T14*/T15* NVMe Password vs. Bitlocker

R

Rassupo

Member
Themenstarter
Registriert
16 Juni 2014
Beiträge
31
Hallo, ich stehe vor der Entscheidung ob ich eher Bitlocker verwenden soll oder einfach ein NVMe Password.
Wobei ich das mit dem NVMe Password noch nicht so ganz verstanden habe vorallem ob ich die SSD dann noch auslesen kann wenn ich sie in einen anderen Rechner einbaue.

Etwas Internet suche hat ergeben dass das vergebene Passwort offenbar nicht direkt benutzt wird sondern da Hashes gebildet werden und auch die Seriennummer des Notebooks da noch mit einfliest mit dem Ergebnis dass die Daten dann selbst wenn man das Passwort weiß nicht in einem anderen Rechner auszulesen sind.

Bin auch darüber gestolpert


Jetzt gibt es bei den Thinkpads ja auch noch die Möglichkeit ein Doppelkennwort zu vergeben, siehe hier:

UEFI BIOS-Kennwörter des ThinkPad X1 Carbon 13th Gen (2025)

Erfahren Sie, wie Sie UEFI BIOS-Kennwörter des ThinkPad X1 Carbon 13th Gen (2025) setzen, ändern oder entfernen können.
download.lenovo.com

Ich verstehe es so bzw schätze dass das Administrator Kennwort es mir dann tatsächlich auch ermöglichen würden die SSD in anderen Rechnern zu entsperren.

Bin ich da korrekt in der Annahme und weiß jemand hier Näheres?

Die Frage bleibt halt was sollte man wählen, eigentlich gefällt mir der Ansatz durch ein NVMe Password einfach die SSD als solches zu sperren schon besser als Bitlocker wo eben nicht alles verschlüsselt wird.

Was sollte man wählen?

Ziel: Daten schützen vor Diebstahl des Laptops. SSD sollte sich im Fehlerfall des Laptops ausbauen lassen und in ein anderes Gerät setzen lassen um zumindest noch an die Daten ranzukommen. Sprich die SSD sollte nicht unwideruflich mit dem restlichen System "verheiratet" sein sodass nur noch in diesem System ein Auslesen der SSD möglich ist

Bitte kein Grundsatzdiskussionen oder weitere Dinge wie VeraCrypt ins Spiel bringen. Schutz vor staatlichen Behörden usw ist mir auch egal. Mir ist klar dass wenn die CIA vorbei kommt Bitlocker dann kein Hindernis ist für die;)
Das ist mir aber alles egal. Es geht mir um den einfachen Diebstahl zB im Urlaub etc.
 
Und Bitlocker ist auch kein Tresor.

Da der von @hikaru gepostete Artikel von thehackernews.com schon 8 Jahre alt ist, besteht zumindest eine kleine Hoffnung, dass inzwischen nachgebessert wurde. - Wenn ich es richtig verstanden habe, wird für die Hardware-Verschlüsselung eine OPAL 2 SSD benötigt.

Aber:
Eine nicht 100% sichere Verschlüsselung ist immer besser, als keine. Setzt ja der Hack gewisse Kenntnisse und Fähigkeiten voraus.
 
Rassupo schrieb:
Ziel: Daten schützen vor Diebstahl des Laptops.
Zum Vergrößern anklicken....
Wer einen Laptop klaut, ist zu 99,99 % nur an der Hardware, nicht aber an den Daten interessiert.

Rassupo schrieb:
SSD sollte sich im Fehlerfall des Laptops ausbauen lassen und in ein anderes Gerät setzen lassen um zumindest noch an die Daten ranzukommen.
Zum Vergrößern anklicken....
Für solche Fälle heißt das Zauberwort: Backup!
Das hilft nämlich auch, wenn ausgerechnet die SSD den Geist aufgeben sollte... ;)
 
Dabaqolof schrieb:
Dann Bitlocker und fertig.
Zum Vergrößern anklicken....
Warum? Kannst Du oder jemand anderes nicht erklären, wie sicher das Festplattenkennwort nun wirklich ist? Genau das Anschließen und auslesen an einen anderen Rechner wird hierdurch ja unmöglich gemacht, so der etwas wage Kenntnisstand des Forums. Wirklich auszukennen scheint sich hiermit aber wohl niemand.
 
Ravensberger schrieb:
Genau das Anschließen und auslesen an einen anderen Rechner wird hierdurch ja unmöglich gemacht,
Zum Vergrößern anklicken....
Meinst du das Festplattenkennwort?
Bei Bitlocker verschlüsselten SSDs kann ich bleibig zwischen meine ThinkPads wechseln. Drum habe ich geschrieben, dass er Bitlocker nehmen sollte.
 
Ja, das Festplattenkennwort, die Besonderheit von IBM und Lenovo. Das sollte doch genau die Lösung für den Themenstarter sein.
Beitrag automatisch zusammengeführt:

So, ich habe jetzt extra aus meinem X61t die SSD vom Qualitätshersteller Intenso ausgebaut und habe meinen tatsächlich noch vorhandenen PC (non Lenovo) hochgefahren, an welchem ein bislang sehr zuverlässiges externes SSD-Gehäuse von Sabrent via USB 3 angeschlossen ist.

Eingeschaltet und: Die Leuchte am Festplattengehäuse blinkt wie verrückt.
Ich frage also erst einmal meinen Rechner, ob das Gehäuse sich meldet. Das tut es.
Code: 
Bus 002 Device 004: ID 152d:1561 JMicron Technology Corp. / JMicron USA Technology Corp. JMS561U two ports SATA 6Gb/s bridge

Dann frage ich mein Betriebssystem, ob sich denn ein USB- Gerät meldet: Nichts, gar nichts, null.

So soll es sein, denke ich.
 
Zuletzt bearbeitet:
Rassupo schrieb:
Anforderung ist die SSD kann man ausbauen und woanders einbauen. Darum geht es ;)
Zum Vergrößern anklicken....
wie Mornsgrans bereits erwähnt hat wird dazu eine SSD mit Opal gebraucht und nach meinem Kenntnisstand ist das auch sicher. Ohne Passwort lassen sich die verschlüsselten Daten nicht auslesen, es besteht nichtmal ein Zugriff auf die SSD, auch nicht mit einem externen USB-Adapter. Andere Behauptungen bitte mit Quellen belegen.

Bzgl. des Master-Passworts ist es meines Wissens so, dass der Admin damit nicht an die Daten kommt, sondern dass der interne Schlüssel weggeworfen wird womit alle Daten futsch sind, die SSD dann aber wieder verwendet werden kann.

Ist nur ein User-Passwort drauf und ist dass nicht bekannt, kann man die SSD nur noch wegwerfen.

Das gute an diesem Konstrukt ist, dass es unabhängig vom Betriebssystem funktioniert.
Beitrag automatisch zusammengeführt:

Dabaqolof schrieb:
Bei Bitlocker verschlüsselten SSDs kann ich bleibig zwischen meine ThinkPads wechseln. Drum habe ich geschrieben, dass er Bitlocker nehmen sollte.
Zum Vergrößern anklicken....
Kannst Du auch mit "ThinkPad Festplatten-Passwort" verschlüsselten SSDs (und HDDs) machen.

Zum Starten muss dann eben das entsprechende Passwort eingegeben werden.
 
Zuletzt bearbeitet:
Bitlocker verwendet die Hardwareverschlüsselung von SSDs seit Jahren bloß noch optional und OPAL geht wohl gar nicht, das ist aber im Enterprise Bereich nötig, und auch nicht die zwei Untermengen von OPAL wie PYRITE, sondern etwas das keine meiner SSDs unterstützt.
 
mac4tp schrieb:
Ist nur ein User-Passwort drauf und ist dass nicht bekannt, kann man die SSD nur noch wegwerfen.

Das gute an diesem Konstrukt ist, dass es unabhängig vom Betriebssystem funktioniert.
Zum Vergrößern anklicken....
Laut ihm hier


kann ich die SSD aber selbst wenn ich das pw weiß nicht in einem anderen Rechner entsperren um an die Daten zu kommen. Er bietet zwar ein Tool an aber muss gestehen das reicht mir nicht. Wenn Lenovo da ne Kleinigkeit ändert oder geändert hat funktioniert es wieder nicht.
Die Frage ist also wenn ich das Passwort weiß kann ich die SSD einfach in einen anderen Rechner verpflanzen?

Achso und ich habe eine 980 Pro als SSD. Glaube die ist OPAL und sogar eDrive wenn ich mich nicht irre.

mac4tp schrieb:
Ist nur ein User-Passwort drauf und ist dass nicht bekannt, kann man die SSD nur noch wegwerfen.
Zum Vergrößern anklicken....
Dachte für genau dieses Fälle gibt es die PSID?

Grundsätzlich tendiere ich leicht zum NVMe Password statt Bitlocker, aber die SSD ausbauen zu können und woanders auslesen und ggf sogar die SSD einfach in einen anderen Rechner einbauen und hochfahren zu könenen ist für mich ein must have.
Ich will da keine weiteren Abhängigkeiten haben bezüglich der Daten und sie fest mit einem Rechner verheiraten, Backup hin oder her.

Sprich Rechner ist schrott, SSD wird einfach in einen anderen Rechner eingebaut und weiter gehts, das will ich haben...
 
Zuletzt bearbeitet:
Moin,
die Antwort findest Du auch irgendwo in de Tiefen des Forums. Ich formuliere es einmal selbst:
Es handelt sich um eine Technologie von IBM / Lenovo. Du kannst selbstverständlich die Platte in ein anderes Thinkpad einbauen und durt wie gewohnt mit dem gesetzten Festplattenkennwort entsperren. Voraussetzung hierfür ist es, dass das Thinkpad die Technologie unterstützt, die beim Setzen des Kennwortes verwendet wurde.

Ein Beispiel: Du setzt ein komplexes Kennwort und möchtest die Platte anschließend in einen Oldtimer überführen und entsperren, welcher das komplexe Kennwort nicht beherrscht. Dann funktioniert das Entsperren nicht. Allerdings beherrschen die Geräte seit vollen zwanzig Jahren komplexe Kennwörter. Diese Einschränkung ist heue nicht einmal mehr theoretisch vorhanden.

Was nicht funktioniert ist das, was ich weiter oben aufgeführt habe: Eine Entsperrung an einen anderen Gerät als einem Thinkpad, intern eingebaut, ist nicht möglich.

Für mich persönlich ist es daher vollkommen unverständlich, warum in einem Thinkpad immer reflexartig geraten nach Bitlocker gerufen wird. Wenn die eingekaufte Lenovo Technik nicht gewollt ist, kommt man mit Acer oder Medion wesentlich günstiger davon. ;)
 
Ravensberger schrieb:
Was nicht funktioniert ist das, was ich weiter oben aufgeführt habe: Eine Entsperrung an einen anderen Gerät als einem Thinkpad, intern eingebaut, ist nicht möglich.
Zum Vergrößern anklicken....
Ist das dann bestätigt/sicher? Habe leider nur Thinkpads zum Testen jetzt hier.

Also mit anderen Worten wenn mein Thinkpad Schrott ist und ich will genau diese SSD dennoch weiterbenutzen in meinem neuen Acer Laptop dann müsste ich mir ein Thinkpad von ebay holen um die SSD vorher zu entsperren?

Ich vermute Bitlocker besitzt diese Einschränkung dann nicht.
 
Rassupo schrieb:
Also mit anderen Worten wenn mein Thinkpad Schrott ist und ich will genau diese SSD dennoch weiterbenutzen in meinem neuen Acer Laptop dann müsste ich mir ein Thinkpad von ebay holen um die SSD vorher zu entsperren?
Zum Vergrößern anklicken....
Das wiederum ist richtig, weil es sich um eine IBM Technologie handelt.
Du könntest aber auch zu eine thinkpad-forum- Usertreffen kommen, oder irgendjemanden fragen, der ein Thinkpad hat. Händler und Werkstädte würden gegen einen kleinen Obolus natürlich auch helfen.
Beitrag automatisch zusammengeführt:

Rassupo schrieb:
Ist das dann bestätigt/sicher? Habe leider nur Thinkpads zum Testen jetzt hier.
Zum Vergrößern anklicken....
Kein Problem, Du hast doch uns. :)

Ich habe jetzt die SSD vom X61t in mein X60t verpflanzt. Den Thinkpad ist die fremde Platte mit Kennwort überhaupt nicht suspekt und fragt nach dem Kennwort. Nach der Eingabe des Kennwortes startet der Rechner.
 
Ja, das muss ich mir dann nochmal überlegen. Bei Bitlocker ist es ja so dass ich die SSD auch einfach in einen anderen Rechner einbauen kann, und die Systempartition dann als Laufwerk D mounten und nach Eingabe des Passworts bin ich bei meinen Daten (selbst probiert, funktionierte allerdings nicht mit usb gehäuse nur fest eingebaut).

Also die Einschränkung mit NVMe Passwort wäre dass man etwas an Lenovo/Thinkpads gebunden ist. Ob das für mich relevant ist weiß ich noch net, glaub aber eher net irgendein ThinkPad fliegt hier immer rum...

Verwendet Lenovo die selbe Technologie auch bei den MiniPCs? zB M910. Sonst könnte man auch damit entsperren und die SSD weite rbenutzen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • IT Refresh - IT Teile & mehr
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen
  • ok2.de - Notebook Computer Server

Werbung

Zurück
Oben