Verständnisfrage und Hilfe zu SSD-Verschlüsselung

[flomev]

Hallo Zusammen,
ich möchte bei meinem X1 Carbon 5Gen eine neue SSD einbauen und die alte in einem USB-Gehäuse weiterbenutzen, am besten bootfähig mit dem alten System (wegen alter Software, die ich nicht neuinstallieren kann und sporadisch brauche).
Die alte SSD (Samsung MZ-VLW1T00) hat im BIOS ein SATA-Passwort bekommen, hat zwei Partitionen, von denen die Datenpartition mit Bitlocker verschlüsselt ist.
Ich habe leider große Defizite im Verständnis des SATA-Passwort bzw. der damit verbundenen Verschlüsselung und wollte Euch deshalb um Rat und Meinung bitten. Erste Frage zur neuen SSD (Samsung 990 Pro) wäre, ob das SATA-Passwort schon ausreicht und ich auf Bitlocker verzichten kann. Bei Verlust sollte man nicht mit vertretbaren Aufwand an die Daten kommen, es braucht aber keinen Super-Schutz vor Geheimdiensten o.ä. . Zweite Frage: wie ist das Meinungsbild zu der Trennung System/Daten per Partition? Ich habe mir sagen lassen, das sei oldschool (so wie ich). Drittens ist mir unklar, was ich mit der alten SSD machen muss, um sie im USB-Gehäuse booten zu können. Reicht es, das SATA-Passwort im BIOS rauszunehmen? Ist sie dann ganz entschlüsselt oder noch irgendwie per TPM mit dem X1 verdongelt?
Entschuldigt die vielen Fragen, so richtig verstanden habe ich das Prinzip SATA-PW, TPM, SSD-Hardwareverschlüsselung nie, was bei dem Thema natürlich sehr schlecht ist.
Vielen Dank für Eure Gedanken und Hilfe
Flo

 

[cuco]

ich möchte bei meinem X1 Carbon 5Gen eine neue SSD einbauen und die alte in einem USB-Gehäuse weiterbenutzen, am besten bootfähig mit dem alten System (wegen alter Software, die ich nicht neuinstallieren kann und sporadisch brauche).
Die alte SSD (Samsung MZ-VLW1T00) hat im BIOS ein SATA-Passwort bekommen, hat zwei Partitionen, von denen die Datenpartition mit Bitlocker verschlüsselt ist.

Das SATA-Passwort solltest du vor dem Ausbau unbedingt entfernen. Die BitLocker-Verschlüsselung kann bleiben, allerdings kannst du sie dann natürlich in Zukunft nur an Windows-PCs nutzen und musst ggf. auch den Recovery-Key statt des normalen Passworts eintippen. Alternativ kannst du BitLocker auch deaktivieren und ggf. hinterher im externen Gehäuse wieder aktivieren.

Erste Frage zur neuen SSD (Samsung 990 Pro) wäre, ob das SATA-Passwort schon ausreicht und ich auf Bitlocker verzichten kann. Bei Verlust sollte man nicht mit vertretbaren Aufwand an die Daten kommen, es braucht aber keinen Super-Schutz vor Geheimdiensten o.ä. .

Das SATA-Passwort ist ein ganz guter Basisschutz. Besser ist aber natürlich eine "echte" Verschlüsselung (BitLocker). Geht bei PCIe-SSDs überhaupt noch ein SATA-Passwort?

Zweite Frage: wie ist das Meinungsbild zu der Trennung System/Daten per Partition? Ich habe mir sagen lassen, das sei oldschool (so wie ich).

Jo. Braucht man nicht. Zur Trennung sind Ordner da, nicht Partitionen. So regelmäßig installiert man auch nicht neu und wenn, greift man auf die Daten aus dem Backup zurück bzw. sichert die Daten vorher nochmal kurz weg bevor man platt macht.

Drittens ist mir unklar, was ich mit der alten SSD machen muss, um sie im USB-Gehäuse booten zu können.

Du möchtest von der externen SSD booten können? Das könnte gehen, könnte aber auch schwer bis unmöglich werden. Oder meinst du, dass du sie einfach nur im externen Gehäuse nutzen möchtest?

Reicht es, das SATA-Passwort im BIOS rauszunehmen? Ist sie dann ganz entschlüsselt oder noch irgendwie per TPM mit dem X1 verdongelt?

Wenn BitLocker aktiviert ist, ist sie auch noch mit dem TPM "verdongelt". Durch Eingabe des BitLocker-Recovery-Keys kannst du sie aber trotzdem entschlüsseln. Langfristig solltest du dann aber BitLocker auch deaktivieren und extern wieder aktivieren, damit der Key nicht mehr im TPM liegt und es daher nicht mehr verdongelt ist - sonst musst du laufend den Recovery-Key eintippen. Das ist nervig.

 

[mtu]

Prinzipiell sind das zwei verschiedene Verschlüsselungsmethoden, von denen Du sprichst. Ich nenne sie mal „BIOS-Krypto“ und „OS-Crypto“ (OS = Betriebssystem). Beide haben ein Grundprinzip gemeinsam: Die Daten sind verschlüsselt gespeichert, und wer den Schlüssel nicht hat, kann von dem Datenträger nur Bytesalat auslesen.

Das, was Du ein „SATA-Passwort“ nennst, ist BIOS-Krypto. Das ist dahingehend besonders wirksam, weil das Betriebssystem überhaupt keine Rolle dabei spielt, und theoretisch nicht mal Verschlüsselung beherrschen muss. Es bootet einfach, als wäre nichts. Der Schlüssel ist dabei auch im BIOS nicht gespeichert, sondern wird aus dem Passwort berechnet, das Du eingibst. Achtung jedoch: Der Schlüssel und Dein Passwort sind nicht identisch! Das BIOS muss auf einem bestimmten Weg Dein Passwort verarbeiten, um den Schlüssel daraus zu berechnen. Und darin liegt auch schon der entscheidende Nachteil von BIOS-Krypto: Sie ist im ungünstigsten Fall an Deinen konkreten Laptop gebunden, oder an Geräte ähnlicher Baureihe oder desselben Herstellers. In anderen Rechnern kannst Du diese Verschlüsselung mit Pech nicht öffnen – auch nicht, wenn Du Dein Passwort noch weißt! Denn entscheidend ist, ob Dein BIOS aus dem Passwort auf dem richtigen Weg den richtigen Schlüssel berechnen kann.

BitLocker ist hingegen OS-Crypto, und zwar von Windows. Die Äquivalente bei anderen Systemen heißen zum Beispiel LUKS unter Linux, GELI unter FreeBSD usw. Auch dabei ist der Schlüssel nirgendwo gespeichert. Dafür merkt das Betriebssystem beim Booten: Ach guck mal, die Daten sind verschlüsselt. Ich frage den User mal nach dem Passwort, und dann berechne ich daraus den Schlüssel, Sesam-öffne-Dich, und ich kann booten. Nachteil: Es ist prinzipiell ein bisschen einfacher, Windows auszutricksen, um an der Verschlüsselung vorbei zu kommen – oder sagen wir so: Es gibt mehr potentielle Fehlerquellen, Angriffsvektoren und Täuschungsmanöver, im Gegensatz zu BIOS-Krypto. Dafür haben BitLocker, LUKS und Co. aber auch den großen Vorteil, dass sie viel mehr Benutzer und Entwickler haben als jede einzelne ThinkPad-Reihe – und die Software deshalb auch weitaus mehr Aufmerksamkeit bekommt, was Fehlersuche, Sicherheits-Patches u.dgl. angeht.

Es ist also in gewisser Hinsicht eine Geschmacksfrage, welchen dieser beiden Wege zur Verschlüsselung man wählt, weil sie so ziemlich das gleiche bewirken. Für mich wäre das entscheidende Argument: mit OS-Krypto kannst Du in einem anderen Rechner das gleiche Betriebssystem booten und an die Daten kommen. Mit BIOS-Krypto kann es sein, dass Dein Rechner stirbt, und Du nicht (oder nur mit großem Aufwand) an eine Maschine kommst, welche die gleiche BIOS-Krypto-Methode einsetzt – und damit auch an Deine Daten.

(… oder verwechsle ich da was, und ein „SATA-Passwort“ ist etwas wahrhaft Universelles?)

 

[boerni666]

SATA Passwort ist ein Feature von einigen mSATA/NVME/M.2 SSDs. Mittlerweile können das fast alle SSDs und Mainboard/Laptops.

Die SSD ist standardmäßig immer verschlüsselt, mit einem Schlüssel, der in einem extra Speicherbereich liegt. Das transparente Ver-/Entschlüsseln übernimmt ein Chip auf der SSD und kein BIOS/CPU/Software. Es gibt keine Performance-Einbußen dadurch.
Ist kein SATA-Passwort gesetzt, ist dieser kleine extra-Speicherbereich mit dem eigentlichen Schlüssel unverschlüsselt und das BIOS holt sich automatisch den Schlüsel und entsperrt das Laufwerk. Deswegen ist eine "Verschlüsselung" im nachhinein möglich, ebenso das "secure quickerase", wo einfach ein neuer Schlüssel in dem Bereich geschrieben wird.

Wird ein SATA-Passwort gesetzt, wird der kleine Bereich mit dem Schlüssel mit dem SATA-Passwort verschlüsselt. Bei Thinkpads wird das passwort selber nochmals geändert, dafür gibts aber tools, um dann an das "richtige" Sata-passwort zu kommen: https://github.com/kangtastic/thinkpad-password



SATA-Passworts sind nicht wirklich als sicher zu bezeichnen, weil der Algorithmus dahinter in der Firmware liegt und nicht wirklich updates bekommt und teilweise Sicherheitslücken bei einigen SSD-Modellen bekannt sind: https://bit-tech.net/news/tech/storage/researchers-warn-of-severe-ssd-security-vulnerabilities/1/ Reicht als einfacher Daten-Diebstahlschutz aus, aber sobald Enthusiasten Zugriff bekommen, kann das je nach Modell leicht bis unmöglich sein.

Bei Bitlocker muss man der propritären Software eines Großkonzerns vertrauen, LUKS mit aktuellen Algorithmen ist derzeit ziemlich sicher.

 

[Axel]

@flomev : Vielleicht reicht es dir ja auch zukünftig deine Daten-Partition transparent mit der Open Source Software VeraCrypt zu verschlüsseln. Davon ab kann VeraCrypt auch die komplette System-Partition verschlüsseln.

 

[kullermann]

Das BIOS-SATA-Passwort funktioniert wirklich mit NVMe? Ich hatte vor wenigen Jahren ein DELL XPS15 9500 und dort 2x die Samsung 970 EVO Plus reingepackt. Da ging gar nix mit SATA-Passwort. Ließ sich über das BIOS einfach nicht aktivieren. Ich musste dann mittels Linux und "sedutil" die Pre-Boot-Authentication manuell auf den NVMe einrichten.

 

[flomev]

Vielen Dank schon mal für die sehr hilfreichen Antworten!
Da mein X1 nicht mehr das schnellste ist, wäre vielleicht der alte Ansatz doch gar nicht so dumm. Die SSD über BIOS/SATA-PW die (schnelle aber angreifbare) Hardwareverschlüsselung machen lassen und dann eine System- und eine Datenpartition anlegen. Die Datenpartition wird zusätzlich mit Bitlocker oder Veracrypt verschlüsselt. So bliebe das System schnell und fährt auch ohne Passwort nur mit Fingerprint komplett bis zum Desktop hoch. Die Datenpartition muss ich dann nur bei Bedarf mit Passwort mounten. Das ist zwar meistens der Fall aber auch nicht immer.

Gespannt bin ich, was mit der alten SSD passiert, wenn ich vor dem Ausbau die SATA-PW-Funktion deaktiviere, ob die dann im usb-Gehäuse lesbar ist und ich sie irgendwie bootfähig bekomme. Danke auch für den Tipp, zuerst Bitlocker zu deaktivieren.

Beitrag automatisch zusammengeführt: 1 Feb. 2024

Vielleicht noch ergänznd für Mitleser interessant: Es gibt einen freien ct-Artikel zum Thema Hardwareverschlüsselung bei SSDs: „Vertrauen verspielt“ ct 23/19.
Es gab ja noch die Version einer von Bitlocker gesteuerten Hardwareverschlüsselung, genannt eDrive. Das hatte mich in Summe alles ziemlich verwirrt, jetzt ist es klar. Vielen Dank, tolles Forum!