Festplattenverschluesselung - ein paar Fragen zu dem Thema

bemymonkey

bemymonkey

Well-known member
Themenstarter
Registriert
21 Juni 2009
Beiträge
10.203
Hi Leute,

Ich ueberlege gerade, die Festplattenverschluesselung im BIOS zu aktivieren, falls mein Laptop mal in falsche Haende geriet - schliesslich sind da Unmengen an privaten Daten drauf (Kontonummern, Kontaktdaten, usw. usw.). Allerdings wollte ich erst mal fragen, ob's da irgendwas zu beachten gibt.

1. Kann man das einfach wieder ausschalten? Was wenn, z.B., Windows ploetzlich streikt - kann ich im BIOS einfach das Passwort ausschalten und die Platte in nen anderen Rechner stecken?
2. Gibt's nen Performance-Unterschied? Wo findet denn die Verschluesselung statt - ist das Hardware oder software?
3. Kann da irgendwas schief laufen? Kann ich da ohne Probleme meine XP Pro SP3 Installation weiter nutzen, oder muss ich neu aufsetzen?

Und nur am Rande:
3. Wie sieht die Rechtslage in Deutschland aus? In England wurden vor Kurzem zwei Leute zu mehreren Jahren Haft verurteilt, weil sie ihre Encryption Keys (also Passwoerter) nicht rausruecken wollten (http://it.slashdot.org/story/09/08/12/1255241/Encryption-What-Encryption?from=rss) - Kann so etwas hier in DE auch passieren? z.B. im Falle eines vergessenen Passworts oder sonst was... oder wenn ich der Polizei einfach nicht die Kontaktdaten meines gesamten Bekanntenkreises, Kreditkartennummern und Zugriff auf meine gesamten E-Mails usw. geben will?

Danke im Voraus :)
 
Meinst du das Bios-Password. Wäre mir nue, dass die Festplatte im Bios verschlüsselt werden kann ... aber ich lerne gerne zu.
Die Beugungshaft bedingt im Übrigen ein vorgeworfenen Straftatbestand. Wenn du also kein Power-E-Donkey-Nutzer bist oder sonst mit illegalen SAchen zu tun hast, glaube ich nicht dass du dir da Gedanken machen musst. Nur bei einer Einreise nach Amerika, könnte es sein, dass die Boarder Controll deine Passwörter haben will und dann die Platte kopiert ... nette Erfuindung nach 9/11
Gruss
Heiko
 
Was da hilft, sind versteckte verschlüsselte Partitionen Container, deren Existenz (mathematisch) nicht nachzuweisen ist.

TrueCrypt kann das inzwischen, glaub ich. Auf jeden Fall habe ich genau zu dieser Problematik mal was gelesen.
 
Es gibt Programme wie SafeGuard Easy o.ä., die eine vernünftige Verschlüsselung bieten, die sicher sind. Allerdings sind diese nicht kostenlos und für den Privatgebrauch reichen Lösungen wie TrueCrypt. Das Bios-Passwort unterbindet entweder nur den Bootvorgang und/oder den Zugang zum Bios sowie Einstellungen dort. Die Festplatte kann man aber Ausbauen und auslesen.
 
Hallo!

Meinst Du tatsächlich Verschlüsselung, also hast Du eine FDE-Platte? Oder meinst Du das schon angesprochene Bios-Paßwort? Letzteres schützt zwar, verschlüsselt aber nicht. Normaluser kommen danach nicht mehr an die Daten, Forensiker aber schon.

Gruß

Quichote

Edit: Mißverständlich ausgedrückt. Ich meinte nicht das Bios-Paßwort, was den Zugang zum Bios sperrt, sondern das Festplattenkennwort, das im Bios vergeben wird.

Nochma Edit: TryCrpyt ist in Sachen Sicherheit voll auf Augenhöhe mit kostenfplichtigen Lösungen. 256 Bit AES und dann ein ausreichend langes Paßwort auf separatem Chip gespeichert lassen auch die NSA abprallen, schätze ich. Aber auch bei normal langem und noch merkbaren Paßwort, das man dann eben eintippt, muß man schon Staatsfeind No. 1 sein, weil es dann immer noch viel Sachkenntnis, viel Rechenleistung und viel Zeit braucht.
 
Hmmm, ich dachte eigentlich, das Festplattenkennwort wuerde ein Ausbauen und dann Auslesen verhindern, indem die Platte komplett verschluesselt wird.

Hatte ich hier gelesen: http://www.thinkwiki.org/wiki/Full_Disk_Encryption_(FDE)

Laut dieser Seite sollte das Ganze auch mit dem SL500 moeglich sein: http://www-307.ibm.com/pc/support/site.wss/document.do?lndocid=MIGR-68369

Ich kriege jetzt beim Starten ein Passworteingabefeld. Vlt. bau ich gleich mal die Festplatte aus zum Testen...

-edit- Mir scheint, das haengt bei den Thinkpads wohl von der verbauten Festplatte ab, wa? Welche koennen das denn alle?
 
Ok, dann habe ich dich missverstanden. Es klang erst nach BIOS-Passwort.
@Quichote: Du hattest hier doch anscheinend Erfahrung ...
 
Also ich hab mal gegooglet, und sehe grad, dass Seagate spezielle FDE Festplatten herstellt. Gibt es so was bei Western Digital auch? So eine hab ich naemlich verbaut :)
 
Guten Morgen!

Genau das ist der Unterschied:
FDE-Platten verschlüsseln den Inhalt. Damit sind die Daten auch für Forensiker nicht zugänglich, die beispielsweise die Scheiben ausbauen und in anderer Umgebung auslesen können.
Der FP-Paßwortschutz verhindert, daß die Platte als Gesamtes ohne das Paßwort angesprochen werden kann. Auch wenn man sie ausbaut und woanders einbaut oder den Rechner mit einer Live-CD bootet, bleiben die Daten geschützt. (Lenovo selber sagt ebenfalls, sie kämen dann nicht mehr dran.) Forensiker jedoch können mit dem oben beschriebenen, erheblichen Aufwand die Daten auslesen.
Bei FDE-Platten übernimmt Ver- und Entschlüsseln ein separater Chip; es wird also keine Prozessorlast erzeugt. Mit TrueCrypt und Konsorten läßt sich dasselbe Sicherheitsniveau erreichen, allerdings geht das zu Lasten der Performance. Meine etwas ältere 7200er Seagate ging mit einem T6xxx-Prozessor unter truecrypt bei voller Systemverschlüsselung runter auf etwas über 30MBit/s Transferrate, und das merkt man schon.

Für den Normalnutzer sollte ein FP-Kennwort und ggf. eine verschlüsselte Partition für besonders sensible Bereiche ausreichend sein. Normale Diebe kommen dann an nichts empfindliches mehr heran; besagte Datenforensik kostet mindestens vierstellig.

Momentan sind mir nur Seagate Momentus als FDE-Platten bekannt, mittlerweile auch als 7.200er und zu ganz erfreulichen Preisen.

BTW: weiß eigentlich jemand, ob eine SSD mit FDE irgendwo im Anmarsch ist? Ich glaube ja nicht, aber da würde ich schwach ...

Gruß!

Quichote
 
Hi Quichote,

Vielen vielen vielen vielen Dank fuer die ausfuehrlichen Infos :)

Ich bin jetzt auch am Ueberlegen, ob ich mir nicht bald mal die Momentus 7200 500GB mit FDE zulegen sollte... die Frage ist allerdings fuer mich, ob die Verschluesselung/Entschluesselung nicht doch die Leistung beeintraechtigt - dass der CPU dabei nichts verarbeiten muss ist klar, aber kriegt der Chip das Ganze so schnell ver- und entschluesselt, dass gerade bei den Festplattentransferraten und Seek-Times keine Unterschiede bestehen? Hast Du da vlt. naehere Infos noch zu?

Danke nochmal :)
 
Hallo!

Persönlich habe ich es nie ausprobiert; seinerzeit (in Prä-Thinkpad-Zeiten) waren sie mir noch zu teuer und ich habe Truecrypt verwendet, und jetzt habe ich weniger sensible Kundendaten dabei und mir reicht das FP-Passwort und eine verschlüsselte Partition mit reinen Daten, wo die Truecrypt-Geschwindigkeitseinbußen keine Rolle spielen.
Nach allem, was ich gelesen habe, gibt es aber tatsächlich keinen spürbaren Geschwindigkeitsunterschied. Die 5400er Platte liegt jedenfalls nicht schlecht im Rennen:

http://www.tomshardware.com/reviews/hdd-galore,1762-4.html

und der unmittelbare Vergleich derselben Platte vor und nach erfolgter Verschlüsselung

http://www.wired.com/gadgetlab/2007/07/hands-on-with-1/

spricht ebenfalls nicht gegen einen Einsatz. Da die Verschlüsselung bei der 7200er Platte wohl gleich funktionieren dürfte, kann man diese Ergebnisse wahrscheinlich auf sie extrapolieren.
Es ist halt weder ein Geschwindigkeits- noch ein Stromsparwunder, sondern in allen Disziplinen nur Mittelklasse. Wenn man aber auf die Hardwareverschlüsselung wert legt, gibt's keine Alternative.

Gruß

Quichote

PS: Zu einer Eingangsfrage noch, falls Du erst mal die Ausgabe scheust und doch Truecrpyt testen willst:
Es klappt problemlos, wenn man sich ein wenig eingefühlt hat. Die Software ist recht mächtig, zwar einigermaßen brauchbar dokumentiert, aber wendet sich schon an Nutzer, die minimale Windowskenntnisse haben. XP muß nicht neu aufgesetzt werden; der erste Verschlüsselungs- und anschließende Wipe-Prozess (damit die unverschlüsselten Ursprungsdaten auch nicht mehr lesbar sind) kann unbeobachtet laufen, dauert aber je nach Datenmenge und Wipe-Gründlichkeit eine Nacht bis ein Wochenende. Eine Rettungs-CD, falls es dabei den MBR zerhagelt, ist Pflicht, TC läßt einen aber auch erst dann weitermachen, wenn eine solche erstellt ist. Und ein Backup sollte man natürlich ohnehin vorher ziehen, obwohl es bei mir kein einziges Mal Probleme gemacht hat.
Einzige Ausnahme: Wenn man sein gesamtes System verschlüsseln will, kann TrueCrypt das unter XP nur dann, wenn es keine logischen Laufwerke gibt. Man muß dann ggf. also jedes einzelne Laufwerk als primäres Laufwerk anlegen. Einzelne logische Laufwerke verschlüsseln dagegen geht.
 
Danke fuer die ausfuehrlichen Infos.

Ich denke, ich werde mir mal zu Weihnachten oder so eine der Festplatten leisten - bis dann muessen die (meisten) sensiblen Daten wohl auf dem NAS zuhause bleiben. TrueCrypt ist ja auch eine interessante Loesung, aber das komplette System damit zu verschluesseln wird mich wohl ziemlich stark stoeren (die 5400UPM Western Digital, die da drin ist, lahmt ja sowieso schon ziemlich), und ne extra Partition fuer die sensiblen Dateien einzurichten waere mir zu viel Arbeit - es geht mir ja hauptsaechlich darum, Bankdaten, Online-Zugangsdaten usw. zu schuetzen, falls ich den Laptop mal verliere oder so. Mit TrueCrypt scheint mir das schwer - und gerade wenn ich z.B. die FireFox + Outlook Userdaten mit TrueCrypt verschluessele, verlangsamt das doch gerade diese beiden oft benutzten sicherlich stark, oder nicht? Da ist wohl Hardwareverschluesselung via FDE stark im Vorteil, vermute ich...

Des Weiteren wuerde ich gerne die Moeglichkeit haben, so Sachen wie meine ueber Jahre erarbeitete Musiksammlung nicht an jeder Grenzkontrolle preisgeben zu muessen - schliesslich sind das inzwischen ueber 1000 Alben, von denen ich viele der Original-CDs nicht mehr besitze weil sie bei meinen Eltern zuhause in Kisten rumliegen - geschweige denn der hunderten digitalisierten Schallplatten meines Vaters :D. Da kann schon der Verdacht aufkommen, dass das alles Raubkopien sind, und den Stunden Stress will ich einfach aus dem Weg gehen (da hatte ich in asiatischen Laendern schon gaaaaanz lustige Erfahrungen). Dafuer wuerde TrueCrypt natuerlich gehen, da an der Sammlung ja nicht oft geschraubt wird (hoechstens wenn ich mal ne neue CD kaufe wird diese gerippt und hinzugefuegt)... da werde ich vlt. mal die Tage beigehen und TrueCrypt ausprobieren. Wenn ich aber dann ne FDE Platte hole, wird sich das eh erledigt haben :)

Danke nochmal fuer die ausfuehrlichen Antworten... :thumbup:
 
Hallo!

Richtig; FDE-Platten heißen auch immer ausdrücklich FDE in der Typbezeichnung.

Truecrypt für die Outlook-PST ist kein Problem. Der Zeitaufwand für die Eingabe des Paßworts ist erheblich höher als die Ladeverzögerung, die sich dadurch ergibt. Große InDesign-Dateien allerdings machen bei einem Prozessor der Mittelklasse definitiv keinen Spaß ... es hängt halt sehr davon ab, wie viel Leistung der Prozessor bringt.

Problem an Grenzen, vor allem bei den entspannten Damen und Herren am Immigration Desk: Wenn die Kiste nicht ordentlich hochläuft, gibt's Mecker. Ich bin mal nur mit Mühe aus den USA herausgekommen, weil mein Akku leer war (und mein Adapter futsch), insofern hast Du je nach Stimmung möglicherweise nur die Wahl zwischen "Paßwort eingeben" oder "die Büchse sicherheitshalber sprengen lassen". Wenn es Dir also darum geht, ist eine partielle Verschüsselung vielleicht die bessere Idee. Nennenswerte Windowskenntnisse nämlich habe ich da noch nie erlebt.

Gruß

Quichote
 
Hmmm, ich hab jetzt mal testweise meine Firefox & Thunderbird Profile, sowie meine Outlook PST Datei, in einen TrueCrypt Container verschoben. Ausser, dass mir mein Thunderbird Profil dadurch irgendwie komplett abhanden gekommen ist (vlt. weil ich das System neugestartet habe, ohne das Volume in TrueCrypt zu dismounten?), scheint das recht gut zu funktionieren - Performanceeinbussen gab's dadurch jedenfalls noch nicht Bemerkbare :)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben