"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

Festplattenverschlüsselung und Festplattenpasswort: Ist dass das Gleiche?

Whiggy 21.02.2020 - 14:30 999 10
Posts

Whiggy

Here to stay
Registered: Nov 2000
Location: Klagenfurt
Posts: 2033
Hallo Leute!

Es gibt ja die Möglichkeit bei Notebook mit SSD über das BIOS ein Festplattenpasswort einzugeben.
Ist dass das Gleiche wie z.b. eine Verschlüsselung mit Bitlocker?

Smut

Moderator
takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 15162
Ohne genau zu wissen welches main board bzw. Funktion du meinst, ist das nicht genau zu beantworten.
Ich würde aber eher bitlocker vorziehen als die Verschlüsselung über das mainboard/bios. Bitlocker kannst einen recovery key erzeugen und z.b. In einem anderen PC wieder unlocken.

Hier etwas zum Thema ATA Verschlüsselung:


Für alles weitere müsstest aber erklären was du genau vor hast.

Whiggy

Here to stay
Registered: Nov 2000
Location: Klagenfurt
Posts: 2033
Also das mein ich:


click to enlarge

Rogaahl

pinout
Avatar
Registered: Feb 2014
Location: K
Posts: 931
Die Implementierung variiert stark, oft unsicher und funktioniert auf andere HW gar nicht mehr.

Bitlocker würde ich auch nicht nehmen, MS vertraue ich da nicht.


Ich empfehle sedutil, ist fürs OS transparent, entschlüsselt wird über den geladen shadow MBR. Man braucht natürlich eine SED SSD (alle gscheiden aktuellen).

Hier sind ein paar aktuelle forks:
https://github.com/ladar/sedutil/
https://github.com/CyrilVanErsche/sedutil/
https://github.com/ckamm/sedutil/

Einzig mit Zen2 CPUs mit aktuellen BIOS muss man darauf achten das richtige image zu wählen, da einige ohne acpi=off nicht booten.


Sieht auf den ersten blick etwas kompliziert aus, ist es aber eigentlich nicht, falls wer hilfe braucht, einfach posten.

Rogaahl

pinout
Avatar
Registered: Feb 2014
Location: K
Posts: 931
Achso, ich habe gar nicht direkt auf die Frage geantwortet. Es ist das gleiche aber auch nicht...

Moderne SED können sich selbst mit dem ATA Befehl verschlüsseln (HDD PW), allerdings wie dieses implementiert ist kann sehr schwach sein und variiert bei jeden Hersteller, zb gibt es BIOS die das Passwort einfach abschneiden, nicht hashen usw... Also lieber die von mir verwendet Methode verwenden. Dadurch das es fürs OS transparent ist, kannst du Windows, linux, dual boot alles installieren und es ist von OS Updates nicht zerstörbar!

Edit:
Noch ein extra, man kann bereits installierte SSDs genau verschlüssel, da sie sowieso immer verschlüsselt sind, nur das passwort zu den keys bekannt ist. Wenn man dieses ändert sind die ist die SSD defakto verschlüsselt.
Allerdings verwendet man dann immer noch die Hersteller generierten Keys, wenn man das nicht will, einfach davor eine PSID wipe machen, geht auch mit sedutil-cli und kennt man bzw ist vergleichbar mir secure erase.
Bearbeitet von Rogaahl am 21.02.2020, 21:22

spunz

Super Moderator
tot durch snu-snu
Avatar
Registered: Aug 2000
Location: achse des bösen
Posts: 10395
Zitat aus einem Post von Rogaahl
Bitlocker würde ich auch nicht nehmen, MS vertraue ich da nicht.


Ich empfehle sedutil, ist fürs OS transparent, entschlüsselt wird über den geladen shadow MBR. Man braucht natürlich eine SED SSD (alle gscheiden aktuellen).

Funfact, Windows/Bitlocker hat bis vor kurzen SED verwendet ;)

SED ist am Ende besser wie nix, aber ich würde es heute nicht mehr empfehlen.

Viper780

Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 39930
Ich würd bei einer SSD immer auf SED setzen da es sowieso gemacht wird. Aber gleichzeitig eine weitere Lösung verwenden

Smut

Moderator
takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 15162
Bei SED muss man halt zusätzlich noch mal den key bzw. Passphrase sichern. Ist also die Frage ob man das wirklich doppelt machen will.
Bitlocker und die Implementierung ist prinzipiell sehr gut getestet. Wenn man sich vor Microsoft/us Regierung und potentiellen backdoors schützen will sollte man es nicht verwenden - viel besser aber noch: kein Windows ;)
Ich denke nicht dass es einen Unterschied macht Windows nicht mit bitlocker zu verschlüsseln. Wenn schon Paranoia, dann aber konsequent durchziehen.
Weiters hat bitlocker den Vorteil dass bei jedem reboot - oder bios änderung mit TPM, der key eingegeben werden muss. Auf SED kann ich AFAIK immer noch mit reboot + usb stick zugreifen, zumindest gab es derartige Implementierungen.

Whiggy

Here to stay
Registered: Nov 2000
Location: Klagenfurt
Posts: 2033
Bitlocker geht mir zu sehr auf die Performance.
Ich dachte dieses Festplattenpasswort sitzt irgendwo in einem EPROM oder Speicherbereich der Platte und ist ein einfaches Passwort, das nur beim Start des PC's einmal abgefragt wird und nicht die ganze Festplatte verschlüsselt, bei dem jeder einzelne Dateizugriff entschlüsselt werden muss.

Das war eigentlich meine Frage. Ob es sich um ein "einfaches" Passwort für die Festplatte handelt (Ähnlich wie USB-Sticks mit Zahlenschloss), oder der ganze Dateninhalt verschlüsselt wird.
Meine ganzen Daten verschlüsseln würde ich sicher nicht.
Bearbeitet von Whiggy am 22.02.2020, 15:46

Rogaahl

pinout
Avatar
Registered: Feb 2014
Location: K
Posts: 931
Zitat aus einem Post von Whiggy
Bitlocker geht mir zu sehr auf die Performance.
Ich dachte dieses Festplattenpasswort sitzt irgendwo in einem EPROM der Platte und ist ein einfaches Passwort, das nur beim Start des PC's einmal abgefragt wird und nicht die ganze Festplatte verschlüsselt, bei dem jeder einzelne Dateizugriff entschlüsselt werden muss.

Das war eigentlich meine Frage. Ob es sich um ein "einfaches" Passwort für die Festplatte handelt, oder der ganze Dateninhalt verschlüsselt wird.


SED SSDs sind immer verschlüsselt, der unterschied ist ob der Controller das Passwort kennt oder nicht.

Mit der von mir geposteten Methode, hast du 0 Performance Einbusen.

Edit: afaik kann bitlocker immer noch SED verwenden, nur warum man des verwenden sollte ist halt die frage.
Bearbeitet von Rogaahl am 22.02.2020, 15:51

Smut

Moderator
takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 15162
Zitat aus einem Post von Whiggy
Bitlocker geht mir zu sehr auf die Performance.
Wie hast du das festgestellt bzw. welche Disk verwendest du? Mit einer AES-NI fähigen cpu (so gut wie alles aktuelle) solltest selbst 3GB/sec nicht sonderlich spüren auf der CPU.
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz