luxnote lapstore servion thinkspot
Seite 2 von 2 ErsteErste 12
Ergebnis 21 bis 33 von 33

Thema: Verschlüsselung ?

  1. #21

    Registriert seit
    10.12.2008
    Beiträge
    633
    Danke
    1
    Thanked 15 Times in 12 Posts
    Hallo,

    ich fasse das Ganze (soweit es sich überhaupt auf PCs bezog) eigentlich so zusammen wie oben schon: Konzeptionell ist es nicht komplett durchschaubar, die "kritischen" Kommentare haben auch bei dem Thema immer wieder Troll-Niveau und sind entweder grundsätzlicher Natur ("Alles, was nicht OS ist, KANN nicht sicher sein!") oder besteht aus Furcht vor "Denen". Aber einen Exploit, konkrete Bedrohungen oder dergleichen scheint es zumindest dann nicht zu geben, wenn die Bios-PW-Einbindung sorgfältig gemacht ist.
    Natürlich ist das alles immer noch nicht vollständig sicher. Und gut möglich, daß eine Verknüpfung von Bitlocker oder Veracrypt mit FDE eine graduell bessere Sicherheit bringt (auch wenn ich mir nicht einmal eine Idee eines Urteils zutraue, wie viel besser).
    Aber:

    Zitat Zitat von mcb Beitrag anzeigen
    Ja rechtlich bestimmt o.k. - obwohl Stand der Technik ist ev. Bitlocker, und andererseits möchte man ja auch die Daten so gut wie möglich schützen.
    Nein. Ich denke, das möchte man in der Regel eben nicht.
    Denn das würde bedeuten, daß die verschlüsselten Daten auf einem Raid in einem nicht onlinefähigen Rechner in einem separaten Raum mit physischer Zugangskontrolle und direkter verschlüsselter Richtfunkverbindung zu einem Backup in einem Schweizer Bunker liegen.
    Das mag in Einzelfällen nötig sein, aber pragmatisch ist es dann doch eher nicht.
    Statt dessen, denke ich, möchte man seine Daten angemessen sicher haben, bezogen auf a.) den Aufwand und b.) das Bedrohungsszenario.

    a.) Wenn jemand gern mit FDE und Bitlocker und der Integration bastelt, spricht sicher nichts dagegen, aber aufwendig ist das ja schon ein wenig.
    b.) Mögliche Szenarien:
    -Der Datenschutzbeauftragte des Kunden möchte eine Dokumentation haben, wie personenbezogene Daten auf dem Notebook geschützt sind. "128 bit aes mit Controllerzugriffskontrolle aus dem Bios" sollten da meiner laienhaften Einschätzung nach reichen.
    -Das Notebook gerät versehentlich oder durch Diebstahl in fremde Hände. Da reicht möglicherweise schon das Bios-PW aus, weil ich hier nicht mit forensischen Maßnahmen rechnen würde.
    -Nach drei Wochen Bergsteigen in den Alpen stolpert man völlig unrasiert in die Münchener Innenstadt und murmelt aus Versehen vor einer Kamera "Allahu akbar". Zack, will man mal testen, was das neue Polizeiaufgabenbgesetz kann. Möglich, daß der graduelle Unterschied zwischen den Lösungen hier ein paar Stunden Unterschied macht, bis sie die uralte Kopie des "anarchists cookbook" finden.
    -Selbes Szenario, aber ersetze Alpen durch Montana und München durch Washington. In dem Fall isses egal, weil dann "SIE" kommen. Und "SIE" knacken ja sowieso alles in Sekunden und wenn nicht, stecken "SIE" so lange heiße, spitze Dinge mit Strom in Dich rein, bis Du das Paßwort verrätst.

    Insgesamt scheint mir also weiterhin, wenn man nicht Vergnügen an der Bastelei hat, die FDE-und Bios-Lösung zumindest im Nutzen-Aufwand-Verhältnis die beste und für die geschilderte AUsgangslage auch ausreichend zu sein.

    Gruß

    Quichote

  2. #22

    Registriert seit
    22.10.2009
    Beiträge
    2.701
    Danke
    34
    Thanked 264 Times in 210 Posts
    Generell schön zusammengefasst, aber die Sache hat einen Haken: das Gerät hat höchstwahrscheinlich keine Disk, die FDE-fähig ist. Und nur deswegen jetzt zusätzliche Hardware zu kaufen, ist eigentlich Unsinn. Denn pragmatisch wäre es dann eher, einfach das zu nutzen was sowieso da ist. Also Bitlocker.

    BIOS so konfigurieren, dass nur über die interne Disk gebootet werden kann. Admin-Passwort fürs BIOS einrichten, damit es keiner ändert. PXE-Boot deaktivieren.
    Dann Bitlocker an. Auf Wunsch Bitlocker mit Boot-Passwort konfigurieren - ist aber m.E. schon übertrieben und bringt nicht mehr Sicherheit, nur mehr Nerv-Faktor.
    Der Zugang zum Gerät ist dann über die entsprechende Windows-Anmeldung (PIN, Passwort, Fingerprint, FIDO2-Token, Smartcard) abgesichert.
    Der ThinkPad Zoo: T540p, L430, T410s, W700, W500, T500, X200, R61, X61T: Win 10; L420: Win 8.1; X200s: Win 7, R52: XP, T61: Linux

  3. #23
    Avatar von Helios
    Registriert seit
    23.09.2009
    Ort
    Schweiz
    Beiträge
    12.518
    Danke
    28
    Thanked 268 Times in 252 Posts
    Hinsichtlich BitLocker. Dieser ist ebenfalls von folgender "Cold Boot Attacke" betroffen.

    Security Flaw Discovered in ‘Nearly All’ Modern PCs and Macs Can Expose Encrypted Data
    ThinkPad W520, Prozessor: Intel i7-2860QM, NVIDIA Quadro 2000M (2GB RAM), 32GB RAM
    LinkedIn: Uwe Ruch --- WOMOBLOG.CH - Tipps rund ums Wohnmobil

  4. #24

    Registriert seit
    18.03.2009
    Beiträge
    860
    Danke
    29
    Thanked 45 Times in 44 Posts
    Bitlocker war doch schon immer von Coldbootattaken betroffen, sofern kein Passwort oder Biospasswort gesetzt war oder ?

    https://citp.princeton.edu/research/memory/
    T440s - no camera, no microphone,Trackpad with 3 buttons, ChiMei/Innolux FHD , Win64, Pop!_OS

  5. #25

    Registriert seit
    22.10.2009
    Beiträge
    2.701
    Danke
    34
    Thanked 264 Times in 210 Posts
    Quichote schrieb es oben doch ganz passend, dass es verschiedene Szenarien gibt. Ich denke mal, 99,9% der Nutzer hier wollen ihre Daten gegenüber Zugriff bei eher zufälligem Diebstahl des Gerätes schützen. Kein Dieb wird mit aufwändigen Attacken versuchen, den Schutz auszuhebeln.
    Ich gehe nicht davon aus, dass irgendjemand hier ernsthaft mit (ausländischen) Geheimdiensten in Konflikt steht und tatsächlich Gefahr läuft, seine für die nationale Sicherheit wichtigen Daten an "den Feind" zu verlieren. Und das wurde ja ebenfalls oben schon geschrieben: die haben dann auch andere Methoden.
    Der ThinkPad Zoo: T540p, L430, T410s, W700, W500, T500, X200, R61, X61T: Win 10; L420: Win 8.1; X200s: Win 7, R52: XP, T61: Linux

  6. #26
    Avatar von Helios
    Registriert seit
    23.09.2009
    Ort
    Schweiz
    Beiträge
    12.518
    Danke
    28
    Thanked 268 Times in 252 Posts
    Microsoft stellt ein Bulletin für Gegenmassnahmen zur erwähnten Cold Boot Attack-Variante bereit.

    https://thinkpad-forum.de/threads/196385-Sammelthread-Artikel-rund-um-sicherheitsrelevante-Themen-und-Aspekte?p=2162071&viewfull=1#post2162071
    ThinkPad W520, Prozessor: Intel i7-2860QM, NVIDIA Quadro 2000M (2GB RAM), 32GB RAM
    LinkedIn: Uwe Ruch --- WOMOBLOG.CH - Tipps rund ums Wohnmobil

  7. #27

    Registriert seit
    28.09.2018
    Beiträge
    2
    Danke
    0
    Thanked 0 Times in 0 Posts
    Hallo,
    hast du schon eine Lösung gefunden?
    LG

  8. #28

    Registriert seit
    07.07.2016
    Beiträge
    92
    Danke
    1
    Thanked 9 Times in 9 Posts
    Und wieder eine Nachricht zu der Sache:
    https://www.golem.de/news/ssd-forsch...11-137527.html

    Ausgerechnet zwei der dort getesteten SSDs habe ich selbst auch hier, benutze unter Linux aber standardmässig LUKS. Viel schwerwiegender erscheint mir da, das Windows 10 mit Bitlocker per Standard der Hardwareverschlüsselung von der SSD vertraut und ein eigentlicher Schutz damit quasi nicht mehr gegeben ist. Gibt es für Windows 10 denn noch Alternativen zu Bitlocker, welche komplette (Boot-)Partitionen softwareseitig verschlüsselt?
    Thinkpad T460, i5-6200U, FHD IPS, 16GB RAM, Samsung 850 EVO 500GB SSD, Windows 10
    Thinkpad X240, i5-4300U, 8GB RAM, Crucial MX200 500GB SSD, Fedora 29

  9. #29

    Registriert seit
    04.09.2018
    Beiträge
    49
    Danke
    4
    Thanked 0 Times in 0 Posts
    Themenstarter
    Hallo,

    ja, unschöne Sache. Hab' hier auch SSDs von den beiden Herstellern im Einsatz. Angeblich kann man Windows dazu bringen der Hardwareverschlüsselung der SSDs nicht zu vertrauen und doch selber per Software zu verschlüsseln.

    https://www.heise.de/security/meldun...r-4212191.html
    https://docs.microsoft.com/en-us/pre...ed-data-drives

    Gruss

  10. #30

    Registriert seit
    15.08.2015
    Beiträge
    262
    Danke
    17
    Thanked 18 Times in 14 Posts
    Zitat Zitat von michaeljk Beitrag anzeigen
    Gibt es für Windows 10 denn noch Alternativen zu Bitlocker, welche komplette (Boot-)Partitionen softwareseitig verschlüsselt?
    VeraCrypt macht das.

  11. #31

    Registriert seit
    18.03.2009
    Beiträge
    860
    Danke
    29
    Thanked 45 Times in 44 Posts
    Zitat Zitat von Schwartz Beitrag anzeigen
    VeraCrypt macht das.
    und auch sehr gut!
    T440s - no camera, no microphone,Trackpad with 3 buttons, ChiMei/Innolux FHD , Win64, Pop!_OS

  12. #32

    Registriert seit
    22.10.2009
    Beiträge
    2.701
    Danke
    34
    Thanked 264 Times in 210 Posts
    Zitat Zitat von michaeljk Beitrag anzeigen
    Viel schwerwiegender erscheint mir da, das Windows 10 mit Bitlocker per Standard der Hardwareverschlüsselung von der SSD vertraut und ein eigentlicher Schutz damit quasi nicht mehr gegeben ist.
    Es gab hier verschiedene Threads, in denen sich Leute drüber ausgelassen haben, dass Windows das eben gerade nicht tut und man OPAL SSDs relativ umständlich einrichten musste, damit Windows nicht die Softwareverschlüsselung nutzt. In den meisten Fällen wird Bitlocker also ganz normal die eigenen Funktionen nutzen.
    Der ThinkPad Zoo: T540p, L430, T410s, W700, W500, T500, X200, R61, X61T: Win 10; L420: Win 8.1; X200s: Win 7, R52: XP, T61: Linux

  13. #33

    Registriert seit
    01.12.2011
    Ort
    Hannover
    Beiträge
    5.270
    Danke
    83
    Thanked 383 Times in 298 Posts
    So ist es. Bei OPAL-only-SSDs benutzt Windows immer die Softwareverschlüsselung. Bei eDrive-fähigen SSDs kann Windows die Hardwareverschlüsselung nutzen, aber einfach ist das nicht - wenn man sich nicht drum kümmert, wird hier in der Regel auch die softwarebasierte Lösung benutzt.
    T500 W520 T500, T480s: i7-8550U, 16GB, 1TB 970 Pro, MX150, PC: Asus Z97-A, i7-5775C@4,1GHz, 16GB 2400, 1TB SSD Homesrv: 32,5/24,5TB brt/net, Supermicro X11SSH-CTF, Xeon E3-1240v6, 32GB, SSD, LTO: 3x LTO (5&6), 125TB, Srv: einige Supermicro PDSML-LN2+, Xeon 3220, 8GB

Ähnliche Themen

  1. Verschlüsselung USB-Stick
    Von ctulhu im Forum Software allgemein
    Antworten: 25
    Letzter Beitrag: 01.12.2014, 17:06
  2. Bitlocker Verschlüsselung Performance
    Von hotnspicyjohnny im Forum Convertible
    Antworten: 26
    Letzter Beitrag: 04.08.2014, 11:23
  3. Videokamera mit Verschlüsselung
    Von HansBr im Forum Hardware-Ecke
    Antworten: 15
    Letzter Beitrag: 12.04.2014, 10:38
  4. Verschlüsselung USB-Stick
    Von Tomi im Forum Was sonst nicht passt
    Antworten: 2
    Letzter Beitrag: 29.01.2008, 22:09
  5. Thema: Email-Verschlüsselung
    Von Dreamcatcher im Forum Was sonst nicht passt
    Antworten: 20
    Letzter Beitrag: 03.01.2008, 09:15

Stichworte

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
CeCon ok1.de ipWeb Campus Shop CaptainNotebook RO Electronic