Thinkpad X13 Gen3 AMD mit Full Disk Encryption

[kami83]

Hi,

ich nutze hier ein Lenovo Thinkpad X13 und mit Windows 10 und Linux. Ich möchte gerne die gesamte Festplatte verschlüsseln, damit beim Notebookverlust niemand so schnell rankommt. Was für Methoden gibt es dafür? VeraCrypt? oder was Lenovo eigenes? Möchte natürlich auch nicht zu viel Speed durch Verschlüsselung verlieren bei dem System.

Also was empfiehlt ihr?

Danke.

Gruß kami

 

[Reaper]

Erstmal die Frage: Warum nicht jeweils die systemeigene Verschlüsslung nutzen? Also LUKS/dm-crypt unter Linux und Bitlocker für Windows?

 

[ebastler]

Bitlocker für Windows

Beißt sich damit:

Möchte natürlich auch nicht zu viel Speed durch Verschlüsselung verlieren bei dem System

Meine 980Pro im T14s Gen3 AMD verliert fast 90% der IOPS mit software Bitlocker.

 

[Ambrosius]

Da gab es auch mal einen ziemlich ausführlichen Thread zu dem Thema

hier

und

hier

waren ganz hilfreiche Beiträge.. beides insgesamt sehr gute Threads für den Einstieg in dieses Thema..

 

[bemymonkey]

Auf die Gefahr hin, dass das eine dumme Frage ist: Ist die einfache, transparente (d.h. ohne Performanceverluste) Variante mit SSD-eigender FDE per BIOS-HDD-Passwort mittlerweile so verpönt dass sie gar nicht mehr erwähnt werden sollte? Klar, auf meinen Firmenrechnern läuft auch aufgrund der Richtlinien Bitlocker, aber für Privatzwecke dürfte doch die rudimentäre Variante reichen...? Oder funktioniert das gar nicht mehr?

 

[ebastler]

Geht problemlos. Man kann Bitlocker auch überreden die Hardware encryption der SSD zu nutzen wenn man das möchte, so hab ich es bei mir laufen.

Ist halt "vertrauen darauf dass der SSD Hersteller nichts verbockt hat" - ob einem das ausreicht oder nicht muss jeder für sich entscheiden. Ich habe keine sensiblen Daten auf meinem Notebook, und die Verschlüsselung soll in erster Linie einen normalen Dieb davon abhalten an meine Accounts zu kommen. Dafür sollte Samsungs Verschlüsselung dicke reichen.

Wenn das FBI aus Gründen meint ich habe super kritische Daten und an meine SSD will, von mir aus. Lieber ist mir die knacken meine Verschlüsselung, als die stellen jemanden mit Kneifzange, Lötkolben und Radkreuz ab um das Passwort aus mir herauszuprügeln. Ist eh nix relevantes am Notebook

 

[kami83]

Hallo, also mir geht es auch nur um den Diebstahl des Notebooks und das man dann nicht an die "eigenen Daten" kommt. Ich will hier auch nicht gegen das FBI geschützt sein, sondern nur gegen den direkten Einblick durch die Leute, die nicht meine Anmeldepasswort kennen. Was nimmt man dafür am besten?

Gruß kami

 

[ebastler]

Bei der Anwendung und Dualboot würde ich persönlich einfach n SSD Passwort im UEFI setzen und gut. Das aktiviert dann die SSD eigene Hardware Verschlüsselung.

Bzw, die ist allgemein immer aktiviert, aber bevor man ein SSD Passwort setzt liegt der Schlüssel im Klartext dem Controller vor, sobald man ein SSD Passwort setzt wandert der decryption Key ins TPM des Notebooks.

 

[kami83]

geht das mit jeder SSD? Wo finde ich das im Bios?

Beitrag automatisch zusammengeführt: 6 Feb. 2024

ich möchte halt nur verhindern, das jemand die SSD ausbaut und dann an einem Rechner direkt auslesen kann?

 

[ebastler]

geht das mit jeder SSD?

Sofern im Datenblatt irgendwas von Verschlüsselung steht (AES sollte es sein, Rest ist mWn nicht sicher) ja. Bisher keine gesehen die es nicht konnte.

ich möchte halt nur verhindern, das jemand die SSD ausbaut und dann an einem Rechner direkt auslesen kann?

Meines Wissens nach lassen sich SSDs mit UEFI SSD Passwort allgemein nur mehr in dem Rechner auslesen. Selbst wenn man das Passwort kennt sind die in anderen Rechnern nicht lesbar, weil der Schlüssel im TPM abgelegt wird. Ist dann halt doof wenn das Notebook eingeht und man kein Backup hat.

Müsste unter Sicherheit -> Festplatten-Passwort oder so sein.

 

[kami83]

Sofern im Datenblatt irgendwas von Verschlüsselung steht (AES sollte es sein, Rest ist mWn nicht sicher) ja. Bisher keine gesehen die es nicht konnte.



Meines Wissens nach lassen sich SSDs mit UEFI SSD Passwort allgemein nur mehr in dem Rechner auslesen. Selbst wenn man das Passwort kennt sind die in anderen Rechnern nicht lesbar, weil der Schlüssel im TPM abgelegt wird. Ist dann halt doof wenn das Notebook eingeht und man kein Backup hat.

Müsste unter Sicherheit -> Festplatten-Passwort oder so sein.

Mhh also wenn ich es richtig sehe kann meine das nicht. Ist eine Kingston KC3000 1TB und da steht no Encryption. Was gibts alternativ?

Gruß kami

 

[ebastler]

Das scheint es ja tatsächlich noch zu geben... Wtf. Ich dachte inzwischen seien ausnahmslos alle SSDs SEDs (self encrypting devices).

 

[kami83]

Hi, ja ich war auch verblüfft. Sehe ich es denn richig, das wenn ich eine SSD mit AES-256 habe, das man die dann nur in meinem Notebook auslesen kann (Sind also alle Inhalte komplett verschlüsselt?)? Gibt es hier eine Fallbacklösung wenn die Hardware mal kaputt geht, um an die Daten zu kommen. Kann man da sich einen Recoverykey irgendwie sichern?

Danke.

Gruß kami

 

[linrunner]

SSD mit AES-256 habe, das man die dann nur in meinem Notebook auslesen kann

Das Passwort, das Du im BIOS eingibst, wird von diesem in einen maschinenspezifischen Hash umgewandelt. Der Hash stellt das tatsächliche SSD-Passwort da. Da dir der Hash vom BIOS nicht angezeigt wird, hast Du auch keine Möglichkeit, die SSD auf anderer Hardware damit zu entschlüsseln.

Fallbacklösung wenn die Hardware mal kaputt geht, um an die Daten zu kommen

Klar. Regelmässige Backups auf mindestens zwei verschiedene Offline-Medien. Solange Du dafür kein Konzept hast, rate ich dir von Verschlüsselung ab. Kein Backup, kein Mitleid.

Sind also alle Inhalte komplett verschlüsselt?

Das SSD-Passwort gilt für alle Inhalte der SSD.

 

[ebastler]

Klar. Regelmässige Backups auf mindestens zwei verschiedene Offline-Medien. Solange Du dafür kein Konzept hast, rate ich dir von Verschlüsselung ab. Kein Backup, kein Mitleid.

Ich rate ohne Backups allgemein davon ab, den Rechner für was anderes als Web Browsing und Videospiele zu benutzen

 

[linrunner]

Leider traut sich kein Betrübssystem Backups zu erzwingen und andernfalls den Dienst zu verweigern.

 

[TheGrey]

Wäre hier Bitlocker nicht die sinnvollere Lösung? Den Entsperr Key für Notfälle an anderen PCs kann man sich doch vorab "erstellen", abspeichern, ausdrucken, usw.

 

[linrunner]

Wäre hier Bitlocker nicht die sinnvollere Lösung?

Nicht solange der User kein Backup-Konzept hat.

 

[ebastler]

Wäre hier Bitlocker nicht die sinnvollere Lösung? Den Entsperr Key für Notfälle an anderen PCs kann man sich doch vorab "erstellen", abspeichern, ausdrucken, usw.

Nicht bei Dualboot. Bitlocker mit Hardware Encryption (Bisschen Gebastel aber machbar) hat zwar die selbe Leistung wie UEFI PW und läuft so auch bei mir, beißt sich mWn aber mit dem Dualboot. Wobei die SED Specs eigentlich mehrere separat verschlüsselte Partitionen mit HW Encryption erlauben würden. Vielleicht gehts sogar, dass Bitlocker nur die Windows partition in HW verschlüsselt. Hab ich aber nie getestet.

 

[archer]

Habe schon oft im Dual Boot sowohl per Bitlocker als auch mit LUKS verschlüsselt. Ohne Probleme. Um die Performance-Einbußen würde ich mir keine Gedanken machen, die sind minimal, wenn überhaupt. Den Bitlocker habe ich erst nach der Installation von Arch aktiviert und hab zusätzlich eine eigene (zweite) EFI System Partition verwendet (mit systemd-boot). Das Windows EFI dann einfach auf diese zweite ESP kopiert.