ComputerBase Menü
Aktuelles

Zwei Fragen zu selbstverschlüsselnden Datenträgern

T

TGoP

Lt. Junior Grade
Registriert
Nov. 2008
Beiträge
422
Hallo,

seit einem Einbruch in meine Räumlichkeiten, bei welchem auch ein PC sowie ein Laptop entwendet wurden, arbeite ich grundsätzlich mit Verschlüsselung. Geht zwar nicht um Staatsgeheimnisse aber selbst der Verlust von privaten Daten und einigen Arbeitsunterlagen hinterlässt ein mieses Gefühl.

Bisher verwende ich Truecrypt, dessen Tage sind jedoch gezählt. Ich würde auch grundsätzlich lieber selbstverschlüsselnde Hardware statt irgendwelcher Softwarelösungen (TrueCrypt, VeraCrypt, Bitlocker usw) einsetzen. Und da ich jetzt die Anschaffung eines neuen PCs plane bietet sich natürlich die Gelegenheit umzustellen.

1. Wenn ich es richtig verstehe kann ich eine solche HDD bzw SSD doch ohne jegliche Software betreiben, oder? Sprich, zwischen BIOS/UEFI und Betriebssystem-Bootup meldet sich zuerst die Platte und besteht auf die Eingabe des Passworts. Erst dann werden die Daten entschlüsselt und das Betriebssystem gestartet, richtig?

2. Nehmen wir an der erste Datenträger ist eine SSD. Diese verhält sich gemäß dem ersten Punkt. Wenn ich nun eine zweite HDD ins System hänge, welche als Datengrab fungiert (aber ebenfalls ein self-encrypting drive ist), wie auto-mounte ich diese dann? Bei Truecrypt geht dies problemlos als Favorit. Wie aber geht's ohne Truecrypt & Co unter Windows?

Danke im Voraus.
 
Darf ich fragen warum du TC den Rücken zukehren möchtest?
 
Hier hatten wir schon eine Diskussion zu Truecrypt.
https://www.computerbase.de/forum/threads/angeblich-ist-truecrypt-noch-sicher-aber.1430129/

Insgesamt gesehen ist TC als sicher anzusehen, sofern das Passwort lang genug ist.
Wenn Du die HDD mit einer Softwarelösung verschlüsseln willst, geht Automount dann nur mit einem entsprechenden Script wo das Passwort hartkodiert ist.
Zudem ist das mit den SEDs auch schon etwas schwieriger. Auch hier musst Du eine Software einsetzen, um die Verschlüsselungsfunktion wirklich zu nutzen. Denn die meisten PCs habe keine SATA-PAsswortfunktionalität. Hier sind mehr Infos.
http://www.heise.de/ct/hotline/Verschluesselte-Platte-oder-SSD-nachruesten-2055743.html


Bleib einfach bei TC oder Veracrypt.
 
Zuletzt bearbeitet:
 
crashbandicot schrieb:
Darf ich fragen warum du TC den Rücken zukehren möchtest?
Zum Vergrößern anklicken....
Weil es Unsinn wäre eine Softwarelösung zu verwenden deren Entwicklung eingestellt wurde. Was jetzt mit Windows 7 und 8 noch funktioniert muss mit 10 und allem was danach kommt nicht mehr zwingend reibungslos zusammenarbeiten. Außerdem, wieso Software einsetzen wenn es Hardware-Lösungen gibt?

chrigu schrieb:
wenn einer ein lappi klaut, wird er die festplatte formatieren und weiterverkaufen. windows bitlocker reicht aus.
Zum Vergrößern anklicken....
Es geht weder darum was später mit der heissen Ware passiert noch was ausreicht.

=DarkEagle= schrieb:
Eine HDD gibt es nicht als SED. Insofern musst Du die HDD mit einer Softwarelösung verschlüsseln. Automount geht dann nur mit einem entsprechenden Script wo das Passwort hartkodiert ist.
Zudem ist das mit den SEDs auch schon etwas schwieriger. Auch hier musst Du eine Software einsetzen, um die Verschlüsselungsfunktion wirklich zu nutzen. Denn die meisten PCs habe keine SATA-PAsswortfunktionalität.[/url]
Zum Vergrößern anklicken....
Vielleicht steh ich ja grad auf dem Schlauch aber wieso sollte es keine self-encrypting HDDs geben? Wenn ich auf Geizhals schaue werden über 100 Modelle gelistet. Auch der von dir verlinkte Artikel verweist ja explizit auf die Möglichkeit ein ATA-Security-Passwort zu setzen und beantwortet damit sogar meine erste Frage. Ich muss nur schauen das ich ein Mainboard kaufe dessen BIOS/UEFI mit der entsprechenden Funktion daherkommt.
Was den zweiten Teil betrifft, kennt/nutzt denn jemand ein solches Script oder gibt es dafür ein kleines Programm welches beim Start von Windows ein solches zweites Laufwerk auto-mounted ohne das man gleich, die ebenfalls im Artikel erwähnte, OPAL-Software kaufen muss (welche ja zumindest für den ersten Punkt nicht zwingend notwendig wäre).


Allgemein hätte ich eine Bitte. Das hier soll explizit keine Diskussion rund um Truecrypt/Bitlocker/Veracrypt sein.
 
Mein Fehler. Es gibt inzwischen SEDs als HDD. Ich hatte das letzte mal vor ein paar Jahren geschaut, als die SEDs gerade rauskamen und da waren es oft einfach SSDs. Ich habe es entsprechend überarbeitet. Musst dann halt erstmal ein Mainboard identifizieren, was das anbietet. Bei meinen Rechnern hats beispielsweise nur das Mainboard vom Server (Dell T20).
Du kannst dann ja auch der HDD ein SATA-APsswort einfach verpassen.

http://www.bauer-power.net/2013/05/how-to-auto-mount-truecrypt-volumes.html#.VR4wlWMzvXo
Hier ein grundlegendes Script. Nun das Script in batch soweit abändern, dass am Anfang das Passwort abgefragt wird, als Variable gespiehcetr wird und unten bei PASSWORD /q genutzt wird.
 
TGoP schrieb:
Weil es Unsinn wäre eine Softwarelösung zu verwenden deren Entwicklung eingestellt wurde. [...] wieso Software einsetzen wenn es Hardware-Lösungen gibt?
Zum Vergrößern anklicken....
Wenn man sich jetzt nur mal auf den eigentlichen Kernaspekt konzentriert, dann geht es doch nur um eins: Was empfindet man selbst als sicher genug für die Daten. Nur weil eine Software eingestellt wurde, ist sie ja nicht unsicher. Im Grunde geht es doch nur darum, dass man immer dem entsprechenden Anbieter der Hard- oder Software vertrauen muss. In Sachen Software ist man IMO doch auch deutlich flexibler im Einsatz. Ich hätte keine Lust drauf nur bestimmte Hardwarekonstellationen verwenden zu können.
 
=DarkEagle= schrieb:
Bei meinen Rechnern hats beispielsweise nur das Mainboard vom Server (Dell T20).
Du kannst dann ja auch der HDD ein SATA-APsswort einfach verpassen.
[...]
Hier ein grundlegendes Script.
Zum Vergrößern anklicken....
Ich habe mittlerweile das Gefühl das eine Skriptlösung schwerer bis gar nicht zu finden sein dürften (im Vergleich zu einem Mainboard). Das gezeigte Skript setzt ja leider ebenfalls Truecrypt voraus.

M@rsupil@mi schrieb:
Nur weil eine Software eingestellt wurde, ist sie ja nicht unsicher.
Zum Vergrößern anklicken....
Vollkommen richtig. Ich will Truecrypt auch gar nicht schlecht reden. Ganz im Gegenteil, es hat mir unter Windows 7 treue Dienste geleistet. Das Problem ist halt, bald kommt Windows 10. Version 10.1 wird auch nicht lange auf sich warten lassen. Und Microsoft will die Schlagzahl ja noch erhöhen. Wie lange und wie reibungslos Truecrypt dann läuft kann heute niemand garantieren.
Vor 3-4 Jahren hätte niemand über Hardwareverschlüsselung im Privatbereich nachgedacht. Heute haben wir ein breites Angebot. Wieso also nicht nutzen?
 
"Was den zweiten Teil betrifft, kennt/nutzt denn jemand ein solches Script oder gibt es dafür ein kleines Programm welches beim Start von Windows ein solches zweites Laufwerk auto-mounted ohne das man gleich, die ebenfalls im Artikel erwähnte, OPAL-Software kaufen muss (welche ja zumindest für den ersten Punkt nicht zwingend notwendig wäre)."

Du hast nur nach einer Lösung gefragt, wo man nicht die OPAL-Software kaufen muss. Natürlich setzt das Script TC voraus. Du wirst kein Script finden, was eine integrierte Verschlüsselungsfunktion wie TC hat und Dir das dann automounted.

Bei den Mainboards solltest Du dir mal welche mit BusinessChipsatz anschauen. Weiß gerade nicht mehr wie die heißen. Aber Intel hat ja mehrere Arten von Chipsätzen und die Chipsätze für den Geschäftsbereich haben vPro, etc. und dürften sowas integriert haben.

Hardwareverschlüsselung halt nicht nutzen, weil man nicht genau weiß, wie sicher es ist. Selbst die SATA-Passwort-Funktion hat Bugs und es existieren laut Internetseiten/News Exploits dafür. Zusätzlich kann der Spaß auch super gebrutforced werden, da bei einigen Mainboards die Passwortlänge stark begrenzt ist.

Zusätzlich kannst Du mit Hardwareverschlüsselung das Problem haben, dass wenn Dir ein Notebook abschmiert, Du die HDD nicht in einem neuen Notebook verwenden kannst. SATA-Passwörter werden von jedem BIOS anders abgespeichert. Ich kann da ein Lied von singen. 2,5" HDD im HP-Notebook mit Passwort versehen und kann in anderen Notebooks nicht mit dem richtigen Passwort geöffnet werden.

Sofern man sich nur vor Diebstahl schützen will, reichen die SATA-Passwörter aber.
 
TGoP schrieb:
Wie lange und wie reibungslos Truecrypt dann läuft kann heute niemand garantieren.
Zum Vergrößern anklicken....

Unter W10 läuft es ohne Probleme. Warum also überstürzen? Nutze TC bis es nicht mehr läuft und besorge dir dann verschlüsselende Hardware. Du sagst ja selbst, vor 3-4 Jahren hatte das niemand auf dem Schirm, das hat sich aber geändert und dementsprechend wird es in 3-4 weiteren Jahre besser, schnellere und günstigere Hw geben.
 
=DarkEagle= schrieb:
Du hast nur nach einer Lösung gefragt, wo man nicht die OPAL-Software kaufen muss. Natürlich setzt das Script TC voraus. Du wirst kein Script finden, was eine integrierte Verschlüsselungsfunktion wie TC hat und Dir das dann automounted.
Zum Vergrößern anklicken....
War auch nicht böse gemeint. Bin dir absolut dankbar für deine Beiträge. Das herauszufinden, also ob es eine solche Möglichkeit ohne TC, Opal & Co existiert, war das Ziel dieses Threads. Ich hatte vorher schon kräftig gesucht und nichts gefunden. Wenn die von mir angedachte Hardwarelösung, zumindest mit einem zweiten Datenträger, nicht funktioniert muss ich eh alles überdenken.

crashbandicot schrieb:
Unter W10 läuft es ohne Probleme.
Zum Vergrößern anklicken....
Gute Information. Danke dafür.
 
An deiner Stelle würde ich das so machen:

Windows 8+ mit UEFI
Bitlocker mit eDrive (Opal 2)
SSD mit eDrive/Opal 2 Unterstützung z.B. 840 EVO, 850 PRO, 850 EVO, M500

Dadurch hast du Hardware-Verschlüsselung ohne Zusatzsoftware. Einfache Handhabung und Microsoft-Support.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz