Bevor du das hier falsch verstehst, ich will hier nicht klugscheißen, mich interessiert das Thema selber und bisher habe ich immer angenommen, dass es so funktioniert, wie ich oben geschrieben habe und darauf vertraut. Wenn es also jetzt irgendwo eine offizielle Quelle gibt, die das Gegenteil behautptet (= man braucht um jeden Preis die Toolbox), wäre ich davon betroffen.
Von dieser ominösen Toolbox habe ich zwar mal gehört, allerdings wüsste ich gerne, auf welche Quelle du deine Aussage stützt, das Featuer wäre ohne die Toolbox nicht nutzbar.
Hier mal die offizielle Aussage von dem OCZ-Mitarbeiter im Forum, auf die sich die Infos aus dem Luxx beziehen:
http://www.ocztechnologyforum.com/forum/showthread.php?71788-Sandforce-encryption-info
FDE and TCG Opal are different things.
FDE = Full Disk Encryption = Software Encryption
The Vertex 2 and Vertex 2 Pro are SED = Self Encrypting Device = Hardware Encryption
They support ATA Security but not TCG Opal.
Etwas unklar, aber was man herauslesen kann:
Die Vertex 2 / Pro (also die Sandforce 1200/1500) haben Hardwareverschlüsselung (er nennt das SED und den Begriff FDE benutzt er für Softwareverschlüsselungen wie Truecrypt oder ähnliches, ich habe oben den Begriff FDE für das benutzt, was er hier als SDE bezeichnet), aber nicht dieses TCG-Opal-Zeug (was auch immer das sein soll), was wahrscheinlich nur die Enterprise-Modelle haben.
There is no need to use bitlocker or truecrypt (Software encryption on the CPU) as encryption is already done in the SSD automatically...
--> Die Verschlüsselung ist bei den SF1200/1500 immer aktiv (automatically), auch wenn keine Passwort mit irgendeiner Toolbox gesetzt wurde.
and as long as the device password is used the data is protected from unauthorized access. Using these will only limit your system performance.
--> Wenn ein ATA-Passwort benutzt wird (hier device Passwort genannt), dann haben Leute ohne das Passwort keinen Zugriff auf die Daten.
So sicher war er sich aber wohl auch nicht und hat deshalb nochmal bei Sandforce nachgefragt.
I will update this thread as i get more info
EDIT February 22, 2011:
Jetzt kommen die wichtigen Sachen:
1. The controller advertises "AES-128 bit encryption". I understand the controller encrypts all data before it hits the NAND. With what key is this encryption done? Do any two controllers share the same key?
a. The encryption key is internally randomly generated and no two drives share the same key.
--> Habe ich ja schon in meinem ersten Post geschrieben.
2. How is this key stored internally? Is it itself encrypted? Using what algorithm?
a. We do not disclose the internal details of how the key is stored in order to prevent security issues, but we do disclose it is stored in the flash memory.
--> Die Schwachstelle der ganzen Sache: Wenn sich die Firmware manipulieren lässt, kommt man an den Schlüssel auch ohne ATA-Passwort ran und kann die Daten entschlüsseln.
3. If an ATA Security password is given to the controller, does this affect the form in which the key is stored?
a. The encryption key is not directly linked to the ATA Security password (or the BIOS password). When the password is established it is used during the challenge process to ensure the user requesting access is authorized. Once the password is authenticated the drive will decrypt the data on the flash, but again that encryption key is internally stored with the drive and not directly linked with the password.
--> Der Key zur Verschlüsselung ist unabhängig von dem ATA-Passwort, was eingegeben wird und kann vom User nicht geändert werden. Solange an den Controller nicht das richtige ATA-Security-Passwort gesendet wird entschlüsselt dieser die Daten nicht. Zum Entschlüsseln der Daten braucht man also das richtige ATA-Security-Passwort, aber dieses Passwort ist nicht der Key, der vom Controller zum Verschlüssseln verwendet wird.
4. If the ATA Security password does not alter the key, is there another way for a user to restrict access to the encryption key?
a. No one has access to the encryption key, only the SSD controller can access it. The user only has access to the security password.
--> Siehe oben, bestätigt eigentlich nur nochmal die Aussage.
5. Does issuing a secure wipe command affect this key?
a. The ATA Secure Erase command(s) will “zeroize” (erase and forget) the key and generate a new key.
--> Beim Secure-Erase wird der Key, der zur Verschlüsselung benutzt wurde gelöscht und ein neuer generiert. Die Daten sind für den Controller nun nicht mehr zu entschlüsseln, da der alte Key gelöscht wurde.
Angenommen, dieser OCZ-Tony schreib keinen Unfug, dann verhält sich das doch alles ganz genau so, wie ich in meinem ersten Post geschrieben habe? Demnach wäre die Funktion auf die beschriebene Art und Weise für jeden nutzbar, der ein ATA-Passwort setzen kann und dem die gebotene Sicherheit ausreicht, d. h., der darauf vertraut, dass die Firmware nicht geknackt wird und der Schlüssel auch ohne ATA-Passwort ausgelesen werden kann.
Auf welche Quelle stützt du deine Aussage, man benötige für die Funktion unbedingt die Toolbox?
Edit:
Und wo steht, dass bei den neuen Sandforce-SSDs der Schlüssel mit vom ATA-Passwort abhängt?