Passwortgeschützte und verschlüsselte SSD in anderen Rechnern betreiben?

[Mango Bango]

Bei Verwendung einer Samsung 850 Evo (MZ-75E250B) in einem X230t mit Windows 10 64 Bit Pro, bringt die Samsung SSD von Haus aus eine Hardwareverschlüsselung mit. Diese kann afaik über einfaches Setzen des HDD-Passworts im Bios aktiviert werden.

Frage: Bricht dadurch die Performance ein? Lässt sich die SSD bei einem defekt jederzeit in einem anderen Notebook bzw einem externen Gehäuse verbauen und man gelangt mithilfe des Passworts an die Daten? Gibt es irgendwelche Bugs (Bios, Gerätewechsel, etc.), welche mich meine Daten kosten könnten, sollte ich diese Option wählen?

Ziel ist es, die Daten im Thinkpad vor einfachem Zugriff durch jedermann zu schützen, also sollte das Gerät oder nur die SSD entwendet werden. Ob das System durch Behörden, etc. zu überwinden ist, spielt keine Rolle.

Vielen Dank für die Hilfe!

 

[Helios]

Nein, die Performance bleibt gleich, da die Kryptologie die SSD übernimmt. Allerdings lässt sich die SSD in keinem anderen Laptop, selbst wenn es das gleiche Modell ist, oder in einem externen Gehäuse mehr lesen. Bugs sind mir keine bekannt.

 

[jal2]

Allerdings lässt sich die SSD in keinem anderen Laptop, selbst wenn es das gleiche Modell ist, oder in einem externen Gehäuse mehr lesen.

Wieso wuerde sich die SSD in einem anderen X230T bei Eingabe des bekannten HDD-Passwortes nicht lesen lassen?

EDIT: Und warum sollte das nicht auch in einem externen Gehäuse, das mittels eSATA an einen Linux-Rechner angeschlossen ist, mittels

hdparm /dev/sdX --security-unlock PWD

funktionieren, vorausgesetzt, Using Passphrase steht auf Disabled?

 

[Helios]

Dann liege wohl ich falsch. Dachte bis jetzt, dass die Verschlüsselung auch gerätebezogen sei. Wieder etwas gelernt .

 

[Mornsgrans]

vorausgesetzt, Using Passphrase steht auf Disabled?

Soweit ich mich recht erinnere, kann man ab Generation T430/X230 im BIOS die Passphrase nicht mehr deaktivieren.

 

[Mango Bango]

Vielen Dank schon einmal für eure Antworten. Mir wäre es jetzt nur wichtig, dass ich im Falle eines Defektes des X230t die SSD in ein externes Gehäuses oder in ein X60 schieben könnte, und trotzdem noch an meine Daten komme.

 

[Mornsgrans]

Mit HDD-Passwort funktioniert es an einem USB-SATA-Adapter nicht, dort wird das Laufwerk mit "Keine Daten" angezeigt.
Ob es mit HDD-Passwort in einem anderen Notebook (und zudem einer anderen Generation angehörend) funktioniert, bezweifle ich solange, bis das Gegenteil bewiesen ist.

Edit:
Aus "Kurze Fragen"-Thread ausgelagert, da nicht "kurz" und von allgemeinem Interesse.

 

[schoerg]

Vielen Dank schon einmal für eure Antworten. Mir wäre es jetzt nur wichtig, dass ich im Falle eines Defektes des X230t die SSD in ein externes Gehäuses oder in ein X60 schieben könnte, und trotzdem noch an meine Daten komme.

X60 hast du wohl eher schlechte Karten, aber ein weiteres X230 (oder Modelle der gleichen Reihe) müsste funktionieren.

 

[jal2]

Soweit ich mich recht erinnere, kann man ab Generation T430/X230 im BIOS die Passphrase nicht mehr deaktivieren.

Stimmt, da hatte ich im Web das Bild eines anderen Modells erwischt.

Mit HDD-Passwort funktioniert es an einem USB-SATA-Adapter nicht, dort wird das Laufwerk mit "Keine Daten" angezeigt.
Ob es mit HDD-Passwort in einem anderen Notebook (und zudem einer anderen Generation angehörend) funktioniert, bezweifle ich solange, bis das Gegenteil bewiesen ist.

USB-SATA wird nicht gehen, eSATA sollte - wenn die Passphrase nicht waere. Ich werde es mal mit einer aelteren SSD (Verbatim 64GB) probieren: im T430 das HDD-Passwort setzen und in einem X61 mit aktivierter Passphrase versuchen zu benutzen.

 

[wileE]

Ich nutze im X61 eine OCZ Trion 150 mit HDD Passwort. Die SSD kann ich mit jedem anderen X61(T) und auch im T500 im Ultrabay Adapter entsperren. Bislang noch keine Bugs bemerkt.

Ein Gelegenheitsdieb hat an dem Gerät sicher keine Freude mit den Daten, und Verschlüsselung über Software ist, bis auf Truecrypt Container für die wichtigen Sachen, am X61 indiskutabel.

 

[Caliban]

Ich kann aus meinen Lesezeichen folgenden Blogeintrag und das zugehörige Linux-Skript mit einbringen. Der Autor hat auf Basis eines T420s bzw. einer Lenovo-Präsentation den Password nach ATA-Password Algorithmus reverse-engineered. Zum Testen fehlte mir bisher die Zeit, aber für den Fall der Fälle wäre das sicher ein nützliches Werkzeug (so es denn funktioniert).

 

[Mornsgrans]

Interessant ist dieser Satz:

when you take this drive and put it in a different machine, it is impossible to unlock the drive.

 

[Caliban]

Interessant ist dieser Satz...

Wobei ich heute erfolgreich eine mit BIOS Kennwort verschlüsselte Intel Pro 1500 von einem X230i in einem X230 getestet habe. Bei der gleichen Baureihe oder evtl. gleichen Generation sollte es also keine Rolle spielen. Wenn ich das richtig sehe, fließen in der Passwortgenerierung ja auch keine gerätespezifischen Werte mit ein.

So the procedure above is only needed if you need to decrypt on another non-Lenovo Thinkpad .. right ?

 

[schoerg]

Und mit dem Skript von Github dürfte die Entschlüsselung auch auf beliebigen Rechnern funktionieren.

 

[Caliban]

Das wäre der Nutzen, genau. Interessant wäre noch zu wissen wie es sich mit SSDs/FDE HDDs aus älteren (?) und neueren Thinkpads (vermutlich kompatbel) verhält.

 

[jal2]

Ich habe es gerade einmal mit einer OCZ Trion 150 probiert: Im T430 User+Master HDD Passwort gesetzt und die SSD dann in ein X61 eingebaut. Ich konnte sie dort ganz normal mit dem User Passwort entlocken und auf sie zugreifen. Passphrase war im X61 disabled, liess sich aber sowieso nicht einschalten. Ich vermute, es wirkt nur bei SVP und POP, nicht beim HDD Passwort.

Das Entlocken mittels

hdparm --user-master u --security-unlock PWD /dev/sda

, als die SSD via eSATA an einem T410s hing, schlug aber mit IO Error fehl.

EDIT: Ich haette mit obigem Skript das wirkliche Passwort berechnen muessen.

 

[Mornsgrans]

Passphrase war im X61 disabled, liess sich aber sowieso nicht einschalten.

Das wird eine Art Schutzmechanismus sein: Um Zugriff auf den BIOS-Eintrag "Use Passphrase" zu erlangen, wird man erst das HDD-Passwort entfernen müssen, danach kann man "Use Passphrase" umschalten auf auf "disabled" und ein neues HDD-Passwort setzen.

EDIT: Ich haette mit obigem Skript das wirkliche Passwort berechnen muessen.

Wenn ich es richtig verstanden habe, muss das HDD-Passwort aber bekannt sein?

 

[jal2]

Wenn ich es richtig verstanden habe, muss das HDD-Passwort aber bekannt sein?

Ja.

Weitere Tests: in einem T60 konnte ich die SSD nicht freischalten. Im X61 war es nicht moeglich, im BIOS die HDD-Passwoerter zu entfernen (?). Das ging dann im T430.

 

[Caliban]

Hey jal2, danke für die Tests. Ich könnte mir gut vorstellen, dass irgendwann zur Einführung von UEFI eine "Inkompatibilitätsgrenze" erreicht ist.

 

[Mornsgrans]

in einem T60 konnte ich die SSD nicht freischalten

Könnte es durch den Chipset beschränkt sein? Diesbezüglich liegen ja teilweise Welten zwischen der Generation T60 und T61.

Im X61 war es nicht moeglich, im BIOS die HDD-Passwoerter zu entfernen (?).

Also Zugriff möglich, jedoch keine Änderungen vornehmbar.

Mit einem T420 kann ich es die Tage man versuchen. - Interessant wäre es auch, zu testen, wie es sich bei ThinkPads ab Generation T440 verhält. Dann könnten wir den Wiki-Artikel ergänzen.