Festplattenverschlüsselung und Festplattenpasswort: Ist dass das Gleiche?

Seite 1 von 1 - Forum: Storage & Memory auf overclockers.at

URL: https://www.overclockers.at/storage-memory/festplattenverschluesselung-und-festplattenpasswort-ist-dass-das-gleiche_255259/page_1 - zur Vollversion wechseln!

Whiggy schrieb am 21.02.2020 um 14:30

Hallo Leute!

Es gibt ja die Möglichkeit bei Notebook mit SSD über das BIOS ein Festplattenpasswort einzugeben.
Ist dass das Gleiche wie z.b. eine Verschlüsselung mit Bitlocker?

Smut schrieb am 21.02.2020 um 14:37

Ohne genau zu wissen welches main board bzw. Funktion du meinst, ist das nicht genau zu beantworten.
Ich würde aber eher bitlocker vorziehen als die Verschlüsselung über das mainboard/bios. Bitlocker kannst einen recovery key erzeugen und z.b. In einem anderen PC wieder unlocken.

Hier etwas zum Thema ATA Verschlüsselung:

SSD mit ATA-Passwort

Ich möchte ein neues Notebook mit SSD kaufen und will Letztere mit einem ATA-Passwort schützen. Welche Notebooks, Chipsätze und SSDs sind dafür geeignet?

Link: www.heise.de

Für alles weitere müsstest aber erklären was du genau vor hast.

Whiggy schrieb am 21.02.2020 um 18:51

Also das mein ich:

Rogaahl schrieb am 21.02.2020 um 20:13

Die Implementierung variiert stark, oft unsicher und funktioniert auf andere HW gar nicht mehr.

Bitlocker würde ich auch nicht nehmen, MS vertraue ich da nicht.

Ich empfehle sedutil, ist fürs OS transparent, entschlüsselt wird über den geladen shadow MBR. Man braucht natürlich eine SED SSD (alle gscheiden aktuellen).

Hier sind ein paar aktuelle forks:
https://github.com/ladar/sedutil/
https://github.com/CyrilVanErsche/sedutil/
https://github.com/ckamm/sedutil/

Einzig mit Zen2 CPUs mit aktuellen BIOS muss man darauf achten das richtige image zu wählen, da einige ohne acpi=off nicht booten.

Sieht auf den ersten blick etwas kompliziert aus, ist es aber eigentlich nicht, falls wer hilfe braucht, einfach posten.

Rogaahl schrieb am 21.02.2020 um 21:19

Achso, ich habe gar nicht direkt auf die Frage geantwortet. Es ist das gleiche aber auch nicht...

Moderne SED können sich selbst mit dem ATA Befehl verschlüsseln (HDD PW), allerdings wie dieses implementiert ist kann sehr schwach sein und variiert bei jeden Hersteller, zb gibt es BIOS die das Passwort einfach abschneiden, nicht hashen usw... Also lieber die von mir verwendet Methode verwenden. Dadurch das es fürs OS transparent ist, kannst du Windows, linux, dual boot alles installieren und es ist von OS Updates nicht zerstörbar!

Edit:
Noch ein extra, man kann bereits installierte SSDs genau verschlüssel, da sie sowieso immer verschlüsselt sind, nur das passwort zu den keys bekannt ist. Wenn man dieses ändert sind die ist die SSD defakto verschlüsselt.
Allerdings verwendet man dann immer noch die Hersteller generierten Keys, wenn man das nicht will, einfach davor eine PSID wipe machen, geht auch mit sedutil-cli und kennt man bzw ist vergleichbar mir secure erase.

spunz schrieb am 22.02.2020 um 07:32

Zitat aus einem Post von Rogaahl
Bitlocker würde ich auch nicht nehmen, MS vertraue ich da nicht.

Ich empfehle sedutil, ist fürs OS transparent, entschlüsselt wird über den geladen shadow MBR. Man braucht natürlich eine SED SSD (alle gscheiden aktuellen).

Funfact, Windows/Bitlocker hat bis vor kurzen SED verwendet

SED ist am Ende besser wie nix, aber ich würde es heute nicht mehr empfehlen.

Viper780 schrieb am 22.02.2020 um 08:08

Ich würd bei einer SSD immer auf SED setzen da es sowieso gemacht wird. Aber gleichzeitig eine weitere Lösung verwenden

Smut schrieb am 22.02.2020 um 08:51

Bei SED muss man halt zusätzlich noch mal den key bzw. Passphrase sichern. Ist also die Frage ob man das wirklich doppelt machen will.
Bitlocker und die Implementierung ist prinzipiell sehr gut getestet. Wenn man sich vor Microsoft/us Regierung und potentiellen backdoors schützen will sollte man es nicht verwenden - viel besser aber noch: kein Windows
Ich denke nicht dass es einen Unterschied macht Windows nicht mit bitlocker zu verschlüsseln. Wenn schon Paranoia, dann aber konsequent durchziehen.
Weiters hat bitlocker den Vorteil dass bei jedem reboot - oder bios änderung mit TPM, der key eingegeben werden muss. Auf SED kann ich AFAIK immer noch mit reboot + usb stick zugreifen, zumindest gab es derartige Implementierungen.

Whiggy schrieb am 22.02.2020 um 15:39

Bitlocker geht mir zu sehr auf die Performance.
Ich dachte dieses Festplattenpasswort sitzt irgendwo in einem EPROM oder Speicherbereich der Platte und ist ein einfaches Passwort, das nur beim Start des PC's einmal abgefragt wird und nicht die ganze Festplatte verschlüsselt, bei dem jeder einzelne Dateizugriff entschlüsselt werden muss.

Das war eigentlich meine Frage. Ob es sich um ein "einfaches" Passwort für die Festplatte handelt (Ähnlich wie USB-Sticks mit Zahlenschloss), oder der ganze Dateninhalt verschlüsselt wird.
Meine ganzen Daten verschlüsseln würde ich sicher nicht.

Rogaahl schrieb am 22.02.2020 um 15:46

Zitat aus einem Post von Whiggy
Bitlocker geht mir zu sehr auf die Performance.
Ich dachte dieses Festplattenpasswort sitzt irgendwo in einem EPROM der Platte und ist ein einfaches Passwort, das nur beim Start des PC's einmal abgefragt wird und nicht die ganze Festplatte verschlüsselt, bei dem jeder einzelne Dateizugriff entschlüsselt werden muss.

Das war eigentlich meine Frage. Ob es sich um ein "einfaches" Passwort für die Festplatte handelt, oder der ganze Dateninhalt verschlüsselt wird.

SED SSDs sind immer verschlüsselt, der unterschied ist ob der Controller das Passwort kennt oder nicht.

Mit der von mir geposteten Methode, hast du 0 Performance Einbusen.

Edit: afaik kann bitlocker immer noch SED verwenden, nur warum man des verwenden sollte ist halt die frage.

Smut schrieb am 23.02.2020 um 02:06

Zitat aus einem Post von Whiggy
Bitlocker geht mir zu sehr auf die Performance.

Wie hast du das festgestellt bzw. welche Disk verwendest du? Mit einer AES-NI fähigen cpu (so gut wie alles aktuelle) solltest selbst 3GB/sec nicht sonderlich spüren auf der CPU.