FDE-Festplatte - kommt man im Notfall da ran??

M

mfahs

New member
Themenstarter
Registriert
26 Okt. 2009
Beiträge
5
Hallo zusammen!
Ich habe mir für mein T61 eine Seagate 500GB FDE (Full Disk Encryption)-Platte besorgt. Grundsätzlich bin ich von der Idee, dass die Daten nur mit Angabe des richtigen Passwortes zugänglich sind, begeistert. Es klappt auch einwandfrei: Wenn ich die Platte per USB an einen anderen Rechner hänge, ist die Platte nicht lesbar und erscheint als leerer Datenträger. So weit, so schön.
Ich habe es im Laufe der Jahre allerdings extrem oft erlebt, dass Rechner ein völlig vergurktes Windows-System haben, so dass das Booten zwar nicht mehr möglich ist, aber natürlich alle Daten noch auf der Platte schlummern. In solchen Fällen haben wir dann immer die Platte ausgebaut, per USB an einen beliebigen Rechner gehängt, die Daten herunterkopiert und dann in Ruhe ein neues System aufgesetzt. Diese Hintertür finde ich weiterhin (zusätzlich zu einer echten Datensicherung) sehr charmant.
Nun die Frage: Gibt es IR*GEND*EINE Möglichkeit, eine FDE-Platte (gerne mit irgendeiner Software) per USB an einem anderen PC als zusätzliches Laufwerk anzubummeln und die Daten auszulesen?
Oder ist das definitiv komplett ausgeschlossen?
Ich habe mir mittlerweile die Finger wund gegoogelt - diese Frage war bisher nirgendwo eindeutig zu klären. Vielleicht hat hier jemand eine hieb- und stichfeste Info für mich?
Herzlichen Dank schon mal vorab,
Martin
 
Denke in Geräten die auch FDE unterstützen sollte die Platte dann ohne weiteres laufen.

Bsp. Thinkpad mit HDD Adapter im Laufwerksschacht.

Die Frage ist, wie FDE genau funktioniert.

http://de.wikipedia.org/wiki/Full_Disk_Encryption

Bei hardwaremässiger Verschlüsselung sollte es nur in Geräten gehen die das auch unterstützen bei Software hingegen möglicherweise bei jedem.

(Kenn mich da aber net so genau aus, hab keine FDE Platte) Denke HDD PW ist sicher genug.
 
Hallo quertz,
besten Dank für die Info's, aber so weit war ich auch schon mit meinen Recherchen. Und ich will mich nicht auf ein "Ich denke" verlassen, um dann später im Regen zu stehen.
Ich hätte gerne eine definitive Antwort. Also am besten von jemandem, der es tatsächlich mal ausprobiert hat!

Schwierig erscheint es mir auch, wenn man folgendes Szenario durchdenkt:
  • Normaler Thinkpad eines Kollegen, der eine FDE-HDD einsetzt und zur Anmeldung beispielsweise das Passwort "12345" im BIOS verwendet.
  • In meinem Thinkpad ist eine FDE-HDD am werkeln, die mit dem Passwort "67890" verschlüsselt ist.
  • Jetzt geht mir mein Notebook vor die Hunde (die Daten auf der HDD sind völlig o.k.)
  • Wenn ich mit dem HDD-Adapter im CD-Laufwerksschacht des Kollegen an meine Daten will, kann er die vermutlich (?) nicht lesen, weil er ja ein anderes Passwort nutzt, um seinen Rechner zu booten
  • Wenn er sein Passwort im BIOS ändert, kann er nicht merh booten, weil dann ja seine HDD nicht will. Noch wiederlicher wäre es, wenn er durch das PW-ändern flugs seine HDD löscht :-) (Denn das ist ja auch einer der "Vorteile" der FDE-Platten: Kryptografisches Löschen der Daten...)
  • Das würde also (immer vorausgesetzt, dass ich richtig liege!?) bedeuten, dass ich aller-allerschnellstens (!) ein neues Notebook kaufen muss, um an meine Daten zu kommen...
Was anderes ist es, wenn der Fall eintritt, dass ich zwar eine vergurkte Installation, aber ein intaktes Notebook habe. Wenn ich dann an meine Daten komme, sobald ich die nicht bootende FDE-HDD als zweites Laufwerk per Adapter in den Laufwerksschacht bringe, dann wäre ja schon viel geholfen.

Das alles sind aber nur Vermutungen. Und bevor ich mich darauf im Ernstfall veralsse, wäre es toll, wenn ein "100%-Wissender" seine Erfahrungen kund tut!

Grüße,
Martin
 
Wenn das Passwort bekannt ist, geht das ganz simpel. Festplatte in einen Computer einbauen, dessen Bios den ATA-Passwort-Mechanismus unterstützt und über das Bios das Passwort entfernen... (Dürfte mit jedem halbwegs aktuellen PC gehen.)
Das Passwort ist an die HD und nicht an den Computer gebunden. (Sprich, das Passwort ist in der mit Kunstharz vergossenen Elektronik der Festplatte gespeichert...)

Wenn das Passwort nicht bekannt ist, dann gibt es bei einer HD/SSD mit FDE _KEINEN_ Weg die Daten wiederherzustellen!

Siehe auch: http://www-307.ibm.com/pc/support/site.wss/document.do?sitestyle=lenovo&lndocid=MIGR-69621

mfg Moskito
 
Wenn das Passwort nicht bekannt ist, dann gibt es _KEINEN_ Weg die Daten wiederherzustellen!
Zum Vergrößern anklicken....
Das ist klar. Wer das PW vergisst, ist selber schuld :-)
Festplatte in einen Computer einbauen, dessen Bios den ATA-Passwort-Mechanismus unterstützt und über das Bios das Passwort entfernen...
Zum Vergrößern anklicken....
Das hört sich schon mal gut an. Bist Du Dir sicher? Ich habe nirgendwo was so konkretes gelesen. Eher andersrum: Wenn man das PW im BIOS löscht, sind die Daten ebenfalls im Nirwana. Und das war nicht so ganz, was ich meinte :-)

Bei dem von Dir angegebenen Link lese ich nämlich dies hier:

Can the encryption key be changed?
The encryption key can be regenerated within the BIOS, however, doing so will make all data inaccessible, effectively wiping the drive.
To generate a new key, use the option listed under Security -> Disk Encryption HDD in the system BIOS.


Gruß,
Martin
 
Nein, wenn man das PW im Bios löscht ist das PW gelöscht. Sprich du kannst wieder ohne Passworteingabe auf die HD/SSD zugreifen. Ich weiss das sehr gut, weil ich mein PW auch schon mehrere Male geändert/zurückgesetzt habe... (PW löschen geht natürlich nur mit Eingabe des alten Passwortes...)
Die Daten sind nur im Nirvana, wenn du den Encryption-Key zurücksetzt...

Siehe auch der Link auf die Lenovo FDE FAQ oben...

mfg Moskito

//Edit
Bitte beachte, Encryption Key != Passwort...
 
Hallo Moskito!

Es wird immer undurchsichtiger :-)
Ich habe meine FDE-Platte in das Thinkpad gesteckt, Win7 installiert und nun testweise mal per USB-Adapter an einem anderen Rechner betrieben. Da warabsolut nichts zu sehen.
Das ist eigentlich das, was ich auch erwartet habe, sonst wäre die Encryption ja nichts wert.
Ich würde aber rasend gerne einen Notnagel haben, um genau das hinzubekommen: FDE ausbauen, an anderen Rechner hängen und Daten runterholen.
Mittlerweile ist mir schon klar, dass die ganze Passwort-Sammlung auf der "Security"-Seite im BIOS nichts mit der Platte zu tun hat.
Ich finde aber ums Verrecken auch keinerlei Doku zu den Einstellungen im aktuellen BIOS. Und Lenovo hat mich heute beim Support recht freundlich aber bestimmt abgwiesen, da die Platte ja nicht von Lenovo wäre...
Und nun stehe ich wieder da...

Martin

// Edit:
Ich habe nochmal die FQS bei Lenovo studiert:
To completely protect your data, it is absolutely vital that a hard drive password be set. This can be a user password or both a user and master password. The hard drive password prevents unauthorized users from booting the drive and accessing your data, while full disk encryption prevents more sophisticated attacks, such as attempting to retrieve data directly from the drive's platters.

Kann es sein, dass ich den Wald vor lauter Bäumen nicht sehe? Ist es etwa so: Wenn ein HDD-Passwort im BIOS gesetzt ist, kann die Platte nicht ausgebaut und an einem anderen Rechner ausgelesen werden (wäre ja der "Normalzustand", damit bei einem Diebstahl keiner die ausgebaute Platte mit einem x-beliebigen Rechner ausliest). Wenn das HDD-Passwort aber im BIOS wieder entfernt wird, kann man die Platte problemlos ausbauen und an einem anderen Rechner auslesen?
Wenn das so wäre, wäre es echt zu einfach :-)
 
Das ATA Plattenpassowrt einer Festplatte wird NICHT in der Elektronik der Platine gespeichert und auch nicht im BIOS des Rechners, sondern in einem
speziellen Bereich AUF der Festplatte, der von außen nicht so einfach addressierbar ist.

Normalerweise fängt man ja mit Sektor 0 an zu zählen, aber das Passwort steht z.B. in Sektor -10 und dieser Bereich lässt sich nicht
mal eben so zugreifen.
 
@think-lazy
Dies mag stimmen für die meisten (auch nicht alle, jeder Hersteller kocht da sein eigenes Süppchen was die Implementation des ATA-Passwortes angeht) Festplatten ohne FDE...
Bei den Festplatten mit FDE trifft dies jedoch nicht zu. Warum? Ganz einfach, dann könnte man durch ausbauen der Platten das PW auslesen und danach wieder einbauen und dann mit dem ausgelesenen Passwort die Festplatte freischalten... Ich bin mir daher sehr sicher, dass bei den Festplatten mit FDE das Passwort im gleichen Chip wie der Key gespeichert wird...

@mfahs
Also, eigentlich hatte ich mir gehofft das ersparen zu können, aber ich schreibe doch mal die momentane aktuelle Implementation von FDE durch die Hersteller auf:

ATA-Passwort:
In der ATA-Spezifikation ist bereits ein User und ein Master Passwort zum Schutz von Festplatten definiert. Dieses Passwort ist wie bereits von think-lazy definiert auf der Platte selber gespeichert und ohne dieses Passwort verweigert die Festplatte den Zugriff auf die Daten. Die Daten selber sind wohlgemerkt bei einem einfachen ATA-Passwort nicht verschlüsselt. Dadurch ist es möglich, durch ausbauen der Platten und auslesen in einem Datenrettungscenter alle Daten wiederherzustellen.

FDE:
Für FDE wurde der Einfachheit halber die Spezifikation des ATA-Passwortes aufgegriffen und erweitert. Dadurch ist auch eine Kompatibilität zu sehr vielen Computern gegeben.

Bei den meisten aktuellen Hardware-FDE Implementationen erzeugt die Festplatte selber einen Key, in den Lenovo FAQs Encryption Key genannt. Mit diesem Key, der in den meisten Implementationen nicht ausgelesen werden kann, werden nun alle auf die Platte gespeicherten Daten verschlüsselt, ganz egal ob ein User/Master Passwort gesetzt ist oder nicht. Die Daten werden also IMMER verschlüsselt gespeichert! Daher der Satz, dass FDE nicht abgeschaltet werden kann... Der Key wird in einem Chip gespeichert der in Kunstharz vergossen ist und kann nur neu generiert, aber eben nicht ausgelesen werden.
Wo kommt nun das User/Master Passwort ins Spiel? Ganz einfach, die Festplatte kann nun auch mit einem User/Master Passwort versehen werden, wodurch sie den Zugriff auf die Daten verwehrt, wenn nicht das richtige Passwort angegeben wurde.
Gegenüber dem Bios schaut die Platte nun so aus, als wäre sie eine ganz "einfache" Platte mit ATA-Passwort, intern werden alle Daten aber noch zusätzlich mit dem Encryption Key verschlüsselt. Was einem daran hindert alle möglichen Passwörter durchzuprobieren? Die Festplatten müssen nach 3-5x Eingabe neu gestartet werden (Strom aus, Strom ein) und das Passwort darf bis zu 32 Zeichen lang sein. --> Zu viele Möglichkeiten...

Viele USB-Cases bieten keine Möglichkeit zur Eingabe eines ATA-Passwortes. Funktionieren tut aber sicher die Platte intern an einen SATA-Anschluss zu hängen und über das Bios die Festplatte zu entsperren indem man das User/Master Passwort zurücksetzt.


Was zu tun ist um die Daten sicher zu speichern:
- User und Master Passwort setzen. Diese Passwörter sind an einem sicheren Ort zu hinterlegen (Wald vergraben oder sonst was :D ) für den Fall der Fälle. Zudem ist es mit einer FDE-Platte wichtig regelmässig Backups zu machen. Datenrettungsunternehmen können nämlich auch bei bekanntem Passwort nichts retten, da der Key nicht ausgelesen werden kann...


Was zu tun ist um die Daten in einem anderen Computer auszulesen:
- Festplatte an einen Computer anschliessen dessen Bios ATA-Passwörter unterstützt und dann entfernen.
- Alternativ kannst du auch mit hdparm herumspielen. Dieses sollte auch für USB-Festplatten funktionieren. --security-unlock PWD ist die Option die dich interessiert...

mfg Moskito

//edit:
Vergass ich noch fast zu erwähnen, --security-unlock ist experimental! Also aufpassen was du damit machst...
 
Wow!

Moskito, ich bin begeistert. Klingt auf einmal alles so einleuchtend und einfach :-)
Ganz herzlichen Dank für die ausführlichen Erläuterungen. Warum steht das nirgendwo so verdichtet und praxisnah? (... nur das mit dem "im Wald vergraben..." werde ich dann wohl doch anders lösen :-))

Nochmals Danke, dann habe ich jetzt ein sehr viel besseres Gefühl!

Martin
 
dass was die "Mücke" ;-) gesagt hat ist vollkommen richtig, allerdings gibt es noch eine Ausnahmeregelung: falls die Platte in einem Rechner mit einem unterstützen TPM Modul betrieben wird und auch die FDE Platte dies unterstützt wird zusätzlich noch zwischen TPM + FDE ein Key ausgetauscht, im TPM gespeichert und die Platte verschlüsselt dann damit (Vorgehensweise ist unterschiedlich - manche Platten ersetzen ihren eigenen Key und die "billigen" verschlüsseln damit den Key ihrer Verschlüsselung).

Nötig ist dies - wenn man eine Sicherheitseinstufung nach Militär bzw. Behördenstandards (B3 oder besser) bekommen will. Denn bei der normalen Authentifikation wird nur überprüft ob der Nutzer berechtigt ist auf die Platte bzw. Rechner zuzugreifen (C2). Diese Sicherheitsmaßnahme greift aber nicht, wenn man z.B. die Platte ausbaut und in einem anderen Rechner auslesen möchte, dass nötige Passwort könnte man sich ja mittels Social Engineering oder ähnlichen Methoden besorgt haben.

Bei dem System mit TPM übernimmt das TPM Modul die Kontrollmaßnahmen ... es überprüft beim Start ob sich alle sicherheitsrelevanten Bereiche authentifizieren können und im vorgegebenen Rahmen funktionieren, nimmt die Benutzerauthentifikation entgegen und falls alles positiv verläuft - erlaubt dieses den Start der CPU und gibt auch eine Freigabe an die FDE HDD in dem es den zur Entschlüsselung notwendigen Key über einen gesicherten Kanal übermittelt und nach der Übergabe an ein OS überwacht dieses weiterhin alle sicherheitsrelevanten Bereiche und ist in der Lage - bei Verletzung der Vorgabekriterien - das komplette System abzuschalten.

Um bei einem solcherart gesichertem System ein Desasterrecovery zu ermöglichen, ist es dem Systemadministrator erlaubt eine verschlüsselte und zertifizierte Kopie des TPM Speicherinhalts anzulegen und im Fall der Fälle auf ein System der gleichen oder besseren Sicherheitseinstufung zurückzuspielen. Bei Systemen nach Militärstandards benötigt man für das Recovery auch noch ein Zerifikat dass das TMP Modul authentifiziert - muss quasi von der gleichen CA ausgestellt sein, welches die ursprüngliche TPM Zertifizierung vorgenommen hat, da nur dann die Entschlüsselung der Sicherheitskopie funktioniert.

In Deinem Fall bedeutet das, dass Du bei einem optimalen Schutz und ohne spezielle Zertifikate - die Platte nur auf einem Rechner mit einem TPM Chip Version 1.2 weiterhin nutzen (auslesen) kannst und das auch nur wenn Du den Inhalt des TPM Moduls mit der Sicherheitskopie des ursprünglichen Rechners überschrieben hast. Im Falle von Thinkpads übernimmt die CSS die Sicherung und die Wiederherstellung des TPM Inhaltes.

VG JNS
 
@JNS-K
Dies ist jedoch nur bei aktiviertem und initialisiertem TPM Chip überhaupt möglich und somit für >90% der Benutzer irrelevant.
Soweit ich weiss wäre dazu auch zwingend die Installation von CSS notwendig, was bei den meisten Anwendern nicht mehr zutrifft. Wird CSS überhaupt noch weiterentwickelt? Diverse Behörden haben ja enorme Vorbehalte gegenüber Thinkpads, seit Lenovo die Führung übernommen hat und z.B. die US-Behörden haben aus diesem Grund meines Wissens auf HP-Notebooks gewechselt. Ausserdem hat Lenovo doch seit der T60er Reihe auf wieder weniger restriktive TPM-Module gewechselt. (T43(p) und X41 sind zum Beispiel die einzigen Modelle für die keine Bios-Passwortchips verfügbar sind.)

Was ich aber oben noch vergessen habe zu erwähnen, ist, dass man KEINESFALLES!!! als Festplattenpasswort ein anderwo gebrauchtes Passwort (z.B. Bios Supervisor Passwort) nehmen darf! Das Supervisor-Passwort kann z.B. "relativ einfach" ausgelesen werden, womit die ganze Verschlüsselungsgeschichte für den Eimer ist...

mfg Moskito
 
[quote='Moskito',index.php?page=Thread&postID=688114#post688114]@JNS-K
Dies ist jedoch nur bei aktiviertem und initialisiertem TPM Chip überhaupt möglich und somit für >90% der Benutzer irrelevant.[/quote]

Ich bin mir jetzt überhaupt nicht sicher wie die Default Einstellung bei Thinkpads ist ... ich meine sie stünde auf on. Selbst für den Fall, dass sie es nicht wäre, sollte man TPM - falls man eine FDE Platte einbaut oder irgendeine Verschlüsselungsmethode benutzt und diese TPM unterstützen würde - auf jeden Fall aktivieren, da es auf PCs derzeit keinen sichereren Platz zum Speichern von vertraulichen Informationen gibt.

Soweit ich weiss wäre dazu auch zwingend die Installation von CSS notwendig, was bei den meisten Anwendern nicht mehr zutrifft. Wird CSS überhaupt noch weiterentwickelt?
Zum Vergrößern anklicken....

Für die reine Hardwarefunktionalität ist die Installation von keinerlei Software nötig, das BIOS reicht, die CSS wird nur fürs Backup ua. benötigt. Bisher wurde die CSS weiterentwickelt, allerdings ist das letzte Update auch schon 6 Monate alt.

Diverse Behörden haben ja enorme Vorbehalte gegenüber Thinkpads, seit Lenovo die Führung übernommen hat und z.B. die US-Behörden haben aus diesem Grund meines Wissens auf HP-Notebooks gewechselt.
Zum Vergrößern anklicken....

Ja, dass ist korrekt, aber eigentlich sind es nur die USA und die sind bei jedem Hersteller mit Sitz im Ausland argwöhnisch. Allerdings ist das Problem nicht Lenovo an sich, sondern das Lenovo seinen Sitz in China hat und damit in einem der wenigen noch "kommunistisch" bzw. diktatorisch geprägtem Land mit einer florierenden exportorientierten Wirtschaft und einem evtl. weltpolitischen Vormachtstreben.

Ausserdem hat Lenovo doch seit der T60er Reihe auf wieder weniger restriktive TPM-Module gewechselt. (T43(p) und X41 sind zum Beispiel die einzigen Modelle für die keine Bios-Passwortchips verfügbar sind.)
Zum Vergrößern anklicken....

es kommt immer darauf an welche Funktionen durch das TPM übernommen werden und im Fall vom T60 / T61 ist die normale Security vom TPM unabhängig, denn diese funktioniert unabhängig vom TPM Status. Es ist mir auch noch kein Fall bekannt, dass es gelungen wäre einen TPM zu "knacken" und es kann durchaus sein, dass sich beim T43 die normale Security des TPM bedient und es deshalb nichts gibt. Das Lenovo einen Schritt zurück gemacht haben könnte würde auch verständlich, wenn man sich überlegt, wie negativ das Image von TPM in der Öffentlichkeit ist.

Was ich aber oben noch vergessen habe zu erwähnen, ist, dass man KEINESFALLES!!! als Festplattenpasswort ein anderwo gebrauchtes Passwort (z.B. Bios Supervisor Passwort) nehmen darf! Das Supervisor-Passwort kann z.B. "relativ einfach" ausgelesen werden, womit die ganze Verschlüsselungsgeschichte für den Eimer ist...
Zum Vergrößern anklicken....

Das gilt eigentlich für jede Art von Passwort ...

VG JNS
 
Hier noch ein kleines Update meinerseits.

Unterdessen habe ich mir noch zusätzlich eine Seagate ST9500327AS mit FDE zugelegt und in ein externes Gehäuse mit eSATA und USB eingebaut. Dies wird meine neue Festplatte für Unterwegs sein.

Natürlich lassen sich die Security-Optionen der Festplatte nur per eSATA konfigurieren, da über USB noch eine Bridge dazwischen ist. Unter Linux funktionierte die Konfiguration und das Absetzen der "ATA SECURITY UNLOCK" und "ATA SECURITY FREEZE" Kommandos einwandfrei. Unter Windows musste ich zuerst etwas basteln und den SATA-Treiber von Intel durch den von MS ersetzen. Aber auch hier funktioniert unterdessen alles wie es sollte...
Eine andere Möglichkeit wäre noch gewesen, Linux von CD zu booten, HDD Unlocken und Freezen und danach Windows zu starten. Aber das war mir zu wenig bequem, auch wenn das Ausführen es Unlock unter dem ArbeitsOS (Windows) sicherheitstechnisch gewisse Risiken mit sich bringt.

Wenn nun jemand sich fragt, wieso ich nicht einfach eine normale HDD genommen und darauf TrueCrypt installiert habe. Nun, das ist ganz einfach. TrueCrypt ist nicht auf jedem Computer verfügbar und kann auch nicht auf jeden Computer installiert werden. Die HDD mit FDE muss ich einfach rasch per eSATA an mein Notebook hängen und unlocken, dann kann sie von jedem Computer ganz normal per USB oder SATA verwendet werden, bis sie wieder vom Strom getrennt wird...

mfg Moskito
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben