heise PlusAbo
Anzeige

Bitlocker bekommt Verschlüsselung per Hardware zurück

Mehr Tempo und mehr Sicherheit – nach dem Aus 2019 setzt die Windows-Verschlüsselung bald wieder auf Crypto-Hardware statt CPUs.

vorlesen Druckansicht 14 Kommentare lesen
Zittriges Windows-11-Logo vor Matrix-artigem Code

(Bild: heise online / dmk)

Lesezeit: 2 Min.
Von

Was Microsoft auf seiner Veranstaltung „Ignite“ vor einem Monat nur grob umrissen hatte, bekommt nun klarere Konturen: Die in Windows integrierte Bitlocker-Verschlüsselung für Datenträger unterstützt in den nächsten Monaten wieder bestimmte Hardware-Beschleuniger. Das soll, insbesondere bei schnellen SSDs, mehr Tempo bringen und insgesamt sicherer werden. Anders als bisher bekommen Prozessorkern und RAM, beide traditionell anfällig unter anderem für Seitenkanalgriffe, dann keinen Zugriff mehr auf die Vorgänge oder Schlüssel.

Das war auch bis 2019 schon so, jedoch war die damals von Bitlocker unterstützte Crypto-Hardware ihrerseits teils so anfällig für Angriffe, dass Microsoft seitdem Bitlocker komplett in die eigenen Domänen zog. Da das Unternehmen aber inzwischen Treiber als erweitertes Sicherheitsrisiko ansieht, soll Bitlocker vorzugsweise wieder auf spezialisierten Hardware-Beschleunigern laufen. Konkret nennt Microsoft in einem Blogbeitrag zum neuen Bitlocker nur Intels zur CES Anfang Januar erwarteten Core Ultra 300, Codename „Panther Lake“ für Notebooks. Weitere Hardware, so der Blog weiter, soll aber folgen.

Links das bisherige, rechts das neue Bitlocker: CPU und RAM werden aus dem Spiel genommen.

(Bild: Windows IT Pro Blog)

Ver- und Entschlüsselung ganz ohne CPU

Damit ist auch klar, dass Panther Lake wohl eine verbesserte Crypto-Engine mitbringen wird, höchstwahrscheinlich in Form von eigenen Funktionseinheiten. Diese sollen dann auch das Schlüsselmanagement übernehmen, wie aus einem Diagramm von Microsoft hervorgeht. Das sorgt für weniger Angreifbarkeit als die bisherige Abwicklung per CPU, selbst wenn dabei die Schlüssel durch ein TPM unterstützt wurden. Wie die von Microsoft versprochene Leistungssteigerung aussehen soll, hat das Unternehmen noch nicht klar beschrieben. Bisher griff Bitlocker zwar bereits auf Crypto-Befehlssätze der CPUs zurück, dedizierte Engines könnten jedoch die Vorgänge deutlich beschleunigen.

Videos by heise

Das ist auch ein Ziel der Entwicklung, wie Microsoft schreibt. Vorgabe für Bitlocker sei immer gewesen, Ein- und Ausgaben nur „im einstelligen Prozentbereich“ zu bremsen. Durch die rasanten Fortschritte bei SSD sei dies nun aber nicht mehr gegeben, sodass größere Änderungen nötig gewesen seien. Dass Microsoft seine Treiberarchitektur für Massenspeicher gründlich umbaut, zeigte sich auch kürzlich, als auch für die Client-Versionen von Windows native Zugriffe per NVMe-Protokoll umgesetzt wurden. Bisher geschah das nur durch eine Umsetzung in SCSI-Befehle.

Lesen Sie auch

(nie)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten