Secu­re Disk for Bit­Lo­cker und Secu­re Disk Enter­pri­se unter­stütz­ten ab Ver­si­on 7.0.1 vir­tu­el­le Smart­cards für eine pass­wort­lo­se Anmel­dung der Pre-Boot Authen­ti­sie­rung bis zum Win­dows Betriebs­sys­tem. Bei einer vir­tu­el­len Smart­card wird eine phy­si­sche Smart­card oder PKI Cryp­to-Token emu­liert, indem die ver­trau­li­chen Anmel­de­schlüs­sel über den TPM Secu­ri­ty-Chip des Win­dows Cli­ents und einer benut­zer­de­fi­nier­ten PIN geschützt wer­den. Vir­tu­el­le Smart­cards wer­den genau wie phy­si­sche Smart­cards oder PKI-Token für die Zwei-Fak­to­ren Benut­zer­au­then­ti­f­zie­rung genutzt und bie­ten durch den TPM Secu­ri­ty-Chip ein ver­gleich­ba­res Sicherheitsniveau.

Mit der neu­en Funk­ti­on ent­fällt das Ste­cken der Smart­card oder des Cryp­to-Tokens. Da spe­zi­ell moder­ne Note­books und Tablets oft ohne Smart­card-Rea­der ange­bo­ten wer­den, ent­fal­len nicht nur die Kos­ten für Smart­card-Rea­der, son­dern auch für die Smart­card, die Midd­le­wa­re und Per­so­na­li­sie­rung der Smartcard.

Vir­tu­el­le Smart­card als Pre-Boot Authentisierung

Die Vir­tu­el­le Smart­card (VSC) in der Pre-Boot-Authen­ti­sie­rung ist eine von zahl­rei­chen kryp­to­gra­phi­schen Authen­ti­sie­rungs­me­tho­den von Secu­re Disk und steht sowohl im Bit­Lo­cker Add-on Secu­re Disk for Bit­Lo­cker, als auch in der Secu­re Disk Enter­pri­se Ver­si­on mit eigen­stän­di­ger AES-256 Ver­schlüs­se­lungs­en­gi­ne zur Verfügung.

In der Pre-Boot Pha­se wird eine eigen­stän­di­ge VSC ver­wal­tet, die unab­hän­gig von der Micro­soft VSC ist. Die Anla­ge der VSC erfolgt sobald eine VSC Nut­zung für die Win­dows Anmel­dung erkannt wird.

In der Pre-Boot VSC wird ein eige­ner Schlüs­sel als Key-Encryp­ti­on-Key (KEK) für den Full-Disk-Encryp­ti­on Schlüs­sel erstellt, der die Fest­plat­ten­schlüs­sel schützt. Die­ser Schlüs­sel in der Pre-Boot VSC ist durch eine Benut­zer-PIN und optio­nal durch den TPM geschützt und wird nur auf einem ein­zi­gen Cli­ent genutzt. Aus Sicher­heits­grün­den wird die Pre-Boot VSC nicht an den Secu­re Disk Ser­ver oder ande­re Cli­ents des Benut­zers syn­chro­ni­siert, son­dern jeder Win­dows Cli­ent hat eine eige­ne VSC.

Die Ein­ga­be der Benut­zer-PIN in der Pre-Boot Authen­ti­ca­ti­on (PBA) oder auch POA — Power-On Authen­ti­ca­ti­on — genannt, wird bei jedem Sys­tem­start benö­tigt, um die Fest­plat­ten­ver­schlüs­se­lung zu akti­vie­ren. Anschlie­ßend wird beim Win­dows Boot die PIN direkt an Win­dows über­ge­ben, um auto­ma­tisch die Micro­soft VSC zu öffe­nen. Dadurch erfolgt eine sofor­ti­ge Zer­ti­fi­kats­an­mel­dung des Benut­zers unter Win­dows ohne wei­te­res Pass­wort oder einer PIN-Eingabe.

Secure Disk for BitLocker - Virtual Smart Card - VSC Support

Vir­tu­el­le Smart­card für die Win­dows Anmeldung

Die Zer­ti­fi­ka­te für die Win­dows Domain-Anmel­dung wer­den nicht von Secu­re Disk ver­wal­tet. Hier­zu gibt es bewähr­te Enroll­ment Metho­den von Micro­soft oder Cer­ti­fi­ca­te Aut­ho­ri­ty Dritt­her­stel­lern. Die Über­ga­be der Benut­zer-PIN and die Micro­soft VSC erfolgt über den inte­grier­ten Secu­re Disk Cre­den­ti­al Pro­vi­der, der ent­spre­chend der Micro­soft Cre­den­ti­al Pro­vi­der Schnitt­stel­len ent­wi­ckelt ist.

Vor­tei­le der Vir­tu­el­len Smart­card Benutzeranmeldung

  • Voll­stän­di­ger Ver­zicht auf Pass­wör­ter im Anmel­de­pro­zess durch den Ein­satz siche­rer X.509 Zer­ti­fi­ka­te / Schlüssel

  • Auto­ma­ti­sche Über­nah­me der Win­dows VSC Benut­zer-PIN in die Pre-Boot Authentisierung

  • TPM-Hard­ware geschütz­te Schlüssel

  • Nach der Pre-Boot Anmel­dung erfolgt Sin­gle Sign-on im Win­dows Betriebssystem

  • Anti-Ham­me­ring Schutz­me­tho­den des TPM kön­nen genutzt werden

  • Ide­al für Win­dows Cli­ents mit Benutzerbindung

Secu­re Disk 7 kön­nen Sie kos­ten­frei testen!







    Der Down­load-Link und die Test­li­zenz wird an mei­ne Email-Adres­se gesandt.
    Ich stim­me der elek­tro­ni­schen Spei­che­rung mei­ner Kon­takt­da­ten zu.