Multi-User-fähige TPM-Authentisierung für BitLocker

14.09.2011 16:05

Das Trusted Platform Module (TPM) ist ein Chip nach der TCG-Spezifikation, der einen Computer oder ähnliche Geräte um grundle-gende Sicherheitsfunktionen erweitert. Der Chip verhält sich in einigen Punkten wie eine fest eingebaute Smartcard, allerdings mit dem wichtigen Unterschied, dass er nicht an einen konkreten Benutzer (Benutzer-Instanz) sondern an den lokalen Computer (Hardware-Instanz) gebunden ist. Verwendet man das TPM in Verbindung mit der Microsoft BitLocker-Authentisierung (TPM mit PIN), wie es das Fraunhofer Institut (SIT) in seinem Leitfaden für die Anwendung von BitLocker aus Gründen der Sicherheit empfiehlt, bietet das TPM die zusätzliche Sicherheitseigenschaft, dass während des Bootvorganges eindeutige kryptografische Schlüssel und Kennzeichen der Hardware/Festplatte zur Identifizierung des Rechners bzw. Festplatte genutzt werden können. Dies führt u.a. zu dem gewünschten Ergebnis, dass eine gestohlene Festplatte nicht in einem anderen PC verwendet werden kann… soweit die technischen Vorteile. Möchte ein Unternehmen nun diese Vorteile des TPM in Verbindung mit BitLocker verwenden, ergeben sich aber auch einige signifikante Einschränkungen:

 

1. Das TPM ist maschinenbezogen und nicht benutzerbezogen, demnach gibt es nur eine PIN und jeder Benutzer des Rechners verwendet die gleiche PIN.

2. Es gibt kein Single SignOn zum Betriebssystem, somit müssen sich die Benutzer erneut mit User-ID und Passwort gegenüber Windows anmelden.

3. Vergisst ein Benutzer seine PIN für das TPM, benötigt der Benutzer einen Recovery-Key. Dieser kann jedoch immer wieder verwendet werden, sofern das System nicht neu aufgesetzt und neu konfiguriert wird. Hierbei besteht die große Gefahr, dass sich der Benutzer den Recovery-Key notiert und den Post-IT zum Rechner legt.

4. Vergisst ein Benutzer sein Passwort für den Windows-Logon und ist „offline“, was bei Managern oder Außendienst-Mitarbeitern oft die Regel ist, kann dem Anwender nicht geholfen werden, um in sein System zu gelangen.

 

CryptWare IT Security hat sich nun zur Aufgabe gemacht, die Vorteile des TPM zu nutzen und gleichzeitig die damit verbunde-nen Einschränkungen zu beseitigen. Unsere Lösung CryptoPro Secure Disk for BitLocker, welche als BitLocker-Erweiterung zu betrachten ist, ist eine ideale Ergänzung gerade für Kunden, die bereits BitLocker im Einsatz haben und auf die nachfolgend dargestellten Zusatzeigenschaften nicht verzichten möchten:

 

  • PreBoot-Authentisierung (PBA) für BitLocker inkl. TPM Support

  • Netzwerkfähige PBA für verbesserte und vereinfachte Benutzer-Administration

  • Multi-User-Betrieb

  • Authentisierung mit User-ID/Passwort oder Smartcard/PIN

  • HelpDesk für vergessene Passworte oder PINs

  • Offline-Challenge-Response für vergessene Passworte/PINs inklusive automatischer Anmeldung am Betriebssystem

  • Single SignOn zum Betriebssystem

  • Smartcard-basierte Authentisierung über Multi-Middleware-Layer

  • Support aller gängigen Smartcard´s und Smartcard-Leser

  • Zentrale Administration über eigene Management-Konsole

Durchsuchen