Verschlüsselung TC vs. Hard Disk Passwort

maralo

Member
Registriert
20 März 2014
Beiträge
107
Hallo,

beschäftige mich gerade mit dem Thema System Verschlüsselung. Zunächst mal meine Samsung SSD 840 unterstützt FDE, wenn ich das richtig verstanden habe verschlüsselt die Platte immer, wird aber logischer weise erst nützlich wenn man ein Hard Disk Passwort vergibt. Wenn mein Computer nicht mehr gehen würde, kann ich die Platte einfach ausbauen und in einen neuen nutzen, auch wenn das BIOS diese Funktion nicht unterstützt(gibts da eine Software mit der ich dann an die Daten kommen würde)?

Wie sicher ist das Ganze im Vergleich zu Truecrypt, die Vorteile die ich sehe sind: einfacher, nur ein Passwort vergeben --> fertig, theoretisch könnte man ja dann nicht mal die Festplatte klonen ohne das PW, oder?
AES 256 gilt ja immer noch als nicht knackbar, oder?
Vielen Dank
 
Hi,

welches OS verwendest du? TC funktioniert nur bis und mit Windows 7 (möchtest du die ganze SSD oder einzelne Partitionen verschlüsseln). TC unterstützt dies ab Windows 8 nicht mehr.

  1. Nein, verlierst du das BIOS-Passwort, lässt sich die Samsung SSD 840 auch nicht mehr auf einem gleichen System lesen. Sprich, die Daten der 840 lassen sich auch dann nicht mehr lesen, selbst wenn du die SSD in ein baugleiches Gerät verankerst.
  2. Klonen nützt dir da nichts (siehe Punkt 1). Die Verschlüsselung mittels BIOS-Passwort hat zudem den Vorteil, dass keine Systemressourcen des OS benutzt werden, da sämtliche Ver- und Entschlüsselungsvorgänge auf der SSD selbst durchgeführt werden. AES 256 gilt als sicher (Voraussetzung ist ein entsprechend ausreichend langes BIOS-Passwort).

LG Uwe
 
wenn ich das richtig verstanden habe verschlüsselt die Platte immer, wird aber logischer weise erst nützlich wenn man ein Hard Disk Passwort vergibt.

So würde ich das auch sehen: http://smallbusiness.chron.com/samsung-ssd-encryption-work-39204.html

Offenbar ist es so, dass man den Schlüssel im BIOS festlegen kann, wenn das BIOS das unterstützt. Du hast allerdings den Nachteil, dass du proprietärer Verschlüsselung vertrauen musst.

Truecrypt ist wegen seiner Lizenzpolitik ein Sonderfall und wird zurzeit unabhängig (hoffentlich) überprüft. Die erste Phase ist durch. http://istruecryptauditedyet.com/ Das Ergebnis war wohl bisher (habe es jetzt auf die Schnelle nicht wiederfinden können), dass es Schwachstellen, aber keine Hintertüren gibt.

theoretisch könnte man ja dann nicht mal die Festplatte klonen ohne das PW, oder?

Kommt drauf an, ob der Controller das zulässt. Wenn nicht, dann nicht. Und ich würde vermuten, dass er es nicht tut.
 
3.: Wird das Systemboard ausgetauscht, sind die Daten auf der SSD meist futsch, wenn das HDD-Passwort mit aktiviertem Passphrase vergeben wurde (bei neuesten Generationen nicht abschaltbar). Darum ist ein unverschlüsseltes Backup zwingend erforderlich - bei SSDs sollte es obligatorisch sein, da sie m.E. noch nicht wirklich ausgereift sind.

Neueste Firmware auf der SSD ist Pflicht.
 
Zuletzt bearbeitet:
Windows 7

Gibt es ein Tool mit der ich die Festplatte auslesen könnte, falls ein Computer diese Funktion im Bios nicht unterstützt (PW natürlich vorhanden). Konnte auf der Website von Samsung dies bzgl. nichts finden. Also irgendein "Rescue/Wiederherstellungs" Tool muss es ja geben.

3.: Wird das Systemboard ausgetauscht, sind die Daten auf der SSD meist futsch. Darum ist ein unverschlüsseltes Backup zwingend erforderlich - bei SSDs sollte es obligatorisch sein, da sie m.E. noch nicht wirklich ausgereift sind.

Neueste Firmware auf der SSD ist Pflicht.

Aber nur wenn die Platte zusätzlich mit TPM Chip verschlüsselt wird, oder? (Dieser "Security" Chip ist mir persönlich eh etwas suspekt)
 
Zuletzt bearbeitet:
Das normale Bios Passwort ist unsicher da es mit Tools auch bei aktivierter Passphase im Klartext entschlüsselt und dargestellt werden kann. Für die HD also ein anderes nehmen. Gibt auch Firmen die das Harddiskpasswort cracken können aber ist schon schwieriger/teurer. Ich denke für 100% Paranoide reicht nur ein Open Source Programm bei dem man sicher ist das keine Hintertüren drinnen sind.

FRG
 
Das normale Bios Passwort ist unsicher da es mit Tools auch bei aktivierter Passphase im Klartext entschlüsselt und dargestellt werden kann. Für die HD also ein anderes nehmen. Gibt auch Firmen die das Harddiskpasswort cracken können aber ist schon schwieriger/teurer. Ich denke für 100% Paranoide reicht nur ein Open Source Programm bei dem man sicher ist das keine Hintertüren drinnen sind.

FRG

oh, naja Paranoid hin oder her, aber wenn man verschlüsselt dann sollte auch nur derjenige zugreifen können, welcher das PW hat. Ansonsten ist eine Verschlüsselung, meiner Auffassung nach, sinnlos.
 
wenn ein hdd-passwort gesetzt ist, reagiert die hdd/ssd nicht, bis das richtige passwort gesendet wurde. jeder andere zugriff führt zu einem ein-/ausgabefehler. ein klonen ist in diesem zustand unmöglich.
wenn du eine ssd mit einem im thinkpad gesetzten passwort an einen anderen pc anschließt, kannst du diese nicht entsperren, da die passphrasenfunktion der thinkpads dazu führt, dass deine eingabe verändet an die ssd geschickt wird. andere systeme tun das nicht oder zumindest auf andere weise. daher kannst du bei gesetztem passwort die hdd oder ssd nur noch in thinkpads mit dieser passphrasenfunktion entsperren.

bei ssds ist ein backup noch wichtiger als bei hdds, da ssds ihren tod nicht ankündigen, sondern von eben auf gleich tot sind. das kann bei hdds zwar auch passieren, aber oftmals gibt es entsprechende andeutungen.
solltest du von deinen daten kein backup haben, sind die daten auch nicht wichtig.
auf der 840re ssd steht ein langer alphanumerishcer code, mit dem du die ssd entsperren kannst, solltest du einmal das passwort vergessen. die daten werden dabei gelöscht, doch du kannst die ssd zumindest weiternutzen. statt hardware und daten verlierst du nur die daten. auf grund des selbstverständlich vorhandenen backups bedeutet das für dich lediglich etwas arbeit das backup wieder auf die ssd zu spielen. der datenverlust beschränkt sich also auf die seit dem letzten backup veränderten daten. mehr nicht.

ich glaub tc geht auch bei win8, sofern eine bios-insgtallaion vorliegt. uefi geht generell nicht bei tc. dafür muss tc umgeschrieben werden.

bei verschlüsselung kommt für mich nur open source in frage. die verschlüsselung, die die ssd-hersteller intern verwenden ist eine blackbox, von der nur die beteiligten firmen und vermutlich auch die geheimdienste der entsprechenden länder wissen, wieviel pfusch und hintertüren sich in dieser box befinden. die einzige auskunft, die man für gewöhnlich bekommt, ist der verwendete block cipher "aes" mir 128 oder 256 bit schlüssellänge.das klingt zunächst gut, doch sagt es im grund gar nichts über die sicherheit der verschlüsselung aus. welchen modus verwenden die? ecb (ganz ganz schlecht, quasi nutzlos), cbc (besser, aber veraltet) oder xts (aktuell empfohlen). ohne solche essentiellen infos und ohne source code würde ich dem ganzen keinerlei vertrauen entgegen bringen.

tl;dr:
nimm truecrypt!

sofern du ein komplett anderes passwort verwendest, kannst du zusätzlich zu tc natúrlich auch noch die verschlüsselung der ssd selber benutzen. macht nur das booten etwas aufwändiger.
 
>>
oh, naja Paranoid hin oder her, aber wenn man verschlüsselt dann sollte auch nur derjenige zugreifen können, welcher das PW hat. Ansonsten ist eine Verschlüsselung, meiner Auffassung nach, sinnlos.
<<

Jupp das stimmt prinzipiell. Als Diebstahlssicherung für meinen Privatrechner würde mir allerdings die interne Verschlüsselung mit einem vom Bios Passwort abweichenden Sata Masterpasswort reichen. Ein Dieb macht sich sicherlich nicht die Mühe ein Datentrettungsunternehmen zu beauftragen um an die Daten zu kommen. Wenn er sich halbwegs auskennt entsperrt er vielleicht den Rechner und wirft die HDD weg. Aber alles Speku. Im Zweifelsfall truecrypt.

FRG

FRG
 
Das normale Bios Passwort ist unsicher da es mit Tools auch bei aktivierter Passphase im Klartext entschlüsselt und dargestellt werden kann.

FRG

Da muss ich mal widersprechen: Du kannst mir Sicherlich den Algorithmus verraten wie man aus einem gespeicherten Hash Wert das klar lesbare Passwort generiert. Ich hätte da Grosses Interesse daran und kann Dir dazu gerne mal reichlich per Passphrase verschlüsselte Werte zur Verfügung stellen aus verschiedensten ThinkPad Generationen.
 
Vielleicht meint er normale HDDs, da wurde bei den wenigsten Modellen der Inhalt mitverschlüsselt.
 
Was sagt ihr zu folgende Kombi: Power On Passwort + Boxcryptor (mit Dropbox) für persönliche Daten, jedoch die Frage: Ist die Boxcryptor Verschlüsselung (also Encfs) sicher genug um die Daten in eine Cloud zu speichern?
 
wenn boxcryptor auf encfs aufbaut, hätte ich bedenken bei dessen einsatz. bei nem audit vor kurzem kam encfs nicht gut weg:
https://defuse.ca/audits/encfs.htm

der rest der platte (alles außer dem dropbox-ordner) soll unverschlüsselt bleiben?
 
wenn boxcryptor auf encfs aufbaut, hätte ich bedenken bei dessen einsatz. bei nem audit vor kurzem kam encfs nicht gut weg:
https://defuse.ca/audits/encfs.htm

der rest der platte (alles außer dem dropbox-ordner) soll unverschlüsselt bleiben?

ja, da dann die persönlichen Daten verschlüsselt wären und der Rest wären ja "nur" Win- + Programm Daten, aber warum diese verschlüsseln? Denke ich mir zumindest, bedenken?
 
Moin
ja, da dann die persönlichen Daten verschlüsselt wären und der Rest wären ja "nur" Win- + Programm Daten, aber warum diese verschlüsseln?
Kommt drauf an, was Du mit der Verschlüsselung bezwecken willst?
Bei nur teilweiser Verschlüsselung hast Du immer Datenreste im FileSystem, die unverschlüsselte Daten enthalten können.

Boxcryptor sichert nicht deine lokalen Daten sondern sorgt nur dafür, das die in der Cloud gespeicherten Daten verschlüsselt sind.
Für die lokale Sicherung kommt nur eine FullDiskEncryption in Frage.

Ein PowerOn Passwort lässt sich ohne große Probleme umgehen.

RomanX

P.S.: Du solltest erst mal beschreiben, gegen welche Angriffe Du deine Daten schützen willst.
 
  • ok1.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen
Zurück
Oben