwo sicher hinterlegen, und nicht nur im MS-Konto.
-
Das SoC enthält eMMC Speicher, auf dem auf einer RPBM Partition der Key hinterlegt wird. Darauf greift dann das TEE zu.
Also doch wieder Hardware-Unterstützung...
Aber ich habe wohl in unzulässiger Weise firmware TPM mit einer reinen Software Lösung assoziiert
-
Das ist doch keine Aussage von MS, dass "jetzt statt TPM 2.0 nur noch TPM 1.2 benötigt" wird [...]
Doch, ich denke der von mir zitierte Artikel erörtert genau diese Aussage von Microsoft. Was liest Du denn da anderes heraus?
Zitat[...] und impliziert wird, dass sich MS das "mal eben anders überlegt hätte". Was ist das denn hier für ein Stammtischniveau?!
Wer hat das denn impliziert ?
Und warum meinst Du hier wen genau angreifen zu müssen?
-
Wenn man von den Exploits überhaupt erfährt. Viele werde ja gar nicht veröffentlicht, weil sie für Staatstrojaner benötigt werden. Aber das ist ein anderes Thema.
Wir sind also definitiv am Stammtisch.
Das ist dir nicht bekannt? Ernsthaft?
-
Aber ich habe wohl in unzulässiger Weise firmware TPM mit einer reinen Software Lösung assoziiert
Schrieb' ich ja bereits in meinem ersten Beitrag hier.
Was liest Du denn da anderes heraus?
Dass das eine Methode ist, mit der gegenwärtig und mit vielen Warnungen versehen in den aktuellen Builds die TPM 2.0 Prüfung ausgehebelt werden kann? Liest du da was anderes heraus? Habe ich den Teil mit "ach, wir haben uns vertan, TPM 1.2 reicht völlig, aber wir haben keinen Bock, dass in Win11 einzubauen, daher hier mal schnell eine Bastelanleitung" überlesen? Habe ich irgendwo die korrigierten Systemanforderungen, in denen anscheinend seit Neuestem TPM 1.2 steht übersehen?
Wer hat das denn impliziert ?
Du. Oder hast du gar nicht erst gelesen, worauf du da geantwortet hast?
-
Das ist dir nicht bekannt?
Doch, natürlich. Man kann nicht über die Verbreitung von Corona über 5G gNodeBs recherchieren und da nicht 'drüber stolpern. Da wir hier im Retro-Computerforum sind: -> dag°
-
Dass das eine Methode ist, mit der gegenwärtig und mit vielen Warnungen versehen in den aktuellen Builds die TPM 2.0 Prüfung ausgehebelt werden kann? Liest du da was anderes heraus? Habe ich den Teil mit "ach, wir haben uns vertan, TPM 1.2 reicht völlig, aber wir haben keinen Bock, dass in Win11 einzubauen, daher hier mal schnell eine Bastelanleitung" überlesen? Habe ich irgendwo die korrigierten Systemanforderungen, in denen anscheinend seit Neuestem TPM 1.2 steht übersehen?
Ich lese das raus: "Ach, wir haben uns vertan. Die meisten Leute haben ja noch gar keine TPM 2.0 und könnte jetzt unser schönes neues Windows 11 gar nicht installieren. Also schauen wir mal, wie wir geräuschlos aus der Nummer wieder rauskommen. Lasst uns mal ganz vorsichtig zurückrudern".
Zugegebenermaßen ist da auch etwas Wunschdenken dabei.
Aber so toll ist Windows 11 jetzt nicht, dass deswegen alle neue Hardware kaufen.
Merkst du eigentlich, dass du hier gerade den Oberschlauen gibst und so ziemlich jeden hier Thread als Deppen darstellst? Schlechten Tag gehabt?
-
Das ist dir nicht bekannt?
Doch, natürlich. Man kann nicht über die Verbreitung von Corona über 5G gNodeBs recherchieren und da nicht 'drüber stolpern. Da wir hier im Retro-Computerforum sind: -> dag°
Ok, alles klar. Schlechten Tag gehabt.
-
Das Argument "ich mag TPM nicht wirklich" ohne Begründung zu schreiben, war nicht OK. Hier ist sie: Bei meinem Arbeitgeber hat schon ein BIOS-Update gereicht, um den im TPM gespeicherten Schlüssel zu ungültigem Datenmüll werden zu lassen, der Recovery-Schlüssel wollte auch nicht richtig funktionieren (nach ein paar Neustarts das gleiche Spiel), sodass nur eine komplette Neuinstallation geholfen hat das Problem zu lösen - das nenne ich effektiv
. Daher auch meine TPM-Abneigung. Eine Passphrase wie: "Ich bin ein erfundener, langer Schlüssel mit Sonderzeichen wie #_!??" könnte man sich bei regelmäßiger Nutzung dagegen noch merken. Das habe ich bei verschiedenen Gelegenheiten schon so gemacht und funktioniert seit mehreren Jahren für mich gut - auch als Dateisystem-Schlüssel. -
Hier ist sie: Bei meinem Arbeitgeber hat schon ein BIOS-Update gereicht, um den im TPM gespeicherten Schlüssel zu ungültigem Datenmüll werden zu lassen, der Recovery-Schlüssel wollte auch nicht richtig funktionieren (nach ein paar Neustarts das gleiche Spiel), sodass nur eine komplette Neuinstallation geholfen hat das Problem zu lösen - das nenne ich effektiv
Jou, das ist Mist. Kann ich verstehen. Allerdings hast du ein TPM in jedem Smartphone und jedem Tablet. Auch in jeden Laptop der letzten - ich schätze mal - 5 Jahre und in Macs seit ca. 10 Jahren. I.d.R. funktionieren bei denen FW/BIOS- und OS-Upgrades ja nun regelmäßig ziemlich problemlos. Ich mein', TPM ist ja nun lediglich für WIndows-Desktop-PCs was Neues. Wenn man keinen Bitlocker nutzt, muss man i.d.R. ja auch nichtmal den Recovery-Key bemühen und bei Bitlocker & Co. ist das ja nun explizit gewollt. Beruht also die ganze Antipathie tatsächlich darauf, dass es 1x schief gegangen ist? Bei wievieln anderen Laptops hattet ihr das Problem? Wieviele Smartphone-, Smartwatch-, Tablet-Updates hast du problemlos eingespielt.
Vor diesem Hintergrund verstehe ich wie gesagt nach wie vor die ganze Aufregung nicht.
-
Diese Einstellung ist für mich nicht nachvollziehbar.
Wie kann man es gut finden, die Kontrolle über seinen eigenen Rechner vollständig aus der Hand zu geben?
-
Wie/wo tust denn das?! Weil du einen kryptographischen Schlüssel in HW statt in SW ablegst? Dadurch gibt's doch keine neuen/anderen Funktionen in Windows als ohne, lediglich eine sicherere Methode zur Kryptographie?
Was ist hier eigentlich wirklich des Pudels Kern? Das es schwerer wird, dezentralisierte Sicherheitskopien einzusetzen? Das Windows-Lizenzkeys für 4,99€ nicht mehr funktionieren? Worum geht es wirklich?
Das es eine sichere Ablage für einen kryptographischen Schlüssel gibt, die sich dem Zugriff des OS - egal von welchem - entzieht kann es ja wohl nicht sein.
Leute, ich versteh's wirklich nicht! Das ihr seit zig Jahren TPMs in Handy, Tablets, Autos, Macs, Laptops usw. nutzt habt ihr aber schon verstanden, oder? Das liest sich hier alles so, als wäre das in irgendeiner Form 'ne neue Erfindung. Hättet ihr lieber kein "TPM" (HSM) auf euren Kredit- und Bankkarten? Auch kein's für die eSIM in euren Autos oder Handys/Tablets/Smartwatches?
-
(Beleidigende Äußerung entfernt)
Dass in vielen PCs schon ein TPM steckt, heißt ja nicht, dass es auch schon genutzt wird. Das wird offenbar erst für Windows 11 flächendeckend der Fall sein.
Ich habe tatsächlich keine Lust auf einen PC, der so vollständig unter Herstellerkontrolle steht, wie es bei Smartphones der Fall ist. Muss ich meinen Rechner dann auch irgendwann erst „rooten“, bevor ich ein Fremd-Betriebssystem installieren darf, oder Anwendungen, die nicht Microsofts Segen haben? Nein danke.
Solche Beschränkungen müssen natürlich nicht zwangsläufig kommen, wenn TPM genutzt wird. Aber sie sind damit technisch bequem möglich, und Geld verdienen kann Microsoft auch noch damit. Also…
-
...
Leute, ich versteh's wirklich nicht! Das ihr seit zig Jahren TPMs in Handy, Tablets, Autos, Macs, Laptops usw. nutzt habt ihr aber schon verstanden, oder? Das liest sich hier alles so, als wäre das in irgendeiner Form 'ne neue Erfindung. Hättet ihr lieber kein "TPM" (HSM) auf euren Kredit- und Bankkarten? Auch kein's für die eSIM in euren Autos oder Handys/Tablets/Smartwatches?
Ernsthaft, du speicherst deine Bankkarten-Daten im Handy/Tablet/Smartwatch? Ich finde das Mutig. Aber gut, jedem gerne das seine.
Ich mache das nicht, weil ich schon gerne eine gewisse Kontrolle behalten möchte, was mit meinen Daten geschieht... Ich versuche das zumindest. Nachdem ein Gerät an sein Lebensende gelangt ist, möchte ich nicht umständlich dafür sorgen, das die Daten aus dem TPM-Chip wider verschwinden. Wehe dem M$, Google & Co wollen die Daten nicht löschen lassen, weil sie glauben, sie würden ihnen gehören. Das ist einem Bekannten passiert, der versucht hat derartige Daten aus seinem Apple-Handy zu löschen. Er hat es noch nicht einmal geschafft, sein Handy zu "de-registrieren", so das er es jetzt als Elektronik-Schrott im Tresor liegen hat... Möglicher weise ein Bedienungsfehler, aber der Support hat ihm auch nicht helfen können...
-
Jou, das ist Mist. Kann ich verstehen. Allerdings hast du ein TPM in jedem Smartphone und jedem Tablet. Auch in jeden Laptop der letzten - ich schätze mal - 5 Jahre und in Macs seit ca. 10 Jahren. I.d.R. funktionieren bei denen FW/BIOS- und OS-Upgrades ja nun regelmäßig ziemlich problemlos. Ich mein', TPM ist ja nun lediglich für WIndows-Desktop-PCs was Neues. Wenn man keinen Bitlocker nutzt, muss man i.d.R. ja auch nichtmal den Recovery-Key bemühen und bei Bitlocker & Co. ist das ja nun explizit gewollt. Beruht also die ganze Antipathie tatsächlich darauf, dass es 1x schief gegangen ist? Bei wievieln anderen Laptops hattet ihr das Problem? Wieviele Smartphone-, Smartwatch-, Tablet-Updates hast du problemlos eingespielt.
Vor diesem Hintergrund verstehe ich wie gesagt nach wie vor die ganze Aufregung nicht.
Das mag alles durchaus so sein, das 99% aller fälle korrekt upgedatet werden, aber deswegen muss ich TPM doch nicht gut finden. Auch der Sinlos10-License-Key ist ja schon im TPM gespeichert. Auf meinem Notebook habe ich Linux laufen, und M$ nicht aktiv und habe noch nicht einmal das Recht, die Lizenz auf einen anderen Rechner zu transferieren, nicht das ich das wirklich möchte, aber ich darf es nicht.Das du die Aufregung nicht verstehst, ist auch dein gutes Recht
- ist nicht ironisch gemeint, ich akzeptiere deine Meinung zu TPM, teile sie aber nicht. Du verwendest TPM, weil du für dich Vorteile siehst, ich verwende TPM nicht, weil ich Nachteile sehe. Trotzdem finde ich es gut, das wir drüber reden können, denn wer weiß, Meinungen können sich auch mal ändern. -
platte verschlüsseln und die Schlüssel in einer TPM Enklave packen... Super. Und wenn das board defekt ist, sind alle Daten pfutsch... Oder wie?
Wobei: kein backup, kein Mitleid. Oder wie war das ?!?
Aber das Backup dann aber bitte auch verschlüsseln.
-
Ernsthaft, du speicherst deine Bankkarten-Daten im Handy/Tablet/Smartwatch?
Tatsächlich tue ich das (Apple Wallet), aber ich meinte ganz konkret das "TPM" (HSM) auf jeder Chipkarte (SIM, Kreditkarte, Versichertenkarte usw.)
Ich mache das nicht, weil ich schon gerne eine gewisse Kontrolle behalten möchte, was mit meinen Daten geschieht...
Nochmal: Im TPM liegt ein extra gesicherter kryptografischer Schlüssel nicht (viel) mehr und nicht weniger. Da sind keine Fernsteuer- oder Überwachungsfunktionen oder sowas "'drin", die hier glaube ich hineingedichtet werden. (Fernsteuermodule wie iLO & Co. erfordern allerdings regelmäßig TPMs/HSMs um die Verbindung abzusichern).
Nachdem ein Gerät an sein Lebensende gelangt ist, möchte ich nicht umständlich dafür sorgen, das die Daten aus dem TPM-Chip wider verschwinden.
Musst du auch nicht. Da gibt es nichts zu löschen. Mit dem Schlüssel im TPM kannst du nur die Daten auf deinem Gerät entschlüsseln. Du kannst damit auch keine Daten auf z.B. dem neuen Gerät verschlüsseln. Oder ein Backup von deinem Gerät, was woanders gespeichert wurde (da dass entweder per SW verschlüsselt wurde, oder eben mit dem Schlüssel aus dem TPM des NAS/Servers/... verschlüsselt wurde). Ich habe doch extra weiter oben einen Fachartikel verlinkt - lest den doch bitte mal! Hier wird m.E. diskutiert, ohne verstanden zu haben, was so ein TPM überhaupt macht.
Er hat es noch nicht einmal geschafft, sein Handy zu "de-registrieren", so das er es jetzt als Elektronik-Schrott im Tresor liegen hat...
Was genau hat er denn da nicht geschafft? Ich mein', das ist 'ne Funktion von iOS - die muss man aber auch benutzen und nicht nur sein iPhone auf Werkseinstellungen zurücksetzen und meinen, damit wäre es direkt vom Nutzerprofil entkoppelt - schliesslich will man ja auch ggf. den Reset durchführen können, ohne direkt das Gerät neu zu registrieren...
Das mag alles durchaus so sein, das 99% aller fälle korrekt upgedatet werden, aber deswegen muss ich TPM doch nicht gut finden.
Stimmt - aber die Gründe, die du anführst, haben nichts mit TPM zu tun. Siehe oben 😉
-
Das wird offenbar erst für Windows 11 flächendeckend der Fall sein.
Der TPM wird nur benutzt, wenn du die Bitlocker-Laufwerksverschlüsselung mit der Option TPM (geht auch ohne) oder Windows-Hello (Gesichtserkennung/Fingerabdruckerkennung zur Windows-Anmeldung) benutzt, sonst nicht.
möchte ich nicht umständlich dafür sorgen, das die Daten aus dem TPM-Chip wider verschwinden.
In dem TPM-Chip werden nicht deine Kontakt- oder Bankdaten gespeichert, die liegen weiterhin auf der Festplatte. Diese Daten werden nur mit einem Code geschützt, der im TPM gespeichert ist. Der TPM ist quasi ein Schlüssel, um diese Daten von der Festplatte zu entpacken. Löschst du die Platte oder baust sie aus, nützt der Code in dem TPM nichts mehr. Und ohne Recovery-Key (Zweitchlüssel) kommst auch du ohne den TPM nicht mehr an die Daten dran, auch sonst niemand.
-
Danke für die Klarstellung...
-
Ein TPM Chip ist ja nicht nur für Windows und er verhindert auch nicht, dass z.B. Linux auf einem Computer installiert wird. Ganz im Gegenteil, der Chip kann auch unter Linux oder FreeBSD benutzt werden - um das System sicherer zu machen.
-
ja, und was mich wesentlich mehr stören würde ist, dass nach M$ Wünschen neue MB (UEFI-BIOS) keine 32bit OS mehr starten dürfen.
-
Sie arbeiten halt immer noch an Windows WDE...
