X2xx/s (X200/s-260) Intel SSD 320 / Vertex 3 und AES-Verschlüsselung

M

mawa

New member
Themenstarter
Registriert
24 Nov. 2007
Beiträge
56
Moin Moin,

ich habe da mal ein paar Fragen zu SSD für das X220 und co. und der implementierten AES-Verschlüsselung. Da ich generell Teile meines Notebooks verschlüssel, will ich dieses auch bei meinem neuen Gerät machen. Teile deshalb, weil eine vollverschlüsselung auf meinem X41 leistungsmässig keinen Sinn ergibt. Eingesetzt wird von mir derzeitig FREEOTFE, das in der Lage ist, Luks-Container zu öffnen.

Alle aktuellen SSDs scheinen jetzt AES in Hardware mitzubringen, teilweise wohl auch schon AES 256. Wie ich in einem Artikel gelesen habe, soll dieses beim Sandforce Controller auch immer aktiv sein.

Verwendet das schon jemand auf seinem x220 o.ä.?
Wenn Ja, wie schaut es mit der Performance und der Passphrase aus?

Die Verwendung mach ja keinen Sinn, wenn die Passphrase nur aus einer HDD-PIN mit 5 Ziffern bestehen darf, wie es bei einigen BIOSen wohl der Fall ist.

Den Vorteil den ich bei einer Vollverschlüsselung sehe, ist der, dass es schwieriger wird offline eine Wanze oder Trojaner einzufügen. Bei meiner derzeitigen Lösung ist das OS komplett unverschlüsselt und es ist daher möglich, einen Keylogger offline ins System zu integrieren. Alle anderen Lösungen mit Vollverschlüsselung wie Luks, Bitlocker, Truecrypte, benötigen eine unverschlüsselte Startpartition, die ebenfalls angreifbar ist.
Die Verschlüsselung noch eine Ebene tiefer einsetzten zu lassen, könnte die Integrität des Systems verbessern. Und den Aufwand für eine offline Penetration erhöhen.

Auf der anderen Seite bleibt die Frage nach den in Hardware gegossenen Algo. Von Hintertüren für US-Dienste kann wohl leider ausgegangen werden, sonst würde es für die Controller Exportbeschränkungen geben.


Gibt es hier schon Erfahrungen?

MfG
Mawa
 
eine möglichkeit die unverschlüsselte startpartition auf der verschlüsselten platte zu umgehen, ist es von einem usbstick zu booten, der bootloader, kernel und initrd enthält.

edit:
aes256 klingt zwar nett, doch kommt es gewaltig auf den ciphermode an, ob die verschlüsselung sicher ist. im einfachsten fall wird ecb verwendet, wodurch man recht leicht die verschlüsselung knacken kann. sinnvoll wäre xts. doch was tatsächlich verwendet wird, ist mir nciht bekannt. trauen tu ich der internen verschlüsselung von festplatten und ssds nicht. genauso kann eine sichere verschlüsselung verwendet werden, doch der key mit nem masterpasswort verschlüsselt gespeichert sein. dann wäre das ganze ad absurdum geführt.
 
Zuletzt bearbeitet:
Soweit ich weiß, benötigt trueCrypt keine unverschlüsselte Boot-Partition, kann ich aber erst genau sagen wenn ich wieder am Laptop bin.
 
und wie willst du dann davon booten, wenn alles verschlüsselt ist? zumindest der mbr muss dann unverschlüsselten code enthalten, sofern das überhaupt reicht. vermutlich liegt zusätzlich noch weiterer code im klartext auf der platte. dieser fragt das passwort ab und beginnt mit der entschlüsselung.

im falle von dmcrypt hat man ne separate partition, auf der kernel, initrd und der bootloader liegen. anders geht es nicht.
 
Die Hardware-FDE-SSDs von Intel haben einen Schlüssel (Masterkey) auf sich selbst gespeichert, mit dem der Controller die restlichen Flashzellen ver-/entschlüsseln kann. Baut man die Flashzellen aus, kann man sie nicht einzeln auslesen.
Bring also erst einmal nichts, wenn die komplette SSD ausgebaut wird, weil alle Flashzellen zusammen mit dem Masterkey vom Controller entschlüsselt werden können.
Hier setzt die eigentliche Verschlüsselung ein: Vergibt man ein BIOS-Laufwerks-Passwort, wird hiermit nun der Masterkey verschlüsselt. Somit können die restlichen Flashzellen ab jetzt nur noch gelesen werden, wenn das Passwort vor dem Bootvorgang eingegeben wird. Löscht man das Passwort, liegt der Schlüssel wieder im Klartext vor und die restlichen Flashzellen können wieder von allen gelesen werden.
Algorithmus: AES256bit, XTS-Modus.
Quelle: Intelforum (genauen Link hab ich jetzt nicht parat) von einem offiziellen Intelmitarbeiter.

Wie das bei den Sandforce-Controllern aussieht weiß ich nicht, weil ich mich damit noch nicht beschäftigt habe.

Summasummarum kann man sagen, dass (wenn Intel nicht selbt einen Masterkey für alle 320er SSDs besitzt ;-)) die Methode sehr sicher ist und, da hardwarebasiert, keine Geschwindigkeitseinbußen auftreten - im "unverschlüsselten" Zustand werden schließlich auch andauernd alle Zellen ver-/entschlüsselt, nur liegt eben der Masterkey im Klartext vor.
 
Zuletzt bearbeitet:
Das klingt alles echt gut. Bin jetzt gerade selbst auf der Suche nach einer SSD für mein betagtes T60p die ich ohne Performanceeinbußen verschlüsseln kann. Nur habe ich leider nicht verstanden wie man die Verschlüsselung genau einrichtet, und funktioniert das nur mit bestimmten Boards bzw. könnte man das auf meinem T60p zum Laufen bekommen?
 
Das der Hersteller in der Chain ein Problem darstellt, hatte ich ja schon geschrieben. Es hängt daher sehr stark davon ab, wen man als Gegner hat ;)

Ich würde die Verschlüsselung gerne als Grundverschlüsselung einsetzen um den direkten Zugriff zu erschweren. Die Anwendungsdaten würde ich weiterhin in einem Container mit einem Tool meiner Wahl zusätzlich sichern. Dafür kämen weiterhin dmcrypt mit Luks oder FREEOTFE oder Truecrypt in Betracht.


Der Masterkey auf der Platte wird mit einer Passphrase verschlüsselt, die man über das Bios konfigurieren kann. Hierfür wird aus Kompatibilitätsgründen das Festplattenkennwort verwendet. Hier bleibt die Frage wie lang dieses beim x220 sein darf, eine 8 Zeichen-Passphrase bringt nicht wirklich viel. Also hat das schon jemand am kaufen?
 
Das für die Verschlüsselung erforderliche Festplattenkennwort der Intel SSD sollte man besser nicht verwenden. Heise schrieb dazu im Zusammenhang mit dem Firmwarebug der 320er:

So rät Intel nach wie vor davon ab, bei diesen SSDs ein bereits per BIOS-Setup gesetztes ATA-Security-Passwort zu ändern oder wieder zu entfernen und empfiehlt, möglichst erst gar keines zu setzen, weil es sonst zu Systemabstürzen, Datenverlusten oder unter Umständen auch Ausfall der SSDs kommen könne. Dieser Ratschlag erscheint besonders für Besitzer einer SSD 320 kurios: Schließlich bewirbt Intel die SSDs mit einer Verschlüsselungsfunktion, die aber nur dann sicheren Schutz bietet, wenn man auch ein ATA-Passwort setzt
Zum Vergrößern anklicken....
 
Zuletzt bearbeitet:
Sind ja mal tolle News :cursing:!

Und ich wollte mir gerade wegen der Verschlüsselung eine 320er zulegen. Dann kann ich das Thema also vorerst mal ad acta legen.

Würde gerne bei Intel bleiben, da ich derzeit eine G2 in meinem W500 verbaut habe und sehr zufrieden mit dieser bin. Nun sollte eine neue rein, weil ich meine G2 anderweitig verbauen möchte.

LG Uwe
 
linrunner schrieb:
Das für die Verschlüsselung erforderliche Festplattenkennwort der Intel SSD sollte man besser nicht verwenden. Heise schrieb dazu im Zusammenhang mit dem Firmwarebug der 320er:
Zum Vergrößern anklicken....

Das habe ich auch gelesen, interessant wäre es zu Erfahren, unter welchen Umständen das genau auftritt. Intel schreibt da ja nur recht allgemein: http://www.intel.com/support/ssdc/hpssd/X25M/sb/CS-030723.htm

Ich habe nämlich ein X220 mit 320er SSD und habe schon mehrmals das Password gewechselt und nutze täglich den Standby-Modus, bisher problemlos (Firmware habe ich gestern auch geupdated). Der Bug soll ja ALLE Intel SSD treffen, speziell von einer 320er mit Verschlüsselung habe ich im Intel Forum jedoch nichts gefunden. Ich werde deshalb mein System so erstmal weiterlaufen lassen, wichtige Daten werden sowieso täglich gesichert. Bisher läuft die Verschlüsselung per Bios-Password nämlich astrein.
 
@Flok
Das hört sich schon mal gut an. Wie viele Zeichen kann man denn als ATA-Passwort setzten?
 
ATA Passworte sind standardisiert und haben nichts mit dem BIOS zu tun (sind also auch nicht mal 5 oder 8-Byte lang). Länge ist immer 32-Byte. Falls du ein kürzeres Passwort eingibst wird mit 0-Bytes aufgefüllt. Das ist auch das was du im Lenovo BIOS setzen kannst.

Ich hab bei meiner 320 jetzt schon mehrfach das Passwort gesetzt und z.B. für das Firmware-Update auch wieder gelöscht und danach wieder gesetzt. Bis jetzt keine Probleme. Konnte die SSD auch im Ultrabay-Slot eines anderen Thinkpads ohne Probleme entsperren und nutzen.
 
Das ist ja echt ne delikate Sache mit dem Passwortsetzen bei den Intel-SSDs :facepalm: Soviel dazu, dass deren Firmware stabiler als die von anderen Herstellern sein soll...
@ccyx: Und wieviel Zeichen sind 32-Byte? Sry, bin kein Informatiker...
 
Zuletzt bearbeitet:
ccyx schrieb:
ATA Passworte sind standardisiert und haben nichts mit dem BIOS zu tun (sind also auch nicht mal 5 oder 8-Byte lang). Länge ist immer 32-Byte.
Zum Vergrößern anklicken....

Bei meinem X201 kann ich im Bios einstellen, eine Passphrase statt eines Passwortes zu verwenden, welche dann bis zu 64 Zeichen lang sein kann.

Ciao,
Steffen
 
Passphrase ist eine ganz wunderbare Sache, da sie zuverlässig verhindert die Platte in einem anderen Notebook auszulesen.
 
linrunner schrieb:
Passphrase ist eine ganz wunderbare Sache, da sie zuverlässig verhindert die Platte in einem anderen Notebook auszulesen.
Zum Vergrößern anklicken....

Ist das mit dem "wunderbar" ironisch gemeint? Grundsätzlich will ich ja, daß man die Platte nicht einfach in einem anderen Notebook auslesen kann. Außer natürlich, das Notebook geht kaputt und muß getauscht werden (entweder komplett oder das Motherboard).

Und wenn ich eine Passphrase verwende, kann ich nach dem Austausch nicht mehr auf die Festplatte zugreifen? Gibt es da Quellen, die das bestätigen?

Ciao,
Steffen
 
Naja ist ganz logisch. Das "normale" ATA-Passwort folgt einem Standard der mit jedem halbwegs modernen ATA-Implementierung funktioniert: Nimm die Zeichenkette und fülle bis 32-Byte mit 0 auf.
Wenn du nun eine "Passphrase" verwendest, die auch länger sein kann, heißt das, dass dein BIOS im Endeffekt diese Passphrase in ein 32-Byte langes ATA-Passwort hashen oder sonstwie umwandeln muss, weil die Platte sonst nichts damit anfangen kann. Da dieses Umwandeln aber nicht standardisiert ist, kannst du die Platte dann entsprechend nur mit Geräten, die das ATA-Passwort genauso aus einer Passphrase herleiten, verwenden.

Also im Endeffekt bringts dir keine höhere Sicherheit weil die Hardwareseitige Begrenzung 32-Byte ist: Dafür sinkt die Wahrscheinlichkeit, dass du deine Platte im Fall eines Hardwareschadens an dem Rechner noch verwenden kannst, da du ja das ATA-Passwort nicht ohne diesen herleiten kannst.
 
Zuletzt bearbeitet:
ccyx schrieb:
Naja ist ganz logisch. Das "normale" ATA-Passwort folgt einem Standard der mit jedem halbwegs modernen ATA-Implementierung funktioniert: Nimm die Zeichenkette und fülle bis 32-Byte mit 0 auf.
[...]
Also im Endeffekt bringts dir keine höhere Sicherheit weil die Hardwareseitige Begrenzung 32-Byte ist: Dafür sinkt die Wahrscheinlichkeit, dass du deine Platte im Fall eines Hardwareschadens an dem Rechner noch verwenden kannst, da du ja das ATA-Passwort nicht ohne diesen herleiten kannst.
Zum Vergrößern anklicken....

Also ich habe es bei meinem X201 noch mal getestet. Voreingestellt war die Verwendung von Passphrases, dort kann wie gesagt die Passphrase 64 Zeichen lang sein, aus denen dann wohl der 32 Byte Schlüssel generiert wird.

Wenn ich Passphrase ausschalte, dann kann ich nur ein maximal 12 Zeichen langes Passwort eingeben. Das ist doch schon eine deutliche Verschlechterung der Sicherheit finde ich.

Wenn ich den Passphrase Support wieder einschalte, dann gibt das Bios eine Warnung aus, daß die Festplatte nur auf Geräten verwendet werden kann, die ebenfalls den Passphrase Algorithmus unterstützen.

D.h. also, ich kann durchaus die Festplatte weiter verwenden, wenn mein Notebook/Motherboard einmal getauscht werden muß. Wenn ich sie allerdings an einem völlig anderen Rechner eines anderen Herstellers anschließe, dann kann es sein, daß sie nicht geht, weil dessen Bios keine Passphrase unterstützt bzw. einen inkompatiblen Algorithmus verwendet.

Ciao,
Steffen
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben