Datenträger - Festplatten, SSDs, Speichersticks und -Karten, CD/ 19.576 Themen, 110.115 Beiträge

Wie SED-Passwort vergeben? (UEFI, Hardware-Verschlüsselung)

justyn66 / 28 Antworten / Baumansicht Nickles

Hallo! ich habe eine gebrauchte HDD mit SED Encryption erworben (Seagate Constellation ES.2, ST33000651NS).

Ich möchte die HDD als hardwareverschlüsselte NICHT-System Platte mit Passwort schützen. Leider konnte ich noch nirgends eine (für mich) brauchbare Info finden, wie (und wo) man die Passwortvergabe handhabt.
Meistens liest man, man müsse dazu im BIOS die ATA-Passwort Funktion nutzen (ATA Security Command). Auf Youtube gibt´s einige Videos dazu. Jedoch behandeln die ausschließlich "klassisches" BIOS, ich habe aber ein UEFI. Über UEFI nirgends ein Wort!!
Auf der Suche nach Entsprechungen habe ich in meinem UEFI unter Security nur Admin-Pass, U-Key, und Chassis Intrusion gefunden.
Kann es wirklich sein, dass die SED-Funktion unter UEFI gar nicht funktioniert??? Oder was habe ich übersehen?

Angeblich klappt die SED-Implementierung (als Hardware-Verschlüsselung!) auch über Bitlocker, wobei die Meinungen auseinander gehen. Z. B. Bei WIN 8 ja, bei WIN 7 nein. Oder sowieso nur bei OPAL2 Laufwerken (was meines nicht ist) und/oder mit TPM, etc.

Vielen Dank schon mal für eure qualifizierten Tipps! Aber bitte keine Alternativ-Vorschläge wie Software-Verschlüsselung, etc. oder Diskussionen über die (Un)sicherheit von SEDs!

WIN7 Ultimate SP1
Board: MSI 79A-GD45 (8D)
BIOS: V12.8/20141208

.

bei Antwort benachrichtigen
Alpha13 justyn66 „Wie SED-Passwort vergeben? (UEFI, Hardware-Verschlüsselung)“
Optionen

https://trustedcomputinggroup.org/wp-content/uploads/tcg_devicelist-20120108.pdf

Ohne Software wird das jenau nix!!!

Und bei deiner "Ahnung" ist das immer ein Satz mit X.

Übrigens dürfte da als Krönchen auch das Mainboard nicht mitmachen...

https://www.winmagic.com/device-compatibility?vendor=Lenovo

Da brauchts AFAIK immer besondere Hardware und für nen blutigen Anfänger wie dich ist das definitiv nix...

bei Antwort benachrichtigen
justyn66 Alpha13 „https://trustedcomputinggroup.org/wp-content/uploads/tcg_devicelist-20120108.pdf Ohne Software wird das jenau nix!!! Und ...“
Optionen

Danke für die Antwort!
1.)
Zu deinem PDF:
Meine HDD ist da als OPAL-"fähig" aufgelistet! (Andere Quellen behaupten wieder das Gegenteil!). Sie beherrscht lediglich kein FIPS, aber das ist ja lediglich eine weitere "Ausbaustufe".
2.)
Wieso soll das ohne Software "genau nix" werden? Das ist ja gerade der Witz bei HDD-seitiger SED-Encryption mit dem entsprechenden Chip AUF der Platte, dass die völlig softwareunabhängig arbeitet! Das wird alles von der Platte selbst VOR dem Systemstart im BIOS abgewickelt! Den "blutigen Anfänger" hiermit dankend zurück!
3.)
Zu deinem Winmagic-Link: Was soll ich mit einer Winmagic-verified list anfangen? Was interessiert mich Winmagic compliance? Siehe 2.)
4.)
Mein MB ist TPM fähig (mir fehlt halt nur der Chip), aber die meisten Meinungen behaupten, dass das für SED nicht nötig wäre.
"Besondere Hardware": Anscheinend war die ATA-Password Funktionalität bei jedem Mittelklasse-Consumer-BIOS-Board möglich. Da wundere ich mich halt, warum das bei einem Oberklasse-Consumer-UEFI jetzt plötzlich nicht mehr gehen sollte!

bei Antwort benachrichtigen
Alpha13 justyn66 „Danke für die Antwort! 1. Zu deinem PDF: Meine HDD ist da als OPAL- fähig aufgelistet! Andere Quellen behaupten wieder ...“
Optionen

Ohne Zusatzsoftware kannst du die SED Encryption der HDD knicken, glaubs oder halt nicht!

Are SEDs based on any type of industry standards?Yes, the TCG has created specifications for SED design and management with input from drive manufacturers, PC vendors, enterprise system vendors and ISVs. The TCG Enterprise and TCG Opal (notebooks/desktops) specifications have been widely adopted across the vendor ecosystem. A list of TCG participants can be found online at: www.trustedcomputinggroup.org.

https://www.seagate.com/files/www-content/solutions-content/security-and-encryption/en-us/docs/faq-fips-sed-mb605-3-1411us.pdf

SEDs mit Zugriffsschutz nach TCG Opal benötigen wiederum andere Zusatzsoftware

https://www.heise.de/ct/hotline/Festplatte-mit-Hardware-Verschluesselung-sinnvoll-2575449.html

Aber wie Ich dich kennen gelernt habe glaubst du es selbst jetzt nicht...

bei Antwort benachrichtigen
Alpha13 Nachtrag zu: „Ohne Zusatzsoftware kannst du die SED Encryption der HDD knicken, glaubs oder halt nicht! Are SEDs based on any type of ...“
Optionen

What kind of software do I need to deploy a full-disk encryption solution?While Seagate and other device vendors offer SEDs, users will need software to manage the authentication credentials and other aspects of the solution. Seagate partners with a variety of ISVs that offer a range of key management solutions for any size deployment.

https://www.seagate.com/files/www-content/solutions-content/security-and-encryption/en-us/docs/faq-fips-sed-mb605-3-1411us.pdf

https://www.dict.cc/englisch-deutsch/to+deploy.html

...

bei Antwort benachrichtigen
justyn66 Alpha13 „What kind of software do I need to deploy a full-disk encryption solution?While Seagate and other device vendors offer ...“
Optionen

Meinen ersten wirklichen AHA-Moment hatte ich soeben beim Lesen dieses Artikels:

https://www.heise.de/ct/hotline/Verschluesselte-Platte-oder-SSD-nachruesten-2055743.html

"Bei Massenspeichern mit integrierter Datenverschlüsselung benötigen Sie zur Eingabe des Passwortes entweder eine Zusatzsoftware oder Sie können die Verschlüsselung mit Hilfe des ATA-Security-Passwortes steuern."

Geanu das war meine anfängliche Frage: Wo kann ich das ATA-PW eingeben, vor allem bei UEFI. Danke also für die Falschauskunft, dass in jedem Fall dazu Software vonnöten sei.

Da mein UEFI das offenbar aber leider nicht beherrscht, bleibt nur die Software. Der Artikel liefert auch gleich ein paar Namen. Darunter befindet sich auch das von Ihnen verlinkte Winmagic (SecureDoc)! Danke jedenfalls dafür!

bei Antwort benachrichtigen
justyn66 Alpha13 „Ohne Zusatzsoftware kannst du die SED Encryption der HDD knicken, glaubs oder halt nicht! Are SEDs based on any type of ...“
Optionen

Bist du immer so voreilig in deinem Glauben, jemanden bereits kennen gelernt zu haben?
Ich glaube dir grundsätzlich durchaus - nur, deine erste Antwort war eher patzig als hilfreich!

Auch deine neuerlichen Links sind nicht besonders hilfreich!
Den Heise-Link habe ich in meinem letzten Post bereits zitiert. Und wie ich (glaube ich) verständlich gemacht habe, wirft der für mich mehr Fragen als Antworten auf. Hier steht: "Zugriffsschutz nach TCG Opal benötigen wiederum andere Zusatzsoftware".

Ja, schön! ich glaub das jetzt! Aber WELCHE Software? ich habe mir grad wieder den Arsch abgesucht, aber nix konkretes gefunden...
Ich hab vorher schon das Manual der Platte studiert, da sind eine Menge Commands aufgelistet, aber KEIN WORT darüber, wo zum Teufel man die überhaupt eingeben sollte!

Wenn Du dich schon so gut auskennst, dann könntest du mir doch da was empfehlen?

Dein Seagate-Link sagt auch nur nebulöses Zeug:
"What kind of software do I need to deploy a full-disk encryption solution? While Seagate and other device vendors offer SEDs, users will need software to manage the authentication credentials and other aspects of the solution. Seagate partners with a variety of ISVs that offer a range of key management solutions for any size deployment."

Zu deinem Trusted-Link kann ich auch nur sagen, dass ein TPM für SED nach (fast) allem, was ich darüber lesen konnte, NICHT nötig ist. Du kannst mir auch sehr gerne eines besseren belehren, aber bitte so, dass ich damit auch was anfangen kann!

Vielen Dank!

bei Antwort benachrichtigen
Alpha13 justyn66 „Bist du immer so voreilig in deinem Glauben, jemanden bereits kennen gelernt zu haben? Ich glaube dir grundsätzlich ...“
Optionen

TCG Opal Software Vendors (current or announced):

https://trustedcomputinggroup.org/wp-content/uploads/tcg_devicelist-20120108.pdf

Und jetzt ist Ende Gelände!

bei Antwort benachrichtigen
justyn66 Alpha13 „TCG Opal Software Vendors current or announced : ...“
Optionen

Ähm... diese Liste haben Sie mir schon schon lange vorher geschickt, und ich habe auch längst darauf geantwortet, mit der Feststellung, dass meine HDD darin aufgelistet ist!
Wobei allerdings in der Liste
1.)
NICHT zwischen OPAL und OPAL2 unterschieden wird - was wesentlich ist, da die Bitlocker Hardwareverschlüsselung ab WIN 8 nur Opal2 unterstützt. Was Plan B gewesen wäre, falls mein BIOS kein "ATA Security Mode Feature Set" besitzt.
2.)
keinerlei Tips zu geeigneten Softwarelösungen enthalten sind - nachdem mein MoBo ATA-PW offensichtlich nicht bietet.
Eigentlich war genau DAS ja meine folgerichtige Frage im letzten Post an Sie: Die nach der omiösen Software. Vielleicht haben Sie ihn ja einfach auch noch nicht gelesen....
Trotzdem Danke!

bei Antwort benachrichtigen
justyn66 Alpha13 „TCG Opal Software Vendors current or announced : ...“
Optionen

So sollte das aussehen! Ami-Bios liefert eine Extension, Award auch! Nix Software!
https://vxlabs.com/2012/11/28/adding-the-ata-security-extension-bios-to-amibios/

bei Antwort benachrichtigen
gelöscht_189916 justyn66 „Wie SED-Passwort vergeben? (UEFI, Hardware-Verschlüsselung)“
Optionen

Statt Hardwareverschlüsselung kannst Du die Platte besser mit VeraCrypt absichern:

https://datenschutzhelden.org/2017/10/03/dateiverschluesselung-mit-veracrypt/

Noch etwas Input über die Vor- und Nachteile:

https://www.heise.de/ct/hotline/Festplatte-mit-Hardware-Verschluesselung-sinnvoll-2575449.html

https://www.heise.de/ct/hotline/Verschluesselte-Platte-oder-SSD-nachruesten-2055743.html

http://www.datenrettung-fakten.de/festplatte/selbstverschluesselnde-festplatten-sed.html

http://unsicherheitsblog.de/selbstverschluesselnde-festplatten-ssd-self-encrypting-drives-4867

Es ist also doch etwas zweischneidig und wenn Du zum Ver- und Entschlüsseln eine weitere Software benötigst, scheint mir die Variante einer normalen Festplattenverschlüsselung sinnvoller zu sein.

bei Antwort benachrichtigen
justyn66 gelöscht_189916 „Statt Hardwareverschlüsselung kannst Du die Platte besser mit VeraCrypt ...“
Optionen

Danke für die Links!
Dein 2ter Link fasst mein Problem sehr schön zusammen:

"Zwecks Datenschutz muss Unbefugten aber noch der Zugriff über die Schnittstelle versperrt werden. Der gängige Weg dafür ist das ATA-HDD-Passwort, das bei jedem Systemstart und nach dem Aufwachen aus einem Schlafmodus eingegeben werden muss. Um das Passwort eingeben zu können, muss das BIOS des Systems aber das ATA Security Mode Feature Set unterstützen. Das ist längst nicht bei allen PCs der Fall oder nicht korrekt implementiert, greift etwa nicht nach dem Aufwachen aus dem S3-Schlaf. SEDs mit Zugriffsschutz nach TCG Opal benötigen wiederum andere Zusatzsoftware und sogenannte eDrives kooperieren nur mit der BitLocker-Funktion der Pro- und Enterprise-Versionen ab Windows 8."

In meinem Manual für das Board steht nichts darüber (nur über TPM). Auch über Zusatzsoftware höre ich zum ersten Mal. Und einen "eDrive" habe ich wohl auch nicht.

Hier habe ich aber was super-Interessantes gefunden: Eine "Erweiterung" des BIOS, das die ATA-Passwortabfrage "nachrüstet":
http://www.tb-kaiser.de/ahci_sbe/
Ob ich mir damit wohl das MoBo zerschieße?

2.) Ich habe ca. 2,3 TB auf der Platte (3TB). Das Verschlüsseln mit VeraCrypt dauert da wohl Tage? Der Vorteil bei SEDs ist ja, dass das in Sekunden, nur durch das Setzen eines Passwortes möglich ist, weil die Daten von vorneherein verschlüsselt sind.

Wenn dir was dazu einfällt, bitte her damit! Vielen Dank!

bei Antwort benachrichtigen
gelöscht_189916 justyn66 „Danke für die Links! Dein 2ter Link fasst mein Problem sehr schön zusammen: Zwecks Datenschutz muss Unbefugten aber noch ...“
Optionen

Was die BIOS/UEFI-Optionen betrifft, gibt das Handbuch des Boards echt nichts her. Weder die Security-Features noch die Einstellungen der SATA-Ports. Da bliebe m.E. wirklich nur die Option, das es OOTB mit der Platte und der Eingabe des Passworts läuft oder eben nicht:-(

Das Gefrickel mit BIOS-Patchen lasse besser sein. Erstens verweist der Ersteller selbst darauf, dass er so etwas noch nicht wirklich durchgezogen hat und die Software experimentell ist. Zweitens hat der das anscheinend für ein 'normales' BIOS geschrieben und nicht für UEFI. Weiter unten verweist er dann noch selbst darauf, das dieses Patchen per ROM einer Netzwerkkarte mit vielen Brettern nicht läuft - wahrscheinlichste Ursache UEFI - also alles nope.

Zu 2.

Das erstmalige Verschlüsseln dürfte etwas dauern, das ist richtig. Später im Betrieb sollte sich der Performanceverlust verschmerzen lassen, wenn es wirklich nur ein Datensarg ist.

Sonst bliebe tatsächlich nur der Wechsel auf ein MoBo, welches von Haus aus SED unterstützt, während Dein derzeitiges AFAIK nicht einmal TPM mitbringt.

bei Antwort benachrichtigen
justyn66 gelöscht_189916 „Was die BIOS/UEFI-Optionen betrifft, gibt das Handbuch des Boards echt nichts her. Weder die Security-Features noch die ...“
Optionen

Hallo fakiauso! Danke für die Antwort!

Ja, es scheint wohl so zu sein, dass mein MB das "ATA Security Mode Feature Set" nicht drauf hat! Slot für TPModule allerdings schon - steht so im Manual (nur zur Ehrenrettung meines Boards...).
Das mit dem Patchen werd ich dann wohl auch bleiben lassen ... Danke für deine Einschätzung!
Ich finde es allerdings skandalös, dass das (Nicht)vorhandensein einer ATA-PW-Option NIRGENDS in den Spezifikationen von MBs erwähnt wird! Auch in Netz sucht man sich diesbez. den Wolf! Wo doch immerhin ein beachtlicher Anteil von MBs darüber verfügt!

Du empfiehlst VeraCrypt. Ist das SOO viel besser als Bitlocker? Der ist immerhin schon "eingebaut". Ich will jetzt keine detaillierte Auflistung der Vorzüge von dir, aber wenn du mir deutlich von Bitlocker abrätst, dann genügt mir das schon. Dann informier ich mich weiter...
Danke!

bei Antwort benachrichtigen
gelöscht_189916 justyn66 „Hallo fakiauso! Danke für die Antwort! Ja, es scheint wohl so zu sein, dass mein MB das ATA Security Mode Feature Set ...“
Optionen
Du empfiehlst VeraCrypt. Ist das SOO viel besser als Bitlocker? Der ist immerhin schon "eingebaut". Ich will jetzt keine detaillierte Auflistung der Vorzüge von dir, aber wenn du mir deutlich von Bitlocker abrätst, dann genügt mir das schon. Dann informier ich mich weiter...


I wo - wenn Dir Bitlocker als vorhanden taugt, dann nimm doch das. Dann ist es immerhin schon drin und Du musst nicht noch extra VC laden und installieren. Mir schien es nur als eine Alternative zu dem so nicht aus dem Lameng zu lösenden Problem.

bei Antwort benachrichtigen
justyn66 gelöscht_189916 „I wo - wenn Dir Bitlocker als vorhanden taugt, dann nimm doch das. Dann ist es immerhin schon drin und Du musst nicht noch ...“
Optionen

Danke! Werd mich mal herantasten! Bei Microsoft könnte ich mir allerdings schon vorstellen, dass bei einem Upgrade von WIN7 auf 8 oder 10 die Platte plötzlich nicht mehr lesbar ist! MS schafft das!
Ich hab eine Wortneuschöpfung für die MS-Witzschiene: Die Nennen ihr Zeug nicht mehr Software, sondern Softwäre...

bei Antwort benachrichtigen
gelöscht_189916 justyn66 „Danke! Werd mich mal herantasten! Bei Microsoft könnte ich mir allerdings schon vorstellen, dass bei einem Upgrade von ...“
Optionen
Bei Microsoft könnte ich mir allerdings schon vorstellen, dass bei einem Upgrade von WIN7 auf 8 oder 10 die Platte plötzlich nicht mehr lesbar ist! MS schafft das!


Na für den Fall schaltet man das eben vorher ab, zieht das Upgrade durch und aktiviert es dann wieder. Wenn dann einer die Platte aus der Kiste mopst - shit happens;-)

So schlimm ist MS auch wieder nicht und wenn ich mir dann das inzwischen nur noch krank zu nennende Gewese bei manchen AV-Herstellern und den ganzen Tuning-Klitschen so ansehe, sind die noch richtig harmlos. So richtig schnell wird so ein Rechner sowieso nur als Beifahrer oder im unfreiwilligen Flugzeugmodus aus 10000m Höhe. Da versagt dann sogar die Wasserkühlung, kurz bevor er verglüht...

bei Antwort benachrichtigen
justyn66 gelöscht_189916 „Na für den Fall schaltet man das eben vorher ab, zieht das Upgrade durch und aktiviert es dann wieder. Wenn dann einer ...“
Optionen

"Na für den Fall schaltet man das eben vorher ab, zieht das Upgrade durch und aktiviert es dann wieder."

Sorry, aber ich muss mich erst mit dem Konzept beschäftigen! Was heißt "Abschalten"?
Heißt das, die Platte muss erst tagelang wieder entschlüsselt werden, oder geht das bequemer?
Ja, es stimmt schon! Microsoft hat sich gebessert! Ich erinnere mich an ein Sicherheitspatch von WIN XP, das plötzlich die Eingabe eines PW zwingend erforderlich machte.
Ich hatte aber noch nie eines, XP wollte dann aber eines! Gottseidank hatte ich ein Image, das ich einspielen konnte, um dann vor dem neuerlichen Patch ein Passwort zu setzen! Sonst wäre ich da (so einfach) nie wieder rein gekommen!
Eine andere Anekdote (hat aber nichts mit MS zu tun): Eine Backup-Software namens WinBack. Als ich auf die neuere Version upgegraded hatte, hieß es: "WinBack kann diese Version des Backups nicht lesen, da sie mit einer früheren Version erstellt wurde!"
Schilda lässt grüßen!

bei Antwort benachrichtigen
gelöscht_189916 justyn66 „Na für den Fall schaltet man das eben vorher ab, zieht das Upgrade durch und aktiviert es dann wieder. Sorry, aber ich ...“
Optionen
Heißt das, die Platte muss erst tagelang wieder entschlüsselt werden, oder geht das bequemer?


Im laufenden System dürfte das nahezu keinen Einfluss haben, da das Verschlüsseln im Hintergrund geschieht.

Andererseits zieht man ein Upgrade nicht alle Tage durch, daher ist der Aufwand m.E. zu verschmerzen.

MS hat sich dazu mal ausgelassen, u.a. auch über das Aktualisieren:

https://msdn.microsoft.com/de-de/library/hh831507(v=ws.11).aspx

https://msdn.microsoft.com/de-de/library/hh831507(v=ws.11).aspx#BKMK_Upgrading

Du siehst also, es gibt auch da mehrere Wege.

bei Antwort benachrichtigen
justyn66 gelöscht_189916 „Im laufenden System dürfte das nahezu keinen Einfluss haben, da das Verschlüsseln im Hintergrund geschieht. Andererseits ...“
Optionen

Danke für die Info! Ich bin auch gerade dabei, mich über Bitlocker etc. schlau zu machen, und da passt das ganz gut!
Ich werde wohl in den sauren Software-Apfel beissen müssen! HÖCHST unelegant! Wie 30km zu Fuß gehen, nur weil man den Schlüssel vom EIGENEN Auto nicht bekommt!

In diversen amerikanischen Foren wimmelt es geradezu vor Klagen, warum die ATA-Passwort Funktionalität so selten in Desktop-BIOS implementiert ist.
Dabei genügt z.B. ein Anruf bei AsRock, (siehe Link) und die "erstellen" einem ein BIOS MIT ATA-PW-Abfrage! Kostenlos! Das heißt dann statt XXX einfach XXXB, und fertig!
Auch die meisten modernen SSDs sind SEDs, aber die Funktionalität liegt völlig brach, Man kann die Funktion nur über teure Software wie Winmagic nutzen, obwohl man ein entsprechendes BIOS per simplem Anruf/Mail beim Support erhalten KÖNNTE!

Ich habe es heute auch probiert, und bei MSI Deutschland angerufen. Dort hieß es ebenfalls, man könnte mir ein entsprechendes BIOS "anfertigen". Allerdings ginge das für mein Board nicht, aber NUR weil das BIOS schon 4 Jahre alt ist. Für die aktuellen wäre das jederzeit möglich!!!!

Einige Leute sind der Meinung, die Funktionalität wäre sowieso implementiert, nur absichtlich nicht freigeschaltet. Man wolle auch nicht, dass das bekannt würde. Ich bin wirklich kein Verschwörungstheoretiker, aber das gibt ein Bild! Wieso wird NIRGENDS darüber gesprochen? Bei Boards, die ATA-PW fähig sind, findet man das auch nicht in den Specs! Es scheint so zu sein, dass selbst die NSA derartige Platten nicht knacken kann, und wie weit deren Arm reicht (reichen will) weiß man ja.
Also: Wenn du nichts mehr von mir hören solltest, weißt du Bescheid Zwinkernd.

Interessanter Thread (nur EIN Beispiel)! Vergiss "Palorim12", der hat sich nur geirrt (wie er 10 Posts später selbst draufkommt)
http://www.tomshardware.co.uk/forum/id-2454398/asrock-bios-samsung-intel-ssd-hardware-encryption.html

bei Antwort benachrichtigen
gelöscht_189916 justyn66 „Danke für die Info! Ich bin auch gerade dabei, mich über Bitlocker etc. schlau zu machen, und da passt das ganz gut! Ich ...“
Optionen
In diversen amerikanischen Foren wimmelt es geradezu vor Klagen, warum die ATA-Passwort Funktionalität so selten in Desktop-BIOS implementiert ist.


Och nuja - ich denke eher, dass die Hersteller da einfach für den Mainstream die Kosten für evtl. den zusätzlichen Chip plus das zusätzliche BIOS-Image sparen, weil sie mehrheitlich davon ausgehen, dass die Dinger sowieso kaum jemand nutzt. Wer das will und kennt, kauft sich dann halt auch das passende Equipment.

Da stehen wie zu Zeiten der Billig-Elkos m.E. wirtschaftliche Interessen im Vordergrund.

Und NSA und Co. - was da wirklich dran sein mag? Da ist m.E. auch viel FUD dabei und das sicher aus Sicht der verschiedenen Dienste nicht ganz ohne Absicht, denn wer seine Daten wirklich schützen will, hat zig andere Möglichkeiten und ist nicht zwingend nur auf SED angewiesen.

bei Antwort benachrichtigen
justyn66 gelöscht_189916 „Och nuja - ich denke eher, dass die Hersteller da einfach für den Mainstream die Kosten für evtl. den zusätzlichen Chip ...“
Optionen

"die Kosten für evtl. den zusätzlichen Chip plus das zusätzliche BIOS-Image sparen, weil sie mehrheitlich davon ausgehen, dass die Dinger sowieso kaum jemand nutzt."

Darin liegt ja die Ironie: man braucht keinen zusätzl. Chip! Wie sonst sollte das durch ein reines BIOS-Update möglich sein?.(TPM ist eine ganz andere Baustelle!)
Und warum nutzt kaum jemand sowas? Weil kaum jemand die Funktion kennt! Weil sie nicht beworben, und, noch krasser, nicht mal erwähnt wird!

Wieviele Leute wissen, dass ihre Samsung 840 oder 850 SSD auch eine SED ist?
Wieviel Leute wissen, dass ihr Lenovo-BIOS ATA-PW-fähig ist, und sie damit ohne weitere Kosten und Performanceeinbußen mit ein paar Handgriffen ihre SSD offline in eine FESTUNG verwandeln können?

Ist das ein Verkaufsargument? Halloo??? Bei der ganzen Sicherheitshysterie heutzutage??
Warum also wird das nicht beworben? Sind die etwa blöd? Einen Chip in SSDs extra zu diesem Zweck einzubauen, nur um ihn dann geheimzuhalten?
Unter normalen Umständen ist so eine Strategie Grund genug, die gesamte Marketing-Abteilung hochkant und mit Arschtritt rauszuschmeissen!

Sag mir jetzt bitte, du würdest ein kostenloses Update deines BIOS, das dir solche Vorteile bietet, wenn du denn davon wüsstest, NICHT wollen!

bei Antwort benachrichtigen
gelöscht_189916 justyn66 „die Kosten für evtl. den zusätzlichen Chip plus das zusätzliche BIOS-Image sparen, weil sie mehrheitlich davon ...“
Optionen
Sag mir jetzt bitte, du würdest ein kostenloses Update deines BIOS, das dir solche Vorteile bietet, wenn du denn davon wüsstest, NICHT wollen!


Nö;-)

Da ich mehrheitlich mit Linux unterwegs bin, verschlüssele ich meine /home-Partition durch Bordmittel und fertig ist die Laube.

Den Krampf tue ich mir nicht an, mich auf proprietäres Closed-Source des Herstellers zu verlassen. Leider hat da Lenovo auch schon gelegentlich gepatzt und sei es nur durch Ad- und Spyware in den Installations-Images. Was nützt die beste Verschlüsselung nach aussen, wenn der Kiebitz im laufenden System hockt?

Was die Sicherheitshysterie betrifft, da sehe ich bei vielen Usern eher Ignoranz als Ursache. Die würden das selbst bei Wissen und Vorhandensein nicht nutzen ähnlich wie solch einfache Dinge wie das Abschalten von Javascript etcpp. Den meisten dürfte das schlicht am Gesäss vorbeigehen, denn in meinem Umfeld hat das ganze Gedöns um Snowden und Geheimdienste weder dazu geführt, dass sie ihre Mobilwanzen anders sehen oder gar am PC umdenken würden.

Aber das geht jetzt schon ganz schön Richtung OT hier;-)

bei Antwort benachrichtigen
nemesis² justyn66 „Danke für die Info! Ich bin auch gerade dabei, mich über Bitlocker etc. schlau zu machen, und da passt das ganz gut! Ich ...“
Optionen
Es scheint so zu sein, dass selbst die NSA derartige Platten nicht knacken kann,

Das bezieht sich aber nur auf SEDs, also deren Hardwareverschlüsselung - beispielsweise mit ATA-Passwort aktiviert.

Das ATA-Passwort kann aber bei jeder (außer uralten ...) HDD aktiviert werden und wenn dabei etwas schief geht/man das Passwort vergißt, dann ist die HDD Schrott (wirtschaftlicher Totalschaden).

Für die Daten ist das aber keinerlei Schutz, denn meist kann das ATA-Passwort problemlos entsperrt werden bzw. wenn nicht, die Daten trotzdem im Datenrettungslabor ausgelesen werden! Das kostet nur mehr als eine neue Platte (im unteren dreistelligen Bereich), ist aber kein wikliches Hindernis!

Deshalb ist die bessere und häufige Impementierung im BIOS die, dass die Platten noch vor dem booten zu verriegeln (Security Freeze Lock), damit unter dem OS kein ATA-Passwort gesetzt werden kann (erst wieder, nachdem die Platte aus und wieder eingeschaltet wird = Strom aus/an).

Warum? Nach wie vor könnte man einen "Scherzvirus" schreiben und der bräuchte nur drei Dinge: a) Masterpasswort setzen/überschreiben, falls vorhanden b) Userpasswort setzten c) Rechner freezen lassen (= Kaltstart erzwingen). Danach wären die so bearbeiteten HDDs Schrott (wirtsschaftlicher Totalschaden) und es gäbe keinen Schutz davor! Außer das BIOS lockt eben gleich die Platten.

(selbst gesetztes Masterpasswort wäre im Ernstfall kein Schutz, da es problemlos überschrieben werden kann, wenn HDD nicht gelockt)

Mit so einer ATA-Passwortfunktion im BIOS/UEFI könnten viele User einen Haufen Mist bauen! Nur in Verbindung mit SEDs hat die Funktion überhaupt einen positven Nutzen und so etwas haben wenige User und nutzen noch viel weniger.

bei Antwort benachrichtigen
justyn66 nemesis² „Das bezieht sich aber nur auf SEDs, also deren Hardwareverschlüsselung - beispielsweise mit ATA-Passwort aktiviert. Das ...“
Optionen

Ha, hast schon recht! Man muss halt die Funktion im BIOS freezen! Aber dann seh ich nur noch Vorteile!?

"Nur in Verbindung mit SEDs hat die Funktion überhaupt einen positven Nutzen und so etwas haben wenige User und nutzen noch viel weniger."

Jede aktuelle Samsung (Intel und andere) SSD ist eine SED! Also hat das zunehmend JEDER! Das ist ja gerade der Witz! Hier wird aufwändig extra ein Chip verbaut und "keiner" weiß davon! Zum Warum siehe meinen letzen Post....

bei Antwort benachrichtigen
nemesis² justyn66 „Hallo fakiauso! Danke für die Antwort! Ja, es scheint wohl so zu sein, dass mein MB das ATA Security Mode Feature Set ...“
Optionen
Du empfiehlst VeraCrypt. Ist das SOO viel besser als Bitlocker? Der ist immerhin schon "eingebaut".

Bitlocker würde ich für die Windows-Partition empfehlen, denn nur damit kann man auch ein Image platzsparend erstellen und wiederherstellen. Bei TC/VC wäre das Image immer so groß wie die gesamte Partition und Eindampfen ist nicht!

Außerdem kann eine Bitlocker-Partition (vorübergehend) dauerhaft entsperrt werden - wie beim halbjährlichen Upgrade von Win10. Dabei wird nicht entschlüsselt, sondern im Prinzip "der Schlüssel sichtbar draufgeklebt". Wird er wieder entfernt (Upgrade fertig), ist wieder alles "sicher", d. h. nur noch mit Passwort/Recoery-Key/TPM ... zu entsperren.

So entfällt das aufwändige und sinnlose hin- und herverschlüsseln.

Außerdem kann die die Größe von Bitlockerverschlüsselten Laufwerken nachträglich geändert werden (klappt zumindest bei Win10). Ein TC/VC-Laufwerk hat rammelfest seine Größe und wenn die nicht passt, muss ein neues erstellt werden .... .

Für TC/VC sprechen:

- die Verschlüsselung dürfte wesentlich sicherer (machbar) sein, da offen, gut durchdacht und dokumentiert

- man kann die Volume-Header einfach sichern und wiederherstellen. Im Ernstfall ist damit die Datenrettung eher besser machbar.

Bei Bitlocker kann man höchstens den Bootsektor (+7 dahinter sichern => 4k) sichern und hoffen, im Ernstfall damit ein verschüttetes Laufwerk zu retten. Zwar werden die Bitlocker-Schlüssel an drei verschiedenen Orten auf dem Volume gespeichert, wo ist aber verschieden und dafür kenne ich kein einfaches Backup. Zerballert es theoretisch alle drei, ist Feierabend.

Der Vorteil von Bitlocker ist wiederum, dass man ein "verlorenes Laufwerk" auch findet, wenn man sich nicht die Sektoradressen notiert hatte ...

... bei TC/VC muss man genau wissen, wo die lag!

bei Antwort benachrichtigen
justyn66 nemesis² „Bitlocker würde ich für die Windows-Partition empfehlen, denn nur damit kann man auch ein Image platzsparend erstellen ...“
Optionen

Klingt sehr kompetent, was du da schreibst! Hab´s rauskopiert und werde es beherzigen, wenn´s mal soweit ist! Danke!

bei Antwort benachrichtigen
nemesis² justyn66 „Danke für die Links! Dein 2ter Link fasst mein Problem sehr schön zusammen: Zwecks Datenschutz muss Unbefugten aber noch ...“
Optionen
Ich habe ca. 2,3 TB auf der Platte (3TB). Das Verschlüsseln mit VeraCrypt dauert da wohl Tage?

Das kann lange dauern. Besser ist es, die HDD vorher zu verschlüsseln (geht mit über 150 MB/s bzw. was die Platte hergibt) und dann die Daten draufkopieren - das geht ähnlich schnell. Eigentlich muss auch nicht zwingend die ganze HDD mit "Müll" verschlüsselt/überschrieben werden. Das ist nur nötig, wenn man es "richtig" machen will um auzuschließen, dass später keinerlei alte Datenreste mehr übrig bleiben.

Der Vorteil bei SEDs ist ja, dass das in Sekunden, nur durch das Setzen eines Passwortes möglich ist, weil die Daten von vorneherein verschlüsselt sind.

Ja gut, das ist ein Vorteil. Wenn du bei einer eDrive-kompatiblen SSD das so aktiviert hast (UEFI etc. vorausgesetzt ....) und später mal diese Partition absichtlich oder unbeabsichtigt gelöscht wird, kannst du mit der PSID der SSD diese wieder "löschen" und damit wieder voll funktionsfähig machen. Eine unsauber entfernte hardwareverschlüsselte Partition würde die SSD sonst (teilweise) erst mal "unbrauchbar" werden lassen!

Die Softwarelösungen (TC/VC/Bitlocker-softwarebasierend) haben da weniger Fallstricke.

bei Antwort benachrichtigen
justyn66 nemesis² „Das kann lange dauern. Besser ist es, die HDD vorher zu verschlüsseln geht mit über 150 MB/s bzw. was die Platte hergibt ...“
Optionen

Das mit dem vorher verschlüsseln ist ein guter Tipp, danke! Werd ich wohl so machen, wenn ich auf die Software-Schiene gehe.
Der Rest deines Posts ist mir momentan zu hoch, aber da werd ich mich wohl einlesen...

ich finde halt den ganzen Software-Ansatz höchst unelegant, wenn ich doch schon SEDs habe, die extra für die Hardware-Verschlüsselung gemacht sind!
In gewisser Weise ist das auch ein ästhetisches Problem, wie etwa 4 RAM-Bänke, von denen nur 3 bestückt sind (wenn du verstehst, was ich meine).

Und die angeblichen "Bedenken" der Hersteller, dass jemand sein ATA-PW vergessen könnte, kann ich auch nicht nachvollziehen. Am RAM-Takt lassen sie einen schrauben, bis die Bude brennt, aber sich ein PW zu merken, trauen sie einem nicht zu??

bei Antwort benachrichtigen