Datenträger - Festplatten, SSDs, Speichersticks und -Karten, CD/ 19.508 Themen, 108.855 Beiträge

Verfolgung starten Optionen

Wie SED-Passwort vergeben? (UEFI, Hardware-Verschlüsselung)

justyn66 / 28 Antworten / Flachansicht Nickles

Hallo! ich habe eine gebrauchte HDD mit SED Encryption erworben (Seagate Constellation ES.2, ST33000651NS).

Ich möchte die HDD als hardwareverschlüsselte NICHT-System Platte mit Passwort schützen. Leider konnte ich noch nirgends eine (für mich) brauchbare Info finden, wie (und wo) man die Passwortvergabe handhabt.
Meistens liest man, man müsse dazu im BIOS die ATA-Passwort Funktion nutzen (ATA Security Command). Auf Youtube gibt´s einige Videos dazu. Jedoch behandeln die ausschließlich "klassisches" BIOS, ich habe aber ein UEFI. Über UEFI nirgends ein Wort!!
Auf der Suche nach Entsprechungen habe ich in meinem UEFI unter Security nur Admin-Pass, U-Key, und Chassis Intrusion gefunden.
Kann es wirklich sein, dass die SED-Funktion unter UEFI gar nicht funktioniert??? Oder was habe ich übersehen?

Angeblich klappt die SED-Implementierung (als Hardware-Verschlüsselung!) auch über Bitlocker, wobei die Meinungen auseinander gehen. Z. B. Bei WIN 8 ja, bei WIN 7 nein. Oder sowieso nur bei OPAL2 Laufwerken (was meines nicht ist) und/oder mit TPM, etc.

Vielen Dank schon mal für eure qualifizierten Tipps! Aber bitte keine Alternativ-Vorschläge wie Software-Verschlüsselung, etc. oder Diskussionen über die (Un)sicherheit von SEDs!

WIN7 Ultimate SP1
Board: MSI 79A-GD45 (8D)
BIOS: V12.8/20141208

.

bei Antwort benachrichtigen
https://trustedcomputinggroup.org/wp-content/uploads/tcg_devicelist-20120108.pdf Ohne Software wird das jenau nix!!! Und ... Alpha13
Danke für die Antwort! 1. Zu deinem PDF: Meine HDD ist da als OPAL- fähig aufgelistet! Andere Quellen behaupten wieder ... justyn66
Ohne Zusatzsoftware kannst du die SED Encryption der HDD knicken, glaubs oder halt nicht! Are SEDs based on any type of ... Alpha13
What kind of software do I need to deploy a full-disk encryption solution?While Seagate and other device vendors offer ... Alpha13
Meinen ersten wirklichen AHA-Moment hatte ich soeben beim Lesen dieses ... justyn66
Bist du immer so voreilig in deinem Glauben, jemanden bereits kennen gelernt zu haben? Ich glaube dir grundsätzlich ... justyn66
TCG Opal Software Vendors current or announced : ... Alpha13
Ähm... diese Liste haben Sie mir schon schon lange vorher geschickt, und ich habe auch längst darauf geantwortet, mit der ... justyn66
So sollte das aussehen! Ami-Bios liefert eine Extension, Award auch! Nix Software! ... justyn66
Statt Hardwareverschlüsselung kannst Du die Platte besser mit VeraCrypt ... fakiauso
Danke für die Links! Dein 2ter Link fasst mein Problem sehr schön zusammen: Zwecks Datenschutz muss Unbefugten aber noch ... justyn66
Was die BIOS/UEFI-Optionen betrifft, gibt das Handbuch des Boards echt nichts her. Weder die Security-Features noch die ... fakiauso
Hallo fakiauso! Danke für die Antwort! Ja, es scheint wohl so zu sein, dass mein MB das ATA Security Mode Feature Set ... justyn66
I wo - wenn Dir Bitlocker als vorhanden taugt, dann nimm doch das. Dann ist es immerhin schon drin und Du musst nicht noch ... fakiauso
Danke! Werd mich mal herantasten! Bei Microsoft könnte ich mir allerdings schon vorstellen, dass bei einem Upgrade von ... justyn66
Na für den Fall schaltet man das eben vorher ab, zieht das Upgrade durch und aktiviert es dann wieder. Wenn dann einer ... fakiauso
Na für den Fall schaltet man das eben vorher ab, zieht das Upgrade durch und aktiviert es dann wieder. Sorry, aber ich ... justyn66
Im laufenden System dürfte das nahezu keinen Einfluss haben, da das Verschlüsseln im Hintergrund geschieht. Andererseits ... fakiauso
Danke für die Info! Ich bin auch gerade dabei, mich über Bitlocker etc. schlau zu machen, und da passt das ganz gut! Ich ... justyn66
Och nuja - ich denke eher, dass die Hersteller da einfach für den Mainstream die Kosten für evtl. den zusätzlichen Chip ... fakiauso
die Kosten für evtl. den zusätzlichen Chip plus das zusätzliche BIOS-Image sparen, weil sie mehrheitlich davon ... justyn66
Nö - Da ich mehrheitlich mit Linux unterwegs bin, verschlüssele ich meine /home-Partition durch Bordmittel und fertig ... fakiauso
Das bezieht sich aber nur auf SEDs, also deren Hardwareverschlüsselung - beispielsweise mit ATA-Passwort aktiviert. Das ... nemesis²
Ha, hast schon recht! Man muss halt die Funktion im BIOS freezen! Aber dann seh ich nur noch Vorteile!? Nur in Verbindung ... justyn66
Bitlocker würde ich für die Windows-Partition empfehlen, denn nur damit kann man auch ein Image platzsparend erstellen ... nemesis²
Klingt sehr kompetent, was du da schreibst! Hab s rauskopiert und werde es beherzigen, wenn s mal soweit ist! Danke! justyn66
nemesis² justyn66 „Danke für die Links! Dein 2ter Link fasst mein Problem sehr schön zusammen: Zwecks Datenschutz muss Unbefugten aber noch ...“
Optionen
Ich habe ca. 2,3 TB auf der Platte (3TB). Das Verschlüsseln mit VeraCrypt dauert da wohl Tage?

Das kann lange dauern. Besser ist es, die HDD vorher zu verschlüsseln (geht mit über 150 MB/s bzw. was die Platte hergibt) und dann die Daten draufkopieren - das geht ähnlich schnell. Eigentlich muss auch nicht zwingend die ganze HDD mit "Müll" verschlüsselt/überschrieben werden. Das ist nur nötig, wenn man es "richtig" machen will um auzuschließen, dass später keinerlei alte Datenreste mehr übrig bleiben.

Der Vorteil bei SEDs ist ja, dass das in Sekunden, nur durch das Setzen eines Passwortes möglich ist, weil die Daten von vorneherein verschlüsselt sind.

Ja gut, das ist ein Vorteil. Wenn du bei einer eDrive-kompatiblen SSD das so aktiviert hast (UEFI etc. vorausgesetzt ....) und später mal diese Partition absichtlich oder unbeabsichtigt gelöscht wird, kannst du mit der PSID der SSD diese wieder "löschen" und damit wieder voll funktionsfähig machen. Eine unsauber entfernte hardwareverschlüsselte Partition würde die SSD sonst (teilweise) erst mal "unbrauchbar" werden lassen!

Die Softwarelösungen (TC/VC/Bitlocker-softwarebasierend) haben da weniger Fallstricke.

bei Antwort benachrichtigen
Das mit dem vorher verschlüsseln ist ein guter Tipp, danke! Werd ich wohl so machen, wenn ich auf die Software-Schiene ... justyn66