X1 Carbon X1X 3rd Gen. - Kann kein HDD Passwort einstellen !?

[blublub]

Morgen

Ich wollte eben bei meinem X1C genau wie bei meinem T440p im BIOS ein HDD Passwort für die Verschlüsselung einstellen aber im Thinkpad BIOS kann ich nur supervisor und power in Passwort einstellen - von HDD fehlt jede Spur!?

Festplatte ist eine Crucial bx200 die laut Datenblatt AES full disk encryption kann - also sollte es eigentlich funktionieren.

Kennt jemand dass Problem?

 

[think_pad]

Festplatte ist eine Crucial bx200 die laut Datenblatt AES full disk encryption kann - also sollte es eigentlich funktionieren.

Du verwechselst da etwas:

• Das HDD-Passwort oder auch SATA-Passwort ist eine Zugangssperre des BIOS zur HDD/SSD, also eine Art Türschlüssel, um überhaupt an die unverschlüsselte/verschlüsselte Platte "heranzukommen" und sie zu benutzen.
• Die Verschlüsselung einer HDD/SSD ist völlig unabhängig davon ein anderes Thema: Hier wird durch Bitlocker oder TrueCrypt oder andere Drittsoftware der Inhalt (!) der Platte komplett verschlüsselt bzw. live während des Betriebs entschlüsselt. Dies geschieht bei "alten Platten" entweder mit hoher Rechnerlast per CPU, oder aber "eine neuere HDD/SSD" hat eine eigene Hardwareverschlüsselung (z.B. AES per Chip) eingebaut, die dann die CPU entlastet und das Arbeiten mit verschlüsselten Laufwerken erträglicher macht.

Ich wollte eben bei meinem X1C genau wie bei meinem T440p im BIOS ein HDD Passwort für die Verschlüsselung einstellen aber im Thinkpad BIOS kann ich nur supervisor und power in Passwort einstellen - von HDD fehlt jede Spur!?

Keine Ahnung, was sich die Inschenjöre da wieder ausgedacht haben! Vielleicht gibt es kein SATA-Passwort mehr, weil heute davon ausgegangen wird, dass die Platte ohnehin verschlüsselt wird und bei einem Diebstahl der Platte sie sowieso nicht ausgelesen werden kann. Denn dies sollte das SATA-Passwort ja ursprünglich verhindern...

 

[blublub]

Hi

@think_pad
Ich glaube wir reden aneinander Vorbei:

In Punkt zwei sprichst Du über die Verschlüsselung mittels 3. Anbietersoftware die das Dateisystem mittels eine TPM chips verschlüsselt. Hierzu benötigt man eigentlich kein BIOS SATA Passwort da das Dateisystem selbs verschlüsselt wird - dies ist sicher die sicherste Variante, die brauche ich nicht.


Bei Punkt eins liegst Du glaube ich ein wenig falsch da eine SSDs mit einer Hardware basierten Verschlüsselung die Daten immer verschlüsselt.
Wenn man im BIOS kein ein Sata Passwort einsetzt entschlüsselt Sie die Daten einfach immer für "jeden". Wenn man aber im BIOS ein SATA Passwort setzt wird dieses auf der HDD hinterlegt und die HDD entschlüsselt die Daten nur wenn man diese beim Boot auch eingibt - sonst ist der Inhalt des Laufwerks nutzlos (unbek. Dateisystem in Windows wenn das Mainboard keine SATA Passwörter unterstützt)

Und für letzteres fehlt irgendwie die BIOS-Option obwohl eigentlich laut Lenevov das X1C das kann und meine SSD auch !?

Zu dem Vorgehen was ich meine siehe auch hier:

https://support.lenovo.com/de/de/documents/ht002240

 

[think_pad]

Kann ich eine verschlüsselte Festplatte mit einem anderen ThinkPad Gerät verwenden und immer noch auf die Daten zugreifen?Ja. Der Verschlüsselungsschlüssel ist nicht vom System abhängig. Da der Schlüssel von der Festplatte verwaltet wird, ist es möglich, die Festplatte auf ein anderes System zu verschieben und weiterhin auf die Daten zuzugreifen.

Wenn der Schlüssel sich auf dem Laufwerk befindet, wie kann ich dann verhindern, dass potenzielle Diebe Daten von meinem Laufwerk stehlen?
Um Ihre Daten vollständig zu schützen, ist es absolut unerlässlich, dass ein Festplattenkennwort eingerichtet wird. Dieses kann ein Benutzerkennwort oder sowohl ein Benutzer- als auch ein Masterkennwort sein. Das Festplattenkennwort verhindert, dass nicht autorisierte Benutzer das Laufwerk hochfahren und auf Ihre Daten zugreifen, während Full Disk Encryption ausgeklügeltere Angriffe wie den Versuch, Daten direkt von der Laufwerksplatte abzurufen, verhindert.

Da steht aber jetzt nichts, was meiner Darstellung widerspricht. Die einzige Neuigkeit wäre, das völlig unabhängig vom SATA-Passwort die FDE-SSDs selbst einen Schlüssel generieren, mit dem sie intern die SSD verschlüsseln, was aber nun niemanden daran hindert, die SSD mit ihrem selbst generierten Schlüssel auf einem anderen System weiter zu verwenden. Deshalb ist es eben doch erforderlich, Bitlocker einzuschalten, um dies zu verhindern. Und wenn Bitlocker oder ähnliche Software direkt den AES-Chip auch für ihre eigene Verschlüsselung benutzen, und damit eigentlich nur einen weiteren "externen Key" einer ohnehin grundverschlüsselten Platte beisteuern, gibt es auch keine Systembelastung.

Dieses FDE-Gesäusel ist also eigentlich nur Marketing-Geschwurbel für das, was oben schon beschrieben wurde: Neuere SSD bringen ihren eigenen Chip mit, um das System/CPU von der Live-Verschlüsselung zu entlasten.
Was ja, nun ja ... nun ja..., auch sinnvoll ist: Hätte man schon früher drauf kommen können!

Und was das fehlende Menü angeht, steht da übrigens folgendes:

[FONT=museo_sans300]Wenn das Menü jedoch nicht angezeigt wird, obwohl Ihr System über eine FDE-Festplatte verfügt, muss die Menü-Option mithilfe des folgenden Dienstprogramms aktiviert werden.[/FONT]
[FONT=museo_sans300]BIOS Setup Menu Extension Utility for the Resetting the Cryptographic Key (Dienstprogramm zur Erweiterung des BIOS-Setupmenü für das Rücksetzen des kryptografischen Schlüssels)[/FONT]

 

[blublub]

Ja aber das tool ist aus 2010 !? Kann mir kaum vorstellen dass das noch funktioniert - naja werde es mal probieren müssen

 

[think_pad]

Ja aber das tool ist aus 2010 !? Kann mir kaum vorstellen dass das noch funktioniert - naja werde es mal probieren müssen

Dieses Tool...

WHAT THIS PACKAGE DOES
This package enables new menus, 'Disk Encryption HDD' and 'Solid State Drive', in the BIOS Setup Utility.

This will work with FDE feature supported hard disk drives. Refer to marketing materials to find out what ThinkPad models support which devices.

... ist letztlich eine nachträgliche BIOS-Erweiterung und für ältere ThinkPads gedacht, die neuere FDE-SSD benutzen wollen.

Wörtlich:

Disk Encryption HDD menu: This is the feature to reset a cryptographic key of the harddisk drive (HDD) with Full Disk Encryption (FDE) function. The FDE make encryption to writing data to its disk and decryption for reading out from a disk. Without a same cryptographic key in an HDD, the data inside can not be read properly decoded. Once a new key is defined by reset, the previous key is deleted from the HDD and then the read and write operations are done with using the new key. This means the computer can not be booted from the HDD nor read data in the HDD after resetting a cryptographic key.
The HDD itself makes a cryptographic key and manages it, but the ThinkPad computer does not store any cryptographic key information. Once a new cryptographic key is defined by doing the Resetting the Cryptographic Key, as there is no way to restore the previous key, recovery of the HDD data is impossible.

Solid State Drive menu: This is the feature to erase all contents of the Solid State Drive in a minute.

Heißt also full-entschwurbelt and very superfast übersetzt:

"Mit dieser BIOS-Erweiterung kannst Du auch auf einem alten ThinkPad eine neue FDE-SSD so dermaßen platt machen, als ob sie das erste Mal benutzt wird! Denke dran, dass man sie dann nicht booten kann, erst wird ein neuer, interner Schlüssel erstellt und danach kannst Du Dein System wie immer installieren. ... Ende der Durchsage!"

 

[blublub]

Da meine crucial mx200 edrive compatibel ist werde ich es nach einer Sicherung mal mit bitlocker versuchen - es sollte wenn BIOS und SSD sich an Standards halten ohne Neuinstallation gehen, naja mal sehen

- - - Beitrag zusammengeführt - - -

OK

Also so sieht es aus:

eDrive support für Bitlocker kann nicht gleichzeitig mit einem SATA Passwort aktiviert sein auch wenn beide für die Verschlüsselung des gleichen Chip, Alghorithmus und Key nehmen - das ist der Grund warum z.B. bei Samsung SSDs ein secure erase gemacht wird und eDrive erst aktiviert werden muss und von Werk aus ein SATA passwort möglich ist was nach dem aktivieren von eDrive eben nicht mehr geht.

Dumm ist in meinem Fall nur dass Windows 10 auf dem X1C aus irgendeinem Grund im LegacyMode und nicht EFI installier ist -> also geht eDrive mit Bitlocker nicht und da die Crucial SSD eDrive aktiviert hat kann ich kein SATA Passwort setzen.....doof! Jetzt muss ich Windows neu installieren...Argh!!!

 

[think_pad]

Jetzt muss ich Windows neu installieren...Argh!!!

Musst Du nicht: Schreib ein Legacy-Backup auf eine externe USB-Platte, setze eDrive per Tool zurück, setze gleich oder später ein SATA-Passwort und schreibe das Legacy-Backup auf die "ent-eDrivte SSD" zurück... Fertig!

 

[blublub]

Mhh die Idee kam mir auch in den Sinn wenn es die Samsung gewesen wäre laber für die Crucial SSD kenne ich kein tool.


Edit: habs gefunden, steht zwar nichts von edrive deaktivieren aber ich probiers morgen mal

 

[think_pad]

Edit: habs gefunden, steht zwar nichts von edrive deaktivieren aber ich probiers morgen mal

Also wenn ich das mit dem ThinkPad-Tool richtig lese,

Solid State Drive menu: This is the feature to erase all contents of the Solid State Drive in a minute.

wird damit der Key, der wahlweise für SATA-Passwort oder eDrive verwendet wird, zurückgesetzt. Damit sind zwar die Daten der SSD für immer tot, aber der Key kann für das SATA-Passwort neu verwendet werden. Vielleicht gibt es aber auch ein Hersteller-Tool, welches das Gleiche tut.

-> Man erkennt es dann am geschilderten Eingangsproblem, dass nämlich im BIOS die SATA-Passwort-Key-Eingabe wieder angezeigt wird, weil eDrive abgeschaltet ist.

-> Und damit wäre das unlösbare Problem gelöst, und das schnöde Leben wird wieder grau und langweilig, bis ein neues Problem... :thumbsup:

 

[blublub]

!? Thinkpad tool? Also ich habe das Crucial tool probiert und damit geht es nicht.

Kannst du mir den link zu dem thinkpad-tool mal geben?

 

[think_pad]

Ich meine das von Dir verlinkte Tool...

Zu dem Vorgehen was ich meine siehe auch hier: https://support.lenovo.com/de/de/documents/ht002240

 

[blublub]

Ah lol.

Glaube das geht nur mit Lenovo ssds außerdem werden die neuen thinkpads nicht unterstützt

 

[blublub]

OK, mit dem Crucial tool und revert psid musste es gehen. Wenn ich Zeit habe mache ich das mal

 

[blublub]

Hi

Geht Bitlocker derive eigentlich mit dem fingerprint reader ihen Probleme - also: einschalten - fingerprint erledigt POP bitlocker pwd und Windows login?