Full Disk Encryption / FDE - Vor- und Nachteile

[dark_rider]

Hallo zusammen,

meine Hitachi 200 GB Festplatte hat ja die FDE, verschlüsselt also hardwaremäßig per Chip auf der Platte stets alles. Natürlich bringt das nichts ohne Passwort, welches man im BIOS vergeben kann und dann bei jedem Systemstart noch vor dem Windows-Start eingeben muss.

Die FDE-Technologie scheint noch recht neu zu sein. Seagate nennt sie FDE, Hitachi eigentlich BDE (Bulk Disk Encryption). Und es gibt auch Software, die man auf dem PC installieren kann - allerdings kostet die CPU-Performance und ist nicht so transparent (unmerklich mitlaufend) wie die Hardware-FDE. Leider finde ich deshalb kaum gute Artikel zu den Hintergründen und Funktionsweisen.

Folgende Fragen hätte ich noch:
1. Ist es richtig, dass man eine FDE-HD nur im PC, in dem sie eingebaut ist, nutzen kann, und sie bei Umbau in einen anderen PC den Dienst versagt?
2. Stimmt es, dass bösartige Programme theoretisch das Passwort ändern und die HD damit unbrauchbar machen können?
3. Ist es richtig, dass man die FDE-HD mit einem einzigen Verschlüsselungs-Key-Reset sicher löschen kann und sich damit Stunden oder gar Tage dauernde Erase-Torturen ersparen kann?

 

[alter-hase81]

Hab mich auch mal für FDE interessiert, bin dann aus Kostengründen aber bei Truecrypt gelandet (HDD kostet die Hälfte...)...

zu Deinen Fragen:

1. Theoretisch ja, ich weiß aber nicht was passiert, wenn Du im neuen Rechner das gleiche Passwort wie im alten vergibst, ob dann ein Zugriff auf die Platte möglich ist. Im Zweifelsfall: probieren!
2. Nein, da Du das alte Passwort zum Ändern eingeben mußt und das vor dem Betriebssystemstart passiert. Das Passwort wird im TPM des Thinkpads gespeichert und ich glaube kaum, daß Programme so einfach darauf zugreifen können (aber wie immer gilt auch hier: alles ist möglich... zumindest theoretisch).
3. Ja!

 

[s0larist]

Ich habe zwar keine Erfahrung mit FDE Platten, aber dafür mit Softwareverschlüsselung und vielleicht hilft dir ja das weiter:

Zu Punkt 3: ja. Ist bei Softwareverschlüsselung genauso.

Zu Punkt 2: ich weiß jetzt nicht wie man das Passwort bei FDE Platten vergibt, aber entweder muss man dazu ins Bios bzw. in ein Bios der Platte, und da wird wohl vor einer Änderung des Passworts das aktuelle Passwort abgefragt. Jetzt wäre die Frage ob bösartige Programme irgendwie an das aktuelle Passwort kommen können. Kann ich mir aber nicht vorstellen, da das Passwort mit Sicherheit nicht auf der Platte abgespeichert sein wird.

Zu Punkt 1: Kann ich mir nicht vorstellen. Der PC/Laptop kann ja kaputt gehen und dann sollte man die Platte auch in einem neuen Gerät benutzen können. Es kann aber sein dass es so etwas wie eine "Maschinenbindung" gibt, so wie bei Utimacos Safeguard Easy. Wenn diese (bei Safeguard Easy) aktiviert ist läuft die Platte nur in genau dieser einen Maschine bzw. Rechner. Aber man kann diese Maschinenbindung natürlich jederzeit aufheben mit den entsprechenden Passwörtern. Das ist nur ein weiterer Sicherheitsmechanismus. Und ich denke bei einer FDE Platte wird es ähnlich sein falls es überhaupt so eine Maschinenbindung geben sollte.

 

[cyberjonny]

Ist eine Festplatte mit FDE (trotz hardwareseitiger Verschlüsselung) in irgendeiner Form langsamer als eine "gleiche" Platte ohne FDE?

 

[dark_rider]

Hallo zusammen,

danke erstmal für Eure Antworten! Hat noch jemand einen Link zu einem guten Artikel, der FDE in allen Details genauer erklärt?

@Jonny: Lt. Herstellerangaben sind FDE-Platten genauso schnell wie die gleichen Platten ohne FDE.

 

[verdi]

http://en.wikipedia.org/wiki/Full_Disk_Encryption

 

[SiMa]

Ich habe mich vor Monaten intensiv mit dem Thema beschäftigt und hitachi befragt, da die öffentlichen Details damals mehr als mager waren!

Vorteile:

-Geschwindigkeitsverringerung im Promillebereich!



Nachteile:

-Hitachi nutzt ECB-Modus, d.h. Sektoren gleichen Inhalts sehen verschlüsselt gleich aus! Das ist ganz schlecht und sehr schade!!!

-Laut Nachfrage bei Hitachi errechnet sich der Key nicht aus dem Passwort. Der Key wird im Chip elektronisch erzeugt (wohl aus Rauschen) und das Passwort gibt nur per elektronischer Steuerung den Key intern frei, also TPM ähnlich statt sich direkt auf Mathematik (Hashing etc.) zu verlassen!

-"Man" kann den tatsächlichen Key nicht sichern oder auslesen. Das mag ein Vorteil sein, aber ein "verschlüsselter" exportierbarer Key (also Echter Key XOR Passwort-Hash) wäre meiner Meinung nach besser.

Mal abgesehen vom ECB-Mode kann man die restliche Sicherheit nicht nachprüfen und es wird ja noch nichtmal versprochen, dass sich das System auf z.B. PKCS-11 o.ä. verlässt. Stattdessen wird ein nicht näher erläuterter Mechanismus erwähnt, der den Key (im Zweifel im Klartext) in einem gesicherten Chip vorhält und diesen bei Eingabe eines gültigen Passworts freigibt. Das ist - wie ich finde - ein qualitativer Unterschied, ob



a) eine Hardwarelogik den Plainkey durch eine Passwortschranke schützt

oder

b) Mathematik (Key XOR Passwort-Hash) den Key schützt.



Ich hoffe, dass sich da noch einiges tun wird, denn so ist es inakzeptabel.



Mein Wunschtraum:

Ein truecrypt kompatibles Format in der HDD-Hardware implementiert wo man auf Wunsch im nicht freigeschalteten Zustand die Platte wie ein "RAW-Device" mit einem großen truecrypt Container sieht, den man mounten kann...

 

[user0815]

ich habe auch so eine 200gb hitachi FDE Platte.
Habe den Benchmark der Platte damals hier im Forum gepostet. Geschwindigkeitsunterschiede zur nicht FDE Version sind nicht zu erkennen.

edit: hier der Link Benchmark Hitachi 200gb FDE HDD

 

[verdi]

die frage ist immer wie sicher das ganze ist ... gelegenheitsdiebe hält auch eine relativ schwache verschlüsselung ab ... aber heutzutage muss man sich ja langsam eher gegen den staat als gegen gelegenheitsdiebe absichern ...

 

[cunni]

Der Geschwindigkeitsverlust (ca 1/3) ist selbst bei meinem in die Tage gekommenen T41 mit der PATA-Platte (Truecrypt-Softwareverschlüsselung) im normalen Betrieb nicht zu merken. Bei ner schnelleren SATA-Platte wird es dann erst recht wurscht...Die Prozessor(mehr)last ist eigentlich auch vernachlässigbar. Sehr zu empfehlen... kostenlos!

Einziger Nachteil: Sector-by-Sector Backups, die dann notwedig werden, sind zeitintensiver.

 

[verdi]

sektor by sektor brauchst du ja nur einmal machen ... danach mountest du die backup platte einfach und synchronisierst direkt die einzelnen dateien

 

[da distreuya]

truecrypt hat bei mir bei 2,1GHz Dothan im T41p sogar gar keinen Geschwindigkeitsverlust bei der Schreib/Leserate mit sich gebracht - kommt wirklich rein auf den Prozessor an habe ich das Gefühl.
Truecrypt eignet sich meiner Meinung aber nicht für mobile Nutzer, da die zusätzliche CPU-Last bei mir die Akkulaufzeit beim T41p um ca. 1/3 gesenkt hat. Nicht schön.
Daher fände ich so eine Hardware-Verschlüsselung schon sinnvoll. Mal schauen, wie sich das entwickelt.

 

[Wyrm]

kann man eine CF mit truecrypt verschlüsseln? ich meine ergibt das sinn? dass die parallelbelastung warscheinlich stark bremst ist mir schon klar...

 

[verdi]

klar kann man ... hab ich im X31 mit der CF karte als systemplatte so gemacht... kostet allerdings aufgrund des langsamen prozessors einiges an performance ... der sicherheitsgewinn ist es mir aber wert ...

 

[s0larist]

Aber so eine FDE Platte ist schon eine feine Sache. Man muss sich um nichs mehr kümmern, keine Encryption Software installieren und beim Backup muss man auch auf nichts besonderes mehr achten (meiner Meinung nach eine große Schwäche aller Software Encryption Programme, ausgenommen Safeguard Easy zusammen mit R&R). Ich hätte schon längst so eine Platte wenn es die für PATA gäbe. Aber meinem nächsten Thinkpad (vermutlich X200) werde ich wohl so eine spendieren.

Gibts eigentlich schon FDE SSD Harddisks?

 

[easteregg]

[quote='da distreuya',index.php?page=Thread&postID=443086#post443086]truecrypt hat bei mir bei 2,1GHz Dothan im T41p sogar gar keinen Geschwindigkeitsverlust bei der Schreib/Leserate mit sich gebracht - kommt wirklich rein auf den Prozessor an habe ich das Gefühl.
Truecrypt eignet sich meiner Meinung aber nicht für mobile Nutzer, da die zusätzliche CPU-Last bei mir die Akkulaufzeit beim T41p um ca. 1/3 gesenkt hat. Nicht schön.
Daher fände ich so eine Hardware-Verschlüsselung schon sinnvoll. Mal schauen, wie sich das entwickelt.[/quote]

1/3 akkulaufzeit?
wtf?

nach 2 tagen laufzeit (ja er lief durch am netzteil) hab ich hier auf meiner platte ings. ca. 6GB traffic gehabt, das macht bei AES mit 105MB/s (was mein l7500 schafft) ca. ne minute, und in ner minute ziehst du keinen akku leer....
also haben die 1/3 nen anderen ursprung!

 

[Wyrm]

gibts eigentlich was neues zu den fde platten? ich muss mir von der uni aus wegen der diplomarbeit eine halbwegs sichere verschlüsselung zulegen und bin am überlegen ob eine fde platte nicht das bequemste wäre...

 

[qwali]

[quote='Wyrm',index.php?page=Thread&postID=610237#post610237]gibts eigentlich was neues zu den fde platten? ich muss mir von der uni aus wegen der diplomarbeit eine halbwegs sichere verschlüsselung zulegen und bin am überlegen ob eine fde platte nicht das bequemste wäre...[/quote]
Aus Gründen des Backups würde ich dir dabei von einer FDE-Platte abraten.

Genauso sicher und einfacher zu backuppen wäre ein Truecryptcontainer, den du direkt auf Sicherungsmedien oder andere Computer übertragen kannst und der dabei immer sicher verschlüsselt bleibt. Eine sichere kopie kannst du über das Berechnen von Checksummen gewährleisten.

Mit einer FDE-Platte stehst du vor dem "Dilemma", dass alle Backups unverschlüsselt übertragen werden und dass sich die Platte im Falle des Laptop-Todes nicht problemlos auslesen lässt - die meisten Desktoprechner unterstützen keine Festplattenverschlüsselung und ein geeigneter Laptop ist auch nicht immer greifbar.

 

[Udi]

[quote='Wyrm',index.php?page=Thread&postID=610237#post610237]gibts eigentlich was neues zu den fde platten? ich muss mir von der uni aus wegen der diplomarbeit eine halbwegs sichere verschlüsselung zulegen und bin am überlegen ob eine fde platte nicht das bequemste wäre...[/quote]Alles falsch!

Testhalber mit einem SL500 probiert.
Und den Seagate Support angemailt.
Seagate Support meinte, das wäre alles Unsinn mit dem Fesplattenpasswort. Man bräuchte spezielle Management-SW.
Ich glaubte das nicht.
Also einfacher Test: Massig Dateien auf der mittels HDD-PWD gesicherten und vermeintlich verschlüsselten FDE.3 gespeichert.
Danach kurz runterfahren. Ins BIOS, das HDD-PWD ausschalten.
Wenn alles RICHTIG funktioniert hätte dürfte er nicht mal mehr booten. Aber er bootet.
UND er zeigt brav alle Daten. Alle.

Zur Sicherheit (weil möglicherweise merkt sich das System irgendwo doch das PWD - wäre zwar auch der SuperGAU, aber zumindest erklärbar) habe ich die Platte ausgebaut, externes USB und ran an meinen Mac. Fein konnte der Mac alle Daten lesen, ganz fein. Problemlos.

Also sage ich zwei Dinge:
- Alle Meldungen und das Whitepaper über die FDE-Drives von Seagate sind einfach falsch wenn sie behaupten, man brauche nur ein BIOS-PWD
- Der Seagate Support hatte wohl Recht, man braucht irgend eine abstruse Management SW, dann geht die ganze Scheisse übrigens los mit extra kleiner Partition, etc.
(siehe: http://www.wave.com/products/tdm.asp). Also doch nichts mehr mit Hochbooten von einer Antiviren-CD oder dergleichen um das System zu checken, etc.)

Furchtbar daran ist nicht nur, dass das eine bescheidene Lösung ist sondern auch, dass man erst den Seagate Support fragen muss um herauszufinden, dass offenbar völlige Fehlinformation herrscht, wie dieses FDE-Feature aktiviert und benutzt werden kann.

 

[jbk037]

Ich würde ebenfalls gerne eine FDE Festplatte in meinem ThinkPad nutzen und bin durch die Beiträge etwas verwirrt.

Es gibt allerdings ein IBM/Lenovo FAQ zu dem Thema:
http://www-307.ibm.com/pc/support/site.wss/document.do?sitestyle=lenovo&lndocid=MIGR-69621

Darin wird insbesondere erwähnt, dass das BIOS im ThinkPad nach der Installation einer FDE Festplatte eine Zusatzoption unter Security -> Disk Encryption HDD aufweist.
Falls nicht, handele es sich entweder nicht um eine FDE Platte oder es müsste die BIOS Erweiterung
"BIOS Setup Menu Extension Utility for the Resetting the Cryptographic Key" installiert werden.

Interessant wäre nun von den Besitzern einer FDE Platte zu erfahren, ob das mit der BIOS Erweiterung stimmt.

Gruß JBK