Infos zu Lenovos Festplattenverschlüsselung?

G

G. Threepwood

New member
Themenstarter
Registriert
19 Juni 2007
Beiträge
548
Hallo,

ich habe ein X300 und würde gerne die komplette Festplatte (bzw. SSD) verschlüsseln. Im Bios habe ich die Möglichkeit ein HDD Passwort zu setzen.

Was mich interessiert ist, welche Technik da dahinter steckt. Leider konnte ich bisher keine Infos finden. Hat vielleicht jemand einen Link oder sowas, wo erklärt wird welcher Algorithmus und welche Technik Lenovo verwendet?

Wie ist das wenn mein X300 einen defekt hat. Die Platte kann ich dann vermutlich nicht per Adapter einfach so an meinen Desktop hängen und entschlüsseln? Kann ich sie denn in ein anderes X300 stecken und zumindest da entschlüsseln oder geht das dann auch nicht (ich könnte mir vorstellen, dass das mit dem TPM Chip zusammenhängt)?

Wie gesagt, am liebsten wäre mir ein Link, der sich ausführlich mit der Thematik befasst - wenn natürlich jemand etwas dazu weiß, dann immer her mit den Infos ;)!

Gruß
 
Täte mich auch interessieren, besonders die Wirksamkeit :D
 
Wenn Du die SSD deines X300 verschlüsseln möchtest musst Du enien Softwarelösung wie z.B. TrueCrypt wählen. Hardwareseitige Verschlüsselung erfordert spezielle Festplatten (eben diese sog. FDE/BDE-Disks).

Zur Umstetzung steht zwar nicht wirklich viel drin (außer das - zumindest bei der letzten Generation - mit 128bit AES verschlüsselt wurde), anbei aber dennoch zwei Links zum Thema:

http://www.thinkwiki.org/wiki/Full_Disk_Encryption_(FDE)
http://www-307.ibm.com/pc/support/site.wss/document.do?sitestyle=lenovo&lndocid=MIGR-69621
 
Wenn Du die SSD deines X300 verschlüsseln möchtest musst Du enien Softwarelösung wie z.B. TrueCrypt wählen. Hardwareseitige Verschlüsselung erfordert spezielle Festplatten (eben diese sog. FDE/BDE-Disks).
Zum Vergrößern anklicken....

Was macht aber denn das HDD Passwort im Bios? Ich habe das gerade mal gesetzt, das ging in einer Sekunde, also kann der schon mal nicht die Daten auf der Platte verschlüsselt haben, hm.

Heißt das ich hbae keine so eine FDE/BDE Disk, obwohl ich im Bios ein Passwort setzen kann?

Truecrypt hatte ich gleich am ersten Abend auf das X300 gemacht, das schafft aber nur 30MB/s, was mir viel zu langsam ist, deshalb habe ich die komplettverschlüsselung wieder runter gemacht.

Nun lese ich mal die Links, die du gepostet hast :).

Gruß
 
HDD Kennwort im BIOS und "Verschlüsseln der Daten auf der Festplatte" sind 2 verschiedene Dinge.

Das eine dient nur dazu, dass die Platte ohne Kennwort nicht erkannt wird bzw. funktionstüchtig ist das andere schreibt die Daten verschlüsselt auf die Platte (TrueCrypt zum Bsp.)
 
HDD Kennwort im BIOS und "Verschlüsseln der Daten auf der Festplatte" sind 2 verschiedene Dinge.
Zum Vergrößern anklicken....

In der Tat. Allerdings ist das "BIOS"-HDD-Kennwort eine sehr effektive Alternative zur Verschlüsselung. Der Schütz läuft allerdings nicht über das BIOS (sonst könnte man die Platte ja einfach irgendwo anders einbauen und käme an die Daten), sondern über die Firmware der Festplatte. Soweit ich informiert bin, ist der Schutz für den Normalanwender durchaus beachtlich, denn nicht mal durch ein einfaches Tauschen der Laufwerkselektronik kann man den Schutz umgehen. Tatsächlich kommen ohne das Passwort höchstens Datenrettungsfirmen an deine Daten und die sind bekanntlich teuer. Eine Backdoor soll es laut Herstellern nicht geben. Wenn du also dein Kennwort verlierst, ist die Platte futsch, auch formatieren funktioniert dann nicht mehr. Die Platte verweigert schlichtweg den Dienst.

Ob dir der Schutz ausreicht, musst du selbst bewerten. Wenn Polizei etc. nicht an die Daten gelangen dürfen, dann reicht der Schutz sicherlich nicht aus (dann wird das ganze aber ohnehin knifflig). Wenn es dir aber um den Schutz deiner Privatsphäre geht, falls der Laptop gestohlen wird o.ä., dann bietet das HDD-Passwort schon sehr viel Schutz und kostet dabei 0 Performance.
Ich persönlich benutze eine Kombination aus HDD-Passwort und NTFS-Verschlüsselung für relevante Ordner (also etwa Email, Eigene Dateien etc.).

Hoffe das hat zur Klärung beigetragen,
TheNephilim

Btw.: Auch mit der besten Verschlüsselung bleibt immernoch das große Risiko einer Online-Attacke, also wenn der Rechner gebootet ist. Dann ist der Zugriff auf das System ja erlaubt, das heißt Viren, Backdoors etc. können ungehindert auf die Daten zugreifen und Daten ausspionieren.
 
Die BDE-Festplatten verschlüsseln zwar mit AES, jedoch findet die Verschlüsselung im ECB-Mode statt, d.h. ein Sektor mit gleichem Klartext wird auch zu gleichem "Ciphertext" verschlüsselt. Das ist ganz ganz schlecht, denn freie/formatierte Bereiche geben sich so durch periodisch wiederkehrenden Ciphertext zu erkennen, was eine Attacke erheblich vereinfachen dürfte.

Jetzt werden viele Sagen: Wer braucht so sichere Verschlüsselung?

Dem kann man entgegnen: Wenn ich schon verschlüssele, dann bitte für den gemachten Aufwand RICHTIG. Würden die BDE-Platten im LRW oder XTS-Mode verschlüsseln, wäre mein Aufwand identisch, ich hätte jedoch -bei Nutzung eines starken Passwortes- ein bombensicheren Schutz, sofern der Key wirklich nicht auslesbar sein sollte.

Bei BDE-Platten wird durch Rauschen ein Key intern erzeugt und durch das PW nur "freigeschaltet", wie das genau funktioniert ist entgegen der Praxis im seriösen Verschlüsselungsbereich "geheim", was natürlich Spekulationen über Hintertüren nicht ausschließen kann.
 
Danke für eure Antworten.

Das hört sich ja nicht so prickelnd an, wenn sogar eine normale Datenrettungsfirma das Passwort umgehen können soll. Da frage ich mich ob es den Aufwand wert ist da immer das Passwort eeinzugeben.

Mein Problem ist halt, dass die CPU für eine Systemverschlüsselung mit TC zu lahm ist. Nun habe ich die Daten eben in einen Container gepackt - nur glaube ich nicht das dass wirklich sicher ist, weil wenn ich die einmal im Windows öffne dann sind die womöglich im Cache und landen dann auf der Platte. Wenn dann der Laptop weg ist kann ich mir nicht sicher sein, dass die Daten immer noch sicher sind. Mir fällt aber auch keine andere Lösung ein, wie ich dieses Problem lösen könnte.

Und ich bin auch Simas Meinung: Wenn ich mir schon den Streß mache immer ein Passwort einzugeben, dann sollte die Sache auch sicher sein, wenn es im Ernstfall eh nichts bringt kann ich es auch lassen. Den Chinesen traue ich sowieso zu das die sich noch ein Türchen eingebaut haben. Naja, man hats nicht einfach mit dem Datenschutz ;( .

Gruß
 
Hi,

Der X300 hat 2x 1,2 GHz - selbst im Akkubetrieb sollte er mit AES (alles andere ist zwar sicher, aber wirklich sehr langsam) mehr als 50MB/s liefern. Ich hätte eher 100 geschätzt. Kannst du eventuell mal einen Screenshot vom Truecryptbenchmark machen?
 
Der TC Benchmark sagt 84MB/s durchschnittlich.

Mit dem Programm HD Tach habe ich vor und nach dem Verschlüsseln mit AES jeweils einen Benchmark gemacht.

Vorher waren es ca 75MB/s lesen
danach mit AES: ca. 32MB/s lesen

Mein altes System mit Pentium M 2,1Ghz hatte fogende Werte:

TC Benchmark: 75MB/s lesen

HD Tach vorher: 65 - 35 MB/s je nach Bereich der Festplatte

HD Tach mit AES: maximal 42MB/s

Mein X300 bricht leider gegenüber den Benchmark werten deutlich ein, hat einer eine Idee woran das liegen kann?

Gruß
 
Hallo,

bitte entschuldigt dass ich diesen doch sehr alten Thread bemühe!

Nachdem ich mir jedoch heute Gedanken zur Verschlüsselung meiner Festplatte gemacht habe bin ich durch die Suche hier gelandet und denke dass man mir hier am ehesten meine Frage beantworten kann:

Benötigt man um das HDD Passwort zu benutzen eine bestimmte Festplatte?

Ich habe das Passwort seit Beginn aktiviert, in meinem T60 zusätzlich per Fingerabdruckscann, und mittlerweile die 3. Festplatte verbaut.

Beide davor verbauten Festplatten verrichten in externen Gehäusen einwandfrei ihren Dienst an mehreren PCs!
Auch auf vorhanden Daten konnte/kann ich nach dem Ausbau ohne Probleme zugreifen!

Ich habe mir darüber bisher keine Gedanken gemacht, aber laut der Beschreibung hier im Thread dürfte das doch eigentlich nicht funktionieren, oder?

Dass es mit der Compact Flash die mittels Adapter in meinem X40 arbeitet nicht funktioniert würde mich nicht wundern, aber dass ich all die Jahre das Passwort umsonst eingegeben habe würde mich doch ärgern..


MfG,
Denis
 
Ohne Passwort!
Allerdings wüsste ich auch nicht wie die passworteingabe bei einem USB Laufwerk erfolgen sollte...
dadurch kann sich der Schutz aber doch nicht einfach umgehen lassen, oder?!
 
Normal sollte das Laufwerk in einem externen Gehäuse unlesbar sein, weil nur Datensalat drauf steht.
Vielleicht solltest du deine BIOS-Settings mal überprüfen, wenn dir so daran liegt Daten über den Jordan gehen zu lassen. :D
 
Hm, im BIOS sind HDD sowie Boot Passwort eingeschaltet...
Jedes Mal beim Starten erscheint nach der Eingabe des Boot Kennworts auch kurz das HDD Symbol mit einem Haken!

Zumindest die erste Festplatte wurde auch im thinkpad partitioniert etc...ist das überhaupt eine Vorraussetzung?

Und was den Jordan angeht...scharf bin ich darauf nicht, hatte bis jetzt auch noch nicht wirklich darüber nachgedacht, aber wenn es meine Festplatte im Thinkpad schützt bin ich gerne bereit vor der externen Nutzung den Zusatzschritt über "Passwort entfernen" zu gehen!
 
Geht doch nichts über eine ordentliche Truecryptverschlüsselung :D
 
CT 08/2005 Seite 172

Auszug:
"Die Festplattenhersteller versichern, dass sie keine Hintertüren in Form geheimer Generalschlüssel eingebaut haben und selbst nicht in der Lage sind, passwortgeschützte Platten zu entsperren. Auch ein Tausch der Laufwerkselektronik mit der einer ungeschützten Platte hebelt den Schutz nicht aus, denn große Teile der Firmware und das Passwort werden auf der Platte selbst gespeichert und nicht etwa in einem Flash-Speicher auf der Platine.

Findige Köpfe bei den Datenrettungsunternehmen haben dennoch Wege gefunden, das Passwort zu umgehen. Die Firma Ibas war so freundlich, uns eine Probe ihres Könnens zu geben. Wir haben eine WD1000JB mit einem 32 Byte langen Passwort gesperrt und eingesandt und postwendend die "geheime" Datei zurückerhalten, die auf der Platte gespeichert war. "Da war ein bisschen Glück dabei", so Ibas-Geschäftsführer Karl Flammersfeld. "Wenn wir das Festplattenmodell bereits kennen, geht das recht schnell. Bei unbekannten Modellen kann es schon mal eine Weile dauern, aber meistens bekommen wir es hin." Wie der Trick funktioniert, möchte er nicht verraten - Geschäftsgeheimnis. Es ist jedenfalls nicht nötig, die Festplatte dazu zu öffnen.

So lautet das ernüchternde Fazit zum Thema ATA Security: Für wirklich sensible Daten ist der Mechanismus zu unsicher, weil ihn die Datenretter umgehen können. Man kann damit aber großen Schaden anrichten, weil nur die Datenretter ihn umgehen können. "
Typische Speicherorte des Kryptoschlüssels sind: auf der Festplatte, im Sicherheitscontroller oder außerhalb des Speichermediums wie zum Beispiel auf einer Smartcard.
Außerdem ist auch wichtig zu wissen, wie der Kryptoschlüssel in einer extremen Situation durch den Benutzer schnell zerstört werden kann, damit Unbefugte auch mittels Zwang nicht an die sensible Daten gelangen können.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben