T4xx (T400-450 ohne "T440s/T450s") T430 + SSD (Crucial M500) + welche BIOS Einstellungen für Verschlüsselung?

derlangi

Member
Themenstarter
Registriert
2 Okt. 2009
Beiträge
89
Servus. Ich habe ein T430. Darin läuft eine SSD von Crucial (M500 mit 120 GB). Diese unterstützt hardwarebasierte Verschlüsselung mit 256 Bit, also ist Zusatzsoftware wie Truecrypt & Co. zur Verschlüsselung der Platte nicht nötig. Es reicht aus im BIOS die richtigen Einstellungen zu aktivieren und ein HDD Passwort zu vergeben.

Da ich auf Nummer Sicher gehen will und verhindern möchte dass ein Dieb an meine Daten rankommt, möchte ich die Platte verschlüsseln. Hat bei meinem T61 immer prima geklappt, jedoch mit Bitlocker und TPM-Chip. Die Verschlüsselung auf Hardwarebasis hat einen großen Vorteil: Kaum bis garkeinen Performance-Verlust.

Meine Frage ist: Welche Einstellungen im BIOS muss ich da setzen dass das mit der Verschlüsselung klappt? Reicht da einfach nur das HDD Passwort oder müssen noch TPM-Chip, Anti-Theft & Co. aktiviert sein. Vielleicht hat ja jemand schon Erfahrungen damit :-)
 
Für Class0-Verschlüsselung (=SATA-Passwort) ist das TPM-Modul vollkommen egal und hat nichts damit zu tun :)
 
Bist Du Dir da sicher? Nichts für ungut, aber Deine Aussage dass man für eine FDE auch keine UEFI Installation benötigt ist zumindest beim T430 falsch. Steht so sogar als Voraussetzung im BIOS.

Würde mich schon schwer wundern wenn die Hardwareverschlüsselung "einfach so" ohne TPM läuft... Aber ich lasse mich da auch gerne vom Gegenteil überzeugen da ich kein TPM Experte bin.
 
Bist Du Dir da sicher?
Ja.
Nichts für ungut, aber Deine Aussage dass man für eine FDE auch keine UEFI Installation benötigt ist zumindest beim T430 falsch. Steht so sogar als Voraussetzung im BIOS.
Die Aussage stammte zwar nicht von mir, ist aber auch korrekt. Dass Lenovo da dann irgendeinen "Müll" baut, ist eine andere Geschichte... Grundsätzlich braucht man für Class0 nichts weiter außer der HDD/SSD selbst. Ob UEFI oder normales BIOS, ob TPM oder nicht, das ist alles egal. Das ATA-Passwort (im Internet meist SATA-, HDD- oder SSD-Passwort genannt) steckt einfach nur im ATA-Standard (ATA Security Feature Set) aus den 90er Jahren, in dem es wiederum aber nur als optional gekennzeichnet ist. Um die Implementierung kümmert sich dann jeder Hersteller von HDD/SSD und dem Gegenstück im BIOS selbst. Und das ATA-Passwort allein ist noch keine Verschlüsselung.
Die FDE ist dann eine Sache, um die sich wiederum der Hersteller der SSD/HDD allein kümmert. Er kann sie einfach nur transparent nach außen implementieren, oder eben mit dem ATA-Passwort verknüpfen (Class0) oder die Keyverwaltung in externe Hände legen (TCG Opal, bei Microsoft als "eDrive"). Für eDrive ist ein TPM-Modul Pflicht. Für OPAL bin ich mir gerade nicht sicher, ich meine aber, es ist dort optional.
Da Class0 eben rein auf einer Kombination aus FDE (in der SSD selbst) und dem ATA-Passwort basiert, hat es nichts mit dem TPM-Modul zu tun.

Hier gibt es noch ein bisschen Stoff zum Nachlesen: http://www.heise.de/ct/hotline/SSD-mit-ATA-Passwort-2056368.html

Würde mich schon schwer wundern wenn die Hardwareverschlüsselung "einfach so" ohne TPM läuft...
Dann darfst du dich nun schwer wundern :)
 
Ok, aber ist der "Security Chip" im UEFI / BIOS nun ein Teil des TPM oder hat der damit garnichts zu tun? Das wäre mal eine essenzielle Frage. In einem anderen Forum wurde nachgefragt ob für die FDE auch der TPM Chip aktiviert sei. Ich bin da leider selbst mittlerweile verwirrt, nicht zuletzt weil bei solchen Fragen sehr oft Know How auf Halbwissen trifft, daher wie gesagt, nichts für ungut :)

Wenn die FDE auch bei deaktiviertem Security Chip aktiv sein kann dann weiss ich wirklich nicht mehr was ich wo noch einstellen kann damit die FDE läuft. Schlechteste Option wäre dass FDE (noch) nicht auf dem mSATA Port unterstützt wird. Ich glaube auch mittlerweils dass ich der einzige auf de Welt / Im Internet bin der eine mSATA SSD in einem T430 per FDE verschlüsseln möchte :-P
 
Ok, aber ist der "Security Chip" im UEFI / BIOS nun ein Teil des TPM oder hat der damit garnichts zu tun?
Hmm gute Frage, was Lenovo als Security Chip bezeichnet. Könnte das TPM-Modul sein, könnte aber auch der Chip sein, den Lenovo meist zum Speichern der Passwörter verbaut. Schätze eher letzteres. Aber da glänze dann auch ich nur mit Halbwissen ;)
 
Ich spare mir mal eben alle 3 Seiten durchzulesen und komme direkt zum Punkt.

Diese Festplatten Verschlüsselungen sind Bockmist.
Da man die verwendeten Implementierungen nicht überprüfen kann, kann man ihnen nicht trauen.

Wer einen i5 oder besser hat hat automatisch AES Befehlssätze in der CPU integriert und hat damit keinen Performance Verlust mehr.
Mein T530 mit dem i5 3210m erreiche 1.1 GB/s im AES Benchmark im Tool TrueCrypt Version 7.1a.
Das ist doppelt so schnell wie deine SSD weg schreiben kann und damit mehr als genug. (Mein Xeon E3-1230 V3) kommt auf 4GB/s)

Du wirst also keinen Unterschied merken in der Performance und die Implementierung ist offen und bekannt.
Nebenbei fällt der ganze Stress wegen den Bios Einstellungen und den damit verbundenen Problemen weg.
 
Diese Festplatten Verschlüsselungen sind Bockmist.
Da man die verwendeten Implementierungen nicht überprüfen kann, kann man ihnen nicht trauen.
Aber Bitlocker kann man trauen? Das hast du überprüft? Ach, stimmt, du nutzt ja Truecrypt. Noch besser - da OpenSource hast du dir bestimmt den ganzen Quellcode angeschaut und es überprüft. Die Entwickler sind ja von ihrer Software ebenfalls so überzeugt. ;) Gut, nach aktuellem Stand spricht noch nichts direkt gegen Truecrypt. Aber auch nichts gegen FDE.

Wer einen i5 oder besser hat hat automatisch AES Befehlssätze in der CPU integriert und hat damit keinen Performance Verlust mehr.
Ich empfehle dir, das mal mit Benchmarks zu überprüfen. Ja, die AES-NI Befehle sind verdammt flott und schaffen je nach CPU durchaus über 2GB/s und noch weit mehr. Trotzdem müssen plötzlich Daten durch die CPU und deren Kerne, die normalerweise dank DMA den Umweg gar nicht gegangen wären. Das kostet Zeit - und wenn sowas länger dauert, sinken die IOs pro Sekunde (IOPS) und auch die gesamte Datenrate. Außerdem muss die CPU für Datentransfers dann immer aktiv sein und rechnen - wo sie sonst schlafen würde. Das kostet Strom aus dem Akku und sorgt für mehr Hitze. Und wenn die CPU gerade AES-NI-Befehle ausführt, kann sie in der Zeit auch eventuell weniger andere Befehle ausführen - das kostet also auch Leistung.

Du wirst also keinen Unterschied merken in der Performance
Ich habe Truecrypt auf einem W520 laufen gehabt. Core i7 mit AES-NI und über 2GB/s bei AES. Trotzdem brach der Score der SSD in Benchmarks um etwa 85% ein. Die Ergebnisse habe ich hier im Forum auch mal gepostet. Ich hab damals an Fehlkonfiguration oder ähnliches gedacht, musste dann aber rausfinden, dass sich meine Ergebnisse mit dem anderer Leute im Netz ziemlich exakt deckten.
Das war zwar immer noch um Welten schneller als mit einer HDD. Aber es war an Akkulaufzeit, Temperaturentwicklung und bei stärkeren Belastungen der SSD auch deutlich in der SSD-Performance zu merken. Natürlich deutlich weniger als bei meinem T500, wo ich es auch mal aktiv hatte - aber doch alles merkbar. Habs dann nach ein paar Monaten wieder entschlüsselt und Truecrypt runtergeschmissen.

die Implementierung ist offen und bekannt.
Naja, sie ist Quelloffen, ja. Aber das sagt nichts aus... Das ist z.B. OpenSSL auch... Oder spielst du auf AES an? Die meisten SEDs, also meist SSDs mit FDE nutzen ebenfalls AES.

Nebenbei fällt der ganze Stress wegen den Bios Einstellungen und den damit verbundenen Problemen weg.
Richtig. Man muss dann nur noch aufpassen, dass man UEFI-Boot abschaltet, das CSM aktiviert, Secure Boot abgeschaltet hat und dann im Legacy-BIOS-Mode start. Dann noch die Festplatte mit MBR versehen und keinesfalls GPT verwenden. Blöd natürlich, wenn man HDDs über 2TB hat - dann muss man zwingend Windows auf einer max. 2TB großen Partition installieren, da mit MBR und im BIOS-Mode sonst oft kein Boot möglich ist. Dann noch aufpassen, dass man beispielsweise beim Installieren eines zweiten Betriebssystems den Bootloader nicht überschreibt - wobei, ein Linux beispielsweise kann man auf der gleichen HDD ja eh nur schwer installieren, da das sonst mit dem Truecrypt-Bootloader nicht mehr passt. Dann muss man den Linux-Bootloader in den MBR und den Truecrypt-Bootloader stattdessen in die Partition statt in den MBR schreiben.
Sonst muss man nichts beachten. Stimmt. Ist viel einfacher ;) Beim ATA-Passwort muss man schließlich - korrekte Implementierung vorausgesetzt, was hier ja offenbar nicht so ganz der Fall ist - nur das Passwort setzen und das beim Start eintippen - UEFI, Secure Boot, CSM, MBR, GPT, alles egal. Das ist natürlich viel stressiger. ;)
 
Zuletzt bearbeitet:
Ok, vielleicht sollte ich mal den Grund nennen waum ich überhaupt verschlüsseln möchte... Ich nutze das T430 absolut privat und nicht zum Arbeiten. Da ich es oft unterwegs dabei habe und auch mal beim Einkaufen mal ne halbe Stunde im Auto lasse, möchte ich falls es wirklich mal geklaut werden sollte wenigstens die Gewissheit haben dass der Dieb das Teil nicht benutzen kann. Ich muss hier keine Staatsgeheimnisse behüten. Wenn die NSA da rangeht wird sie sicherlich die FDE knacken können aber das ist mir egal. Es soll nur niemand daran rumfingern können der das Ding gerade geklaut hat.

Ich habe mich auch wissentlich für eine mSata entschieden die FDE unterstützt bzw zu SEDs zählt weil dort nahezu NULL Performance draufgeht. Nichts gegen TrueCrypt aber im Gegensatz zum UEFI eines T430 war das schon in den News mit der äußerst dubiosen Nachricht dass die Entwickler plötzlich keine Lust mehr haben das Programm weiterzuentwickeln - im Jahre 2014, mitten im NSA Skandal, während alle anderen Unternehmen plötzlich alles verschlüsseln wollen, ... Nah!

Gib es denn niemanden der eine mSATA (!!!!!) SSD in einem T430 Full Disk Encrypted hat oder bin ich de Einzige der das hier versucht (und scheitert)?
 
falls es wirklich mal geklaut werden sollte wenigstens die Gewissheit haben dass der Dieb das Teil nicht benutzen kann. Ich muss hier keine Staatsgeheimnisse behüten.
Das hört sich für mich eher nach Hardwareschutz durch Softwareschutz an ;)
Das Einzige was du damit bezweckst, ist, dass der Dieb im Idealfall nur dein Laptop und nicht deine Daten weiterverhökern kann. (Ist ja auch schon mal was)
Eine gute Lösung gegen Gelegenheitsdiebe beim "schnell mal im Auto lassen" ist, meiner Meinung nach,
eine unauffällige schwarze Laptoptasche im engeren der beiden hinteren Fußräume,
oder noch viel besser der Kofferraum (mit intakter Hutablage versteht sich).
 
quote_icon.png
Zitat von Florian_Rieß

Diese Festplatten Verschlüsselungen sind Bockmist.
Da man die verwendeten Implementierungen nicht überprüfen kann, kann man ihnen nicht trauen.



Aber Bitlocker kann man trauen? Das hast du überprüft? Ach, stimmt, du nutzt ja Truecrypt. Noch besser - da OpenSource hast du dir bestimmt den ganzen Quellcode angeschaut und es überprüft. Die Entwickler sind ja von ihrer Software ebenfalls so überzeugt. ;) Gut, nach aktuellem Stand spricht noch nichts direkt gegen Truecrypt. Aber auch nichts gegen FDE.

Wie ich es liebe wenn Leute mit ironischen Smileys um sich werfen als wären es so ne Art Konfetti ne.

Also, für TC gab es erst zur Version 7.1a ein mehrteiliges Code Audit, bei dem keine Hintertüren gefunden wurden.


quote_icon.png
Zitat von Florian_Rieß

Wer einen i5 oder besser hat hat automatisch AES Befehlssätze in der CPU integriert und hat damit keinen Performance Verlust mehr.



Ich empfehle dir, das mal mit Benchmarks zu überprüfen. Ja, die AES-NI Befehle sind verdammt flott und schaffen je nach CPU durchaus über 2GB/s und noch weit mehr. Trotzdem müssen plötzlich Daten durch die CPU und deren Kerne, die normalerweise dank DMA den Umweg gar nicht gegangen wären. Das kostet Zeit - und wenn sowas länger dauert, sinken die IOs pro Sekunde (IOPS) und auch die gesamte Datenrate. Außerdem muss die CPU für Datentransfers dann immer aktiv sein und rechnen - wo sie sonst schlafen würde. Das kostet Strom aus dem Akku und sorgt für mehr Hitze. Und wenn die CPU gerade AES-NI-Befehle ausführt, kann sie in der Zeit auch eventuell weniger andere Befehle ausführen - das kostet also auch Leistung.

Die CPU ist sowieso immer aktiv wenn Du Daten verschiebst, wenn Du das nicht glaubst guck Dir mal das Von-Neumann Prinzip an, vll wirds dann klarer.
Und die merkliche Performance mit AES unterscheidet sich nicht von dem was Du ohne hättest, solange die CPU nicht dauerhaft zu 100% ausgelastet ist.
Wofür brauchst Du denn eine möglichst hohe IO Rate? Hast Du ne SQL Datenbank die den ganzen Tag unter Feuer steht?

Und wenn die CPU gerade AES-NI-Befehle ausführt, kann sie in der Zeit auch eventuell weniger andere Befehle ausführen - das kostet also auch Leistung
Es sind ja separate Befehlsregister.


quote_icon.png
Zitat von Florian_Rieß

Du wirst also keinen Unterschied merken in der Performance



Ich habe Truecrypt auf einem W520 laufen gehabt. Core i7 mit AES-NI und über 2GB/s bei AES. Trotzdem brach der Score der SSD in Benchmarks um etwa 85% ein. Die Ergebnisse habe ich hier im Forum auch mal gepostet. Ich hab damals an Fehlkonfiguration oder ähnliches gedacht, musste dann aber rausfinden, dass sich meine Ergebnisse mit dem anderer Leute im Netz ziemlich exakt deckten.
Das war zwar immer noch um Welten schneller als mit einer HDD. Aber es war an Akkulaufzeit, Temperaturentwicklung und bei stärkeren Belastungen der SSD auch deutlich in der SSD-Performance zu merken. Natürlich deutlich weniger als bei meinem T500, wo ich es auch mal aktiv hatte - aber doch alles merkbar. Habs dann nach ein paar Monaten wieder entschlüsselt und Truecrypt runtergeschmissen.

Ich hab bei meinem T530 die Vollverschlüsselung auch aktiv und ich merke keinen Unterschied. Ich surfe und code mit dem Ding aber auch nur. Auserdem hab ich immer n Netzteil mit in der Uni.
Um auf das Thema mit den Benchmarks zu sprechen zu kommen, das sind synthetische Werte, die nicht viel mit der realen Performance zu tun haben.
Die SSD Performance sinkt erst dann wenn die CPU ausgelastet ist und nicht mehr mit dem rechnen hinterher kommt.




quote_icon.png
Zitat von Florian_Rieß

Nebenbei fällt der ganze Stress wegen den Bios Einstellungen und den damit verbundenen Problemen weg.



Richtig. Man muss dann nur noch aufpassen, dass man UEFI-Boot abschaltet, das CSM aktiviert, Secure Boot abgeschaltet hat und dann im Legacy-BIOS-Mode start. Dann noch die Festplatte mit MBR versehen und keinesfalls GPT verwenden. Blöd natürlich, wenn man HDDs über 2TB hat - dann muss man zwingend Windows auf einer max. 2TB großen Partition installieren, da mit MBR und im BIOS-Mode sonst oft kein Boot möglich ist. Dann noch aufpassen, dass man beispielsweise beim Installieren eines zweiten Betriebssystems den Bootloader nicht überschreibt - wobei, ein Linux beispielsweise kann man auf der gleichen HDD ja eh nur schwer installieren, da das sonst mit dem Truecrypt-Bootloader nicht mehr passt. Dann muss man den Linux-Bootloader in den MBR und den Truecrypt-Bootloader stattdessen in die Partition statt in den MBR schreiben.
Sonst muss man nichts beachten. Stimmt. Ist viel einfacher ;) Beim ATA-Passwort muss man schließlich - korrekte Implementierung vorausgesetzt, was hier ja offenbar nicht so ganz der Fall ist - nur das Passwort setzen und das beim Start eintippen - UEFI, Secure Boot, CSM, MBR, GPT, alles egal. Das ist natürlich viel stressiger. ;)

Sobald Du den Lagacy boot aktiviert hast ist der Rest den Du oben aufzählst eine logische Konsequenz, das stellt also nicht einmal Probleme.
Man könnte jetzt aufführen das Windows 8 und 8.1 nicht mit Truecrypt funktionieren.
Mir ist keine 2,5" Platte bekannt die mehr als 2TB fässt zum aktuellen Zeitpunkt.

Wenn Du gerne ein Linux Windows vollverschlüsseltes System betreiben willst guck Dir LVM oder DM order benutze doch diese Anleitung mit TrueCrypt: http://wiki.ubuntuusers.de/Dualboot_verschlüsseln




Aber wem es um die Sicherheit seiner Daten geht sollte halt ein offenes System dafür verwenden.
Es ist bekannt das die USA ansässige Firmen zwingen Backdoors zu implementieren, auch wenn es sich um Tochterfirmen die im Rest der Welt sesshaft sind.
Für den Asiatischen Markt kann das Selbe angenommen werden.

Noch dazu kann dir bei den Festplatten Systemen keine sagen ob die überhaupt korrekt implementiert wurden. Sonst leg ich dir mal die CT Artikel zu dem Thema ans Herz.
 
Also, für TC gab es erst zur Version 7.1a ein mehrteiliges Code Audit, bei dem keine Hintertüren gefunden wurden.
Nö, Quark. Das Audit läuft noch. Bisher ist nur die erste Stufe durch, in der nach groben Sicherheitslücken gesucht wurde. NOCH kann man nicht wirklich sicher sagen, ob TrueCrypt sicher ist oder nicht. Noch ist es nicht besser oder schlechter in Sachen Sicherheit als Bitlocker oder FDE.

Die CPU ist sowieso immer aktiv wenn Du Daten verschiebst, wenn Du das nicht glaubst guck Dir mal das Von-Neumann Prinzip an, vll wirds dann klarer.
Nö... Die Von-Neumann-Architektur ist zwar Basis heutiger PCs - aber schau dir mal DMA an. Da müssen Daten explizit nicht durch die CPU. Vielleicht wirds dann klarer ;)

Und die merkliche Performance mit AES unterscheidet sich nicht von dem was Du ohne hättest, solange die CPU nicht dauerhaft zu 100% ausgelastet ist.
Nö. Wenn meine CPU z.B. 10% der Zeit AES berechnet, hat sie nur noch 90% für anderes Zeit. Ja, das ist nicht ganz korrekt, weil in einer heutigen CPU auch mehrere Teilkomponenten gleichzeitig arbeiten können, das ist ja auch ein Grund für Hyperthreading - um einen Kern besser auszulasten, in dem mehr Teile des Kerns ausgenutzt werden und nicht ein Teil alles blockiert. Trotzdem kann man das grob erstmal so stehen lassen.

Wofür brauchst Du denn eine möglichst hohe IO Rate? Hast Du ne SQL Datenbank die den ganzen Tag unter Feuer steht?
Seit wann braucht man nur für Datenbankanwendungen hohe IO-Raten? Wenn du keine hohen IO-Raten brauchst, dann nimm doch wieder eine HDD. Sequentiell ist die gar nicht mal so viel langsamer als eine SSD, nur bei den IOs bzw. bei den Latenzen ist sie halt lahm.

Es sind ja separate Befehlsregister.
Trotzdem kann ein Kern erstmal nur einen Befehl zur Zeit abarbeiten. Egal, ob der dann mit der ALU oder mit einer separaten Einheit bearbeitet wird. In dem Taktzyklus (bzw. in den Taktzyklen, wenn der Befehl länger als einen Takt dauert) kann die CPU nichts anderes machen. Ausnahme: Hyperthreading. Wenn ein zweiter Befehl nicht die gleiche Einheit braucht, kann der Kern so noch einen zweiten Befehl gleichzeitig abarbeiten.

Ich hab bei meinem T530 die Vollverschlüsselung auch aktiv und ich merke keinen Unterschied. Ich surfe und code mit dem Ding aber auch nur. Auserdem hab ich immer n Netzteil mit in der Uni.
Du merkst bei geringer Auslastung keinen Unterschied und hast dein Netzteil immer dabei. Ich habe bei hoher Auslastung durchaus Unterschiede gemerkt und wollte mein Netzteil eben nicht immer mitschleppen.

Um auf das Thema mit den Benchmarks zu sprechen zu kommen, das sind synthetische Werte, die nicht viel mit der realen Performance zu tun haben.
Das kann ich so auch nicht unterschreiben. Ja, nicht alles, was in Benchmarks gemessen wird, kann man in der Realität merken. 85% Performanceeinbußen bei einer SSD kann man aber durchaus merken.

Die SSD Performance sinkt erst dann wenn die CPU ausgelastet ist und nicht mehr mit dem rechnen hinterher kommt.
Wie gesagt, die Latenzen steigen. Und Latenzen hängen direkt mit den IOPS zusammen, die wiederum auch ausschlaggebend auf die Performance sind.
Oder anders gesagt: Ich habe das Gegenteil gemerkt. Auch, wenn die CPU mit dem Rechnen hinterherkam, war die SSD-Performance schon langsamer. Unter Last hast du aber Recht, da sinkt die SSD Performance noch mehr. Da ließ sich ein System mit Truecrypt nicht mehr flüssig bedienen und ich musste mit Prioritäten im Taskmanager spielen oder die Auslastungen senken - diese Einschränkungen hatte ich ohne Truecrypt nicht. Und der Benchmark zeigt ja ähnliche Ergebnisse - ich erinnere an die minus 85% ;)

Sobald Du den Lagacy boot aktiviert hast ist der Rest den Du oben aufzählst eine logische Konsequenz, das stellt also nicht einmal Probleme.
Nö. z.B. kann man trotzdem GPT nutzen - muss für Truecrypt aber MBR nehmen. Und hat dann z.B. die besagte 2GB Grenze.

Man könnte jetzt aufführen das Windows 8 und 8.1 nicht mit Truecrypt funktionieren.
Oh, das wusste ich noch gar nicht. Dann empfehle ich dir aber als erstens nochmal die Problemstellung anzuschauen (Windows 8.1 + Verschlüsselung war hier gefordert) und dann zweitens den TrueCrypt-Tipp nochmal zu überdenken ;)

Mir ist keine 2,5" Platte bekannt die mehr als 2TB fässt zum aktuellen Zeitpunkt.
Das war auch eine allgemeingültige Info. Denn in 3,5" gibt es durchaus Platten über 2TB, bei denen man dann o.g. Probleme beachten muss. Außerdem gibt es auch Thinkpads mit RAID0 aus 2 HDDs. Damit kann man dann auch auf 4TB kommen.

Wenn Du gerne ein Linux Windows vollverschlüsseltes System betreiben willst guck Dir LVM oder DM order benutze doch diese Anleitung mit TrueCrypt: http://wiki.ubuntuusers.de/Dualboot_verschlüsseln
Jup, das ist mir bekannt. Zu sagen, dass man hier nichts beachten muss bzw. keine Probleme bekommt, passt dann aber nicht so ganz...

Aber wem es um die Sicherheit seiner Daten geht sollte halt ein offenes System dafür verwenden.
Das ist leider eine sehr weit verbreitete Aussage - und sie ist leider nicht korrekt... Es wird immer wieder behauptet, quelloffene Crypto-Software sei sicherer als nicht-open-source-Software. Nach Vorfällen wie Heartbleed sollte klar sein, dass die Aussage so pauschal absolut nicht haltbar ist. Wo du mir ja auch die c't empfiehlst: Schau dir mal c't 16/2014 an, Seite 80 der Kasten unten links. Da steht genau das auch nochmal drin.
 
du wirfst hier mit Halbwahrheiten und Scheinwissen um dich das es nur so scheppert...

Zum Glück habe ich nicht die Zeit oder die Lust dich jetzt jedes mal eines besseren zu belehren.

Fakt ist und bleibt, wer diese fertig HDD Verschlüsselungen verwendet weiß NICHTS über die Implementierung, die gebotene Sicherheit oder wer sonst noch keys zu den "verschlüsselten" Daten hat.
 
du wirfst hier mit Halbwahrheiten und Scheinwissen um dich das es nur so scheppert...
Ach ja? Ich habe eher umgekehrt das Gefühl.

Zum Glück habe ich nicht die Zeit oder die Lust dich jetzt jedes mal eines besseren zu belehren.
Schade eigentlich :( Ich hätte gerne dazugelernt!

Fakt ist und bleibt, wer diese fertig HDD Verschlüsselungen verwendet weiß NICHTS über die Implementierung, die gebotene Sicherheit oder wer sonst noch keys zu den "verschlüsselten" Daten hat.
Bei Bitlocker weiß man das auch nicht. Bei Sophos Safeguard auch nicht, ebenso bei anderen solcher Lösungen. Bei Truecrypt auch nur zum Teil.

Fakt ist ebenfalls, dass dein TrueCrypt-Tipp Schwachsinn ist - es sei denn, du verrätst uns noch den Weg, wie der Threadersteller das unter Windows 8.1 als Systemverschlüsselung zum Laufen bekommt. :)
 
Zurück zum Thema... Nachdem ich nun ein kleines Nebenprojekt beendet habe, konnte ich mich am Wochenende noch mal dem Thema Full Disk Encryption widmen. Nachdem ich Win 8.1 Systemabbild (mit Windows Bordmitteln) erstellt habe, habe ich folgendes festgestellt und gemacht:

1. der "Security Chip" im BIOS / UEFI des T430 ist definitiv der TPM Chip. In der TPM Verwaltung habe ich gesehen dass er aktiv war. Daraufhin habe ich
2. den TPM Chip gelöscht, sodass ich ein neues Passwort vergeben konnte. Anschliessend im BIOS deaktiviert. Danach war er in der Win 8.1 TPM Verwaltung ausgegraut.
3. Ich konnte in folgenden Video ab Minute 24:38 erfahren dass der TPM Chip aktiv nur von Windows Bitlocker genutzt wird. Bitlocker schreibt als einziges Encryption-Tool den Key in den TPM. Alle anderen Tools checken nur ob es sich nach dem Booten noch um den gleichen TPM Chip handelt wie beim Systemstart.

https://www.youtube.com/watch?v=g6TwD0k7wYs

4. Dann habe ich noch im BIOS/UEFI (glaube es war unter Security) in 2 Optionen jeweils die Keys gelöscht und auf Werkszustand zurückgesetzt (in den Setup Modus) auf die Gefahr hin dass nichts mehr geht. Das hatte aber weder eine Auswirkung auf mein Problem, noch etwas zum negativen geändert.

Mein persönliches Fazit: Das BIOS / UEFI des T430 unterstützt vielleicht die Full Disk Encryption für SSDs, aber nicht auf dem mSATA Port. Das glaube ich erst wenn es jemanden gibt der das geschafft hat.
 
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben