Verschlüsselung ?

[nomorezx81]

Hallo,

mein gebrauchter T440s wird mein erstes auch geschäftlich genutztes Notebook sein.

Nicht erst seit der DSGVO sollte man ja ein bisschen aufpassen, wenn man personenbezogene
Daten durch die Gegend trägt.

Welche Lösung ist gut, sicher, praktisch und empfehlenswert?
Bitlocker, Veracrypt, .... ?

Gruss

 

[moronoxyd]

Wenn es dir einfach nur um die Schadensminimierung im Falle eines Diebstahles/Verlustes geht, und du Windows nutzt, ist Bitlocker absolut ausreichend und schmerzfrei zu benutzen.

Wenn du der Meinung bist, daß "Sie" hinter dir her sind, geht das natürlich nicht, weil Microsoft definitiv mit "Ihnen" unter einer Decke steckt. Da müsste es dann schon mindestens Veracrypt sein.
Aber in dem Fall ist die Nutzung von Windows auch ein Unding, und du solltest du zu Tails und co. einlesen.

 

[nomorezx81]

Hallo moronoxyd,

nein - sie sind nicht hinter mir her. Ich will/muss nur die üblichen technischen und organisatorischen Massnahmen zum Schutz personenbezogener Daten erfüllen ;-)

Mit Bitlocker habe ich keinerlei Erfahrungen. Wenn's da Hürden, Fettnäpfchen o.ä. gibt, dann würde ich mich über Hinweise und Tipps freuen.
Vielleicht kennt jemand eine gute Schnell-Einführung ins Thema.

Und natürlich ist auch Performance ein Thema.
Wenn Bitlocker eine blöde Bremse im Vergleich zu anderen Lösungen ist, dann würde ich es nicht wollen.

Gruss

 

[Stevi]

Unter Windows 10 funktioniert Bitlocker ziemlich problemlos.

Es gibt folgende Sonderfälle die man wissen sollte:

- bei Bios Updates ist es besser in der Systemsteuerung Bitlocker vorübergehend auf "suspend protection" umzustellen -> https://technet.microsoft.com/de-de/library/jj649830(v=wps.630).aspx?f=255&MSPPError=-2147217396
beim nächsten Neustart (nach dem Bios update) ist Bitlocker in der Regel automatisch wieder aktiv
- in seltenen Fällen kann es nach Windows updates dazu kommen das der Recovery Key beim starten abgefragt wird. Hier reichte es bei mir immer aus wenn alle zusätzlichen USB Geräte (Maus, Tastatur, USB-Stick oder HDD) entfernt werden und
man startet den Laptop einfach wieder neu, dann verschwindet auch die Recovery Key Abfrage. Dieses Problem hatte ich schon bei mehreren Geräten, egal ob Lenovo oder Dell, ist aber ein seltener Fall und wenn man das weiß ist es kein Problem.

Grundsätzlich gibt es die Software Verschlüsselung, die geht auf die Performance und auch Akkuleistung, aber das ist nicht so drastisch wenn man eine SSD nutzt.
SSDs wie die Evo 850, 860 und 970 (NICHT 960!) unterstützen Bitlocker Hardwareverschlüsselung. Die Einrichtung ist etwas komplizierter, dazu gibt es einige Threads. Vorteil: die Daten auf SSDs sind bereits verschlüsselt, nur der Key liegt offen. In dieser Variante
wird dieser Umstand genutzt und man hat keine (zumindest so minimal das man diese gar nicht mal erwähnt) Leistungseinbußen.

EDIT: hier eine Anleitung, wobei ich es einfacher finde die SSD mit PartedMagic zu formatieren und dann einfach Windows zu installieren. Im Bios müssen natürlich UEFI und TPM aktiv sein. Details dazu besser in den Anleitungen genau nachlesen!
https://helgeklein.com/blog/2015/01/how-to-enable-bitlocker-hardware-encryption-with-ssd/

 

[Schwartz]

Aber: Wenn eine SSD nicht nativ verschlüsseln kann, muss der Algorithmus mit 400-500MB/s oder noch mehr hinterherkommen. Bei einer normalen Festplatte sind es höchstens 120MB/s, was sogar die Softwareverschlüsselung locker noch packt.

Bitlocker ist ok. Die AES-Verschlüsselung von VeraCrypt ist im Vergleich besser und auch performanter, aber nicht so nahtlos einzubinden wenn z.B. Netzlaufwerke beim Entschlüsseln gleich eingebunden werden sollen. Ich hatte beides eine Weile im Gebrauch, lief beides okay. Schliesslich bin ich doch beim altbackenen EFS (Encrypting File System) für NTFS gelandet, weil ich nur ein paar bestimmte Ordner verschlüsseln muss und somit nicht das ganze System extra CPU-Zyklen verbrät. Das ist standardmäßig bei Windows integriert, und es lassen sich über Local Security Policy auch ECC-Algorithmen einstellen. Einbindung ist denkbar einfach. Ordner anwählen -> Properties -> Advanced -> Encrypt. Sie ist allerdings an den aktiven Nutzer gebunden.

 

[Quichote]

M.E.noch einfachere Alternative: eine der erwähnten SSDs mit hardwareseitiger Verschlüsselung nehmen und den Key durch das HDD-Paßwort im Bios schützen. Kein Aufwand, keine Einbußen, und man muß eine eventuelle Zweite Partition auf derselben Platte nicht extra einbinden oder separat entsperren.

Gruß

Quichote

 

[der_ingo]

Bitlocker ist ok. Die AES-Verschlüsselung von VeraCrypt ist im Vergleich besser und auch performanter

Sowohl Bitlocker als auch Veracrypt nutzen standardmäßig AES XTS 256. Warum soll das bei Veracrypt jetzt besser und performanter sein? In den meisten Artikeln im Netz, die sich mit dem Geschwindigkeitsvergleich zwischen beiden Produkten beschäftigen, schneidet Bitlocker performanter ab. Und in der Praxis würde auch ein AES mit 128 bit noch völlig ausreichen. Wenn jemand es so sehr auf deine Daten abgesehen hat, würde er eher zu anderen Mitteln greifen als zu versuchen, solche Verschlüsselungen zu knacken.

 

[Schwartz]

Standardmäßig ist das erst seit Win 10 so. Auf älteren Betriebsystemen läuft Bitlocker noch im AES-CBC Modus welcher langsamer ist. Dass Bitlocker schneller sein soll habe ich noch nie gehört. Hast du da ne Quelle?

Wenn wir hier von Hardwareverschlüsselung reden, ist das sowieso egal... alle CPUs die AES können machen das schneller als jede Platte die Daten abgreifen kann. Interessant wird es erst wenn man das eben nicht hat und auf mehr oder weniger optimierte Softwarealgorithmen zurückgreift. Hier wird der alte Bitlocker von Veracrypt eiskalt abgehängt.. und AES wiederum von anderen Algos auch. Wo AES-XTS auf meiner Maschine 540/540 MB schafft, kann Twofish 720/720.

 

[nomorezx81]

Hallo Quichote,

wo liegt denn der Vor- bzw. Nachteil, wenn man "nur" die hardwareseitige Verschlüsselung einer SSD EVO 860 nutzt und nicht zusätzlich noch Bitlocker?

Wenn ich die von Stevi verlinkte Anleitung richtig verstanden habe, dann kann Bitlocker ja auch die hardwareseitige Verschlüsselung der SSD nutzen.

Ist es richtig, dass ich in jedem Fall - wenn ich die hardwareseitige Verschl. der SSD nutzen will Windows neu installieren muss?

Insgesamt scheint das Thema komplexer, spannender und aufwendiger zu sein wie ich gedacht hatte.

Gruss

- - - Beitrag zusammengeführt - - -

Hallo Schwartz,

EFS klingt ja auch noch interessant, aber ich nehme an, dass es im Vergleich zur hardwareseitigen Verschl.
durch eine SSD doch etwas mehr CPU-Power benötigt - wenn auch nur wenig.

Und mit EFS ist auch Sorgfalt notwendig - sonst vergisst man vielleicht doch mal einen Ordner
zu verschlüsseln ;-/

Gruss

 

[mcb]

Hallo Quichote,

wo liegt denn der Vor- bzw. Nachteil, wenn man "nur" die hardwareseitige Verschlüsselung einer SSD EVO 860 nutzt und nicht zusätzlich noch Bitlocker?
...
Ist es richtig, dass ich in jedem Fall - wenn ich die hardwareseitige Verschl. der SSD nutzen will Windows neu installieren muss?
...

Und mit EFS ist auch Sorgfalt notwendig - sonst vergisst man vielleicht doch mal einen Ordner
zu verschlüsseln ;-/

Gruss

Ja EFS hat noch mehr Fallstricke und selbst MS rät ab.

Nur hardware Verschlüsselung der SSD -> muß man halt den Hersteller vertrauen und angeblich können z.B. Datenrettungsfirmen die zurücksetzen.

Ich habe z.B. bei der SSD das Passwort im Bios gesetzt und nutze zusätzlich Bitlocker im Softwaremodus // LUKS unter Linux - EFS habe ich deaktiviert.

- - - Beitrag zusammengeführt - - -

PS Windows muß man nur für EDrive neu installieren.

 

[nomorezx81]

Hallo mcb,

ich denke, dass man - im Rahmen der technisch und organisatorischen Maßnahmen zum Schutz von Daten - den Herstellern vertrauen kann.
Mir geht es hauptsächlich um die rechtliche Absicherung und ich hantiere nicht mit hochsensiblen Daten ;-)

SSD mit Passwort + Bitlocker im Softwaremodus klingt da schon fast ein wenig nach Overkill.

Ich verstehe noch nicht wie Bitlocker die hardwareseitige Verschlüsselung der SSD nutzt und
wo der Vor- bzw. Nachteil zur Version ohne Bitlocker ist.

Bin noch nicht so im Thema, dass es bei "EDrive" sofort klingelt ;-/

Gruss

 

[Schwartz]

Mach es dir so einfach wie möglich, mit einer stinknormalen durch Bitlocker verschlüsselten Partition. Wenn da nur Firmen- und Kundendaten drin sind, erübrigt sich die Performancefrage sowieso. Komplette SSD-Hardwareverschlüsselung für so was braucht kein Mensch, doppelt nicht wenn es sowieso nur dem Recht genüge tun soll.

 

[Quichote]

Hallo Quichote,

wo liegt denn der Vor- bzw. Nachteil, wenn man "nur" die hardwareseitige Verschlüsselung einer SSD EVO 860 nutzt und nicht zusätzlich noch Bitlocker?

Wenn ich die von Stevi verlinkte Anleitung richtig verstanden habe, dann kann Bitlocker ja auch die hardwareseitige Verschlüsselung der SSD nutzen.

Ist es richtig, dass ich in jedem Fall - wenn ich die hardwareseitige Verschl. der SSD nutzen will Windows neu installieren muss?

Hallo,

ich glaube, es gibt keinen Vorteil von Bitlocker gegenüber hardwareseitiger aes-Verschlüsselung. Oder ist aes, verschlüsselt mit aes, sicherer als aes allein? Bezogen auf die Ausgangslage von verantwortlichem Umgang mit Kundendaten sollte es wohl egal sein.
Mein (!) Fazit ( denn das Thema ist echt verwickelt): HDD-Paßwort bei verschlüsselungsfähiger Festplatte ist vielleicht, aber keineswegs sicher, forensisch zu umgehen, aber das scheint mir bei dieser Fragestellung weniger relevant.

Windows neu installieren ist in dem Fall nicht nötig, einfach im Bios HDD-PW setzen und gut ist.

Gruß

Quichote

 

[michaeljk]

- in seltenen Fällen kann es nach Windows updates dazu kommen das der Recovery Key beim starten abgefragt wird. Hier reichte es bei mir immer aus wenn alle zusätzlichen USB Geräte (Maus, Tastatur, USB-Stick oder HDD) entfernt werden und
man startet den Laptop einfach wieder neu, dann verschwindet auch die Recovery Key Abfrage. Dieses Problem hatte ich schon bei mehreren Geräten, egal ob Lenovo oder Dell, ist aber ein seltener Fall und wenn man das weiß ist es kein Problem.

Als "selten" würde ich das Problem nicht unbedingt bezeichnen. Ich selbst habe derzeit auf meinem T460 noch ein Windows 10 und damals eine Bitlocker-Verschlüsselung im Einsatz (ohne Verschlüsselung verläßt bei mir kein Notebook das Haus). Die Abfrage nach dem Recovery Key kam teils zufällig, meist nach automatischen Windows-Updates, meist aber unvorhersehbar - ein No-Go wenn man grade unterwegs ist, das Gerät geschäftlich nutzt und den Key nicht zur Hand hat! Notgedrungen läuft dieser Rechner daher derzeit ohne Verschlüsselung, wird aber nicht mehr mitgenommen. Auf meinem mobilen Rechner (X240) läuft ein Fedora mit Luks als kompletter Festplattenverschlüsselung, da gab es derartige Probleme noch nie. Solange ich das Kennwort nicht vergesse, komme ich unterwegs also immer an die Daten ran.

 

[mcb]

Hallo mcb,

ich denke, dass man - im Rahmen der technisch und organisatorischen Maßnahmen zum Schutz von Daten - den Herstellern vertrauen kann.
Mir geht es hauptsächlich um die rechtliche Absicherung und ich hantiere nicht mit hochsensiblen Daten ;-)

SSD mit Passwort + Bitlocker im Softwaremodus klingt da schon fast ein wenig nach Overkill.

Ich verstehe noch nicht wie Bitlocker die hardwareseitige Verschlüsselung der SSD nutzt und
wo der Vor- bzw. Nachteil zur Version ohne Bitlocker ist.

Bin noch nicht so im Thema, dass es bei "EDrive" sofort klingelt ;-/

Gruss

- das Festplattenkennwort im Bios setzen -> kann man ja ruhig machen, die ssd verschlüsselt ja sowieso ...
- Bitlocker im softwaremodus nutze ich schon lange, gibt mir einfach ein besseres Gefühl falls es mal ausgeschaltet veroren geht ...
- Edrive ist Bitlocker im hardwaremodus -> kein Passwort im bios -> Windows & das TPM managen das für dich -> "schwer" einzurichten -> kein Dualboot mit z.B. Linux ...


Mal ein Screenshot der Samsung Software:

 

[nomorezx81]

Hallo,

vielen Dank für die verschiedenen Infos.

Bevor ich jetzt noch 1000 Frage stelle/stellen muss:
Könnt ihr mir gute, verständliche Quellen/Links nennen, damit ich mich weiter einlesen kann?

Z.B. zu Themen
- Zusammenspiel BIOS HDD-PW <-> SSD 860 Hardware-Verschlüsselung
- SSD Hardware-Verschlüsselung
- BitLocker (Software- / Hardware-Modus)

Danke!

Gruss

 

[der_ingo]

Standardmäßig ist das erst seit Win 10 so.

Also seit drei Jahren. Wie viele Jahre muss denn Bitlocker die gleichen Verschlüsselungsverfahren nutzen wie Veracrypt, damit du es nicht als schlechter bezeichnest? ;-)

Auf älteren Betriebsystemen läuft Bitlocker noch im AES-CBC Modus welcher langsamer ist.

Mag sein, aber wenn einem schon Sicherheit wichtig ist, dann verwendet man auch aktuelle Software.

Dass Bitlocker schneller sein soll habe ich noch nie gehört. Hast du da ne Quelle?

Ich hab einfach nach "bitlocker vs veracrypt performance" gesucht und alle möglichen Artikel durchstöbert, die da genannt werden. Nichts davon würde ich jetzt als perfekten Test mit definierten Rahmenbedinungen ansehen, aber wenn bei den gefundenen Artikeln Performance vergleichen wird, ist Veracrypt normalerweise langsamer.

 

[Quichote]

Hallo,

ein FAQ zum Einstieg:

https://pcsupport.lenovo.com/at/de/solutions/migr-69621


Es gibt auch zahlreiche Diskussionen dazu in den Foren z.B. Bei Toms Hardware oder Intel (letztere schienen mir damals die weniger trollverseuchten zu sein), die schlußendlich zum selben Ergebnis kamen. Und ich hatte damals einen wirklich kompetent wirkenden, ausführlichen Artikel gefunden, wo ich aber gerade den Link nicht habe. Wenn Du bei dem hier genannten nicht fündig wirst, kann ich übernächste Woche noch mal zu Hause schauen, ob ich ihn wiederfinde.

Mein Fazit aus all dem: FDE-Platten verschlüsseln ausreichend sicher gegen forensische Maßnahmen (im normalen Rahmen. „DIE“ kommen auch bei 128bit aes irgendwann ran, aber um „DIE“ geht es ja nicht.) Gegen „Festplatte einfach auslesen“ hilft die richtige Kombi von Bios-Passwörtern.

Damit bleibt immer noch denkbar, daß der Schlüssel aus dem Controller der Platte ausgelesen wird und damit die forensisch gewonnen Daten entschlüsselt werden. Daß der Schlüssel ungeschützt auf dem Controller herumliegt, kann ich mir zwar nicht denken, aber wie er geschützt ist, dazu habe ich nichts herausgefunden. Intel (von denen hatte ich damals eine SSD im Einsatz) gab sich sehr überzeugt, daß das keine Option sei, aber Präzises dazu fand ich nicht und hätte es auch nicht verstanden. Bei Samsung habe ich nicht mehr nachgeforscht.

Aber selbst wenn es dazu einen Exploit gäbe: aus Sicht des rechtlichen Anspruchs an Datenschutz bist Du mit dieser Lösung wohl aus dem Schneider und aus Sicht eines realistischen Bedrohungsszenar auch.

Gruß

Quichote

 

[mcb]

Hallo,

ein FAQ zum Einstieg:

https://pcsupport.lenovo.com/at/de/solutions/migr-69621


... Gegen „Festplatte einfach auslesen“ hilft die richtige Kombi von Bios-Passwörtern.

Damit bleibt immer noch denkbar, daß der Schlüssel aus dem Controller der Platte ausgelesen wird und damit die forensisch gewonnen Daten entschlüsselt werden. Daß der Schlüssel ungeschützt auf dem Controller herumliegt, kann ich mir zwar nicht denken, aber wie er geschützt ist, dazu habe ich nichts herausgefunden. Intel ...

Aber selbst wenn es dazu einen Exploit gäbe: aus Sicht des rechtlichen Anspruchs an Datenschutz bist Du mit dieser Lösung wohl aus dem Schneider und aus Sicht eines realistischen Bedrohungsszenar auch.

Gruß

Quichote

Ja rechtlich bestimmt o.k. - obwohl Stand der Technik ist ev. Bitlocker, und andererseits möchte man ja auch die Daten so gut wie möglich schützen.

Lesestoff:

z.B.: https://www.heise.de/suche/?q=fde&search_submit.x=0&search_submit.y=0&rm=search&sort_by=date

- - - Beitrag zusammengeführt - - -

https://www.heise.de/ct/hotline/Festplatte-mit-Hardware-Verschluesselung-sinnvoll-2575449.html

auch die Komentare

- - - Beitrag zusammengeführt - - -

got HW crypto?On the (in)security of a Self-Encrypting Drive series:

https://eprint.iacr.org/2015/1002.pdf

 

[mcb]

Nochmal 2 Kommentare bei heise:

https://www.heise.de/forum/heise-on...imal-OT-Win10-Truecryt/posting-33055946/show/

https://www.heise.de/forum/heise-on...pt-nach-wie-vor-sicher/posting-33055928/show/

Letztendlich muß man dann selbst Entscheiden wem man vertraut & welchen Schutz man erreichen möchte.

Gruß