Secure Disk for Bit­Lock­er und Secure Disk Enter­prise unter­stützten ab Ver­sion 7.0.1 virtuelle Smart­cards für eine pass­wort­lose Anmel­dung der Pre-Boot Authen­tisierung bis zum Win­dows Betrieb­ssys­tem. Bei ein­er virtuellen Smart­card wird eine physis­che Smart­card oder PKI Cryp­to-Token emuliert, indem die ver­traulichen Anmelde­schlüs­sel über den TPM Secu­ri­ty-Chip des Win­dows Clients und ein­er benutzerdefinierten PIN geschützt wer­den. Virtuelle Smart­cards wer­den genau wie physis­che Smart­cards oder PKI-Token für die Zwei-Fak­toren Benutzer­authen­tifzierung genutzt und bieten durch den TPM Secu­ri­ty-Chip ein ver­gle­ich­bares Sicher­heit­sniveau.

Mit der neuen Funk­tion ent­fällt das Steck­en der Smart­card oder des Cryp­to-Tokens. Da speziell mod­erne Note­books und Tablets oft ohne Smart­card-Read­er ange­boten wer­den, ent­fall­en nicht nur die Kosten für Smart­card-Read­er, son­dern auch für die Smart­card, die Mid­dle­ware und Per­son­al­isierung der Smart­card.

Virtuelle Smart­card als Pre-Boot Authen­tisierung

Die Virtuelle Smart­card (VSC) in der Pre-Boot-Authen­tisierung ist eine von zahlre­ichen kryp­tographis­chen Authen­tisierungsmeth­o­d­en von Secure Disk und ste­ht sowohl im Bit­Lock­er Add-on Secure Disk for Bit­Lock­er, als auch in der Secure Disk Enter­prise Ver­sion mit eigen­ständi­ger AES-256 Ver­schlüs­selungsen­gine zur Ver­fü­gung.

In der Pre-Boot Phase wird eine eigen­ständi­ge VSC ver­wal­tet, die unab­hängig von der Microsoft VSC ist. Die Anlage der VSC erfol­gt sobald eine VSC Nutzung für die Win­dows Anmel­dung erkan­nt wird.

In der Pre-Boot VSC wird ein eigen­er Schlüs­sel als Key-Encryp­tion-Key (KEK) für den Full-Disk-Encryp­tion Schlüs­sel erstellt, der die Fest­plat­ten­schlüs­sel schützt. Dieser Schlüs­sel in der Pre-Boot VSC ist durch eine Benutzer-PIN und option­al durch den TPM geschützt und wird nur auf einem einzi­gen Client genutzt. Aus Sicher­heits­grün­den wird die Pre-Boot VSC nicht an den Secure Disk Serv­er oder andere Clients des Benutzers syn­chro­nisiert, son­dern jed­er Win­dows Client hat eine eigene VSC.

Die Eingabe der Benutzer-PIN in der Pre-Boot Authen­ti­ca­tion (PBA) oder auch POA — Pow­er-On Authen­ti­ca­tion — genan­nt, wird bei jedem Sys­tem­start benötigt, um die Fest­plat­ten­ver­schlüs­selung zu aktivieren. Anschließend wird beim Win­dows Boot die PIN direkt an Win­dows übergeben, um automa­tisch die Microsoft VSC zu öffe­nen. Dadurch erfol­gt eine sofor­tige Zer­ti­fikat­san­mel­dung des Benutzers unter Win­dows ohne weit­eres Pass­wort oder ein­er PIN-Eingabe.

Secure Disk for BitLocker - Virtual Smart Card - VSC Support

Virtuelle Smart­card für die Win­dows Anmel­dung

Die Zer­ti­fikate für die Win­dows Domain-Anmel­dung wer­den nicht von Secure Disk ver­wal­tet. Hierzu gibt es bewährte Enroll­ment Meth­o­d­en von Microsoft oder Cer­tifi­cate Author­i­ty Drit­ther­stellern. Die Über­gabe der Benutzer-PIN and die Microsoft VSC erfol­gt über den inte­gri­erten Secure Disk Cre­den­tial Provider, der entsprechend der Microsoft Cre­den­tial Provider Schnittstellen entwick­elt ist.

Vorteile der Virtuellen Smart­card Benutzer­an­mel­dung

  • Voll­ständi­ger Verzicht auf Pass­wörter im Anmelde­prozess durch den Ein­satz sicher­er X.509 Zer­ti­fikate / Schlüs­sel

  • Automa­tis­che Über­nahme der Win­dows VSC Benutzer-PIN in die Pre-Boot Authen­tisierung

  • TPM-Hard­ware geschützte Schlüs­sel

  • Nach der Pre-Boot Anmel­dung erfol­gt Sin­gle Sign-on im Win­dows Betrieb­ssys­tem

  • Anti-Ham­mer­ing Schutzmeth­o­d­en des TPM kön­nen genutzt wer­den

  • Ide­al für Win­dows Clients mit Benutzerbindung

Secure Disk 7 kön­nen Sie kosten­frei testen!







Der Down­load-Link und die Testl­izenz wird an meine Email-Adresse gesandt.
Ich stimme der elek­tro­n­is­chen Spe­icherung mein­er Kon­tak­t­dat­en zu.