ATA-Security-Laufwerks-Passwort bei unverschlüsseltem Laufwerk sinnvoll?

[dark_rider]

Hallo zusammen,

wie in einem anderen Thread (https://thinkpad-forum.de/threads/2...lung-Bitlocker-o-auch-eDrive-OPAL-o-Ä-möglich) besprochen, ist meine SSD leider unverschlüsselt und unterstützt scheinbar keine Hardware-basierte Verschlüsselung.

Was ich mich frage: Bringt ein Laufwerks-Passwort nicht auch bei einer unverschlüsselten SSD schon eine Menge hinsichtlich Datenschutz bei Diebstahl? Denn der Dieb könnte so auf normalem Wege ohne Passwort das Laufwerk nicht auslesen - er müsste vielmehr schon den Laufwerks-Controller umgehen. Aber welcher gemeine Dieb, der es auf den Wiederverkaufswert des Notebooks und nicht auf die Daten darauf abgesehen hat, nimmt eine SSD auseinander und bringt die Chips über einen anderen Controller zum Laufen oder gibt sie zum Forensik-Unternehmen und lässt sie dort gegen horrende Kosten wiederherstellen?

Mein T460s bietet im BIOS ein Laufwerks-Passwort an:


Kann beim Setzen eines solchen etwas schiefgehen und irgendwie ein Datenverlust drohen?

 

[Mornsgrans]

Kann beim Setzen eines solchen etwas schiefgehen und irgendwie ein Datenverlust drohen?

Ja, wenn man es vergisst oder falsch eingibt

Datensicherung ist obligatorisch, da m.E. nicht sicher ist, dass nach einem Boardwechsel die Platte freigeschaltet werden kann.

 

[dennker]

Hat nicht jeder moderne i-X mittlerweile AES Ni und lässt damit auch eine normale Verschlüsselung in Frage kommen?

 

[dark_rider]

Eine Frage ist noch: Wenn das BIOS das Laufwerks-Passwort anbietet, bedeutet das, dass das Laufwerk selbst dies auch unterstützt und auch kompatibel mit der Umsetzung im BIOS des TP ist, d.h. prüft das TP-BIOS das Laufwerk vorher? Weil ich online las, dass es hier keine verbindlichen Standards gibt und sowohl Firmware des PC als auch der SSD das Passwortmanagement unterstützen müssen?

 

[think_pad]

... (weil ich online las, dass es hier keine verbindlichen Standards gibt und sowohl Firmware des PC als auch der SSD das Passwortmanagement unterstützen müssen)?

Heißt im Klartext: SATA-Passwörter müssen im gleichen Gerät entsperrt werden, in denen auch das Passwort vergeben wurde.
(Ausnahmen bestätigen die Regel. gerade bei Lenovo, aber: Es gibt keine Garantie für die Entschlüsselung, außer im gleichen Gerät mit gleichem BIOS.)

Mit diesem SATA-Password ist man erst mal sicher bei Diebstahl. Und man kann die Sicherheit noch erhöhen:
Ist das Supervisor-Passwort identisch mit dem SATA-Passwort, muss man es nur einmal eingeben. Das BIOS erkennt die Übereinstimmung und fragt nicht zweimal ab.

Bei Geräten wie dem T61 bis T/W520 gilt noch weiter: Hat man die Möglichkeit, einmal die Lenovo-Software für Fingerprints (meistens unter WIN 7) laufen zu lassen, werden die Abdrücke im BIOS gespeichert, man kann dann das Supervisor- und SATA-Passwort per Fingerprint entsperren, im W520 kann man (bei WIN7) dann sogar per Fingerprint bis auf den Desktop durchstarten.

Hat man später WINDOWS 10 installiert, muss man dann zweimal per Fingerprint entsperren: Einmal Supervisor- und SATA-Passwort via BIOS beim Start, ein zweites Mal, um WIN 10 zu entsperren. Beide Vorgänge laufen völlig unabhängig voneinander ab und benutzen nur den Fingerprint-Reader gemeinsam.

Hat man die ganze Sache aber irgendwie vermasselt und kommt nicht mehr auf das Gerät, muss man das Supervisor- bzw. SATA-Passwort kennen und eine unverschlüsselte Kopie des Images auf einem externen Datenträger haben. Sonst kann einem keiner mehr helfen...

 

[fishmac]

wobei IIRC gibt es Unterschiede zwischen internem und externem (externes Keyboard) FPR - Die Daten scheinen nicht gleich - jedenfalls ist die Win7-Kiste damals gecrashed. Für Deinen Use-Case müsstest Du beim Austausch des Palmrests aufpassen.

 

[think_pad]

wobei IIRC gibt es Unterschiede zwischen internem und externem (externes Keyboard) FPR - Die Daten scheinen nicht gleich - jedenfalls ist die Win7-Kiste damals gecrashed.

Kann man umgehen, in dem man das Passwort strikt aus dem ASCII-Code auswählt: Buchstaben, Ziffern, aber keine Umlaute: ae statt ä, ue statt ü ... usw.
Sonderzeichen nur, wenn sie wirklich auf der US- und der DE-Tastatur exakt auf der selben Taste liegen und so erreichbar sind, dass man auf beiden Tastaturen dieselben Tasten benutzt.

!"#$%&'()*+,-./0123456789:;<=>?
@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_
`abcdefghijklmnopqrstuvwxyz{|}~

Ein gutes Passwort ist z.B. das erste, eigene Fahrzeug mit Kennzeichen; etwa "HHCD2467Bulli" oder "BVW3956Kaefer" oder "MTG6710Lamborghini".

Als vergesslicher User kann man sein Passwort natürlich auch von der Rückseite des Geräts abschreiben: "ThinkPadW5204282R8CKTXE"

Ist lang, kann man nicht nachmachen und kennt keiner...

 

[bcbg]

Hallo zusammen,

wie in einem anderen Thread (https://thinkpad-forum.de/threads/2...lung-Bitlocker-o-auch-eDrive-OPAL-o-Ä-möglich) besprochen, ist meine SSD leider unverschlüsselt und unterstützt scheinbar keine Hardware-basierte Verschlüsselung.

Was ich mich frage: Bringt ein Laufwerks-Passwort nicht auch bei einer unverschlüsselten SSD schon eine Menge hinsichtlich Datenschutz bei Diebstahl? Denn der Dieb könnte so auf normalem Wege ohne Passwort das Laufwerk nicht auslesen - er müsste vielmehr schon den Laufwerks-Controller umgehen. Aber welcher gemeine Dieb, der es auf den Wiederverkaufswert des Notebooks und nicht auf die Daten darauf abgesehen hat, nimmt eine SSD auseinander und bringt die Chips über einen anderen Controller zum Laufen oder gibt sie zum Forensik-Unternehmen und lässt sie dort gegen horrende Kosten wiederherstellen?
[...]

Hinsichtlich Datenschutz wäre die Wirkung gering bis inexistent: Ich habe soeben bei meinem T440p die M.2-SSD (beherbergte das Zweit-OS), die keine Hardwareverschlüsselung kennt, ausgebaut, in ein externes Gehäuse verfrachtet, extern am Desktop PC angeschlossen und mit Freude sämtliche Daten durchgesehen ...
bcbg

 

[dark_rider]

Trotz auf dem TP vergebenem Laufwerks-Passwort, d.h. im externen Gehäuse wurde dies gar nicht abgefragt und man konnte ohne Passwort auf alle Daten zugreifen?

 

[laptopheaven]

Hinsichtlich Datenschutz wäre die Wirkung gering bis inexistent: Ich habe soeben bei meinem T440p die M.2-SSD (beherbergte das Zweit-OS), die keine Hardwareverschlüsselung kennt, ausgebaut, in ein externes Gehäuse verfrachtet, extern am Desktop PC angeschlossen und mit Freude sämtliche Daten durchgesehen ...

Wenn Deine SSD ein gesetztes HDD Passwort gehabt hätte, wärest Du kläglich gescheitert. Ohne Passwort mit dem richtigen Algorithmus verschlüsselt, startet die SSD erst gar nicht.

Das Auslesen ungeschützer Platten ist ein ganz normaler Vorgang und auch so gewollt.

 

[Mornsgrans]

Ich habe soeben bei meinem T440p die M.2-SSD (beherbergte das Zweit-OS), die keine Hardwareverschlüsselung kennt, ausgebaut, in ein externes Gehäuse verfrachtet, extern am Desktop PC angeschlossen und mit Freude sämtliche Daten durchgesehen ...

Dann hatte die M.2 SSD kein HDD-Passwort.

Ein mit Passwort gesichertes Passwort Laufwerk wird an USB gehängt zwar erkannt, aber als nicht formatierbares unformatiertes Laufwerk angegeben.

 

[bcbg]

Das HDD-Passwort war im BIOS gesetzt. Die M.2 von mydigitalssd unterstützt keine hw-seitige Verschlüsselung. Deshalb war ich nicht wirklich überrascht. Wenn ich indes die Rückmeldungen hier sehe, vermute ich, dass ein Fehler meinerseits beim Setzen des Passwort die Ursache sein könnte.

 

[harpo]

Das HDD-Passwort war im BIOS gesetzt. Die M.2 von mydigitalssd unterstützt keine hw-seitige Verschlüsselung. Deshalb war ich nicht wirklich überrascht. Wenn ich indes die Rückmeldungen hier sehe, vermute ich, dass ein Fehler meinerseits beim Setzen des Passwort die Ursache sein könnte.

Das HDD-Passwort im BIOS hat ja auch nichts mit eigentlicher Hardware-Verschlüsselung der Daten auf der Platte zu tun (wie bei OPAL etc.) Es sperrt im Festplatten-/SSD-Controller den Zugriff auf den Speicher. Eigentlich sollte diese Funktionalität in nahezu jeder SSD und HDD Standard sein und das schon seit etlichen Jahren. Deshalb können sich wohl laptopheaven, Mornsgrans wie auch ich nicht vorstellen, dass dies bei Deiner SSD nicht so ist.

- - - Beitrag zusammengeführt - - -

Aber die gleiche Frage, wie die von dark_rider kam mir auch schon: Im Prinzip sollte es also keine Probleme bereiten, nachträglich das Passwort im BIOS zu setzen, nachdem man bereits die Platte mit mehreren OS und Daten gefüllt hat? (Klar, vorheriges Backup ist natürlich wie bei allen sensiblen Eingriffen Pflicht!)

 

[Mornsgrans]

Aber die gleiche Frage, wie die von dark_rider kam mir auch schon: Im Prinzip sollte es also keine Probleme bereiten, nachträglich das Passwort im BIOS zu setzen, nachdem man bereits die Platte mit mehreren OS und Daten gefüllt hat? (Klar, vorheriges Backup ist natürlich wie bei allen sensiblen Eingriffen Pflicht!)

Wenn ich neue ThinkPads für unseren Außendienst vorbereite, setze ich als allerletzte Maßnahme vor der Herausgabe BIOS-(SVP) und HDD-Passwort (ohne HDD-Verschlüsselung). Probleme hierbei gab es nie. Warum auch? - Das HDD-Passwort wird in einen dafür extra vorgesehenen Bereich der HDD geschrieben.

Setze ich die HDD in anderes ThinkPad ohne BIOS-Passwort ein, ist das HDD-Passwort erst änder- und entfernbar, nachdem ein BIOS-Passwort (SVP) gesetzt wurde.

 

[harpo]

Setze ich die HDD in anderes ThinkPad ohne BIOS-Passwort ein, ist das HDD-Passwort erst änder- und entfernbar, nachdem ein BIOS-Passwort (SVP) gesetzt wurde.

Dazu muss man aber dennoch das korrekte HDD-Passwort kennen, oder? Sonst wäre die ganze Sache ja witzlos...

 

[tptux]

Meine Erfahrungen sehen dazu so aus:
Ich habe in meinen T450s das Passwort für die verbaute SSD im BIOS gesetzt und damit ist die SSD voll verschlüsselt.
Diese SSD hatte ich testhalber in einem T420s und in einem anderen T450s als Bootlaufwerk eingebaut. Bei beiden Gerät wurde ich
nach dem Passwort gefragt und nach Eingabe von diesem konnten beide TPs problemlos von der SSD booten.
Unter Linux konnte ich die SSD auch über einem SATA-USB-Adapther am USB-Port problemlos freischalten und "mounten".

Grüße
tptux

 

[harpo]

und damit ist die SSD voll verschlüsselt.

Nein, ist sie nicht, siehe oben. Nur der Zugriff im Controller der SSD ist gesperrt und per PW verschlüsselt. Die Daten selbst in den Speichermodulen sind nicht verschlüsselt.

 

[dark_rider]

Meine Erfahrungen sehen dazu so aus:
Ich habe in meinen T450s das Passwort für die verbaute SSD im BIOS gesetzt und damit ist die SSD voll verschlüsselt.

Die Verschlüsselung ist völlig unabhängig vom ATA-Passwort, s.o. - d.h. ein Laufwerk mit HW-Verschlüsselung speichert immer alles verschlüsselt, auch ohne aktiviertes Passwort. Allerdings kann dann weiter jeder auf die Daten zugreifen, da der SSD-Controller sie auch ohne Passwort automatisch entschlüsselt. Nur der forensische Zugriff auf die Speicherchips (d.h. unter Umgehung des integrierten Controllers der SSD = SSD auseinandernehmen und die Chips an einen anderen Controller anschließen) scheitert dann, weil die Daten auf den Chips verschlüsselt sind und nur über den originalen Controller entschlüsselt werden können. Man muss also auch den Controller noch sichern, durch die Vergabe eines Laufwerks-/ATA-Passwortes.

Zusammenfassung:
a) HW-Verschlüsselung ohne Laufwerks-/ATA-Passwort: Nur Speicherchips gegen forensisches Auslesen gesichert, originaler Controller entschlüsselt diese aber jederzeit, d.h. Dieb könnte intakte SSD jederzeit auslesen.
b) Laufwerks-/ATA-Passwort ohne HW-Verschlüsselung: Speicherchips nicht gegen forensisches Auslesen gesichert, Zugriff über originalen Controller aber gesichert, d.h. Dieb müsste SSD auseinanderbauen und Chips an anderen Controller hängen.
c) HW-Verschlüsselung und Laufwerks-/ATA-Passwort: Speicherchips gegen forensisches Auslesen gesichert, Zugriff über originalen Controller auch gesichert, d.h. Dieb könnte SSD weder über den originalen Controller noch per Forensik (Speicherchips an anderen Controller hängen) auslesen.

Diese SSD hatte ich testhalber in einem T420s und in einem anderen T450s als Bootlaufwerk eingebaut. Bei beiden Gerät wurde ich
nach dem Passwort gefragt und nach Eingabe von diesem konnten beide TPs problemlos von der SSD booten.

Das hört sich doch mal vertrauenserweckend an!

Unter Linux konnte ich die SSD auch über einem SATA-USB-Adapther am USB-Port problemlos freischalten und "mounten".

Aber natürlich nur mit dem Laufwerks-Passwort, oder?

 

[cuco]

Was ich mich frage: Bringt ein Laufwerks-Passwort nicht auch bei einer unverschlüsselten SSD schon eine Menge hinsichtlich Datenschutz bei Diebstahl? Denn der Dieb könnte so auf normalem Wege ohne Passwort das Laufwerk nicht auslesen - er müsste vielmehr schon den Laufwerks-Controller umgehen. Aber welcher gemeine Dieb, der es auf den Wiederverkaufswert des Notebooks und nicht auf die Daten darauf abgesehen hat, nimmt eine SSD auseinander und bringt die Chips über einen anderen Controller zum Laufen oder gibt sie zum Forensik-Unternehmen und lässt sie dort gegen horrende Kosten wiederherstellen?

Ja, so ist es.

Kann beim Setzen eines solchen etwas schiefgehen und irgendwie ein Datenverlust drohen?

Es gab schon SSDs mit Fehler in der Firmware, bei denen insbesondere beim Ändern oder Löschen eines Passworts die Daten verloren gingen. In der Regel kann man das Passwort aber gefahrlos setzen, ändern und auch wieder entfernen.

Datensicherung ist obligatorisch, da m.E. nicht sicher ist, dass nach einem Boardwechsel die Platte freigeschaltet werden kann.

Abgesehen davon, dass man natürlich eh immer Backups machen muss, ist das ein wichtiger Punkt! Es gibt leider verschiedenste Implementierungen dieser Technik mainboardseitig, so dass es halt immer sein kann, dass die HDD/SSD nur entsperrbar ist, wenn man a) das Passwort kennt und b) die Platte noch am gleichen oder gar selben Mainboard hängt.

Hat nicht jeder moderne i-X mittlerweile AES Ni und lässt damit auch eine normale Verschlüsselung in Frage kommen?

Auch AES-NI kostet noch (kräftig) Performance, wenn auch um Längen weniger als ohne. Im Benchmark auf einem Lenovo W520 sind bei mir damals trotz AES-NI ca. 90% verloren gegangen. Trotz AES-NI, welches >>1GB/s verschlüsseln kann. Sequentiell merkt man das auch nicht, aber die zufälligen Zugriffe dauerten deutlich länger und daher sank die Bandbreite dort stark. Deswegen: Ja, AES-NI ist eine geniale Sache und für Vollverschlüsselung deutlich besser als kein AES-NI, aber wenn es geht, setzt man für die volle Performance auf andere Möglichkeiten.

Eine Frage ist noch: Wenn das BIOS das Laufwerks-Passwort anbietet, bedeutet das, dass das Laufwerk selbst dies auch unterstützt und auch kompatibel mit der Umsetzung im BIOS des TP ist, d.h. prüft das TP-BIOS das Laufwerk vorher? Weil ich online las, dass es hier keine verbindlichen Standards gibt und sowohl Firmware des PC als auch der SSD das Passwortmanagement unterstützen müssen?

AFAIK ist dieses Security-Feature Teil des ATA-Standards. Dann muss man da nicht überprüfen ob es geht - es hat zu gehen Mir ist jedenfalls kein Laufwerk der letzten 15(-20) Jahre untergekommen, welches das nicht unterstützt.

Zusammenfassung:a) HW-Verschlüsselung ohne Laufwerks-/ATA-Passwort: Nur Speicherchips gegen forensisches Auslesen gesichert, originaler Controller entschlüsselt diese aber jederzeit, d.h. Dieb könnte intakte SSD jederzeit auslesen.b) Laufwerks-/ATA-Passwort ohne HW-Verschlüsselung: Speicherchips nicht gegen forensisches Auslesen gesichert, Zugriff über originalen Controller aber gesichert, d.h. Dieb müsste SSD auseinanderbauen und Chips an anderen Controller hängen.c) HW-Verschlüsselung und Laufwerks-/ATA-Passwort: Speicherchips gegen forensisches Auslesen gesichert, Zugriff über originalen Controller auch gesichert, d.h. Dieb könnte SSD weder über den originalen Controller noch per Forensik (Speicherchips an anderen Controller hängen) auslesen.

So sieht es aus.

 

[cyberjonny]

So sieht es aus.

Aber immer nur unter der Prämisse, dass der Hersteller nichts unabsichtlich (Bug) oder absichtlich (Backdoor) verbockt hat.