Festplattenverschlüsselung und Festplattenpasswort: Ist dass das Gleiche?

Whiggy

Here to stay

Registered: Nov 2000
Location: Klagenfurt
Posts: 2357

21.02.2020 - 14:30

Hallo Leute!

Es gibt ja die Möglichkeit bei Notebook mit SSD über das BIOS ein Festplattenpasswort einzugeben.
Ist dass das Gleiche wie z.b. eine Verschlüsselung mit Bitlocker?

Smut

Moderator
takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16841

21.02.2020 - 14:37

Ohne genau zu wissen welches main board bzw. Funktion du meinst, ist das nicht genau zu beantworten.
Ich würde aber eher bitlocker vorziehen als die Verschlüsselung über das mainboard/bios. Bitlocker kannst einen recovery key erzeugen und z.b. In einem anderen PC wieder unlocken.

Hier etwas zum Thema ATA Verschlüsselung:

SSD mit ATA-Passwort

Ich möchte ein neues Notebook mit SSD kaufen und will Letztere mit einem ATA-Passwort schützen. Welche Notebooks, Chipsätze und SSDs sind dafür geeignet?

Link: www.heise.de

Für alles weitere müsstest aber erklären was du genau vor hast.

Whiggy

Here to stay

Registered: Nov 2000
Location: Klagenfurt
Posts: 2357

21.02.2020 - 18:51

Also das mein ich:

Rogaahl

Super Moderator
interrupt

Registered: Feb 2014
Location: K
Posts: 2315

21.02.2020 - 20:13

Die Implementierung variiert stark, oft unsicher und funktioniert auf andere HW gar nicht mehr.

Bitlocker würde ich auch nicht nehmen, MS vertraue ich da nicht.

Ich empfehle sedutil, ist fürs OS transparent, entschlüsselt wird über den geladen shadow MBR. Man braucht natürlich eine SED SSD (alle gscheiden aktuellen).

Hier sind ein paar aktuelle forks:
https://github.com/ladar/sedutil/
https://github.com/CyrilVanErsche/sedutil/
https://github.com/ckamm/sedutil/

Einzig mit Zen2 CPUs mit aktuellen BIOS muss man darauf achten das richtige image zu wählen, da einige ohne acpi=off nicht booten.

Sieht auf den ersten blick etwas kompliziert aus, ist es aber eigentlich nicht, falls wer hilfe braucht, einfach posten.

Rogaahl

Super Moderator
interrupt

Registered: Feb 2014
Location: K
Posts: 2315

21.02.2020 - 21:19

Achso, ich habe gar nicht direkt auf die Frage geantwortet. Es ist das gleiche aber auch nicht...

Moderne SED können sich selbst mit dem ATA Befehl verschlüsseln (HDD PW), allerdings wie dieses implementiert ist kann sehr schwach sein und variiert bei jeden Hersteller, zb gibt es BIOS die das Passwort einfach abschneiden, nicht hashen usw... Also lieber die von mir verwendet Methode verwenden. Dadurch das es fürs OS transparent ist, kannst du Windows, linux, dual boot alles installieren und es ist von OS Updates nicht zerstörbar!

Edit:
Noch ein extra, man kann bereits installierte SSDs genau verschlüssel, da sie sowieso immer verschlüsselt sind, nur das passwort zu den keys bekannt ist. Wenn man dieses ändert sind die ist die SSD defakto verschlüsselt.
Allerdings verwendet man dann immer noch die Hersteller generierten Keys, wenn man das nicht will, einfach davor eine PSID wipe machen, geht auch mit sedutil-cli und kennt man bzw ist vergleichbar mir secure erase.

Bearbeitet von Rogaahl am 21.02.2020, 21:22

spunz

Super Moderator
Super Moderator

Registered: Aug 2000
Location: achse des bösen
Posts: 11243

22.02.2020 - 07:32

Zitat aus einem Post von Rogaahl
Bitlocker würde ich auch nicht nehmen, MS vertraue ich da nicht.

Ich empfehle sedutil, ist fürs OS transparent, entschlüsselt wird über den geladen shadow MBR. Man braucht natürlich eine SED SSD (alle gscheiden aktuellen).

Funfact, Windows/Bitlocker hat bis vor kurzen SED verwendet

SED ist am Ende besser wie nix, aber ich würde es heute nicht mehr empfehlen.

Viper780

Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 49994

22.02.2020 - 08:08

Ich würd bei einer SSD immer auf SED setzen da es sowieso gemacht wird. Aber gleichzeitig eine weitere Lösung verwenden

Smut

Moderator
takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16841

22.02.2020 - 08:51

Bei SED muss man halt zusätzlich noch mal den key bzw. Passphrase sichern. Ist also die Frage ob man das wirklich doppelt machen will.
Bitlocker und die Implementierung ist prinzipiell sehr gut getestet. Wenn man sich vor Microsoft/us Regierung und potentiellen backdoors schützen will sollte man es nicht verwenden - viel besser aber noch: kein Windows

Ich denke nicht dass es einen Unterschied macht Windows nicht mit bitlocker zu verschlüsseln. Wenn schon Paranoia, dann aber konsequent durchziehen.
Weiters hat bitlocker den Vorteil dass bei jedem reboot - oder bios änderung mit TPM, der key eingegeben werden muss. Auf SED kann ich AFAIK immer noch mit reboot + usb stick zugreifen, zumindest gab es derartige Implementierungen.

Whiggy

Here to stay

Registered: Nov 2000
Location: Klagenfurt
Posts: 2357

22.02.2020 - 15:39

Bitlocker geht mir zu sehr auf die Performance.
Ich dachte dieses Festplattenpasswort sitzt irgendwo in einem EPROM oder Speicherbereich der Platte und ist ein einfaches Passwort, das nur beim Start des PC's einmal abgefragt wird und nicht die ganze Festplatte verschlüsselt, bei dem jeder einzelne Dateizugriff entschlüsselt werden muss.

Das war eigentlich meine Frage. Ob es sich um ein "einfaches" Passwort für die Festplatte handelt (Ähnlich wie USB-Sticks mit Zahlenschloss), oder der ganze Dateninhalt verschlüsselt wird.
Meine ganzen Daten verschlüsseln würde ich sicher nicht.

Bearbeitet von Whiggy am 22.02.2020, 15:46

Rogaahl

Super Moderator
interrupt

Registered: Feb 2014
Location: K
Posts: 2315

22.02.2020 - 15:46

Zitat aus einem Post von Whiggy
Bitlocker geht mir zu sehr auf die Performance.
Ich dachte dieses Festplattenpasswort sitzt irgendwo in einem EPROM der Platte und ist ein einfaches Passwort, das nur beim Start des PC's einmal abgefragt wird und nicht die ganze Festplatte verschlüsselt, bei dem jeder einzelne Dateizugriff entschlüsselt werden muss.

Das war eigentlich meine Frage. Ob es sich um ein "einfaches" Passwort für die Festplatte handelt, oder der ganze Dateninhalt verschlüsselt wird.

SED SSDs sind immer verschlüsselt, der unterschied ist ob der Controller das Passwort kennt oder nicht.

Mit der von mir geposteten Methode, hast du 0 Performance Einbusen.

Edit: afaik kann bitlocker immer noch SED verwenden, nur warum man des verwenden sollte ist halt die frage.

Bearbeitet von Rogaahl am 22.02.2020, 15:51

Smut

Moderator
takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16841

23.02.2020 - 02:06

Zitat aus einem Post von Whiggy
Bitlocker geht mir zu sehr auf die Performance.

Wie hast du das festgestellt bzw. welche Disk verwendest du? Mit einer AES-NI fähigen cpu (so gut wie alles aktuelle) solltest selbst 3GB/sec nicht sonderlich spüren auf der CPU.

Whiggy Here to stay Registered: Nov 2000 Location: Klagenfurt Posts: 2357	21.02.2020 - 14:30 Hallo Leute! Es gibt ja die Möglichkeit bei Notebook mit SSD über das BIOS ein Festplattenpasswort einzugeben. Ist dass das Gleiche wie z.b. eine Verschlüsselung mit Bitlocker?
Smut Moderator takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16841	21.02.2020 - 14:37 Ohne genau zu wissen welches main board bzw. Funktion du meinst, ist das nicht genau zu beantworten. Ich würde aber eher bitlocker vorziehen als die Verschlüsselung über das mainboard/bios. Bitlocker kannst einen recovery key erzeugen und z.b. In einem anderen PC wieder unlocken. Hier etwas zum Thema ATA Verschlüsselung: SSD mit ATA-Passwort Ich möchte ein neues Notebook mit SSD kaufen und will Letztere mit einem ATA-Passwort schützen. Welche Notebooks, Chipsätze und SSDs sind dafür geeignet? Link: www.heise.de Für alles weitere müsstest aber erklären was du genau vor hast.
Whiggy Here to stay Registered: Nov 2000 Location: Klagenfurt Posts: 2357	21.02.2020 - 18:51 Also das mein ich:
Rogaahl Super Moderator interrupt Registered: Feb 2014 Location: K Posts: 2315	21.02.2020 - 20:13 Die Implementierung variiert stark, oft unsicher und funktioniert auf andere HW gar nicht mehr. Bitlocker würde ich auch nicht nehmen, MS vertraue ich da nicht. Ich empfehle sedutil, ist fürs OS transparent, entschlüsselt wird über den geladen shadow MBR. Man braucht natürlich eine SED SSD (alle gscheiden aktuellen). Hier sind ein paar aktuelle forks: https://github.com/ladar/sedutil/ https://github.com/CyrilVanErsche/sedutil/ https://github.com/ckamm/sedutil/ Einzig mit Zen2 CPUs mit aktuellen BIOS muss man darauf achten das richtige image zu wählen, da einige ohne acpi=off nicht booten. Sieht auf den ersten blick etwas kompliziert aus, ist es aber eigentlich nicht, falls wer hilfe braucht, einfach posten.
Rogaahl Super Moderator interrupt Registered: Feb 2014 Location: K Posts: 2315	21.02.2020 - 21:19 Achso, ich habe gar nicht direkt auf die Frage geantwortet. Es ist das gleiche aber auch nicht... Moderne SED können sich selbst mit dem ATA Befehl verschlüsseln (HDD PW), allerdings wie dieses implementiert ist kann sehr schwach sein und variiert bei jeden Hersteller, zb gibt es BIOS die das Passwort einfach abschneiden, nicht hashen usw... Also lieber die von mir verwendet Methode verwenden. Dadurch das es fürs OS transparent ist, kannst du Windows, linux, dual boot alles installieren und es ist von OS Updates nicht zerstörbar! Edit: Noch ein extra, man kann bereits installierte SSDs genau verschlüssel, da sie sowieso immer verschlüsselt sind, nur das passwort zu den keys bekannt ist. Wenn man dieses ändert sind die ist die SSD defakto verschlüsselt. Allerdings verwendet man dann immer noch die Hersteller generierten Keys, wenn man das nicht will, einfach davor eine PSID wipe machen, geht auch mit sedutil-cli und kennt man bzw ist vergleichbar mir secure erase. Bearbeitet von Rogaahl am 21.02.2020, 21:22
spunz Super Moderator Super Moderator Registered: Aug 2000 Location: achse des bösen Posts: 11243	22.02.2020 - 07:32 Zitat aus einem Post von Rogaahl Bitlocker würde ich auch nicht nehmen, MS vertraue ich da nicht. Ich empfehle sedutil, ist fürs OS transparent, entschlüsselt wird über den geladen shadow MBR. Man braucht natürlich eine SED SSD (alle gscheiden aktuellen). Funfact, Windows/Bitlocker hat bis vor kurzen SED verwendet SED ist am Ende besser wie nix, aber ich würde es heute nicht mehr empfehlen.
Viper780 Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 49994	22.02.2020 - 08:08 Ich würd bei einer SSD immer auf SED setzen da es sowieso gemacht wird. Aber gleichzeitig eine weitere Lösung verwenden
Smut Moderator takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16841	22.02.2020 - 08:51 Bei SED muss man halt zusätzlich noch mal den key bzw. Passphrase sichern. Ist also die Frage ob man das wirklich doppelt machen will. Bitlocker und die Implementierung ist prinzipiell sehr gut getestet. Wenn man sich vor Microsoft/us Regierung und potentiellen backdoors schützen will sollte man es nicht verwenden - viel besser aber noch: kein Windows Ich denke nicht dass es einen Unterschied macht Windows nicht mit bitlocker zu verschlüsseln. Wenn schon Paranoia, dann aber konsequent durchziehen. Weiters hat bitlocker den Vorteil dass bei jedem reboot - oder bios änderung mit TPM, der key eingegeben werden muss. Auf SED kann ich AFAIK immer noch mit reboot + usb stick zugreifen, zumindest gab es derartige Implementierungen.
Whiggy Here to stay Registered: Nov 2000 Location: Klagenfurt Posts: 2357	22.02.2020 - 15:39 Bitlocker geht mir zu sehr auf die Performance. Ich dachte dieses Festplattenpasswort sitzt irgendwo in einem EPROM oder Speicherbereich der Platte und ist ein einfaches Passwort, das nur beim Start des PC's einmal abgefragt wird und nicht die ganze Festplatte verschlüsselt, bei dem jeder einzelne Dateizugriff entschlüsselt werden muss. Das war eigentlich meine Frage. Ob es sich um ein "einfaches" Passwort für die Festplatte handelt (Ähnlich wie USB-Sticks mit Zahlenschloss), oder der ganze Dateninhalt verschlüsselt wird. Meine ganzen Daten verschlüsseln würde ich sicher nicht. Bearbeitet von Whiggy am 22.02.2020, 15:46
Rogaahl Super Moderator interrupt Registered: Feb 2014 Location: K Posts: 2315	22.02.2020 - 15:46 Zitat aus einem Post von Whiggy Bitlocker geht mir zu sehr auf die Performance. Ich dachte dieses Festplattenpasswort sitzt irgendwo in einem EPROM der Platte und ist ein einfaches Passwort, das nur beim Start des PC's einmal abgefragt wird und nicht die ganze Festplatte verschlüsselt, bei dem jeder einzelne Dateizugriff entschlüsselt werden muss. Das war eigentlich meine Frage. Ob es sich um ein "einfaches" Passwort für die Festplatte handelt, oder der ganze Dateninhalt verschlüsselt wird. SED SSDs sind immer verschlüsselt, der unterschied ist ob der Controller das Passwort kennt oder nicht. Mit der von mir geposteten Methode, hast du 0 Performance Einbusen. Edit: afaik kann bitlocker immer noch SED verwenden, nur warum man des verwenden sollte ist halt die frage. Bearbeitet von Rogaahl am 22.02.2020, 15:51
Smut Moderator takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16841	23.02.2020 - 02:06 Zitat aus einem Post von Whiggy Bitlocker geht mir zu sehr auf die Performance. Wie hast du das festgestellt bzw. welche Disk verwendest du? Mit einer AES-NI fähigen cpu (so gut wie alles aktuelle) solltest selbst 3GB/sec nicht sonderlich spüren auf der CPU.

Festplattenverschlüsselung und Festplattenpasswort: Ist dass das Gleiche?

Forum Index > Hardware > Komponenten > Storage & Memory

Whiggy

Smut

Whiggy

Rogaahl

Rogaahl

spunz

Viper780

Smut

Whiggy

Rogaahl

Smut