Full Disk Encryption mit nvme SSDs...?

  • Ersteller Ersteller Chuck
  • Erstellt am Erstellt am
C

Chuck

Guest
Themenstarter
Ich habe da gefährliches Halbwissen, vielleicht kann mich jemand aufklären.

Bis dato habe ich in Laptops Samsung SATA SSDs (z.B. Evo 840 Pro, Evo 950 Pros) genutzt. Diese Viecher waren/sind - nach meinem Kenntnisstand - immer und per se AES256 verschlüsselt. Eine Zugriffsbeschränkung auf den symmetrischen Schlüssel konnte über das ATA Plattenpasswort - im Regelfall per BIOS - eingeschränkt werden. Ein TPM Modul wurde hierfür nicht benötigt.

nvme SSDs haben die Besonderheit, dass sie (Halbwissen?) direkt am PCIe Bus hängen, mit SATA hat das zunächst wenig zu tun, weswegen der o.a. Kniff bei nvme SSDs (z.B. Samsung 960 Pro) nicht funktioniert.

Bei diesen Varianten dürfte es zwei Möglichkeiten geben:

a.) Software Full-Disk-Encryption (z.B. VeraCrypt, dm-crypt, Bitlocker Software-Only) bzw. Hardware-Assisted-Software-FDE (z.B. Bitlocker, nutzt die Hardware-AES-Verschlüsselung der SSD direkt)
b.) setzen eines Passwortes per TCG-Storage OPAL (siehe: https://trustedcomputinggroup.org/tcg-storage-opal-nvme/)

Zu a.) Software FDE hat bekannte Vor- und Nachteile, Bitlocker z.B. ist auf meinem Laptop pure PITA. Bitlocker mit Hardware-Assisted-AES ist gefühlt irrelevant, wo aktuelle i7 CPUs mit nativer AES Unterstützung 6-8 Gigabyte pro Sekunde AES verschlüsseln.

Zu b.) Das ist der eigentliche, interessante Aspekt. "Leute" machen sich darüber Gedanken, implementieren Sachen (https://github.com/Drive-Trust-Alliance/sedutil oder auch https://www.experts-exchange.com/qu...independent-encryption-in-modern-laptops.html) - aber hat schon mal jemand so etwas praktisch probiert / ans laufen bekommen?

Danke!

Ergänzung: https://vxlabs.com/2015/02/11/use-t...-disk-encryption-your-tcg-opal-ssd-with-msed/
 
Zuletzt bearbeitet:
Ich nutze seit Jahre nur Bitlocker, über Software. An eDrive habe ich mich versucht, bin aber mehrmals gescheitert. Bitlocker mit TPM ist eine Sache von ein paar Minuten.
 
Die Probleme bei Bitlocker liegen bei mir beim USB-Dock, an dem ich meinen Rechner betreibe. Die darin enthaltene Netzwerkkarte wird als Hardwareänderung erkannt, so dass ich letztes Jahr gefühlt 40x den Bitlocker Key eingeben musste.

Eigentlich IMMER, wenn ich gedockt (per USB-C) heruntergefahren und ungedockt raufgefahren habe (oder andersherum).

Total Ätzend und inakzeptabel.


Deswegen hatte ich in diesem Thread gezielt nach nvme FDE ohne Software FDE gefragt, würde gerne drauf fokussieren.
 
Nimm die Netzwerkkarte aus der Bootreihenfolge raus. Dann ist das Problem vermutlich erledigt. Der NIC selber dürfte Bitlocker nicht stören, die Änderung der Bootreihenfolge (mit und ohne NIC) schon.

Sorry, wenn ich zu deiner NVMe Frage nichts beitragen konnte.
 
Habe damit selbst auch keine Erfahrungen, aber der Unterschied hier ist doch nur, dass der Key nicht auf der Platte selbst sondern im TPM gespeichert wird. Und genau das sollte das BIOS/UEFI deines Thinkpads ja eigentlich hinbekommen. Es gibt auch einige Argumente, warum das nochmal deutlich sicherer als ein ATA-Kennwort sein soll - siehe:

http://nvmexpress.org/wp-content/up...ite_Paper-TCG_Storage_Opal_and_NVMe_FINAL.pdf

und

http://www.flashmemorysummit.com/En...ceedings/2016/20160809_FC12_Codandaramane.pdf

Ich persönlich vertraue dieser in Hardware implementierten Verschlüsselung deutlich weniger als freien Implementierungen in Software. Man kann es vielleicht als zusätzliches Sicherheitsfeature aktivieren, aber als einziger Schutz ist das imho unzureichend. Es hat übrigens auch eine Menge pfuschiger Implementierungen von (nutzloser) ATA-Security gerade bei SSDs, siehe auch:

https://vxlabs.com/2012/12/22/ssds-with-usable-built-in-hardware-based-full-disk-encryption/
 
eDrive (also BitLocker, welches die Hardwareverschlüsselung der SSD benutzt) kann die Samsung 960 Pro nicht. Und auch keine mir bekannte NVMe-SSD. Wobei ich mich mit aktuellen Modellen nicht so beschäftigt habe.

Software, die per TCG OPAL die Hardwareverschlüsselung der SSD nutzt, kenne ich nur im professionellen Umfeld. Irgendwas "kleines", was man auch als Homeuser einsetzen kann, ist mir nicht bekannt.

Kann man denn bei NVMe kein "HDD-Passwort" mehr setzen? Wenn nein, bleibt wirklich nur noch die Softwareverschlüsselung. Die kostet aber natürlich immer etwas Leistung. Auch bei AES-NI. Denn erstens heißt das, dass eine CPU, die 6-8GB/s per AES-NI schafft, beim sequentiellen Schreiben oder Lesen auf die SSD nur durch die Verschlüsselung schon zu 50-75% ausgelastet ist (wenn die SSD 4GB/s schafft). Und zweitens muss dann jeder Zugriff durch die CPU, was Latenzen reinbringt, wodurch die Werte bei zufälligen Zugriffen stark einbrechen. Mag inzwischen besser geworden sein, 2012 waren das bei meinen Experimenten etwa 90% weniger.
 
Auch sonst müssen die Zugriffe durch die CPU.
 
Zuletzt bearbeitet:
Ich pers. hatte ebenfalls den Eindruck, dass AES in Hardware heute kein Bottleneck mehr darstellt. Habe mich damit mal vor zwei Jahren mit einer Evo 840, einer aktuellen i7 CPU und VeraCrypt bzw. Bitlocker beschäftigt. Die Messunterschiede waren im Bereich der Messungenauigkeit, nichts, was man als Anwender merken würde. Aber ich habe auch keine wissenschaftliche Publikation draus gemacht :-)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben