Verschlüsselung aktueller SSDs

Mango Bango

Active member
Registriert
10 Apr. 2009
Beiträge
3.340
Guten Tag Forum,

2021 soll das Jahr werden, in welchem mein X230t endlich im Jahr 2015 ankommt. :p

Das X230t (i5 3320M, 320 GB HDD, 8 GB, MiniPCIe Slot frei) soll mit einer aktuellen SSD und Windows 10 ausgestattet werden, dabei sind mir folgende Punkte wichtig:


  • gesamte SSD soll verschlüsselt werden
->Verschlüsselung zum Schutz vor Diebstahl und simplem Auslesen, kein geheimdiensttauglicher Schutz notwendig

  • SSD soll im Falle eines Gerätedefekts in einem anderen Gerät gelesen werden können
  • Verschlüsselung soll möglichst nutzerfreundlich / simpel sein
Welche Art der Verschlüsselung nutzt man dazu? Gibt es spürbare Percormanceeinbußen? Welches Tutorial für Einsteiger könnt ihr empfehlen?

Ich bedanke mich für eure Hilfe!
 
Das passt leider weder mit der Anforderung Windows 10 noch mit nutzerfreundlich / simpel zusammen.

Trotzdem Danke für deinen Beitrag.
 
Windows Bitlocker? Einfach aktivieren?
Ob es in der Generation bei einer aktuellen FDE-Festplatte Performance kostet, weiß ich nicht, aber die Einbußen dürften gering sein.

Alternative ist FDE und einfach der BIOS-Schutz. Reicht locker, aber da geht lesen nicht in jedem anderen Gerät, sondern Du brauchst ein Thinkpad dazu.

Gruß

Quichote
 
Wenn Windows, dann Bitlocker.
Das ist einfach und nutzerfreundlich, funktioniert optimal mit dem OS zusammen und erfüllt den gewünschten Zweck zu 100%.

Wenn aus irgendeinem Grund kein Bitlocker, dann VeraCrypt.
Wenn Linux, dann dm-crypt/LUKS.
 
Bitlocker reicht. Allerdings sollte man den Schlüssel sichern, sonst sieht es doof aus mit Datenrettung. Der Schlüssel ist nicht nur dein Passwort sondern ggf eine Datei. Windows weißt automatisch darauf hin wenn man bitlocker einschaltet und Windows gibt auch mehr oder weniger penetrant vor dass dir Datei auf einen USB-Stick gehört.
 
Vielen Dank für eure Antworten!

An BitLocker hatte ich zunächst auch gedacht und gehofft, dass er für die genannten Zwecke reichen würde.

Beim googeln habe ich sowohl von der Geräteverschlüsselung mittels BitLocker als auch von einer Standard-BitLocker-Verschlüsselung gelesen - die Unterschiede haben sich mir leider nicht genau erschlossen. Die Geräteverschlüsselung bezieht sich auf das gesamte Gerät (Passwortabfrage vor dem Booten?) und die Standard-Verschlüsselung auf das Laufwerk (Abfrage vor Eingabe des Windowspasswortes?)?

Allerdings sollte man den Schlüssel sichern, sonst sieht es doof aus mit Datenrettung. Der Schlüssel ist nicht nur dein Passwort sondern ggf eine Datei. Windows weißt automatisch darauf hin wenn man bitlocker einschaltet und Windows gibt auch mehr oder weniger penetrant vor dass dir Datei auf einen USB-Stick gehört.
Heißt, dass die Daten verloren wären, sollte das X230 defekt und die Schlüsseldatei verloren sein, obwohl ich das Passwort kenne?
 
Hallo,
Heißt, dass die Daten verloren wären, sollte das X230 defekt und die Schlüsseldatei verloren sein, obwohl ich das Passwort kenne?

Du brauchst in dem Fall den Schlüssel, nicht das Paßwort. Das ist entweder eine Schlüsseldatei oder der Schlüssel als Zeichenfolge, den Du dann eintippen mußt. Windows bietet Dir beides an. Die Zeichenfolge ist etwas, das man super ausdrucken und irgendwo sicher verwahren kann, ohne sich Gedanken über alternde Chips oder EMP-Schläge von Aliens machen zu müssen. Dafür ist das Eintippen umständlich, aber das ist ja auch nicht für die wöchentliche Nutzung gedacht.

Gruß

Quichote
 
Und die Schlüsseldatei bzw. der Schlüssel allein würde bei unbefugtem Zugriff auch nicht reichen, um die Festplatte zu entschlüsseln, sondern es wäre nach wie vor der Schlüssel + Passwort nötig?
 
Und die Schlüsseldatei bzw. der Schlüssel allein würde bei unbefugtem Zugriff auch nicht reichen, um die Festplatte zu entschlüsseln, sondern es wäre nach wie vor der Schlüssel + Passwort nötig?
Wer z.B. den Ausdruck des Wiederherstellungsschlüssels hat, kann auch auf Deine Daten zugreifen. Deswegen solltest Du diesen auch an einem sicheren Ort aufbewahren.
 
Okay, da muss der Schlüssel dann tatsächlich in einer Form aufbewahrt werden, welche die fremde Einsichtnahme verhindert - ein Ausdruck in den Räumen in welchen sich das Notebook befindet, verbietet sich also.

Welche Rolle spielt das TPM 1.2 (müsste es beim X230t noch sein?) dabei denn?
Und kann vielleicht noch jemand den Unterschied zwischen der Geräteverschlüsselung und der Standardverschlüsselung von Bitlocker erhellen?
 
So, wie ich das verstehe, ist die Geräteverschlüsselung ein abgespecktes Bitlocker für Win10 Home, die ein Microsoft Konto voraussetzt und den Key bei MS speichert. Beim normalen Bitlocker bleibt der Key bei dir, erfordert aber ein Professional oder Enterprise Windows. Wenn dein Windows kein Bitlocker kann, bietet sich das bereits erwähnte VeraCrypt an
 
Cool. Damit brauch' ich nicht immer bei Prontius und Pilatus anfangen wenn wiedermal "jemand" den hochsicheren Bitlocker ins Gemüse wirft :thumbsup:

Damit wär' ma' wieder am selben Stand wie anno '95 - verschlüsselte Platte, Boot-CD, ...
 
Zuletzt bearbeitet:
Hallo,
zum ersten würde ich bei solchen Angriffen auf eine unabhängige Bestätigung warten. Das mit Kamera bei einem eigenen Gerät gemacht zu haben, ist wenig aussagekräftig. Und zumindest im Thread gibt es (bisher) niemanden, der es nachgemacht hätte ...
Zum zweiten verstehe ich nur einen Bruchteil dessen, was da steht, aber mir scheint eine gewisse Vorbildung nötig. Auch die zehn Minuten sind erst einmal spekulativ.
Zum Dritten und vor allem ist das eine Frage des Bedrohungsszenarios: Vor was und wem will man sich schützen?

->Verschlüsselung zum Schutz vor Diebstahl und simplem Auslesen, kein geheimdiensttauglicher Schutz notwendig

"Simples" Auslesen würde ich diesen Angriff, wenn er denn so funktioniert, jedenfalls nicht nennen.

Gruß

Quichote
 
Okay, da muss der Schlüssel dann tatsächlich in einer Form aufbewahrt werden, welche die fremde Einsichtnahme verhindert - ein Ausdruck in den Räumen in welchen sich das Notebook befindet, verbietet sich also.

Welche Rolle spielt das TPM 1.2 (müsste es beim X230t noch sein?) dabei denn?
Und kann vielleicht noch jemand den Unterschied zwischen der Geräteverschlüsselung und der Standardverschlüsselung von Bitlocker erhellen?
Am wenigsten Scherereien hast du mit Bitlocker ohne TPM -> dann gibt man ein Paßwort beim Boot ein.

Den Recovery-Key von Windows solltest du dir 'sicher' aufheben / so das du im Zweifel auch dran kommst.

Ach so Anfängerfreundlich ? -> im Bios TPM aus -> Suchmachine der Wahl 'Bitlocker ohne TPM' da muß nur eine Einstellung geändert werden ... ich weiß es aus dem Kopf jetzt gerade nicht.

- - - Beitrag zusammengeführt - - -

PS: https://www.heise.de/ratgeber/Windo...rdmitteln-verschluesseln-4572663.html?seite=4

Bin ja nicht so.
 
Zuletzt bearbeitet:
"Simples" Auslesen würde ich diesen Angriff, wenn er denn so funktioniert, jedenfalls nicht nennen.

Kommt drauf an, was du arbeitest und welche Hobbies du hast. Den beschriebenen Angriff kann ich auch zu Hause ohne Probleme nachstellen. Das Problem ist halt immer das selbe: "magische" Sicherheit, die "keiner" versteht, Marketing, das keinen Tau hat (haben darf) und ein zahlungswilliger Kunde (der beschissen werden will).
 
Cool. Damit brauch' ich nicht immer bei Prontius und Pilatus anfangen wenn wiedermal "jemand" den hochsicheren Bitlocker ins Gemüse wirft :thumbsup:
Das Problem hier ist übrigens nicht Bitlocker, sondern das TPM. Jede andere Software, die das TPM nutzt, könnte man da ähnlich umgehen.

Sobald man ein Firmware-TPM nutzt, funktioniert solch ein Angriff nicht.
Ob er im Prinzip mit einem Hardware-TPM 2.0 funktioniert, hab ich noch nirgendwo lesen können.

Und die oben erwähnten zehn Minuten mit "ein wenig Vorwissen" sind auch arg knapp geschätzt. Selbst bei einem gezielten Angriff weiß man vorher nicht unbedingt, was für ein Notebook das Opfer verwendet. Die entsprechenden Dokumentationen zum verbauten TPM zu finden, das TPM zu lokalisieren und freizulegen, das dauert alles sicherlich länger als zehn Minuten.
 
Also bevor hier die Meinung aufkommt, dass BitLocker oder Self-Encrypting Devices (SEDs, also selbst verschlüsselnde SSDs) damit unsicher seien - das Problem liegt hier wo ganz anders. Er nutzt also Bitlocker. Ob in Hardware (SED) oder Software ist nicht bekannt. Für die Attacke aber auch egal. Denn das Problem ist ganz einfach: Er nutzt BitLocker ohne Passwort.
Ich glaube, wir müssen uns nicht darüber unterhalten, dass klar sein sollte, dass eine Verschlüsselung unsicher ist, bei der man keinerlei Passwort eintippen muss. Der kritische Punkt liegt dann bei ihm im Satz "We just connect up and boot the laptop." Genau das ist unmöglich, wenn man BitLocker sinnvollerweise *mit* Passwort einsetzt. 10 Minuten für die genannte Attacke ist sportlich, selbst als geübter sind es wohl schnell auch eher 20-30 Minuten wenn der TPM-Baustein frei liegt und 60-120 Minuten wenn der TPM-Baustein nicht freiliegt. Aber die ganze Attacke bringt halt nichts, wenn BitLocker beim nächsten Boot ein Passwort erfordert, und daher das TPM gar keinen Key per SPI überträgt (so lange das Passwort noch fehlt).

Und selbst BitLocker ohne Passwort sollte damit ausreichend sicher gegen den "einfachen" Dieb sein, denn die besitzen selten Logic Analyser und das Wissen, diese zu benutzen.
 
Zuletzt bearbeitet:
Vielen Dank für die konstruktive Debatte zum Thema! Ich nehme für mein Szenario mit, dass die windowseigene Verschlüsselung mittels Bitlocker ohne TPM aber mit Passwort ausreichend ist, um persönliche Daten vor dem durchschnittlichen Wohnungseinbruchsdiebstahl oder amoklaufenden Staatsanwaltschaften mit Durchsuchungsbeschluss zu sichern.
Da ich weder ein neues Coronavakzin noch staatsgefährdene Inhalte speichern möchte, sollte kein Interesse daran bestehen, erhöhten Aufwand zum Brechen der Verschlüsselung zu investieren.

Ergibt es Sinn eine bestimmte SSD hinsichtlich des Modells zu wählen, um durch die Verschlüsselung keine größeren Geschwindigkeitseinbußen in Kauf nehmen zu müssen?
 
  • ok1.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen
Zurück
Oben