FDE mit Thinkpad T500 oder doch T60/61 wegen Lenovo FAQ

S

SilentCry

New member
Themenstarter
Registriert
9 März 2009
Beiträge
13
:?: Liebe Leute, ich bin ganz neu und habe mich angemeldet um zuallererst mal eine Frage zu stellen.

Ich plane die Anschaffung eines Thinkpads weil ich ein zuverlässiges System mit hardwareverschlüsselnden Drives betreiben will. Der Plan ist, das optische Laufwerk gegen eine zweite FDE-HDD zu tauschen und damit zwei HW-verschlüsselnde Drives zu haben. So kann ich intern sichern und muss mir nur für externe Sicherungen was überlegen.

Im Bereich der HW-FDE-Drives ist meine Wahl auf Seagate Momentus FDE.3 gefallen (davon habe ich nun zwei auf Lager).

Frage 1: Betreibt jemand ein Thinkpad (T500 oder T61/61/p) mit einem Momentus FDE.3-Drive erfolgreich?

Beim Thinkpad war ich eigentlich schon beim T500, ABER: http://www-307.ibm.com/pc/support/site.wss/document.do?sitestyle=lenovo&lndocid=MIGR-69621 verwirrt mich nun.

[font='Arial, Helvetica, sans-serif']Eine wichtige Aussage über die allgemeine Wirksamkeit der FDE-Drives ist:

[font='Arial, Helvetica, sans-serif']"Any ThinkPad notebook that uses Serial ATA (SATA) hard drives can use an FDE drive; however, the FDE menu enable utility is currently only supported on ThinkPad T61/T61p, R61, X61/X61p and ThinkPad Reserve Edition notebooks."[/font]

[font='Arial, Helvetica, sans-serif']Nur verwirrt mich das natürlich, denn normalerweise nimmt das FDE-Drive einfach das BIOS-IDE-Passwort (als IDE-Security-PWD bekannt, als Harddisk-Passwort in beinahe jedem BIOS zu finden und auch schon mehrmals in der Kritik durch heise gewesen (zB. http://www.heise.de/ct/05/08/172/). Gewöhnliche IDE/SATA-Platten verschlüsseln nicht, nur bei FDE-Drives nimmt das Drive dieses PWD und benutzt es zur Verschlüsselung. Meinem Verständnis nach benötigt man kein spezielles BIOS-Menü oder Utility. So verstehe ich das. Warum also betont Lenovo "the FDE menu enable utility is currently only supported on ..."[/font]

[font='Arial, Helvetica, sans-serif']Frage 2: Was soll die explizite Erwähnung eines solchen Menüs, wozu ist es gut, weshalb sollte ich so ein Menü brauchen und wenn ohnehin alle Thinkpads FDE-Drives unterstützen? Hm?[/font]

Frage 3: Wie seht Ihr Thinkpad-Profis das? Muss ich mir das T500 abschminken und zu einem T61(p) greifen?



Vielen Dank!
[/font]
 
OK, das klingt danach als wäre es nur für ein etwaiges Reset des Keys gut.

Danke schön!
 
Hallo,

habe selber ein T500 und habe mir heute die Seagate Momentus FDE3 bestellt. Werde diese Kombination also morgen oder spätestens übermorgen testen können und kann dir dann gerne berichten :)

viele Grüße
Stephan
 
Hallo stmz. Das wäre fantastisch! Vielen Dank schon mal im Voraus. Und solltest Du nach Wien kommen gebe ich ein Bier aus :.)
 
Hallo SilentCry,

soo, die Festplatte ist eingebaut und ich konnte im BIOS problemlos das Festplattenkennwort setzen. Weitere Optionen sind im BIOS jedoch nicht vorhanden, aber nach meinem Verständnis sollte das Setzen des Festplattenkennworts auch das Kennwort für die Verschlüsselung sein.

gruß
stmz
 
...nur muss die Wirksamkeit von FDE danach noch verifiziert werden. Für den Privatanwender dürfte es kaum möglich sein, zwischen einer mit IDE Passwort gesicherten Festplatte und einer Festplatte mit aktiviertem FDE zu unterscheiden.

Ich persönlich verwende Truecrypt 6.1a mit seiner System Drive Encryption. Das funktioniert wunderbar auf meinem X30, welches täglich mit mir in der Welt unterwegs ist. :)

Grüße, Torsten.
 
meshua' schrieb:
Truecrypt 6.1a[/url] mit seiner System Drive Encryption. Das funktioniert wunderbar auf meinem X30, welches täglich mit mir in der Welt unterwegs ist. :)

Grüße, Torsten.
Zum Vergrößern anklicken....
das ist klar, natürlich muss darauf geachtet werden, dass es sich wirklich um eine FDE-Platte handelt. Zusätzlich läuft bei mir aber noch eine vollständige Festplattenverschlüsselung auf Softwarebasis ;-) (also hardware + software). Sollte wohl recht sicher sein.
 
So sehe ich das auch.

Also, vielen Dank für's Ausprobieren, damit rückt das T500 schon recht deutlich in meinen Investitionsplan.

Auch ich plane, TC (bzw. irgendeine andere SW-Lösung) zusammen mit der HW-Verschlüsselung zu betreiben, mit verschiedenen Passphrases. Neben etlicher anderer Sicherheitsmaßnahmen.

Da der Staat der potentiell größte Gefährder geworden ist hat sich die Notwendigkeit für weitgehende Schutzmechanismen drastisch verschärft. Traurig, aber es hilft nichts, das Überwachungseuropa ist mittlerweile Fakt, was vor 10 Jahren noch Verbrechermethoden waren ist heute normale Ermittlungsarbeit. Gegen einen klassischen Einbrecher konnte ich mich noch physisch verteidigen, gegen einen "Einbrecher" (sic.) in Uniform nicht. Die Zeiten als die Behörden noch _für_ den Bürger da waren sind offenbar vorbei...

OK, ich will nicht abgleiten, schönen Wochenanfang noch allen, und nochmal Danke für die Mitteilung hier.

SC.
 
Alles falsch

Testhalber mit einem SL500 probiert.
Und den Seagate Support angemailt.
Seagate Support meinte, das wäre alles Unsinn mit dem Fesplattenpasswort. Man bräuchte spezielle Management-SW.
Ich glaubte das nicht.
Also einfacher Test: Massig Dateien auf der mittels HDD-PWD gesicherten und vermeintlich verschlüsselten FDE.3 gespeichert.
Danach kurz runterfahren. Ins BIOS, das HDD-PWD ausschalten.
Wenn alles RICHTIG funktioniert hätte dürfte er nicht mal mehr booten. Aber er bootet.
UND er zeigt brav alle Daten. Alle.

Zur Sicherheit (weil möglicherweise merkt sich das System irgendwo doch das PWD - wäre zwar auch der SuperGAU, aber zumindest erklärbar) habe ich die Platte ausgebaut, externes USB und ran an meinen Mac. Fein konnte der Mac alle Daten lesen, ganz fein. Problemlos.

Also sage ich zwei Dinge:
- Alle Meldungen und das Whitepaper über die FDE-Drives von Seagate sind einfach falsch wenn sie behaupten, man brauche nur ein BIOS-PWD
- Der Seagate Support hatte wohl Recht, man braucht irgend eine abstruse Management SW, dann geht die ganze Scheisse übrigens los mit extra kleiner Partition, etc.
(siehe: http://www.wave.com/products/tdm.asp). Also doch nichts mehr mit Hochbooten von einer Antiviren-CD oder dergleichen um das System zu checken, etc.)

Furchtbar daran ist nicht nur, dass das eine bescheidene Lösung ist sondern auch, dass man erst den Seagate Support fragen muss um herauszufinden, dass offenbar völlige Fehlinformation herrscht, wie dieses FDE-Feature aktiviert und benutzt werden kann.
 
[quote='stmz',index.php?page=Thread&postID=550421#post550421]Hallo SilentCry,

soo, die Festplatte ist eingebaut und ich konnte im BIOS problemlos das Festplattenkennwort setzen. Weitere Optionen sind im BIOS jedoch nicht vorhanden, aber nach meinem Verständnis sollte das Setzen des Festplattenkennworts auch das Kennwort für die Verschlüsselung sein.

gruß
stmz

Testhalber mit einem SL500 probiert.
Und den Seagate Support angemailt.
Seagate Support meinte, das wäre alles Unsinn mit dem Fesplattenpasswort. Man bräuchte spezielle Management-SW.
Ich glaubte das nicht.
Also einfacher Test: Massig Dateien auf der mittels HDD-PWD gesicherten und vermeintlich verschlüsselten FDE.3 gespeichert.
Danach kurz runterfahren. Ins BIOS, das HDD-PWD ausschalten.
Wenn alles RICHTIG funktioniert hätte dürfte er nicht mal mehr booten. Aber er bootet.
UND er zeigt brav alle Daten. Alle.

Zur Sicherheit (weil möglicherweise merkt sich das System irgendwo doch das PWD - wäre zwar auch der SuperGAU, aber zumindest erklärbar) habe ich die Platte ausgebaut, externes USB und ran an meinen Mac. Fein konnte der Mac alle Daten lesen, ganz fein. Problemlos.

Also sage ich zwei Dinge:
- Alle Meldungen und das Whitepaper über die FDE-Drives von Seagate sind einfach falsch wenn sie behaupten, man brauche nur ein BIOS-PWD
- Der Seagate Support hatte wohl Recht, man braucht irgend eine abstruse Management SW, dann geht die ganze Scheisse übrigens los mit extra kleiner Partition, etc.
(siehe: http://www.wave.com/products/tdm.asp). Also doch nichts mehr mit Hochbooten von einer Antiviren-CD oder dergleichen um das System zu checken, etc.)

Furchtbar daran ist nicht nur, dass das eine bescheidene Lösung ist sondern auch, dass man erst den Seagate Support fragen muss um herauszufinden, dass offenbar völlige Fehlinformation herrscht, wie dieses FDE-Feature aktiviert und benutzt werden kann.

[/quote]
 
Junge, die meinten nicht das Bios Passwort, sondern das ATA Security Passwort, das im Bios gesetzt wird. So wird zumindest jede FDE Platte, die ich bisher gesehen hab, eingerichtet.#

Edit: Ok das war nen bisschen grob, du brauchst nen Bios, das die ATA Security Kommands für FDE unterstützt, damit stellst du das Passwort dann ein.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben