AES + TCG Pyrite - Wie Verschlüsselung aktivieren (Solidigm P44 Pro)?

[hugo1337]

Hallo zusammen,

ich habe ein Solidigm P44 Pro in meinem Thinkpad T14s G3 AMD.
Laut Datenblatt wird AES + TCG Pyrite 2.01 unterstützt.

Ich bin mir nun nicht sicher wie ich die Verschlüsselung aktiviere und ob meine Daten überhaupt richtig verschlüsselt (d.h. ohne Passwort nicht erreichbar) werden?

Mein Ziel ist es, meine Daten bei einem Diebstahl oder Verlust des Laptops zu sichern.

Danke!

Edit:
Laut dem sedutil unter Linux scheint allerdings auch OPAL 2 unterstützt zu sein?!?!

sudo sedutil-cli --scan
Scanning for Opal compliant disks
/dev/nvme0 2 SOLIDIGM SSDPFKKxxxx 001C
No more disks present ending scan

 

[Tornhoof]

Also Pyrite hat erstmal nichts mit Verschlüsselung zu tun, sondern nur dass es konzeptionell ein System zur Begrenzung des Zugriffs gibt.

Les dir mal https://wiki.archlinux.org/title/Self-encrypting_drives durch, da gibts dann auch Anleitung wenn du damit weitermachen willst.

Ehrliche Antwort?
Lass es sein mit Opal, nimm den von deinem OS vorgeschlagenen Weg für Verschlüsselung.

 

[hugo1337]

Danke! So hatte ich es auch verstanden. D.h. eine Verschlüsselung Hardwareseitig ist erst mit OPAL möglich.
Das scheint ja lustigerweise laut sedutil bei meiner NVME vorhanden zu sein.

Derzeit nutze ich LUKS + LVM.. hierbei gibt es aber teilweise starke ordentliche Verluste bei der Performance. Ist vor allem bei den neuen schnellen NVME's gut messbar. Auch an dem Akku des Laptops dürfte LUKS etwas mehr ziehen. Sonst ist LUKS natürlich top.

Das sedutil für OPAL scheint jetzt aber auch nicht komplizierter als LUKS zu sein.

 

[Tornhoof]

Dir muss halt bewusst sein, dass überall SED (Self-Encrypting Disks) eigentlich abgeschaltet werden, weil die Hersteller bei der Implementierung schlampen und damit die Sicherheit reduzieren.

 

[hugo1337]

Jein - ich konnte jetzt keine halbwegs relevanten Vorfälle nach 2020 finden.
Auch der eine verlinkte "Security Flaw" im Arch WIki ist aus 2018.

Zudem kommt, dass ich meine Daten jetzt nicht vor Polizei oder Behörde sichern möchte sondern vor dem normalen User der ggf. mein Gerät findet oder stiehlt.

 

[Tornhoof]

Jo, kann gut sein.
Erwarte aber keine Performancewunder, die Cryptochips da drin sind nicht für die volle Geschwindigkeit der nVME ssds ausgelegt.
Siehe u.A. https://easychair.org/publications/paper/GHB6 für ne Analyse.

 

[hugo1337]

In deinem link with software based encryption verglichen. Also z.B. LUKS?
Die HW encryption (OPAL) findet eigtl. immer statt. Nur quasi das "verschlüsselungs Passwort" wird dabei noch nicht gesetzt und erst auf User Anforderung gemacht.
D.h. die NVME ist eigtl. immer hardwareseitig am verschlüssen.
Das setzten des Passwortes erzeugt dann keine weiteren Performance Einbußen.
Die Software-Encryption eben schon.

 

[Tornhoof]

Eh uhm, ich brauch Mittagspause. Vergiss was ich vorher geschrieben habe, hab da irgendwo Schrott gelesen.

 

[hugo1337]

Kein Ding

Jetzt wäre noch interessant ob man dem sedutil glauben kann und ich wirklich OPAL2 Unterstützung auf det NVME habe obwohl der Hersteller es nicht angibt.

 

[Tornhoof]

Wenns dir nur um Diebstahl geht, würde ich nach der Verschlüsselung die Platte mit dd in eine Datei auf einem externen medium schreiben, bzw zufällige Abschnitte (zb 1000 zufällige 1mb teile), dann die Verteilung der Bytes der Blöcke berechnen. Wenn die Platte sauber verschlüsselt wäre, dann wären alle Bytes etwa gleichvereilt. Wenn das zu kompliziert ist, dann einfach mit lz oder so den Block komprimieren, er darf dann nicht kleiner werden.

 

[hugo1337]

Ich glaube ich bleibe vielleicht erstmal noch bei LUKS und dm-crypt.
Vor kurzem wurde OPAL support zu cryptsetup/dm-crypt hinzugefügt.

Vielleicht ergibt sich hieraus dann eine sichere + schnelle Kombination.
Noch gibt es aber nicht wirklich vielen Informationen dazu.

In jedem Fall ist interessant, dass mein Solidigm P44 Pro OPAL 2.0 unterstützt obwohl der Hersteller es nicht angibt.