Notebook-SSD absichern - ATA-Passwort oder Truecrypt?

[ThommyDD]

Hallo zusammen,

um das Thema Absicherung einer Notebook-Festplatte/-SSD drehen sich ja schon etliche Beiträge hier, dennoch bin ich noch nicht zu einem befriedigenden Ergebnis gekommen.

Ich möchte in mein Lenovo-Notebook (bisher HDD mit Truecrypt) eine SSD einbauen (Samsung 470) und auch diese absichern. Darunter verstehe ich, dass erstens ein Dieb oder "Finder" nicht ohne unverhältnismäßig hohen zeitlichen und finanziellen Aufwand an meine Daten herankommt und zweitens auch niemand unbemerkt irgendetwas an meinem System verändern kann (Schutz gegen Bootkits usw.). Sicherheit gegen geheimdienstliche Aktivitäten nach Diebstahl des Geräts brauche ich nicht.

Ich hätte einerseits die Möglichkeit, die SSD wie gehabt komplett mit Truecrypt zu verschlüsseln, was aber einige Nachteile bezüglich Geschwindigkeit, Lebensdauer und verfügbarem Speicherplatz (nötiger unpartitionierter Bereich fürs Wear Levelling) mit sich bringt.

Deshalb frage ich mich, ob gegen "Wald- und Wiesen-Risiken" nicht einfach das ATA-Passwort des BIOS genügt? Wie sicher ist dieses bei einer SSD? Kann das Passwort geknackt werden? Kann man ohne Kenntnis des Passworts die SSD wieder entsperren, mit oder ohne Datenverlust?

Dank und Grüße,
Thomas

 

[PiPaPa]

Der Dieb, sofern er das NB nicht sofort versetzt, und sich tatsächlich für deine Daten interessieren würde, könnte auch einfach deine SSD ausbauen, woanders rein, und da die Daten auslesen bei nur setzen des ATA PW im Bios

 

[zYannickz]

Genau, das PW im Bios bringt dir gar keinen schutz, wenn es jemand auf deine Daten abgesehen hat.
Entweder Platte rausbauen oder Bios resetten, und der Schutz ist weg.

 

[KaeTuuN]

Darunter verstehe ich, dass erstens ein Dieb oder "Finder" nicht ohne unverhältnismäßig hohen zeitlichen und finanziellen Aufwand an meine Daten herankommt

Da sind wir dann automatisch bei TrueCrypt.

Mfg Kae

 

[paxtn]

Da schließe ich mich meinen Vorpostern an. BIOS-Passwort reicht nicht aus.

Außerdem kann ich dich beruhigen, TrueCrypt wird sich kaum auf die Geschwindigkeit auswirken. Im Desktop-PC habe ich schon seit über einem Jahr eine SSD verbaut und diese mit TrueCrypt verschlüsselt.
Auch im Laptop hatte ich eine SSD mal eine zeitlang verbaut und mit TrueCrypt verschlüsselt. Und ich hatte bisher keine Performance-Probleme.
Du solltest nur darauf achten, dass du als Verschlüsselungsalgorithmus AES nimmst.

 

[blablub1212]

wenn man truecrypt empfiehlt, sollte man auch noch das hier einbringen: http://www.truecrypt.org/docs/?s=wear-leveling

 

[ryan_blackdrago]

Truecrypt VS Passwort : Festplatte ausgebaut, woanders eingesetzt + mit 'Spezialsoftware' bearbeitet => ATA-Passwort hilft hier nix ; daher Truecrypt verwenden (hier gibt's aber auch schon ein Bootkit : http://winfuture.de/news,48758.html

Geschwindigkeit : Bei der TC-Verschlüsselung kann ein Performance-Test gemacht werden. Läuft meist auf AES raus.

Lebensdauer : Es gibt eine Programmfunktion, mit der ungenutzter Speicherplatz von TC überschrieben wird. Diese Option deaktivieren. Damit sollte die Lebensdauer der SSd auch wieder passen.

 

[7oby]

Ich denke hier gibt es ein Mißverständnis: BIOS Passwort ist NICHT gleich ATA Passwort!

Setzt man das ATA Passwort, so kannst Du die SSD einbauen wo Du willst: Du wirst sie niemals lesen können. Das ATA Passwort kann man meist in Notebooks setzen - bei Desktops bin ich mir nicht sicher ob das in jedem BIOS geht. Ist etwas kompliziert, weil man User und Masterpasswort setzen sollte, sonst kann man mit dem Generalschlüssel Masterpasswort des Herstellers die Platte weiterhin lesen.

Lektüre zu dem Thema:
http://www.heise.de/ct/artikel/Baerendienst-289866.html
http://www.bios-passwort.de/ata_hdd_passwort.html

Oder auch Wikipedia. Bei er intel 320 SSD fliesst das Passwort sogar zusätzlich in den Berechnung des AES Schlüssels zur Verschlüsselung der gespeicherten Daten in den Flashbausteinen ein:
http://www.anandtech.com/show/4244/intel-ssd-320-review/2
Bei Sandforce (OCZ) gibt's zwar auch das ATA Passwort und eine AES Verschlüsselung der Daten, aber die sind dort unabhängig. D.h. wenn man kein Secure Erase macht (damit wird ein neuer AES Key generiert) gilt z.B. noch die Verschlüsselung ab Werk.

Bei Samsung weiß ich nicht. Aber ATA Passwort geht auf jeden Fall. Danach kommst auch mit der SSD im USB Gehäuse nicht an die Daten.

 

[ThommyDD]

Danke erst einmal für die Rückmeldungen.

@ 7oby: So, wie du es schreibst, kannte ich es bisher auch. Nach meinem Kenntnisstand kommt man mit gesetztem ATA-Passwort auch an einem anderen Rechner nicht an die Daten heran. Bei Festplatten soll es sogar so sein, dass das Passwort nicht auf der Platine, sondern direkt auf der Magnetscheibe gespeichert wird. Mich würde nun halt interessieren, wie das bei der SSD ist, ob das Passwort gegen Zurücksetzen gesichert ist (Datenverlust ja/nein, mir wäre Rücksetzbarkeit mit Verlust aller Daten am liebsten) und was mit gesetztem Passwort alles unterbunden wird (Auslesen/Formatieren/Schreiben im Bootsektor).

Wenn Truecrypt wirklich kein Problem darstellt, würde ich damit auf jeden Fall ruhiger schlafen. Das ATA-Passwort würde dann zusätzlich noch den Bootsektor schützen (@ ryan_blackdrago: Schutz vor Stoned?), wäre aber neben BIOS-Userpasswort, Truecrypt-Passwort und Windows-Benutzerkontenpasswort dann das vierte Passwort, welches ich beim Systemstart eingeben müsste.

Grüße,
Thomas

 

[ThommyDD]

Sorry für Doppelpost, aber nach zwei Tagen hat es wohl keinen Sinn, den vorherigen Beitrag zu editieren.

Ich habe die beiden Partitionen der SSD jetzt verschlüsselt, jedoch noch etwas Platz unpartitioniert gelassen, um der SSD ungenutzten Speicher zur Verfügung zu stellen. Nun das Problem: Besteht das Risiko, dass jemand in diesen unpartitionierten Bereich Schadcode einspielt, bspw. erst eine weitere Partition erstellt und dort etwas ablegt, was dann automatisch beim nächsten Bootvorgang aktiviert wird?

 

[7oby]

Ja, die theoretische Möglichkeit gibt es: Neue Partition anlegen, Bootsektor schreiben, Bootloader via z.B. GRUB dort ablegen und dann Chainloading o.ä. der ursprünglichen Partition.

Damit hättest Dir dann ein Schlufloch geschaffen. Könntest z.B. einen Hypervisor starten und das Betriebssystem dann virtuell starten lassen und dadurch dann Zugriff auf die Daten erlagen. Die Partitionen sind zwar verschlüsselt, aber ohne Kenntnis des Passworts natürlich auch für den Hypervisor nicht lesbar. Aber irgendwann wird der Benutzer sein Passwort für die Daten eingeben und damit wären dann die Daten auch für den Hypervisor lesbar (wenn er nicht gleich einen modifizierten Truecrypt Bootloader startet [ist ja Open Source - daher ist es nicht schwierig einen Truecrypt Bootloader zu modifizieren], der das Passwort beim Benutzer nicht nur abfragt, sondern gleich per e-Mail o.ä. weiterschickt.

Aber warum sollte sich jemand die Mühe machen? Da muss man ja schon terroristischen Netzwerken angehören.

Ein 08/15 Virus wird mit Deinen verschlüsselten Platten nicht viel anfangen können. Im Moment.

 

[ThommyDD]

Gut, danke. Dann werde ich mir überlegen müssen, diesen Bereich irgendwann doch noch mit zu verschlüsseln. Vorerst werde ich es wohl so lassen. Oder ich setze doch noch das ATA-Passwort, doch so ganz sicher, damit keinen Schaden anzurichten, bin ich mir leider immer noch nicht.

Grüße,
Thomas

 

[enteon]

Mich würde nun halt interessieren, wie das bei der SSD ist, ob das Passwort gegen Zurücksetzen gesichert ist (Datenverlust ja/nein, mir wäre Rücksetzbarkeit mit Verlust aller Daten am liebsten) und was mit gesetztem Passwort alles unterbunden wird (Auslesen/Formatieren/Schreiben im Bootsektor).

Passwort eingeben -> Secure erase machen lassen -> schlüssel weg -> daten weg

Ohne passwort meldet sich die SSD nichtmal als gerät.

Wenn das BIOS mal nicht mit dem ATA-passwort umgehen kann (sprich nicht fragt) kann man mit hdparm unlocken (bis zum neustart) und auch das passwort (user sowie master!) setzen/entfernen. Es sei denn das bios lockt den zugriff auf das ATA-passwort, was es eigentlich immer tun sollte sobald keines gesetzt ist, aber oft nicht tut.

Der einzige nachteil ist, dass du damit wohl nicht gegen die großen bösen buben à la BND/CIA bestehst, da man davon ausgehen kann, dass es gewollt oder ungewollt backdoors gibt. Aber solltest du nicht mehr als 2 terroranschläge planen dürfte sich keine dieser instanzen extrem genug für deine daten interessieren.

Die unausgereiften controller der SSDs haben aber manchmal probleme mit dem ATA-passwort, mach also ein backup. Aber das hat man ja sowieso immer, gell
Leider mögen aber eben auch gerade SSDs keine software-verschlüsselung. Vor allem die mit sandforce nicht.

 

[ThommyDD]

Danke enteon. Ich habe keine SandForce, sondern eine Samsung. Von dieser habe ich überhaupt noch keine Probleme im Zusammenhang mit HDPs gehört, nur stellt sich die Frage, ob es keine gibt oder sie nur nicht publik geworden sind.

Backup habe ich natürlich, keine Frage. :-) So kann ich mich zurücklehnen und ruhigen Gewissens sagen: Es gibt keine wirklichen Katastrophen am PC, so lange man seine Daten extern gesichert hat.

Grüße,
Thomas