C
Chuck
Guest
Ich habe da gefährliches Halbwissen, vielleicht kann mich jemand aufklären.
Bis dato habe ich in Laptops Samsung SATA SSDs (z.B. Evo 840 Pro, Evo 950 Pros) genutzt. Diese Viecher waren/sind - nach meinem Kenntnisstand - immer und per se AES256 verschlüsselt. Eine Zugriffsbeschränkung auf den symmetrischen Schlüssel konnte über das ATA Plattenpasswort - im Regelfall per BIOS - eingeschränkt werden. Ein TPM Modul wurde hierfür nicht benötigt.
nvme SSDs haben die Besonderheit, dass sie (Halbwissen?) direkt am PCIe Bus hängen, mit SATA hat das zunächst wenig zu tun, weswegen der o.a. Kniff bei nvme SSDs (z.B. Samsung 960 Pro) nicht funktioniert.
Bei diesen Varianten dürfte es zwei Möglichkeiten geben:
a.) Software Full-Disk-Encryption (z.B. VeraCrypt, dm-crypt, Bitlocker Software-Only) bzw. Hardware-Assisted-Software-FDE (z.B. Bitlocker, nutzt die Hardware-AES-Verschlüsselung der SSD direkt)
b.) setzen eines Passwortes per TCG-Storage OPAL (siehe: https://trustedcomputinggroup.org/tcg-storage-opal-nvme/)
Zu a.) Software FDE hat bekannte Vor- und Nachteile, Bitlocker z.B. ist auf meinem Laptop pure PITA. Bitlocker mit Hardware-Assisted-AES ist gefühlt irrelevant, wo aktuelle i7 CPUs mit nativer AES Unterstützung 6-8 Gigabyte pro Sekunde AES verschlüsseln.
Zu b.) Das ist der eigentliche, interessante Aspekt. "Leute" machen sich darüber Gedanken, implementieren Sachen (https://github.com/Drive-Trust-Alliance/sedutil oder auch https://www.experts-exchange.com/qu...independent-encryption-in-modern-laptops.html) - aber hat schon mal jemand so etwas praktisch probiert / ans laufen bekommen?
Danke!
Ergänzung: https://vxlabs.com/2015/02/11/use-t...-disk-encryption-your-tcg-opal-ssd-with-msed/
Bis dato habe ich in Laptops Samsung SATA SSDs (z.B. Evo 840 Pro, Evo 950 Pros) genutzt. Diese Viecher waren/sind - nach meinem Kenntnisstand - immer und per se AES256 verschlüsselt. Eine Zugriffsbeschränkung auf den symmetrischen Schlüssel konnte über das ATA Plattenpasswort - im Regelfall per BIOS - eingeschränkt werden. Ein TPM Modul wurde hierfür nicht benötigt.
nvme SSDs haben die Besonderheit, dass sie (Halbwissen?) direkt am PCIe Bus hängen, mit SATA hat das zunächst wenig zu tun, weswegen der o.a. Kniff bei nvme SSDs (z.B. Samsung 960 Pro) nicht funktioniert.
Bei diesen Varianten dürfte es zwei Möglichkeiten geben:
a.) Software Full-Disk-Encryption (z.B. VeraCrypt, dm-crypt, Bitlocker Software-Only) bzw. Hardware-Assisted-Software-FDE (z.B. Bitlocker, nutzt die Hardware-AES-Verschlüsselung der SSD direkt)
b.) setzen eines Passwortes per TCG-Storage OPAL (siehe: https://trustedcomputinggroup.org/tcg-storage-opal-nvme/)
Zu a.) Software FDE hat bekannte Vor- und Nachteile, Bitlocker z.B. ist auf meinem Laptop pure PITA. Bitlocker mit Hardware-Assisted-AES ist gefühlt irrelevant, wo aktuelle i7 CPUs mit nativer AES Unterstützung 6-8 Gigabyte pro Sekunde AES verschlüsseln.
Zu b.) Das ist der eigentliche, interessante Aspekt. "Leute" machen sich darüber Gedanken, implementieren Sachen (https://github.com/Drive-Trust-Alliance/sedutil oder auch https://www.experts-exchange.com/qu...independent-encryption-in-modern-laptops.html) - aber hat schon mal jemand so etwas praktisch probiert / ans laufen bekommen?
Danke!
Ergänzung: https://vxlabs.com/2015/02/11/use-t...-disk-encryption-your-tcg-opal-ssd-with-msed/
Zuletzt bearbeitet:
