T450s mit M.2 SSD + 1 TB HDD und beide verschlüsselt?

M

mtbr

Member
Registriert
27 März 2010
Beiträge
130
Hallo,

ich möchte mir ein T450s als neuen Firmelaptop zulegen, die original verbaute 1TB HDD als Datengrab nutzen und eine M.2 SSD als Systemlaufwerk einbauen.

Beide Laufwerke sollen verschlüsselt werden, ist das in Hardware, also ohne Leistungsverlust möglich oder geht sowas nur softwareseitig? Und was hat es denn mit diesem TPM Chip auf sich? Mir gehts darum, dass falls der Laptop geklaut und die Laufwerke ausgebaut werden sollten, der Bösewicht nicht einfach an die Daten kann :).

Wer kennt sich aus und hat Muse mich aufzuklären? :rolleyes:
 
Hallo,

wenn du wirklich einen T450s meinst, wird das schwierig, weil dieses Gerät M.2-SSDs nur in der Bauform "m.2 2242" unterstützt. Bei dieser Bauform gibt es kaum Auswahl bei SSDs, dazu müsstest du noch gucken, ob dieser Slot (der für WLAN etc. gedacht ist) auch SSDs unterstützt. Falls du den T460s meinst, nimmt der m.2 2280 auf, das wäre kein Problem.

Du solltest auf Verschlüsselung (in Hardware) mit 256 Bit AES achten. Das kannst du am besten mit Geizhals filtern. Hier ist eine Geizhals-Liste mit 1 TB-SSDs in m.2 2280: http://geizhals.de/?cat=hdssd&xf=252_960~4836_6#xf_top
 
teetasse schrieb:
ob dieser Slot (der für WLAN etc. gedacht ist) auch SSDs unterstützt
Zum Vergrößern anklicken....
Tut er, allerdings ist das der Slot für die WWAN-Karte.
teetasse schrieb:
Falls du den T460s meinst, nimmt der m.2 2280 auf, das wäre kein Problem.
Zum Vergrößern anklicken....
Das T460s hat allerdings keinen 2,5"-Schacht :rolleyes:


Wenn man eine M.2 2242-SSD und eine HDD mit Hardwareverschlüsselung nimmt (außer der Plextor M6G-2242 scheint es da aber keine entsprechende SSD zu geben) und der und für beide im UEFI ein HDD-Passwort vergibt, sollte das bereits alles sein.
 
Zuletzt bearbeitet:
Nunja, die Plextor M6G-2242 ist mit max. 128 GB wirklich klein, für mich wäre das zu wenig. Die größte Variante (= 512 GB) einer M.2 2242 ( http://geizhals.de/transcend-mts400-512gb-ts512gmts400-a1371772.html?hloc=at&hloc=de ) unterstützt wiederum keine Hardware-Verschlüsselung.

Ist also nicht so einfach. Wenn diese Nachteile für den OP akzeptabel sind, würde ich an seiner Stelle auf jeden Fall ein 460p nehmen, denn dessen einzigen Nachteil hätte er beim 450s auch, die Vorteile des 460p kann er dann bedenkenlos mitnehmen.
 
Dafür bindet man sich mit dem T460p auch einige weitere Nachteile ans Bein, der einzige wirkliche Vorteil ist die deutlich höhere Leistung.
 
mtbr schrieb:
Mir gehts darum, dass falls der Laptop geklaut und die Laufwerke ausgebaut werden sollten, der Bösewicht nicht einfach an die Daten kann .
Zum Vergrößern anklicken....
Wenn es rein um den Gelegenheitsdieb geht, dann reicht es, nur die HDD Passworte zu vergeben.

Ein Gelegenheitsdieb kann die Dinger nicht ans Rennen bringen, wenn er das HDD Passwort nicht kennt. Selbst wen er die Platten in ein anderes System verbaut starten die ja erst, sobald das richtige Passwort eingegeben wurde. Das Passwort selber ist auf jeden Fall schon mal verschlüsselt (durch die Passphrase die imemr aktiviert ist) abgelegt.

Und selbst für jemanden mit Ahnung ist ein HDD Passwort eine quasi unüberwindliche Hürde, da nicht jeder Spezialhardware für ca. 10-20K in der Ecke liegen hat....
 
Hallo @all und danke schonmal für die Infos!

@teetasse: ich meine schon das T450s, und gerade das hatte ich mir auch vorgestellt, weil ich dann die SSD für Betriebssystem und Arbeitsdaten sowie die große HDD als Datengrab verwenden kann. Dass ich dann, wie fb1996 schon richtig festgestellt hat, kein WWAN-Modul mehr verwenden kann, ist mir egal...

fb1996 schrieb:
Wenn man eine M.2 2242-SSD und eine HDD mit Hardwareverschlüsselung nimmt (außer der Plextor M6G-2242 scheint es da aber keine entsprechende SSD zu geben) und der und für beide im UEFI ein HDD-Passwort vergibt, sollte das bereits alles sein.
Zum Vergrößern anklicken....
Die 128MB sind mir aber echt etwas knapp. Ich habe jetzt in meinem T430s eine 256GB mSATA SSD in Kombination mit einer HDD laufen und die 256GB SSD ist schon ganz gut bedient. Wechseln möchte ich in erster Linie wegen des besseren FHD IPS Displays und der deutlich längeren Akkulaufzeit bei ca gleicher CPU Leistung.

Das T460 sollte nicht wesentlich größer sein, als das T450s, evtl. kommt das auch noch in Frage - muss mir mal die Tests ansehen. T460p ist too much...

@laptopheaven:
Genau darum gehts mir! Ich arbeite zwischendurch im Zug und wenn der Schleppi mal weg ist, soll der Schaden auf die Hardware beschränkt bleiben. Einen gezielten Diebstahl aus Spionagegründen befürchte ich nicht. Ich will einfach nicht, dass ein gewiefter Dieb oder späterer "Gebrauchtkäufer" sich an meinen Daten erfreut.

Wie funktioniert das mit dem HDD-Passwort? Im Endeffekt wird damit HDD-seitig die Schnittstelle zu den Speicherplatten verschlüsselt oder? Soll bedeuten die Daten sind auf den HDD-Platten zwar unverschlüsselt vorhanden, um sie freizulegen, müsste man aber aber die HDD zerlegen und die Platten mit einer Spezialhardware auslesen? Oder reicht es schon, wenn die Platten ausgebaut und in ein baugleiches Gehäuse ohne vergebenem Passwort eingebaut werden? (macht aber auch niemand ;))

So ein HDD-Passwort kann ich für jede HDD und SSD vergeben? Oder muss das auch was Spezielles sein?

Wie sieht das in der Praxis aus? Vor jedem Mal Booten die beiden Passwörter eingeben und dann im Betrieb nicht mehr?
 
fb1996 schrieb:
Das T460 unterstützt keine M.2 2242-SSDs, das tun bei den Skylake-14"-ThinkPads nur das L460 und das T460p
Zum Vergrößern anklicken....
Ok, wieder was gelernt. Beim T450 sollte das aber zumindest funktionieren. Muss mal überprüfen, was da außer wenigen mm Länge und Breite sonst noch der Unterschied zum T450s ist...
 
mtbr schrieb:
Muss mal überprüfen, was da außer wenigen mm Länge und Breite sonst noch der Unterschied zum T450s ist...
Zum Vergrößern anklicken....
Größer, dicker, schwerer, weniger hochwertige Materialien, zwei RAM-Slots statt ein Slot und 4 GB aufgelötet und das T450s gab es von Anfang an ab Werk mit FHD-Display, beim T450 wurde diese Option erst später eingeführt.
 
Ich denke, fb1996 meinte eine selbst-verschlüsselnde Platte, deren Passwort über das BIOS abgefragt wird. Auch nach dem Einbau der Platte in ein anderes Gehäuse geht es nur mit dem alten Passwort.

Problem ist wie gesagt, dass du für M.2 2242 nur 128 GB mit Hardware-Verschlüsselung bekommst und das 512 GB-Modell von Transcend nicht verschlüsselt. Dafür müsstest du also per Software verschlüsseln.
 
Nahezu jede HDD verschlüsselt doch heutzutage in Hardware, auch wenn man kein Passwort setzt ist die Verschlüsselung aktiv. Somit gibt es überhaupt keine Performance-Einbußen. Der Unterschied ist nur, ob durch das ATA-Passwort tatsächlich dafür verwendet wird den Verschlüsselungskey zu schützen oder lediglich den Zugriff sperrt (wie die normalen Nicht-FDE-Festplatten).

Wenn dein Angriffsvektor der Gelegenheitsdieb ist würde ich eine Intel-SSD nehmen. Ich würde der Firmware zwar nicht trauen, aber der Gelegenheitsdieb dürfte da keine Chance haben.

Edit: Hab nochmal geschaut. Bei den M2.2242 sieht die Situation scheinbar grundlegend anders aus...
 
Zuletzt bearbeitet:
mtbr schrieb:
Ich arbeite zwischendurch im Zug und wenn der Schleppi mal weg ist, soll der Schaden auf die Hardware beschränkt bleiben.
Zum Vergrößern anklicken....
Wenn Dir das Gerät gemopst wird, während es gerade läuft, dann sieht natürlich der Dieb alles, aber das ist ja grundsätzlich so, selbst wenn Du ein vollverschlüsseltes System mit Dateisystemverschlüssselung nutzt.
Ist das Gerät aber aus, liegt in der Tasche und diese Tasche wird Dir gestohlen, dann hat der Dieb wenig bis quasi gar keine Chance Deine Daten einzusehen, da er ja die Platte nicht ans Laufen bekommt.

teetasse schrieb:
Auch nach dem Einbau der Platte in ein anderes Gehäuse geht es nur mit dem alten Passwort.
Zum Vergrößern anklicken....
Es muss nicht nur das Passwort stimmen, sondern auch der Verschlüsselungsalgorithmus fürs Passwort selber muss der gleiche sein (heisst bei Lenovo Passphrase und ist bei neueren Systemen sowieso immer an).
Es geht also nur in einem Gerät, welches den gleichen Algorithmus nutzt.

mtbr schrieb:
Wie sieht das in der Praxis aus? Vor jedem Mal Booten die beiden Passwörter eingeben und dann im Betrieb nicht mehr?
Zum Vergrößern anklicken....
Genau so müsste es aussehen.

mtbr schrieb:
Im Endeffekt wird damit HDD-seitig die Schnittstelle zu den Speicherplatten verschlüsselt oder? Soll bedeuten die Daten sind auf den HDD-Platten zwar unverschlüsselt vorhanden, um sie freizulegen, müsste man aber aber die HDD zerlegen und die Platten mit einer Spezialhardware auslesen?
Zum Vergrößern anklicken....
Bei einer normalen (und nicht FDE) HDD werden die Daten trotz HDD Passwort, unverschlüsselt abgespeichert.
 
Wenn der Laptop läuft während er gemopst wird, gehe ich mal davon aus, dass ich nicht gerade die Finger auf der Tastatur habe - also ist Windows gesperrt und der Bösewicht kommt auch nicht an die Daten.

Zusammenfassung (bitte aufschreien wenn ich was übersehen hab):
Wenn ich der HDD ein Passwort gebe, sollten die Daten in jedem Fall vor einem Gelegenheitsdieb sicher sein. Ein HDD-Passwort kann ich einer x-beliebigen HDD vergeben.

Und bei der SSD verhält es sich genau gleich, ich kann also auch einer beliebigen SSD ein Passwort vergeben.

Zum Booten, muss ich also wahrscheinlich für beide Platten (oder zumindest für das Systemlaufwerk) das Passwort eingeben. Und dann später halt noch das Windows-Passwort. Wenn mir das noch nicht reicht, kann ich mir auch noch ein UEFI-Passwort (wollte jetzt schon BIOS-Passwort schreiben) ausdenken :)
 
mtbr schrieb:
Wenn der Laptop läuft während er gemopst wird, gehe ich mal davon aus, dass ich nicht gerade die Finger auf der Tastatur habe - also ist Windows gesperrt und der Bösewicht kommt auch nicht an die Daten.

Zusammenfassung (bitte aufschreien wenn ich was übersehen hab):
Wenn ich der HDD ein Passwort gebe, sollten die Daten in jedem Fall vor einem Gelegenheitsdieb sicher sein. Ein HDD-Passwort kann ich einer x-beliebigen HDD vergeben.

Und bei der SSD verhält es sich genau gleich, ich kann also auch einer beliebigen SSD ein Passwort vergeben.

Zum Booten, muss ich also wahrscheinlich für beide Platten (oder zumindest für das Systemlaufwerk) das Passwort eingeben. Und dann später halt noch das Windows-Passwort. Wenn mir das noch nicht reicht, kann ich mir auch noch ein UEFI-Passwort (wollte jetzt schon BIOS-Passwort schreiben) ausdenken :)
Zum Vergrößern anklicken....


Ja das ist alles richtig, kannst auch für beide Laufwerke das gl.Passwort nehmen, dann mußt du das beim booten nur einmal eingeben...
Ich würde dir allerdings raten zusätzlich Bitlocker oder Veracrypt einzusetzen.
 
Ok, gut wenn dann eine einzige Passworteingabe reicht. Was mir noch eingefallen ist: Da das Betriebssystem auf der SSD läuft und ja nicht dauernd auf die HDD zugegrifffen wird, geht diese öfters mal in den Schlafmodus. Vermutlich muss ich dann wiederum jedesmal wenn die HDD aufgeweckt wird das Passwort reinklopfen.

mcb schrieb:
Ja das ist alles richtig, kannst auch für beide Laufwerke das gl.Passwort nehmen, dann mußt du das beim booten nur einmal eingeben...
Ich würde dir allerdings raten zusätzlich Bitlocker oder Veracrypt einzusetzen.
Zum Vergrößern anklicken....
Warum? Ich dachte es braucht schon einen erheblichen Aufwand um das HDD-Passwort zu umgehen und die Daten auszulesen, den also mangels Anreiz niemand auf sich nehmen wird. Außerdem kann ich mich erinnern, dass bei SSDs mit Software-Verschlüsselung die Trim-Funktion nicht läuft.

Mal aus Interesse: Wie läuft das überhaupt mit der Softwareverschlüsselung? Zu welchem Zeitpunkt ist denn dabei eine Passworteingabe erforderlich? Muss dann ja auch noch vor dem Booten sein oder?
 
Warum nicht einfach Truecrypt mit BootAuth? Nutze ich seit Jahren. Funktioniert hervorragend. Mit AES merkste dank AES-NI auch nichts mehr heute.

Anderer Gedankenansatz: ich habe gerade vom X201 aufs T440p umgestellt. Find ich echt klasse das Teil.
 
mtbr schrieb:
Mal aus Interesse: Wie läuft das überhaupt mit der Softwareverschlüsselung? Zu welchem Zeitpunkt ist denn dabei eine Passworteingabe erforderlich? Muss dann ja auch noch vor dem Booten sein oder?
Zum Vergrößern anklicken....

Ist richtig, vor dem Bootloader kommt eine Passphrase-Abfrage, das ist auch der Moment an dem der Plausible-Deniability-Mechanismus greift, und danach wird das OS hochgefahren bzw. der Bootloader angezeigt.
 
mtbr schrieb:
Ok, gut wenn dann eine einzige Passworteingabe reicht. Was mir noch eingefallen ist: Da das Betriebssystem auf der SSD läuft und ja nicht dauernd auf die HDD zugegrifffen wird, geht diese öfters mal in den Schlafmodus. Vermutlich muss ich dann wiederum jedesmal wenn die HDD aufgeweckt wird das Passwort reinklopfen.


Warum? Ich dachte es braucht schon einen erheblichen Aufwand um das HDD-Passwort zu umgehen und die Daten auszulesen, den also mangels Anreiz niemand auf sich nehmen wird. Außerdem kann ich mich erinnern, dass bei SSDs mit Software-Verschlüsselung die Trim-Funktion nicht läuft.

Mal aus Interesse: Wie läuft das überhaupt mit der Softwareverschlüsselung? Zu welchem Zeitpunkt ist denn dabei eine Passworteingabe erforderlich? Muss dann ja auch noch vor dem Booten sein oder?
Zum Vergrößern anklicken....

Also ich habe beim T440: -
ein Supervisor Passwort fürs bios Setup und ein Userpasswort für die HDD, welches identisch mit dem Startpasswort des Rechners ist, um den Rechner einzuschalten muß man also ein Passwort eingeben, dann folgt die Softwareverschlüsselung.
Wie hoch der Aufwand ist die bios-/Festplattenpasswörter zu umgehen weiß ich nicht, früher gab es auf jeden Fall Generalpasswörter für die großen Biosanbieter, HDD-Passw. sind auch keine wirkliche Hürde (leider !!!) ...

Trim sollte inzwischen funktionieren.
 
Zuletzt bearbeitet:
mcb schrieb:
früher gab es auf jeden Fall Generalpasswörter für die großen Biosanbieter,
Zum Vergrößern anklicken....
Ja ja, früher war alles besser... Vergiss es einfach mit mal eben BIOS Passworte auslesen bei Notebooks. Und speziell bei den neueren Lenovo Systemen sind ein paar Hürden eingebaut.

mcb schrieb:
HDD-Passw. sind auch keine wirkliche Hürde (leider !!!) ...
Zum Vergrößern anklicken....
Echt, erkläre mir das mal, wenn Du der Meinung bist, dass das so einfach geht. Gerne per PM.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben