luxnote lapstore servion thinkspot
Ergebnis 1 bis 14 von 14

Thema: Bitlocker SSD - sichere Löschung

  1. #1

    Registriert seit
    22.08.2019
    Beiträge
    16
    Danke
    0
    Thanked 0 Times in 0 Posts

    Bitlocker SSD - sichere Löschung

    Hallo,

    ich habe mich Folgendes gefragt: Wenn ich einen Rechner mit SSD habe und die SSD ist per Bitlocker verschlüsselt, muss ich dann zum sicheren Löschen meiner Daten (bevor ich den Rechner verkaufe) nochmal mit einem Löschprogramm drübergehen. Oder genügt es einfach, die SSD kurz mit Schnellformatierung zu formatieren (da ja eh alles verschlüsselt ist und ohne Schlüssel unlesbar)? Oder ist das dennoch unsicher? Kennt sich da jemand genauer aus?

    Danke

  2. #2

    Registriert seit
    10.06.2008
    Ort
    Hamburg
    Beiträge
    5.842
    Danke
    1
    Thanked 329 Times in 309 Posts
    Zitat Zitat von paluba Beitrag anzeigen
    Oder genügt es einfach, die SSD kurz mit Schnellformatierung zu formatieren
    Schnellformatierung schon mal gar nicht. Wenn, dann den Haken bei Schnellformatierung herausnehmen und eine volle Formatierung durchziehen. Dann werden Nullen geschrieben.

    Noch besser: Secure Erase ausführen lassen. Das kennt der SATA Controller von der SSD selber, da es ein integrierter Befehl ist. Dauert zwischen 1 bis 10 Minuten bei einer SSD.
    Lenovo bietet eine bootbare CD an, die diesen Vorgang vornehmen kann. Neuere Systeme haben das auch im BIOS integriert. Bei älteren kan man den Secure Erase im BIOS nachinstallieren.
    System error, strike any user to continue...

    In Benutzung: T440p

  3. #3

    Registriert seit
    01.12.2011
    Ort
    Hannover
    Beiträge
    5.502
    Danke
    105
    Thanked 409 Times in 324 Posts
    Hier muss ich laptopheaven widersprechen:

    Schnellformatierung reicht. Die Daten sind verschlüsselt. So lange du den Schlüssel nicht rausrückst, kann man auch mit den Daten nichts anfangen, die ggf. noch auf der SSD übrig sind.

    Die angesprochene Secure-Erase-Variante macht im Grunde genommen nichts anderes. Viele SSDs verschlüsseln die Daten intern (wenn man bei BitLocker nicht eDrive nutzt, werden die Daten also quasi ein zweites Mal verschlüsselt). Beim SecureErase wird - vereinfacht gesagt - auch nur der Schlüssel dazu entsorgt und ein neuer generiert, wodurch man halt auch keinen Zugriff mehr auf die Daten hat. Stark vereinfacht kann man also sagen, dass ein SecureErase auf der SSD ungefähr den gleichen Effekt hat, wie eine BitLocker-Software-verschlüsselte SSD per Schnellformatierung zu leeren und den Schlüssel der Verschlüsselung zu entsorgen.

    Eine vollständiges Überschreiben sollte man bei einer SSD - wenn es sich vermeiden lässt - aus folgenden Gründen nicht durchführen:
    - Dank Wear Leveling und Reservesektoren löscht man damit in Wirklichkeit gar nicht alle Daten
    - Sehr viele (fast alle) Flash-Zellen werden mindestens einmal neu geschrieben, was unnötig auf die Lebensdauer geht (wobei Tests ja zeigen, dass das "Totschreiben" einer SSD sehr viel schwerer ist als in der Theorie befürchtet)
    - Beim vollständigen Überschreiben werden meist keine TRIM-Befehle abgesetzt, wodurch die SSD glaubt, zu 100% belegt zu sein. Das geht stark auf die Geschwindigkeit und das Wear Leveling kann auch nicht mehr arbeiten, was bei weiteren Schreibvorgängen stark auf die Lebensdauer gehen kann. Nach so einem Manöver sollte man unbedingt einen TRIM der gesamten SSD durchführen
    - Es gibt Methoden, die besser funktionieren und weniger negative Folgen haben. z.B. Secure Erase
    T500 W520 T500, T480s: i7-8550U, 16GB, 1TB 970 Pro, MX150, PC: Asus Z97-A, i7-5775C@4,1GHz, 16GB 2400, 1TB SSD Homesrv: 32,5/24,5TB brt/net, Supermicro X11SSH-CTF, Xeon E3-1240v6, 32GB, SSD, LTO: 3x LTO (5&6), 125TB, Srv: einige Supermicro PDSML-LN2+, Xeon 3220, 8GB

  4. #4

    Registriert seit
    22.08.2019
    Beiträge
    16
    Danke
    0
    Thanked 0 Times in 0 Posts
    Themenstarter
    Werden denn von Bitlocker auch die leeren Sektoren verschlüsselt, also die gesamte SSD? Oder nur die aktuell belegten Sektoren? Denn sonst könnten ja Reste alter Dateien unverschlüsselt bleiben, oder?

  5. #5

    Registriert seit
    01.12.2011
    Ort
    Hannover
    Beiträge
    5.502
    Danke
    105
    Thanked 409 Times in 324 Posts
    Das wählst du beim Start der Verschlüsselung aus. Dort kannst du wählen, ob nur die belegten Bereiche verschlüsselt werden sollen oder ob alles (auch unbelegte Bereiche) verschlüsselt werden sollen.
    Und ja, dabei können - dank der Reservesektoren und dank Wear Leveling - auch Reste alter Dateien zunächst unverschlüsselt bleiben. Bei der Methode, die nur belegte Bereiche verschlüsselt, sind es entsprechend mehr als bei der vollständigen Methode, aber theoretisch kann auch bei letzterem was übrig bleiben.
    T500 W520 T500, T480s: i7-8550U, 16GB, 1TB 970 Pro, MX150, PC: Asus Z97-A, i7-5775C@4,1GHz, 16GB 2400, 1TB SSD Homesrv: 32,5/24,5TB brt/net, Supermicro X11SSH-CTF, Xeon E3-1240v6, 32GB, SSD, LTO: 3x LTO (5&6), 125TB, Srv: einige Supermicro PDSML-LN2+, Xeon 3220, 8GB

  6. #6

    Registriert seit
    23.06.2008
    Beiträge
    3.081
    Danke
    0
    Thanked 49 Times in 48 Posts
    Einer der Szenarien ist HDD Defekt und nicht ansprechbar. In dem Fall bleibt nur die HDD zu schreddern. Damit nützen einem Garantie nichts weil man keine Daten rausgeben will.

    Ist die HDD verschlüsselt, dann kann man sie zur Austausch zurückschicken in der Hoffnung die Verschlüsselung wäre stark genug.

    So gesehen hängt es vom eigenen Sicherheitsbedürfnis ab wie weit man die Entsorgung von Daten treiben will.

  7. #7

    Registriert seit
    18.03.2009
    Beiträge
    1.683
    Danke
    49
    Thanked 109 Times in 106 Posts
    Zitat Zitat von paluba Beitrag anzeigen
    Hallo,

    ich habe mich Folgendes gefragt: Wenn ich einen Rechner mit SSD habe und die SSD ist per Bitlocker verschlüsselt, muss ich dann zum sicheren Löschen meiner Daten (bevor ich den Rechner verkaufe) nochmal mit einem Löschprogramm drübergehen. Oder genügt es einfach, die SSD kurz mit Schnellformatierung zu formatieren (da ja eh alles verschlüsselt ist und ohne Schlüssel unlesbar)? Oder ist das dennoch unsicher? Kennt sich da jemand genauer aus?

    Danke
    Einmal secure erase / key reset vom UEFI sollte in diesen Fall reichen -> die Daten sind ja schon verschlüsselt.

    - - - Beitrag zusammengeführt - - -

    Zitat Zitat von cuco Beitrag anzeigen
    Das wählst du beim Start der Verschlüsselung aus. Dort kannst du wählen, ob nur die belegten Bereiche verschlüsselt werden sollen oder ob alles (auch unbelegte Bereiche) verschlüsselt werden sollen.
    Und ja, dabei können - dank der Reservesektoren und dank Wear Leveling - auch Reste alter Dateien zunächst unverschlüsselt bleiben. Bei der Methode, die nur belegte Bereiche verschlüsselt, sind es entsprechend mehr als bei der vollständigen Methode, aber theoretisch kann auch bei letzterem was übrig bleiben.
    ^^ konstruktionsbedingt kann das auch bei der vollständigen Methode passieren, zumindest bei SSDs oder?

    - - - Beitrag zusammengeführt - - -

    https://thinkpad-forum.de/threads/22...=1#post2204319

    In dem Vortrag wird davon ausgegangen das es schlicht "unmöglich" ist Daten nach einem KeyReset wiederherzustellen. Der Vortragende wirkt mir auch ausreichend kompetent.
    T440s - no camera, no microphone, Trackpad with 3 buttons, 2x SSDs, ChiMei/Innolux FHD Debian (Buster) https://www.debian.org/

  8. #8

    Registriert seit
    22.08.2019
    Beiträge
    16
    Danke
    0
    Thanked 0 Times in 0 Posts
    Themenstarter
    Das bedeutet, nur mit diesem Secure Erase kann ich ganz sicher sein?

  9. #9

    Registriert seit
    15.08.2015
    Beiträge
    319
    Danke
    21
    Thanked 26 Times in 22 Posts
    Eine gut verschlüsselte Platte ergibt Zeichensalat und von einer Datenrettung ohne Passwort kann nicht ausgegangen werden. Alles andere hin oder her. Sogar das Formatieren ist mehr ein Ding der Höflichkeit als Notwendigkeit in dem Fall.

    Komplett zu überschreiben ist nicht zielführend und verbraucht nur die sowieso schon limitierten Writes. Auch wenn das bei modernen 3D TLCs oder älteren MLC nicht viel ausmacht.

  10. #10

    Registriert seit
    18.03.2009
    Beiträge
    1.683
    Danke
    49
    Thanked 109 Times in 106 Posts
    Bitlocker in Hard oder Softwaremode mit/ohne TPM ?

    SecureErase / Key Reset geht vom Bios aus ist ~ das gleiche sofern die SSD das unterstützt.

    Wie schon erwähnt ohne Dein Passwort sollten die Daten sowieso nicht lesbar sein.
    T440s - no camera, no microphone, Trackpad with 3 buttons, 2x SSDs, ChiMei/Innolux FHD Debian (Buster) https://www.debian.org/

  11. #11

    Registriert seit
    10.06.2008
    Ort
    Hamburg
    Beiträge
    5.842
    Danke
    1
    Thanked 329 Times in 309 Posts
    Es gibt auch noch eine entscheidende Frage zu klären: Privat oder doch gewerbluch genutztes Gerät ?
    Wenn gewerblich genutzt musst Du evtl. ein Zertifikat über die zertifizierte Datenlöschung vorlegen können.
    Das geht mit den bisher beschriebenen Methoden dann leider nicht.

    Ansonsten würde ich persönlich, auch bei verschlüsselten Datenträgern, einen Secure Erase durchführen. Ist wirklich hinreichend einfach und schnell gemacht bei einer SSD
    System error, strike any user to continue...

    In Benutzung: T440p

  12. #12

    Registriert seit
    18.03.2009
    Beiträge
    1.683
    Danke
    49
    Thanked 109 Times in 106 Posts
    Zitat Zitat von laptopheaven Beitrag anzeigen
    Es gibt auch noch eine entscheidende Frage zu klären: Privat oder doch gewerbluch genutztes Gerät ?
    Wenn gewerblich genutzt musst Du evtl. ein Zertifikat über die zertifizierte Datenlöschung vorlegen können.
    Das geht mit den bisher beschriebenen Methoden dann leider nicht.

    Ansonsten würde ich persönlich, auch bei verschlüsselten Datenträgern, einen Secure Erase durchführen. Ist wirklich hinreichend einfach und schnell gemacht bei einer SSD
    Zur Erklärung der ATA Secure Erase überschreibt nicht komplet, sondern löscht die Keys die für die Entschlüsselung benötigt werden <-> Key/Reset -> ist dann letztlich grob das gleiche.

    - - - Beitrag zusammengeführt - - -

    Lesestoff:

    https://www.heise.de/ct/artikel/Sich...n-3891831.html
    T440s - no camera, no microphone, Trackpad with 3 buttons, 2x SSDs, ChiMei/Innolux FHD Debian (Buster) https://www.debian.org/

  13. #13

    Registriert seit
    01.12.2011
    Ort
    Hannover
    Beiträge
    5.502
    Danke
    105
    Thanked 409 Times in 324 Posts
    Zitat Zitat von mcb Beitrag anzeigen
    Einmal secure erase / key reset vom UEFI sollte in diesen Fall reichen -> die Daten sind ja schon verschlüsselt.
    Sehe ich auch so. Theoretisch reicht aber wie gesagt auch schon, den BitLocker-Schlüssel einfach "wegzuwerfen", ggf. plus QuickFormat. Im Grunde genommen das gleiche. Ein SecureErase schadet aber nicht
    Zitat Zitat von mcb Beitrag anzeigen
    ^^ konstruktionsbedingt kann das auch bei der vollständigen Methode passieren, zumindest bei SSDs oder?
    Ja, genau das wollte ich mit meinem Satzende "aber theoretisch kann auch bei letzterem was übrig bleiben" aussagen.

    Zitat Zitat von paluba Beitrag anzeigen
    Das bedeutet, nur mit diesem Secure Erase kann ich ganz sicher sein?
    "Ganz sicher" ist immer eine Frage der Definition und der Sicherheit der eingesetzten Verschlüsselung. Den BitLocker-Key wirst du ja eh "entsorgen", damit kann man an die Daten schon nicht mehr ran. Ein zusätzliches SecureErase schadet nicht, geht schnell und macht ein wiederherstellen der Daten nochmals viel viel schwerer.
    Zitat Zitat von laptopheaven Beitrag anzeigen
    Ansonsten würde ich persönlich, auch bei verschlüsselten Datenträgern, einen Secure Erase durchführen. Ist wirklich hinreichend einfach und schnell gemacht bei einer SSD
    Kann ich nur zustimmen.
    T500 W520 T500, T480s: i7-8550U, 16GB, 1TB 970 Pro, MX150, PC: Asus Z97-A, i7-5775C@4,1GHz, 16GB 2400, 1TB SSD Homesrv: 32,5/24,5TB brt/net, Supermicro X11SSH-CTF, Xeon E3-1240v6, 32GB, SSD, LTO: 3x LTO (5&6), 125TB, Srv: einige Supermicro PDSML-LN2+, Xeon 3220, 8GB

  14. #14

    Registriert seit
    10.06.2008
    Ort
    Hamburg
    Beiträge
    5.842
    Danke
    1
    Thanked 329 Times in 309 Posts
    Zitat Zitat von mcb Beitrag anzeigen
    Zur Erklärung der ATA Secure Erase überschreibt nicht komplet,
    Das stimmt so nicht bei jedem Hersteller...

    Auszug von Kingston Infos:

    When an ATA Secure Erase (SE) command is issued against a SSD's built-in controller That properly supports it, the SSD controller resets all its storage cells as empty (releasing stored electrons) - just THUS restoring the SSD to factory default settings and write performance. When Implemented properly, SE will process all regions Including the protected storage service regions of the half.

    Auszug von einer Intel Aussage zu diesem Thema (Quelle Thomas Krenn):

    Auf Anfrage teilte uns Tahmid Rahman (Intel Senior Technical Marketing Engineer) am Ende der Session Optimizing Solid-State Drive (SSD) Performance for Data Center Applications am Intel Developer Forum 2011 mit, dass die Intel 320 Series SSDs und Intel 710 Series SSDs mit integrierter Verschlüsselung trotz dieser Möglichkeit nur den Schlüssel zu löschen weiterhin auch die Flash Blöcke löschen. Hauptgrund ist, dass ein Secure Erase auch bei diesen SSDs weiterhin die Performance wieder in den Ausgangszustand bringen soll.

    System error, strike any user to continue...

    In Benutzung: T440p

Ähnliche Themen

  1. Antworten: 2
    Letzter Beitrag: 18.02.2018, 02:24
  2. Antworten: 35
    Letzter Beitrag: 28.04.2017, 07:40
  3. Antworten: 8
    Letzter Beitrag: 06.07.2016, 14:24
  4. X2xx/s X220 -SSD Einbau und sichere Festplattenlöschung?
    Von dg700 im Forum X - Serie (inkl. Tablet)
    Antworten: 2
    Letzter Beitrag: 07.02.2015, 16:48
  5. T4xx Verschlüsselung T400 SSD (z.B. mit Bitlocker und Windows 8)
    Von millenium3000 im Forum T - Serie
    Antworten: 7
    Letzter Beitrag: 28.07.2014, 12:20

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
CeCon Preiswerte-IT CaptainNotebook ipWeb GmbH - Lenovo Lehre&Forschung - ok1.de