Integrierte Festplattenverschlüsselung beim Fujitsu Lifebook auch mit neuem OS?

Wir haben in der Firma bestimmte Sicherheitsvorgaben, nach denen Laptoplaufwerke verschlüsselt werden müssen.
Normalerweise wird das mit TrueCrypt gemacht und funktioniert auch prima.

Das neue Gerät für jemanden ist ein Fujitsu Lifebook (Seriennr: DSDJ007372). Google sagt mir, dass es angeblich über ein TLM-Modul die Möglichkeit zur Verschlüsselung von Fujitsu gäbe (Full Disk Encryption genannt).
Falls es da vorinstallierte Software gibt, ist die vermutlich weg, da die Kollegen alle neuen Geräte mit Win7 x64 bespielen (Win 8 wird also runtergehauen).
Im BIOS fand ich bisher nur die Möglichkeit zum Setzen eines Passwortes für Bios und Festplatte, was aber nicht das gleiche ist wie eine Verschlüsselung. Angeblich funktioniert das über das sog. TLM-Modul. Ich kenne mich mit den Geräten leider überhaupt nicht aus.
Der Anwender möchte halt wie bei seinem alten HP so Sachen wie den Fingerabdruckscanner verwenden um das Gerät zu entschlüsseln.
Bedauerlicherweise finde ich nirgendwo verlässliche Informationen, nur Auflistungen der Feautures in Anleitungen. Auch der Support war nicht so extrem hilfreich, zwei Berater haben einander widersprochen und nicht konkret nennen können, wie man das Gerät denn verschlüsseln / sichern würde.
Kennt sich von euch jemand da aus?

Und was macht eigentlich den großen Unterschied zwischen einem Festplatten-pw und einer Verschlüsselung aus?

Meinst Du das TPM Modul?

Genau. Es hieß, damit könne das Lifebook alles selbständig und man brauche sich nicht mit Drittanbietersoftware wie TrueCrypt auszustatten.

Das TPM verschlüsselt keine Festplatte, verbindet nur Schlüssel mit einem im Modul hinterlegten Schlüssel.

Es kann sein, daß das Notebook selbst bereits eine verschlüsselte Festplatte hat, wie z.B. häufig bei SSD's anzutreffen ist. Dann wäre ein Festplattenkennwort im BIOS okay.

Ansonsten kommt man um eine eigene FDE Software (z.B. Bitlocker) nicht herum. Das unterstützt auch ein TPM. Truecrypt nicht.

Hmhm... eben ein zweiter Support-Mitarbeiter dem ersten widersprochen und gesagt, die Fujitsu Workplace Protect Software könne sowohl die Platte verschlüsseln als auch Fingerabdruck nutzen etc.
Ich werde das jetzt gleich mal selbst testen. Fragt sich nur, wie und wie vollständig die Software was verschlüsselt.

Habe das Produktdatenblatt von Fujitsu Workplace Protect mal überflogen. Das ist ebenfalls eine Software angelehnt an Bitlocker bzw. Truecrypt.

Es unterstützt auch ein TPM, kann aber, so wie ich sehe, lediglich virtuelle Laufwerke verschlüsseln. Je nachdem, wie das Betriebssystem aufgesetzt ist, nämlich in einem virtuellen Laufwerk, ist das in Ordnung.

Das OS wird von den Kollegen üblicherweise einfach auf die C-Platte gehauen, ohne irgendeine Partitionierung vorzunehmen. Lässt sich das Laufwerk nachträglich noch in ein virtuelles wandeln?

Das TPM Modul speichert Passwörter wie zum Beispiel das ATA Passwort für die Festplatte. Das ATA Passwort kann wiederum dazu dienen die Festplatte per Hardware zu verschlüsseln. Sinnvollerweise gibt das TPM Modul das ATA Passwort jedoch nicht heraus, bevor vor dem Booten (!) ein Passwort eingegeben oder eine Smartcard* gesteckt wurde. Es gibt zwar auch die Möglichkeit, dass das ATA Passwort beim Booten ohne Bootpasswort freigegeben wird, damit ist die Verschlüsselung jedoch komplett sinnlos (wer das Gerät hat hat die Daten).
Hardwareverschlüsselung funktioniert jedoch nur wenn das Laufwerk auch verschlüsseln kann (Überraschung) und arbeitet für alle Softwareschichten vollkommen transparent (für Software gibt es keinen Unterschied zwischen un- und verschlüsselten Laufwerken). Vorteil ist weiterhin, dass die Hardwareverschlüsselung von HDDs und SSDs äußerst Energiesparend ist. Bei vielen SSDs lässt sich messtechnisch kein Mehrverbrauch bei aktiver Verschlüsselung feststellen.
Der ganze Spaß ist richtig angewandt sehr sicher, TPM Bootpasswörter sperren den gesamten Rechner zuverlässig und auch das ausgebaute Laufwerk ist sinnvoll kaum knackbar. Nachteil: Vergisst man das TPM Bootpasswort hat man einen Haufen unbrauchbaren Schrott vor sich.



Truecrypt und Bitlocker verschlüsseln (für das Betriebssystem transparent) nur die Nutzdaten des Laufwerks. Bitlocker bietet soweit ich weiß die Nutzung des TPM Moduls an. Die Verschlüsselung erfolgt über die CPU in Software was den Energieverbrauch des Systems etwas steigert. Ist das Passwort weg lässt sich diese Lösung meist leicht entfernen und die Hardware weiter nutzen (was auch Diebe freut)

*Nicht immer verfügbar, Fingerabdruck geht an der Stelle nicht (kenne ich zumindest nicht, zudem sind wirklich sensible Daten über Fingerabdrücke nicht ausreichend gesichert!)

@TE Leider sehe ich nicht, daß die Fujitsu Software die FDE kann. Sie schützt lediglich Benutzerdaten und ist für mehrere Benutzer ausgelegt

@Piktogramm
a) Das TPM speichert keine Passwörter im eigentlichen Sinn, es stellt mit dem Trusted Key im TPM Paßwörter hardwareabhängig zur Verfügung.
Vergibst du z.B ein ATA Paßwort, dann wird das Paßwort mit dem TPM-Schlüsseöl verschlüsselt und im Controller der Platte/SSD hinterlegt.
Danach benötigt man zum Zugriff auf die Platte immer das TPM , um das Paßwort zu entschlüsseln.
b) Die Hardware-Verschlüsselung von Festplatten und SSDs ist nicht änderbar, d.h diese Laufwerke sind immer verschlüsselt.

@miac

a)
Soweit ich es im Kopf habe wird das ATA Passwort im TPM verschlüsselt gespeichert. Das ATA Passwort dient zudem dazu den eigentlichen zum Verschlüsseln genutzten Schlüssel auf dem Laufwerk zu verschlüsseln. Das ATA Passwort wird seitens des TPMs an das Laufwerk übergeben, wenn die Bedingungen hierzu erfüllt sind (meist Smartcard oder Bootpasswort eingegeben). Das ATA Passwort selbst wird dabei nicht auf dem Laufwerk gespeichert (maximal ein Hash davon!*).
Zumindest prinzipiell nicht, es gibt auch Mögliche Umsetzungen, wo das TPM Passwörter auf lokalen Laufwerken ablegt, die Option habe ich auf Notebooks jedoch noch nicht gefunden.

b) Die Verschlüsselung ist natürlich veränderbar. Jedes Secure Erease ändert den Schlüssel und damit die Verschlüsselung . Ansonsten ja, Laufwerke die Verschlüsselung beherrschen nehmen ihren internen Schlüssel und wenden diesen per AES auf alle Daten an, auch wenn die Verschlüsselungsfunktion nicht genutzt wird! In meinen Augen würde ich das aber nicht als Verschlüsselung sondern nur als eine (reichlich umständlichen) Kodierung verstehen, da für die Verschlüsselung schlicht das Geheimnis fehlt.
Fraglich ob diese Info dem TE hilft


*Wie genau die Laufwerke intern ihre Schlüssel handhaben weiß ich nicht. Jedoch wird auf keinen Fall das ATA Passwort auf dem Laufwerk gespeichert!

zu a)
Der Schlüssel bzw. das verschlüsselte ATA Paßwort im Controller des Laufwerks wird vom TPM entschlüsselt und dann mit der Benutzereingabe, die ebenfalls durch das TPM geschickt wird verglichen.

zu b)
Der Verschlüsselungsschlüssel eines hardwareverschlüsselten Laufwerkes (durch den Controller) wurde per Schlüsselgenerator vom Hersteller vergeben.
Das ATA Paßwort setzt einen Zugriffsschlüssel oben drauf. Änderst Du das ATA Paßwort, wird das Laufwerk nicht neu verschlüsselt. Das ist trotzdem sicher (außer NSA und Co), da der verwendete Schlüssel nicht bekannt ist.

a)
Das ATA Passwort wird auf keinem Fall auf dem Laufwerk gespeichert! Ein ATA Passwort welches auf dem Laufwerk gespeichert ist wäre auslesbar und damit wäre jede weitere Verschlüsselung hinfällig. Maximal wird der Hash des Passwortes auf dem Laufwerk hinterlegt!
Das TPM hat auch keinen direkten Zugriff auf den Controller bzw. Speicherbereiche die dem Controller zum Hinterlegen von Schlüsseln oder Firmware dienen! Denn hätte das TPM solche Zugriffe hätten sie auch Dritte und könnten damit die Laufwerksverschlüsselung angreifen! Das wäre Käse!
Das TPM Modul enthält das verschlüsselte ATA Passwort und gibt dieses ans Laufwerk und das Laufwerk überprüft das ATA Passwort über den Hash geprüft und bei Erfolg das Laufwerk freigegeben. Vor der Freigabe gibt es KEINEN externe Zugriff auf Speicherbereiche des Laufwerks. Auch fürs TPM nicht!


b)
Nedu, der Hauptsschlüssel der ab Werk vergeben wird lässt sich per Secure Erase beseitigen (es wird ein neuer generiert). Es gibt von kritischen Leuten zwar Verschwörungstheorien, dass es versteckte Schlüssel gibt, nachweisen konnte das jedoch noch niemand. Das ändern des ATA Passwortes ändert den Hauptschlüssel nicht, da hast du recht. Ein Secure Erase ist daher vor der Nutzung von Hardwareverschlüsslung zu empfehlen.