Festplatten/SSDs: Daten vor Verkauf vernichten

[Sebbi]

ich schließe mich @h00bi und @Incanus an ... bye

 

[TorenAltair]

einem sehr kompliziertem

Da steckt schon ein Irrglaube. Nur weil es für einen Menschen vielleicht kompliziert erscheint, ist es nicht per se sicherer. Die Entropie ist entscheidend.

 

[rongador]

Und das die MS die Bitlocker Schlüssel wohl weitergibt, wurde ja schon genannt, also ist diese Methode schon mal verbrannt.

Ausschließlich, wenn man sowieso so risikobereit ist und seine Recovery-Keys in die Cloud hochlädt... sollte man halt nicht machen. Microsoft kann nix weitergeben, was sie nicht haben.

 

[rollmoped]

Microsoft kann nix weitergeben, was sie nicht haben.

Stimmt, aber man kann mangels Quelltext auch nicht wissen, was Microsoft hat oder nicht hat.
Man ist dem ausgeliefert, zu glauben, was das System vorgibt zu tun oder zu unterlassen. Führt aber jetzt am Threadthema vorbei.

 

[nutrix]

Ausschließlich, wenn man sowieso so risikobereit ist und seine Recovery-Keys in die Cloud hochlädt... sollte man halt nicht machen. Microsoft kann nix weitergeben, was sie nicht haben.

Sobald Du ein MS Konto verwendest oder in einem AD bist, passiert das automatisch.

 

[AAS]

Unter Linux geht das Easy, ich mach das seit Jahren so, wenn ich die Datenträger nich physisch vernichte.

SATA-SSD:

sudo hdparm -I /dev/sdX | grep frozen
sudo systemctl suspend          # falls frozen
sudo hdparm --user-master u --security-set-pass p /dev/sdX
sudo hdparm --user-master u --security-erase p /dev/sdX

NVMe SSD:

sudo nvme format /dev/nvme0n1 --ses=1

Optional (Crypto Erase):
sudo nvme format /dev/nvme0n1 --ses=2

HDD:

sudo shred -v -n 3 /dev/sdX

Ergänzung (Gestern um 17:25)

Es ist relativ einfach gesagt:

HDDs -> mit einem richtigen Tool Wipen - also mit 1 oder 0 komplett voll schreiben.
Wenns ganz sicher sein muss min. 3x was lange dauert.

SSD -> Secure Erase nutzen um jede Zelle 1x auf 1 oder 0 zu setzen. Das geht maximal Sekunden.

So macht man das - das ist sicherer Industriestandard.

Bei Flash/HDD Speicher kann man durch komplette Verschlüsselung von Beginn an sicherstellen, dass die Daten für jeden ohne Schlüssel unbrauchbar sind.

Aber genau da liegt das Problem, kann man der Verschlüsselung zu 100% vertrauen?

Exakt, ich habe noch die Linux Befehle oben notiert.

Ergänzung (Gestern um 17:26)

Falsch. Gilt nicht, wenn man von Anfang an Bitlocker verwendet, wie es in meinem Fall der Fall ist. Zeitaufwand = 0.

Jap, vor allem wenn man eine GPO hat.

 

[rongador]

Sobald Du ein MS Konto verwendest oder in einem AD bist, passiert das automatisch.

Nutze ich nicht.

 

[AAS]

Sobald Du ein MS Konto verwendest oder in einem AD bist, passiert das automatisch.

Genau, Microsoft bricht in dein AD ein und holt sich die Daten.
/ironie off

 

[nutrix]

Nutze ich nicht.

Öhm, und wie sicherst Du aktuell Deine Windows Lizenz? Das geht nur mit Konto.

 

[rongador]

@nutrix Windows 10, lokales Konto 🤷‍♂️ Für Bitlocker muss ich da nicht eingeloggt sein. Keine Recovery Keys werden irgendwo hochgeladen.

 

[nutrix]

@nutrix Windows 10, lokales Konto.

Okay, und das Windows 10 (sogut wie) tot ist, ist Dir klar?

 

[blueGod]

Genügt es nicht sogar, die Festplatte per Bitlocker und einem sehr kompliziertem und langen Passwort zu verschlüsseln?

Kurz: klares ja, denn zum entsperren müsste man an den Schlüssel auf deinem Computer rankommen - sofern er darauf überhaupt abgelegt ist.
Ist das nicht der Fall ist das aktuell unknackbar.
Alle Exploits beziehen sich nicht auf das knacken der Verschlüsselung, sondern auf die Schlüsselbeschaffung ansich. Ist der Schlüssel sicher verwahrt oder sogar nur ausgedruckt, ist bitlocker absolut sicher und wird es auch noch sehr lange bleiben!

 

[mchawk777]

Genügt es nicht sogar, die Festplatte per Bitlocker und einem sehr kompliziertem und langen Passwort zu verschlüsseln? Natürlich nicht nur den ungenutzten Teil der Festplatte/SSD, sondern VOLLSTÄNDIG.

Kurz: Für das Meiste zumindest - verhindert jedenfalls ein einfaches Auslesen mit der gängigen Recovery-Software.

ABER: Du wirst nicht alles erwischen, da zwischen dem Betriebssystem und den eigentlichen Speicherzellen ein Controller sitzt und Du und das Betriebssystem nicht wisst, wie der so die Daten hin- und her schaufelt.

Besser Du machst wenn einen Secure Erase, sofern Deine SSD das unterstützt.
So was geht aus einigen UEFI-Umgebungen oder mit Hersteller-Tools.

 

[rongador]

@blueGod Klarste Antwort bislang, vielen Dank! Genau das habe ich auch vermutet. Viele behaupten gerne, dass Microsoft "Schlüssel herausgibt", aber das kann eben nur passieren, wenn jemand den Schlüssel in der Cloud speichert - was meiner Meinung nach in die Kategorie "Selbst schuld" fällt. Alle meine Platten sind Bitlocker-verschlüsselt, nur ich kenne das komplizierte Passwort, den Schlüssel hat gar niemand.

 

[mchawk777]

Ja, aber diese "Spare Area" hat dann ja wohl auch keine Daten, die man selbst gesichert hat, so wie ich es jetzt verstehe. Daher ist dieser Bereich doch völlig egal dann? Da liegt ja nix, was man schützen muss.

Wie ich in meinem ersten Posting angedeutet habe: Das weis niemand so genau. 😉
Wenn Du mal Daten gespeichert hast, dann könnte beispielsweise ein Wearleveling zwar die Daten umkopieren - aber den Inhalt der vorherigen Speicherzellen nicht (sofort) löschen.

Anders rum: 1 x TRIM ausführen kann eine Datenrettung in Bezug auf gelöschte Dateien so ziemlich unmöglich machen. Je nachdem, wie schnell der jeweilige Controller dann die Speicherzellen leert.

Deshalb: Konsequente Verschlüsselung von Anfang an ist das Mittel der Wahl in Bezug auf "Wir wissen nie genau, was der Controller gerade macht"-Thema. 😉

Allerdings kann eine Festplatte nicht komplett verschlüsselt sein (es sei denn, das Bios/UEFI entschlüsselt sie), weil man sonst nicht mehr davon booten kann.

Naja, die Boot-Partition muss immer unverschlüsselt sein - da tut sich weder BitLocker noch VeraCrypt etwas.

Faktisch verschlüsselt man die Platte ja, damit da keiner mehr an die Daten kommt. Insofern, wenn man der Verschlüsselung vertraut, und alle wichtigen Daten von der Verschlüsselung erfasst werden, dann kann man es so sehen, dass keiner mehr an die relevanten Daten rankommt. (Jedenfalls nicht auf absehbare Zeit)

Ist bei Bitlocker ja auch der Fall - es sei denn man gehört zu den Dummköpfen, die unbedingt Daten, die nicht zum Booten benötigt werden, in der UEFI-Boot-Partition speichern wollen.

BitLocker als solches ist sicher.
Das Problem liegt beim Microsoftkonto und der Tatsache, das hier nicht mit Zero-Knowledge-Technik die Notfallschlüssel hinterlegt werden können(!).
Pflicht ist es nur unter Windows Home mit der Laufwerksverschlüsselung. Da es hier aber um BitLocker geht und man das von der Laufwerksverschlüsselung differenzieren können sollte... 😉

 

[massaker]

"Spare Area" hat dann ja wohl auch keine Daten, die man selbst gesichert hat, so wie ich es jetzt verstehe. Daher ist dieser Bereich doch völlig egal dann? Da liegt ja nix, was man schützen muss

Du muss lediglich verstehen, dass es keine strickte Abgrenzung gibt, im Sinne: "diese Zellen sind in der User-nutzbaren area und diese da in der Spare area" - Nein, der Controller regelt das ganze dynamisch. Daher kannst Du nachträglich unter Windows mit konventionellen Tolls nicht erreichen, dass

der gesamte Speicherplatz einer SSD überschrieben wird

auch nicht den gesamten Datenbereich nachträglich verschlüsseln, daher genau DAS WAS @mchawk777 geschrieben hat ->

Konsequente Verschlüsselung von Anfang an ist das Mittel der Wahl

Oder Du machst einfach Secure Erase bei SSDs, die verkauft werden und vorher sensible Daten drauf hatten. Aus dem evtl. noch in der Spare Area vorhandenen Datensalat können sogar die Profis "Deine Urlaubsvideos/Bilder" kaum (nicht ohne erheblichen Aufwand) bis gar nicht wiederherstellen, aber wenn es um eine winzige Textdatei mit den Schlüsseln zu Deinem Bitcoin-Wallet mit sechsstelligen+ Wert geht - dann riskiert man nicht - entweder Du kannst SE durchführen und wenn nicht - Datenträger einfach physisch zerstören.

 

[StockholmSyndr.]

1. Clean
2. Trim

 

[rongador]

Okay, und das Windows 10 (sogut wie) tot ist, ist Dir klar?

Ja... und? Mein Rechner packt leider kein Windows 11. Habe auch noch Support bis Oktober. Und neuer Rechner? Naja, Stichwort: "RAM" :-) Sagt wohl alles.

Ergänzung (Heute um 08:47)

Naja, die Boot-Partition muss immer unverschlüsselt sein

Also zumindest meine Systemplatte C:, wo auch Windows installiert ist, ist per Bitlocker verschlüsselt. Ich muss bei jedem Boot auf einem blauen Screen schön mein komplexes Bitlocker-Passwort eingeben, damit überhaupt was geladen wird (also noch vor dem Start von Windows).

 

[nutrix]

Ich wollte nur darauf hinaus, daß Du mit Win 11 eh nur noch "offiziell" mit Online-Konto arbeiten kannst. Sobald Du die Lizenz auf neue Hardware übertragen möchtest (falls es kein OEM war), muß Du ebenso ein Online-Konto machen.

 

[mchawk777]

Oder Du machst einfach Secure Erase bei SSDs, die verkauft werden und vorher sensible Daten drauf hatten.

Das ist auch meine Lösung - zumindest bei meinem stationären Desktop.
Schwachstelle: Wenn die SSD kaputt geht und ich kein Secure Erase mehr durchführen könnte.
Allerdings wäre dann ein Verkauf ausgeschlossen und eine Bohrmaschine schnell zur Hand. 😉

Vorteil in diesem Szenario auf Verschlüsselung zu verzichten: Bei einem Backup-Recover funktioniert die "Delta-Wiederherstellung" besser bzw. sie würde überhaupt erst dann funktionieren.

Es bleibt halt bei einer persönlichen Gefahrenabwägung.
Ich würde auf jeden Fall alle Mobilgeräte aufgrund von Diebstahlgefahr verschlüsseln wollen.
...und alle Geräte mit fest verlöteter SSD.

Also zumindest meine Systemplatte C

Volumen C (mit Windows) <> UEFI-Boot-Partition.
Letztendlich ging es darum. 😉

Ich muss bei jedem Boot auf einem blauen Screen schön mein komplexes Bitlocker-Passwort eingeben, damit überhaupt was geladen wird (also noch vor dem Start von Windows).

Das entfällt bei Systemen mit TPM 2.0 - da wird das Passwort eben dort abgelegt.
Allerdings ist hier die Sicherung des Notfall-Schlüssels umso wichtiger.