Datenträger - Festplatten, SSDs, Speichersticks und -Karten, CD/ 19.508 Themen, 108.855 Beiträge

Wie SED-Passwort vergeben? (UEFI, Hardware-Verschlüsselung)

justyn66 / 28 Antworten / Flachansicht Nickles

Hallo! ich habe eine gebrauchte HDD mit SED Encryption erworben (Seagate Constellation ES.2, ST33000651NS).

Ich möchte die HDD als hardwareverschlüsselte NICHT-System Platte mit Passwort schützen. Leider konnte ich noch nirgends eine (für mich) brauchbare Info finden, wie (und wo) man die Passwortvergabe handhabt.
Meistens liest man, man müsse dazu im BIOS die ATA-Passwort Funktion nutzen (ATA Security Command). Auf Youtube gibt´s einige Videos dazu. Jedoch behandeln die ausschließlich "klassisches" BIOS, ich habe aber ein UEFI. Über UEFI nirgends ein Wort!!
Auf der Suche nach Entsprechungen habe ich in meinem UEFI unter Security nur Admin-Pass, U-Key, und Chassis Intrusion gefunden.
Kann es wirklich sein, dass die SED-Funktion unter UEFI gar nicht funktioniert??? Oder was habe ich übersehen?

Angeblich klappt die SED-Implementierung (als Hardware-Verschlüsselung!) auch über Bitlocker, wobei die Meinungen auseinander gehen. Z. B. Bei WIN 8 ja, bei WIN 7 nein. Oder sowieso nur bei OPAL2 Laufwerken (was meines nicht ist) und/oder mit TPM, etc.

Vielen Dank schon mal für eure qualifizierten Tipps! Aber bitte keine Alternativ-Vorschläge wie Software-Verschlüsselung, etc. oder Diskussionen über die (Un)sicherheit von SEDs!

WIN7 Ultimate SP1
Board: MSI 79A-GD45 (8D)
BIOS: V12.8/20141208

.

bei Antwort benachrichtigen
nemesis² justyn66 „Danke für die Info! Ich bin auch gerade dabei, mich über Bitlocker etc. schlau zu machen, und da passt das ganz gut! Ich ...“
Optionen
Es scheint so zu sein, dass selbst die NSA derartige Platten nicht knacken kann,

Das bezieht sich aber nur auf SEDs, also deren Hardwareverschlüsselung - beispielsweise mit ATA-Passwort aktiviert.

Das ATA-Passwort kann aber bei jeder (außer uralten ...) HDD aktiviert werden und wenn dabei etwas schief geht/man das Passwort vergißt, dann ist die HDD Schrott (wirtschaftlicher Totalschaden).

Für die Daten ist das aber keinerlei Schutz, denn meist kann das ATA-Passwort problemlos entsperrt werden bzw. wenn nicht, die Daten trotzdem im Datenrettungslabor ausgelesen werden! Das kostet nur mehr als eine neue Platte (im unteren dreistelligen Bereich), ist aber kein wikliches Hindernis!

Deshalb ist die bessere und häufige Impementierung im BIOS die, dass die Platten noch vor dem booten zu verriegeln (Security Freeze Lock), damit unter dem OS kein ATA-Passwort gesetzt werden kann (erst wieder, nachdem die Platte aus und wieder eingeschaltet wird = Strom aus/an).

Warum? Nach wie vor könnte man einen "Scherzvirus" schreiben und der bräuchte nur drei Dinge: a) Masterpasswort setzen/überschreiben, falls vorhanden b) Userpasswort setzten c) Rechner freezen lassen (= Kaltstart erzwingen). Danach wären die so bearbeiteten HDDs Schrott (wirtsschaftlicher Totalschaden) und es gäbe keinen Schutz davor! Außer das BIOS lockt eben gleich die Platten.

(selbst gesetztes Masterpasswort wäre im Ernstfall kein Schutz, da es problemlos überschrieben werden kann, wenn HDD nicht gelockt)

Mit so einer ATA-Passwortfunktion im BIOS/UEFI könnten viele User einen Haufen Mist bauen! Nur in Verbindung mit SEDs hat die Funktion überhaupt einen positven Nutzen und so etwas haben wenige User und nutzen noch viel weniger.

bei Antwort benachrichtigen