T14*/T15* SSD Verschlüsselung

starol

New member
Themenstarter
Registriert
7 Sep. 2013
Beiträge
27
Hallo zusammen,

ich habe gestern Win10 PRO auf meinem nagel neuen Thinkpad T14 Ryzon 7 PRO installiert.
Mein altes NB hat neben der SSD (256 GB, Systemlaufwerk) auch noch eine mit Veracrypt verschlüsselte HDD (500 GB, Daten). Damit bin ich eigentlich ganz gut gefahren.

Ich frage mich jetzt:
  1. Soll ich meine SSD verschluesseln?
    (2015 hatte meine damalige SSD die Verschluesselung nicht vertragen und war dann hinueber.:facepalm:)
  2. Solle ich eine evtl. vorhandene Hardware Verschluesselung der SSD verwenden?
  3. Sollte ich doch eher den Bitlocker von Windows verwenden?

Vermeiden wuerde ich gerne ein Ausbremsen der CPU und des Systems durch Verschluesselung. Insbesondere wenn danach der Luefter die ganze Zeit laufen sollte, waere das nervig.

Einsatzgebiete der Maschine: Entwicklung, Office, Streaming, ab und zu ein Spielchen.

Vielen Dank
 
Zuletzt bearbeitet:
Moin,

blöde Frage, aber was habt ihr auf Euren Laptops, das ihr mit Bitlocker unbedingt eine weitere (potentiell fehlerbehaftete) Software-Schicht zwischen Daten und Platte einziehen müsst.

Oder anderes herum gefragt, wer ist in der Lage eine mit Passwort geschützte SSD in einem fremden System auszulesen?

Mir reicht die Sicherheit Startpasswort/Festplattenpasswort aus, wenn jemand unbedingt an meine Daten will schafft er das sowieso, spätestens wenn er mir droht mir den Kopf wegzublasen bekommt er mein Passwort :mad:
 
Meine Wohnung schließe ich auch ab, die Daten auf meinem Thinkpad gehen andere auch nichts an.
 
Wenn mir der Laptop verloren geht oder gestohlen wird, möchte ich nicht das jemand an meine Daten kommt, egal was ich drauf habe.

Wenn dir das Festplatten Password reicht, dann mag das für dich stimmen.
Mir reicht das nicht. Ich will eine Verschlüsselung.
Solange die SSD SED nicht unterstützt, wird die Platte nicht verschlüsselt.
Daher habe ich auf Bitlocker gewechselt.

Darf ich fragen, woher du das hast, dass Bitlocker potentiell fehlerbehaftet ist in der Software Version?
 
Darf ich fragen, woher du das hast, dass Bitlocker potentiell fehlerbehaftet ist in der Software Version?

@mac4tp: Das würde mich auch interessieren, ich verwende Bitlocker auf diversen Rechnen und SSD seit längerer Zeit (sind das schon Jahre?), ohne irgendwann einmal ein Softwareproblem gehabt zu haben. Womit muss ich denn wohl rechnen?
 
@Gladi4

Der eine "Artikel" ist 13 Jahre alt und das andere Dokument ist von 2012 - kann man das jetzt noch 1:1 auf die heutigen HDDs/SSDs beziehen?
 
Ich denke schon. Auch die heutigen HDD oder SSD ohne SED Verschlüsselung und nur mit Password sind ohne grosse Mühe knackbar.
Nur das wollte ich ausdrücken damit.

Sogar die folgenden SSD mit SED Verschlüsselung hatten Sicherheitsprobleme:

MX100, MX200 und MX300 von Crucial
und 840 EVO und 850 EVO von Samsung und die externe USB-SDDs T3 und T5 auch von Samsung.

Ich verwende kein Festplattenpassword mehr

- - - Beitrag zusammengeführt - - -

Nachtrag:

Die Methoden sind heute auch nicht grossartig anders als früher:

Einige Laufwerke speichern das Kennwort unverschlüsselt in ihrer Firmware, und dieses unverschlüsselte Kennwort
kann einfach von einer Firmware gelesen werden. Der Firmware-Einstellungsbereich des Laufwerks kann geändert werden,
um das Kennzeichen „Kennwort ein“ auf „Kennwort deaktiviert“ zu setzen. In einem extremen Fall kann das Laufwerk geöffnet,
die Platten entfernt und ohne ein Kennwort in ein anderes Laufwerk eingesetzt werden. usw.
 
Zuletzt bearbeitet:
Hallo

Ich denke schon. Auch die heutigen HDD oder SSD ohne SED Verschlüsselung und nur mit Password sind ohne grosse Mühe knackbar.

Das sagt allerdings der Artikel nicht:
Die erfolgversprechende Methode 4 bezieht sich nicht auf SSDs, auch die anderen im zweiten Artikel genannten Methoden sind entweder modellspezifisch oder einfach nicht mehr aktuell.
Grundsätzlich läßt sich ein ATA-PW umgehen, und auch manche SSD mit FDE lassen sich knacken (u.a. vor zwei Jahren oder so bei der Samsung-EVO-Reihe als "proof of concept" gezeigt. Wie verbreitet das wirklich durchgeführt wurde oder wird, weiß ich nicht.) Allerdings geht es nicht nur um einfaches "Auslesen" des PW, sondern eine Firmwaremanipulation:

https://www.heise.de/security/meldu...den-SSDs-ohne-Passwort-einsehbar-4212191.html
Keine dieser Methoden ist aber "ohne große Mühen". Versierte IT-Forensiker kriegen das hin, der durchschnittliche Notebook-Dieb oder ebay-Kleinanzeigenkäufer aber eher nicht. Insofern finde ich Mac4tps Frage berechtigt. Eine FDE-Platte mit gesetzem Kennwort reicht aus rechtlicher Datenschutzsicht aus. Mir persönlich reicht es auch. Gegen "Die" reicht es nicht. Aber gegen "Die" hilft auch Bitlocker nicht. Damit bleibt die Abwägung, wie wahrscheinlich es ist, daß meine Platte bei einem Datenforensiker landet vs. die Wahrscheinlichkeit, daß Bitlocker Mucken macht. Die Abwägung muß dann natürlich jede*r selber treffen.

Gruß

Quichote
 
Zuletzt bearbeitet:
Wie schon geschrieben bietet ein einfaches ATA Password keine Verschlüsselung gegenüber Bitlocker oder VeraCrypt,
und daher glaube ich das es weniger sicher ist.
Daher bleibe ich bei Bitlocker ;)

Zudem dauert der Start bei meinem T14 AMD weniger lang als mit gesetztem ATA Password.

- - - Beitrag zusammengeführt - - -

Wie schon geschrieben bietet ein einfaches ATA Password keine Verschlüsselung gegenüber Bitlocker oder VeraCrypt,
und daher glaube ich das es weniger sicher ist.
Daher bleibe ich bei Bitlocker ;)

Zudem dauert der Start bei meinem T14 AMD weniger lang als mit gesetztem ATA Password.

- - - Beitrag zusammengeführt - - -

Die Frage wäre nur noch, was wäre besser? Bitlocker oder VeraCrypt?
Veracrypt habe ich bei der Systemplatte noch nie probiert weil ich bedenken habe ob es mit Truecrypt harmoniert.

- - - Beitrag zusammengeführt - - -

@sl500 der Heise Artikel ist aber auch schon 5 bis 7 Jahre alt ;)
Und es ist noch lange nicht jede SSD SED fähig.
 
Hallo,

Wie schon geschrieben bietet ein einfaches ATA Password keine Verschlüsselung gegenüber Bitlocker oder VeraCrypt,
und daher glaube ich das es weniger sicher ist.

Ist es ja auch: Unverschlüsselte Daten können ausgelesen werden, indem die Speicherbausteine ausgebaut und z.b. an einen anderen Controller angeschlossen werden. Die Frage ist nur, ob das für Dich ein realistisches Szenario ist, zumal wenn
Veracrypt habe ich bei der Systemplatte noch nie probiert weil ich bedenken habe ob es mit Truecrypt harmoniert.

Truecrpyt noch im Einsatz ist, denn dann scheint Sicherheit doch kein so hohes Gut zu sein.

Gruß

Quichote
 
Sorry @Quichote, ich habe mich verschrieben, ich meinte VeraCrypt in Verbindung mit Acronis Trueimage nicht mit Truecrypt.
Mit Bitlocker ist Trueimage kein Problem.

- - - Beitrag zusammengeführt - - -

Nachtrag:
Es gibt da ein Tool namens sedutil um zu testen ob eine eingebaute SSD SED tauglich ist oder nicht.

Bei meiner SSD SKHynix_HFS001TD9TNI-L2B0B in meinem T14 AMD
Pfad\sedutil-cli --scan

Scanning for Opal compliant disks
\\.\PhysicalDrive0 No
No more disks present ending scan (Also keine SED SSD)

https://github.com/Drive-Trust-Alliance/sedutil/wiki/Executable-Distributions
 
Zuletzt bearbeitet:
@Gladi4

Warum dauert der Start mit ATA Password bei dir länger?

So sieht es bei meiner PM981a aus:

Code:
C:\Users\XXX\Downloads\sedutil\x64\Release>sedutil-cli.exe --scan

Scanning for Opal compliant disks
\\.\PhysicalDrive0 No  SAMSUNG MZVLB512HBJQ-000L7               XXXXXXXX
\\.\PhysicalDrive1 No
No more disks present ending scan
 
@sl500 Es ist so, mit ATA Password trödelt der Rechner einige Sekunden länger beim BIOS Start rum.
Jetzt wo Bitlocker statt das ATA Password läuft, bin ich ca. 6 -8 Sekunden schneller beim Windows.
Es ist sicherlich nicht so tragisch ;)

Ja die Ausgabe heisst leider auch das die Samsung kein SED unterstützt

Du solltest einen Output, welcher in etwa so aussieht erhalten wenn die SSD SED unterstützt:
\\.\PhysicalDrive0 12 Samsung SSD 850 PRO 512GB EXM02B6Q

Oder doch? Komisch das NO kommt mir seltsam vor oder?

Da steht "Unterstütz die Festplatte TCG OPAL nicht, so steht in der zweiten Spalte an Stelle einer Zahl wie im Beispiel 12 „No“ "
Bei dir kommt aber wenigstens ein SSD Name, bei mir kommt gar kein SSD Name.

- - - Beitrag zusammengeführt - - -

Nachtrag:
Habe deine Platte gefunden:
Die kann TCG Opal 2.0 , also Hardwareverschlüsselung ;)
Sorry das NO hat mich irritiert.

https://www.campuspoint.de/mzvlb512hbjq-000l7.html

- - - Beitrag zusammengeführt - - -

Leider unterstützen die WDC PC SN720 SDAQNTW-1T00-1001 vom T495
und die SKHynix_HFS001TD9TNI-L2B0B vom T14 AMD
kein TCG Opal 2.0 bei mir

Pech gehabt
 
Zuletzt bearbeitet:
Vielen Dank:
"Download and run the SED_checker tool available here to determine if your system is vulnerable."

Aber das Tool ist doch eher dazu da um festzustellen ob die SED SSD anfällig ist oder nicht.

Weniger ob eine SSD überhaupt TCG Opal 2.0 unterstützt oder?

- - - Beitrag zusammengeführt - - -

Vielen Dank für das Tool @mcb
Die 850er evo ist betroffen, der Rest nicht.
 
@mcb

Danke für den nützlichen Link!

Code:
SED_checker version 1.1 - March 11, 2019
This tool scans physical drives to determine if they are affected by SED vulnerabilities

\\.\PhysicalDrive0:
    Type       : NVMe
    Model      : SAMSUNG MZVLB512HBJQ-000L7
    Firmware   : 4M2QEXF7
    Serial     : XXX
    SED supported (Identify word 3279 bit 1) = 1
    ATA security supported (Security Receive response byte 9 bit 0) = 1
    ATA security enabled (Security Receive response byte 9 bit 1) = 1
  This drive supports hardware encryption and the HDD password is enabled.
  This drive is not vulnerable in this configuration.

\\.\PhysicalDrive1:    Nothing found.  It's probably a USB drive.

This PC contains 1 drive.  It is not vulnerable in the current configuration.
return code = 0
 
Wenn mir der Laptop verloren geht oder gestohlen wird, möchte ich nicht das jemand an meine Daten kommt, egal was ich drauf habe.
Wenn dir das Festplatten Password reicht, dann mag das für dich stimmen.

das sehe ich genauso, aber nochmal konkret, was muss ein Angreifer können um eine mit einem Passwort geschützte SSD auslesen zu können?

Welchen Aufwand muss er dafür treiben? Ich denke mal allermindestens den Flash-Chip wo das Passwort gespeichert ist auslesen, das (vermutlich/hoffentlich verschlüsselte) Passwort extrahieren und entschlüsseln. Vielleicht kann man das auch von einer anderen, baugleichen Platte umlöten.

Wer kann sowas?

Sicher niemand, der nicht mit sehr viel effektiveren Mitteln an die Daten kommt und damit ist das für mich irrelevant!
Darf ich fragen, woher du das hast, dass Bitlocker potentiell fehlerbehaftet ist in der Software Version?
Weil es grundsätzlich keine fehlerfreie Software gibt, die eine gewisse Komplexität übersteigt.
 
Wenn du das Gefühl hast dir reiche eine nur mit einem Password geschützte SSD, bitte schön dein Problem.
Ich verwende von nun an entweder eine mit TCG Opal 2.0 oder eine mit Bitlocker verschlüsselte SSD.

Das ist übrigens gar nicht mal so sicher, dass das ATA Password verschlüsselt gespeichert ist.
Eventuell kann man das mit einem umgeschriebenen Firmware Update oder einem Tool auslesen.
Wundern würde mich das nicht.

Die Vergangenheit hat gezeigt das sogar einzelne SSD mit SED Verschlüsselung nicht sicher waren.


Nur weil es grundsätzlich keine fehlerfreie Software gibt, heisst das noch lange nicht das Bitlocker automatisch fehlerbehaftet ist.
Oder kannst du mir die Fehler aufzählen die Bitlocker in der Software Version hat? Ich weiss von keinem Fehler.
Ich kann nur von Bitlocker mit Hardwareverschlüsselung abraten.

Jedem das seine ;)
 
das sehe ich genauso, aber nochmal konkret, was muss ein Angreifer können um eine mit einem Passwort geschützte SSD auslesen zu können?

Welchen Aufwand muss er dafür treiben? Ich denke mal allermindestens den Flash-Chip wo das Passwort gespeichert ist auslesen, das (vermutlich/hoffentlich verschlüsselte) Passwort extrahieren und entschlüsseln. Vielleicht kann man das auch von einer anderen, baugleichen Platte umlöten.
..................


Der Aufwand ist wohl nicht so groß im Zweifel. Hängt auch vom Laufwerk ab:

E:\Congress\35c3-9671-eng-deu-Self-encrypting_deception_hd.mp4
E:\Congress\29c3-5091-de-en-unsicherheit_hardwarebasierter_festplattenverschluesselung_h264.mp4


^^ die Beiträge gibt es online. Den verlinkten Lenovo Support Artikel hast du gelesen?
 
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben