NVMe-SSD Samsung SM951: Verschlüsselung, Bitlocker o. auch eDrive/OPAL o.Ä. möglich?
- Ersteller dark_rider
- Erstellt am
Was interessiert hier ein SSD Controller?
Es geht darum:
Os schreibt Datei a. Über ein paar schichten Treiber und Dateisystem wird dann Block x auf der Platte beschreiben.
Wenn man jetzt gleichzeigit ein Benchmark laufen läst das am Dateisystem vorbei direkt auf Block x schreibt gibts datensalat.
Um nichts anderes ging es in den Beiträgen von mir.
Es geht darum:
Os schreibt Datei a. Über ein paar schichten Treiber und Dateisystem wird dann Block x auf der Platte beschreiben.
Wenn man jetzt gleichzeigit ein Benchmark laufen läst das am Dateisystem vorbei direkt auf Block x schreibt gibts datensalat.
Um nichts anderes ging es in den Beiträgen von mir.
- Registriert
- 7 Aug. 2008
- Beiträge
- 1.842
Danke Mitsch!
http://www.anandtech.com/show/9702/samsung-950-pro-ssd-review-256gb-512gb
http://www.samsung.com/uk/consumer/memory-storage/ssd/950-pro/MZ-V5P512BW
http://www.anandtech.com/show/9702/samsung-950-pro-ssd-review-256gb-512gb
http://www.samsung.com/uk/consumer/memory-storage/ssd/950-pro/MZ-V5P512BW
Weißt Du vielleicht, ob das BIOS das dann auch unterstützen muss (beim T61p gab es für die Hitachi-FDE-HDD im BIOS ein Passwort), ob die TPs das von Haus aus haben oder ob das Vorhandensein dieser Funktionalität im BIOS nicht so sicher ist? Oder läuft das irgendwie unabhängig vom BIOS über die Firmware der SSD? Aber ich vermute mal, dass die angesprochenen Verfahren OPAL und eDrive Industriestandards sind, die sowohl TP-BIOS als auch SSD-FW unterstützen müssen?
Zuletzt bearbeitet:
Mitsch87
Member
- Registriert
- 18 Okt. 2009
- Beiträge
- 639
Ich weiß es nicht - habe meine 1TB SSD nicht verschlüsselt.
Habe nur mit VeraCrypt einen Container auf der SSD liegen in dem die wichtigen Dinge sind (Kontoauszüge, KeePass Datenbanken, u.s.w.).
Dass Windows und die Programme unverschlüsselt auf der SSD liegen ist mir Wurst, mache das schon länger so und bin damit zufrieden. Schrenkt auch die Performance meiner TrueImage Backups dann nicht ein...
Habe nur mit VeraCrypt einen Container auf der SSD liegen in dem die wichtigen Dinge sind (Kontoauszüge, KeePass Datenbanken, u.s.w.).
Dass Windows und die Programme unverschlüsselt auf der SSD liegen ist mir Wurst, mache das schon länger so und bin damit zufrieden. Schrenkt auch die Performance meiner TrueImage Backups dann nicht ein...
- Registriert
- 7 Aug. 2008
- Beiträge
- 1.842
http://www.tomshardware.de/samsung-ssd-950-pro-m.2,testberichte-241964.html
Interessanter Thread dazu, der allerdings auch etwas verwirrt:
https://forums.lenovo.com/t5/ThinkP...SD-Password-in-the-BIOS-of-a-P70/td-p/3289189
Lt. diesem soll die Samsung SM951 (OEM, kommt ab Werk) mit 256 GB OPAL unterstützen und das dann mit dem TP-BIOS-PW geschützt sein, nicht aber die SM 951 mit 512 GB (habe ich) oder 1 TB. Bei diesen kann man zwar scheinbar auch ein SSD-PW im BIOS setzen, was dann aber keine Verschlüsselung anstößt. Und bei der 950 Pro gibt es seltsame Probleme, indem OPAL/AES scheinbar erst mit einem zukünftigen FW-Update kommen soll und es scheinbar auch Stress gibt, dass sich Laufwerke teilweise nicht mehr booten lassen. Mensch, klingt das alles kompliziert.
Bei der FDE-HDD im T61p hatte ich auch immer die Sorge, was passiert, falls mal das TP-Motherboard defekt sein sollte, d.h. die Hardware-Verschlüsselung schützt zwar, kann aber bei Defekten dei Zugriff verkomplizieren (HDD/SSD kann nicht einfach in ein USB-Dock eingesetzt werden) bis unmöglich machen?
Nachträglich "freischalten" lässt sich das wohl nicht, oder gibt es da Tricks?
Interessanter Thread dazu, der allerdings auch etwas verwirrt:
https://forums.lenovo.com/t5/ThinkP...SD-Password-in-the-BIOS-of-a-P70/td-p/3289189
Lt. diesem soll die Samsung SM951 (OEM, kommt ab Werk) mit 256 GB OPAL unterstützen und das dann mit dem TP-BIOS-PW geschützt sein, nicht aber die SM 951 mit 512 GB (habe ich) oder 1 TB. Bei diesen kann man zwar scheinbar auch ein SSD-PW im BIOS setzen, was dann aber keine Verschlüsselung anstößt. Und bei der 950 Pro gibt es seltsame Probleme, indem OPAL/AES scheinbar erst mit einem zukünftigen FW-Update kommen soll und es scheinbar auch Stress gibt, dass sich Laufwerke teilweise nicht mehr booten lassen. Mensch, klingt das alles kompliziert.
Bei der FDE-HDD im T61p hatte ich auch immer die Sorge, was passiert, falls mal das TP-Motherboard defekt sein sollte, d.h. die Hardware-Verschlüsselung schützt zwar, kann aber bei Defekten dei Zugriff verkomplizieren (HDD/SSD kann nicht einfach in ein USB-Dock eingesetzt werden) bis unmöglich machen?
Zuletzt bearbeitet:
- Registriert
- 7 Aug. 2008
- Beiträge
- 1.842
Natürlich, mache täglich ein Image der gesamten Systempartition (1x wöchentlich voll, dann 6x inkrementell).
Einen Container, sprich nur einen Teil der Daten verschlüsseln, finde ich unpraktikabel, weil man dann ständig überlegen muss, was verschlüsselt sein soll und was nicht, und ggf. auch mal was vergisst. Deshalb ja auch das Image als Backup und nicht nur einzelne Daten - so kann man halt nichts vergessen und braucht sich keine Gedanken zu machen.
Einen Container, sprich nur einen Teil der Daten verschlüsseln, finde ich unpraktikabel, weil man dann ständig überlegen muss, was verschlüsselt sein soll und was nicht, und ggf. auch mal was vergisst. Deshalb ja auch das Image als Backup und nicht nur einzelne Daten - so kann man halt nichts vergessen und braucht sich keine Gedanken zu machen.
Mitsch87
Member
- Registriert
- 18 Okt. 2009
- Beiträge
- 639
Update: die Samsung 960 Pro kommt bald, die gibt es dann auch als 1TB und 2TB Variante mit AES Verschlüsselung...
EDIT: sogar mit opal (960 PRO und EVO):
EDIT: sogar mit opal (960 PRO und EVO):
siehe: http://www.samsung.com/semiconductor/minisite/ssd/product/consumer/ssd960.html
Zuletzt bearbeitet:
- Registriert
- 7 Aug. 2008
- Beiträge
- 1.842
Danke Mitsch, hatte ich gestern auch schon bei Heise gelesen und mir die 960 Pro näher angeschaut.
- Registriert
- 7 Aug. 2008
- Beiträge
- 1.842
Mittlerweile gibt es die Samsung 960 Pro, die für mich interessanteste 1-TB-Variante (erreicht genauso wie die 2-TB-Version den maximalen Speed, mehr als die Variante mit 512 GB) allerdings für knapp 600 Euro.
Allerdings steht dazu auch wieder geschrieben, dass sie zwar AES 256 können soll, aber TGC Opal 2.0 erst mit einem FW-Update kommen soll (das dann womöglich wie bei der 950 Pro wieder ausbleibt?).
Mal ganz praktisch gefragt: Wie bekomme ich wieder eine Hardware-verschlüsselte SSD unkompliziert ans Laufen?
Beim alten T61p war es ja so, dass die HDD das Feature FDE an Bord hatte. Im TP-BIOS wurde dann ein HW-Passwort gesetzt und die HDD dann automatisch verschlüsselt.
- Welche HW-Verschlüsselungen unterstützt das TP-BIOS denn nun allgemein: AES 256, TGC Opal (2.0?), eDrive, alles, oder nichts von alledem?
- Falls etwas davon geht: Muss man einfach nur im TP-BIOS ein SSD-Passwort setzen, und fertig ist die Sache?
Noch eine Frage: Wie könnte ich die SM951 im T460s unkompliziert gegen eine 960 Pro tauschen? Kauft man die 960 Pro, der liegt eventuell ein Tool von Samsung sowie ein Adapter für den externen Betrieb der 960 Pro über USB bei, man kopiert den Inhalt der SM951 auf die 960 Pro, baut dann die SM951 aus und steckt stattdessen die 960 Pro ein, und alles läuft wie vorher? Hat das schon mal jemand gemacht?
- - - Beitrag zusammengeführt - - -
Hallo zusammen,
nach weiterer Recherche läuft es offenbar wie folgt:
https://support.lenovo.com/de/de/solutions/ht002240
https://www.heise.de/ct/hotline/Festplatte-mit-Hardware-Verschluesselung-sinnvoll-2575449.html
D.h. eine SSD mit HW-Verschlüsselung verschlüsselt ab Werk immer, nur bringt das nichts, wenn man nicht unabhängig davon ein Laufwerks-Passwort im BIOS setzt, da die Verschlüsselung dann transparent und von außen "unsichtbar" bliebe (außer bei forensischem Zugriff auf die SSD unter Umgehung des integrierten Controllers). Somit schützt die Verschlüsselung nur den Zugang unter Umgehung des SSD-Controllers, den Zugang über den SSD-Controller (der automatisch entschlüsselt) dagegen muss man zusätzlich per Laufwerks-Passwort schützen.
TGC Opal ist nur für spezielle Software nötig, eDrive für die Verwendung von Bitlocker. D.h. reine AES-Verschlüsselung zusammen mit einem Laufwerks-Passwort im BIOS ist die "normale" Lösung.
Was ich mich frage: Bringt ein Laufwerks-Passwort nicht auch bei einer unverschlüsselten SSD schon eine Menge hinsichtlich Datenschutz bei Diebstahl? Denn der Dieb könnte so auf normalem Wege ohne Passwort das Laufwerk nicht auslesen - er müsste vielmehr schon den Laufwerks-Controller umgehen. Aber welcher gemeine Dieb nimmt eine SSD auseinander und bringt die Chips über einen anderen Controller zum Laufen oder gibt sie zum Forensik-Unternehmen und lässt sie dort gegen horrende Kosten wiederherstellen?
- - - Beitrag zusammengeführt - - -
Wenn man allerdings das hier liest, bekommt man direkt Angst, dass etwas schief läuft und man die Platte irreversibel sperrt oder gar löscht:
http://thinkwiki.de/HDD_Passwort_zurücksetzen
Allerdings steht dazu auch wieder geschrieben, dass sie zwar AES 256 können soll, aber TGC Opal 2.0 erst mit einem FW-Update kommen soll (das dann womöglich wie bei der 950 Pro wieder ausbleibt?).
Mal ganz praktisch gefragt: Wie bekomme ich wieder eine Hardware-verschlüsselte SSD unkompliziert ans Laufen?
Beim alten T61p war es ja so, dass die HDD das Feature FDE an Bord hatte. Im TP-BIOS wurde dann ein HW-Passwort gesetzt und die HDD dann automatisch verschlüsselt.
- Welche HW-Verschlüsselungen unterstützt das TP-BIOS denn nun allgemein: AES 256, TGC Opal (2.0?), eDrive, alles, oder nichts von alledem?
- Falls etwas davon geht: Muss man einfach nur im TP-BIOS ein SSD-Passwort setzen, und fertig ist die Sache?
Noch eine Frage: Wie könnte ich die SM951 im T460s unkompliziert gegen eine 960 Pro tauschen? Kauft man die 960 Pro, der liegt eventuell ein Tool von Samsung sowie ein Adapter für den externen Betrieb der 960 Pro über USB bei, man kopiert den Inhalt der SM951 auf die 960 Pro, baut dann die SM951 aus und steckt stattdessen die 960 Pro ein, und alles läuft wie vorher? Hat das schon mal jemand gemacht?
- - - Beitrag zusammengeführt - - -
Hallo zusammen,
nach weiterer Recherche läuft es offenbar wie folgt:
https://support.lenovo.com/de/de/solutions/ht002240
https://www.heise.de/ct/hotline/Festplatte-mit-Hardware-Verschluesselung-sinnvoll-2575449.html
D.h. eine SSD mit HW-Verschlüsselung verschlüsselt ab Werk immer, nur bringt das nichts, wenn man nicht unabhängig davon ein Laufwerks-Passwort im BIOS setzt, da die Verschlüsselung dann transparent und von außen "unsichtbar" bliebe (außer bei forensischem Zugriff auf die SSD unter Umgehung des integrierten Controllers). Somit schützt die Verschlüsselung nur den Zugang unter Umgehung des SSD-Controllers, den Zugang über den SSD-Controller (der automatisch entschlüsselt) dagegen muss man zusätzlich per Laufwerks-Passwort schützen.
TGC Opal ist nur für spezielle Software nötig, eDrive für die Verwendung von Bitlocker. D.h. reine AES-Verschlüsselung zusammen mit einem Laufwerks-Passwort im BIOS ist die "normale" Lösung.
Was ich mich frage: Bringt ein Laufwerks-Passwort nicht auch bei einer unverschlüsselten SSD schon eine Menge hinsichtlich Datenschutz bei Diebstahl? Denn der Dieb könnte so auf normalem Wege ohne Passwort das Laufwerk nicht auslesen - er müsste vielmehr schon den Laufwerks-Controller umgehen. Aber welcher gemeine Dieb nimmt eine SSD auseinander und bringt die Chips über einen anderen Controller zum Laufen oder gibt sie zum Forensik-Unternehmen und lässt sie dort gegen horrende Kosten wiederherstellen?
- - - Beitrag zusammengeführt - - -
Wenn man allerdings das hier liest, bekommt man direkt Angst, dass etwas schief läuft und man die Platte irreversibel sperrt oder gar löscht:
http://thinkwiki.de/HDD_Passwort_zurücksetzen
ThinkPound
Member
- Registriert
- 29 Juli 2010
- Beiträge
- 37
Weiß jemand, ob die 960 PRO mittlerweile eDrive unterstützt? Eine Anfrage an Samsung bleibt unbeantwortet. Ich habe mir letztes Jahr die 950 PRO in mein P70 eingebaut und dann enttäuscht festgestellt, dass ich deswegen Bitlocker nicht verwenden kann. Mittlerweile ist auch klar, dass das FW-Update dazu ausbleiben wird. Ich würde jetzt die 950 PRO zurückgeben (weil sie eine zugesicherte Eigenschaft nicht erfüllt) und mir eine 960 PRO zulegen wenn sie denn endlich eDrive unterstützt.
- Registriert
- 7 Aug. 2008
- Beiträge
- 1.842
Aus meiner Sicht sind Bitlocker und damit eDrive überflüssig - wenn das Laufwerk eh selbst eine HW-Verschlüsselung (AES) hat, braucht man doch nur noch ein HW-Passwort im BIOS zu setzen (was einem Gelegenheitsdieb, der es auf den Wert des Notebooks und nicht auf die Daten abgesehen hat, das Leben sogar ohne HW-Verschlüsselung schon erschwert):
https://thinkpad-forum.de/threads/2...swort-bei-unverschlüsseltem-Laufwerk-sinnvoll
Zuletzt bearbeitet:
