HPA der Festplatte (Host protected area)

[JonnyJon]

Hallo,
ich habe einige fragen zur HPA (host protected area).
Allein schon per google finde ich sehr wenig, da den Bereich wohl wenige kennen bzw sich wenige damit auseinandersetzen,
hoffe jedoch das ich hier vllt jemanden finde der sich damit auskennt.

Ich wollte meine komplette SSD mit Veracrypt verschlüsseln, samt der HPA. Damit habe ich mir jedoch schön den kompletten boot/bcd zerschossen und meine SSD unbootable gemacht.

Nun würde ich gerne wissen, wie ich den HPA Bereich löschen kann bzw so manipulieren kann, das dort NICHTS mehr geschrieben wird bzw er komplett leer bleibt.
Ich meine was bringt mir die verschlüsselung meiner SSD, wenn im endeffekt sowieso sachen im HPA gefunden werden können.

Oder wäre es möglich die gesamte SSD samt HPA zu crypten und meine kompletten Bootloader etc. vom USB stick zu laden? Sprich ich brauch dann zum booten den USB stick im PC, jedoch ist dort nur das Bootzeugs drauf und es wird NICHTS anderes drauf geschrieben.

Das Problem vorher war wohl, das WIndows oder die SSD (keine ahnung^^) selber keinen Zugriff mehr auf den Bootloader hatte, da halt auch der verschlüsselt war.


Hoffe ihr versteht wie ich das meine und könnt mir evtl. helfen.

Ich habe schon gelesen, das man den HPA unter umständen und viel aufwand auch formatieren kann, ich möchte ihn aber wie gesagt so hinbekommen, das er für immer leer bleibt bzw keine versteckten Dateien darauf gespeichert werden können.

Laut Herstellern dient dieser nur für Systemwiederherstellungen etc. Wikipedia behauptet aber was anderes, was auch mehr Sinn macht, ansonsten wäre die "Encrypt HPA" funktion von Truecrypt und Veracrypt ja unnötig.


"Für Strafverfolgungsbehörden, Ermittler und Forensik-Experten ist die Erkennung und Auswertung von Host Protected Areas (HPA) sehr interessant.

Zum einen können vom Beschuldigten mittels HPA bewusst Bereiche der Festplatte ausgeblendet und Daten versteckt worden sein. Zum anderen können sich in den "versteckten" Bereichen der Festplatte verwertbare Spuren und Beweise finden lassen, wenn dem Beschuldigten HPA nicht bekannt gewesen ist oder er HPA aus technischen Gründen nicht modifizieren kann."

Quelle: Wikipedia


Hoffe ihr könnt mir helfen,

lg

 

[HominiLupus]

WIndows hat immer Zugriff auf den Bootloader. Der Bootloader ist nicht in der HPA.

Bitte lesen: https://de.wikipedia.org/wiki/Host_Protected_Area#HPA-relevante_ATA-Befehle da steht alles drin was du brauchst um deine Festplatte zu verschlüsseln. HPA ist für dich in den meisten Fällen irrelevant.

Ein Massenspeicher hat aber ein eigenes OS/Firmware für die Festplatte selber und das ist auch auf der Platte abgespeichert. Da können sich ggf. auch Datenspuren befinden. Da kommst du aber noch weniger ran (ausser via JTAG normalerweise nicht) und vor allem kannst du da nix verschlüsseln oder sonstwie verändern.

 

[JonnyJon]

Hey, danke für die schnelle Antwort.
Den Artikel habe ich mir schon durchgelesen, daher habe ich auch mein Zitat.

Woran kann es dann gelegen haben, das ich meine kompletten Bootsettings zerschossen habe?
Ich habe viele Artikel/Forenbeiträge gelesen das es anderen Usern auch so erging als sie die HPA versucht haben zu verschlüsseln.
"What's on the HPA depends on what your system's BIOS and/or other software decides to put on it. Most software can't see or touch the HPA, but some software can. Whether or not it would render your OS unbootable depends on the OS, and the BIOS."


Was evtl. noch relevant ist, ist die Tatsache das ich nach der Verschlüsselung normal booten konnte, einen Tag später jedoch das problem auftrat.
Ich konnte nicht mal mehr Windows neuinstallieren oder die Festplatte mit z.B dban shreddern, da
er nicht mal mehr USB sticks booten wollte.


Weißt du ungefähr was auf in der Hpa abgespeichert wird?


lg

 

[smuper]

Ich konnte nicht mal mehr Windows neuinstallieren oder die Festplatte mit z.B dban shreddern, da
er nicht mal mehr USB sticks booten wollte.

Die Logik sagt dir doch schon, dass hier ein anderes Problem vorliegt. Das Booten von anderen Medien funktioniert vollkommen autark.

Ergänzung (13. August 2017)

Weißt du ungefähr was auf in der Hpa abgespeichert wird?

https://en.wikipedia.org/wiki/Host_protected_area#Use


Bei einem Rechner Marke Eigenbau? Eigentlich nichts. Deshalb verstehe ich auch den Sinn einer solchen Verschlüsselung nicht.

 

[HominiLupus]

HPA ist einfach ein geschützter Bereich. Da ist nix besonderes dran. Abgelegt wird dort was auch immer die Software/Hersteller/Admin der den Bereich angelegt hat haben will. Realistisch machen das nur FertigPCs (Dell, HP, Apple, Lenovo, etc.) weil ein normaler Mainboardhersteller niemals sicher sein kann daß er so eine HPA überhaupt bekommt: es ist nicht sicher ob der Massenspeicher so was unterstützt. Und die HPA muss ja vor dem Aufspielen des Betriebssystems schon erstellt werden.

Mit den Infos vom Wikipedia-Link kannst du selbst feststellen ob eine HPA überhaupt vorliegt. Wenn keine vorliegt muss nix verschlüsselt werden. Wenn eine vorliegt hängt es vom Inhalt ab ob verschlüsselt werden muss oder nicht.

 

[JonnyJon]

Hm, also als ich das Problem gegoogled habe kam überall das es am Bootloader liegen muss.

Wenn ich Windows neuinstallieren wollte, kam auch Fehlermeldung boot/bcd missing file oder sowas.

Kann mir jemand sagen wo wohl das Problem lag?

Ich denke mal dadurch das die komplette Festplatte verschlüsselt war und iwas kaputt war konnte halt nichts auf die Festplatte zugreifen bzw "durch die verschlüsselung" kommen

Edit: @ Homni.

Danke dir, werde dann mal schauen

 

[smuper]

Mit ATATool kannst du dir den HPA Status unter Windows anzeigen lassen.

https://en.wikipedia.org/wiki/ATATool

Kann mir jemand sagen wo wohl das Problem lag?

Boot Stick mal rein, alle anderen HDD/SSD abklemmen oder richtig mit dem manuellen Boot Selektor ausgewählt? Das muss funktionieren.

Ich denke mal dadurch das die komplette Festplatte verschlüsselt war und iwas kaputt war konnte halt nichts auf die Festplatte zugreifen bzw "durch die verschlüsselung" kommen

Die Verschlüsselung kann dich aber nicht davon abhalten von einem Boot Stick zu booten und die verschlüsselte Festplatte einfach zu überschreiben.

 

[JonnyJon]

Ja, ist Marke Eigenbau.

Hmm, ich glaub dir auf jeden Fall, wundert mich nur das Truecrypt und Veracrypt diese funktion anbieten und bei Wiki steht das es sein KANN (nicht muss) das dort relevante Daten liegen.

Bin eher der Typ "paranoid" und wenn ich meine Festplatte verschlüsseln will, dann natürlich auch so, das niemand an iwas rankommt.

Werde mir mal ATATool anschauen,

vielen dank.

 

[I'm unknown]

Das gefährlichste überhaupt ist ohne dem erforderlichen Sachkenntnissen aufgrund Paranoia Einstellungen zu ändern, von denen man denkt, dass es sicherer wird. Im besten Fall wird es nur unkomfortabel, im schlimmsten Fall zerstört man was (Datenverlust) oder reißt unbemerkt Sicherheitslücken auf...

 

[smuper]

Ja, ist Marke Eigenbau.

​Dann ist da auch nichts. Schon lange keine Schattenkopien deiner Daten.

 

[JonnyJon]

Danke euch, habt mir das auf jeden Fall gut erklärt.

Eine Frage noch:

Ich habe ein Programm namens "OsForensic" laufen lassen und er meinte auch das keine HPA bei mir existieren.

Ich will aber auf nummer sicher gehen und nochmal Linux installieren und mit Hdparm schauen.

Wenn ich unter Linux keine HPA finde, dann gibts unter Windows auch keine oder? Also die HPA ist nicht Betriebssystemabhängig?

lg

 

[Holt]

Das keine HPA existiert ist der Normalfall und eigentlich fällt mir nur die BIOS Backup Funktion einiger alter Gigabyte Boards ein die eine HPA angelegt hat um dort eine Kopie des BIOS abzulegen. Sonst machen die normalen Mainboards sowas eigentlich nichts und wenn, dann steht dort eben eine Kopie des BIOS oder deren Einstellungen drin, also nichts was besonders relevant wäre.

Wenn Du unter Linux keine HPA findest, ist auch unter Windows keine vorhanden, denn die HPA ist eine Eigenschaft der Platte und nicht vom Betriebssystem abhängig.

 

[JonnyJon]

Hab das P7P55D von Asus, ist auch älter, aber fällt wohl nicht darunter oder?

 

[Holt]

Nein, ASUS ist ja nicht Gigabyte und eine HPA hat die SSD ja auch nicht.

 

[JonnyJon]

Soo, hab grad per Hdparm auf Linux noch mal geschaut.

Per " sudo hdparm -N /dev/sda" kam folgendes:

976773168/976773168, HPA is disabled


Das heißt dann wohl bei mir existier keine Host protected area und ich hab mir völlig umsonst nen Kopf gemacht?

 

[Holt]

Genau, es gibt keine HPA und Du machst Dir völlig sinnlos Gedanken darum. Auch kann man die Partition mit dem Bootloader nicht per SW verschlüsseln, dafür steht der ja extra in der separaten Partition, denn der Bootloader wird vom BIOS/UEFI geladen und gestartet, dies geht nur wenn der unverschlüsselt ist. Dann wird auch die SW zum Entschlüsseln geladen und damit kann dann die eigentliche Systempartition von Windows entschlüsselt und somit Windows geladen werden. Auf der Partition des Bootloaders stehen auch keine sensiblen Daten die man verschlüsseln müsste.

Außerdem solltest Du bedenken das Verschlüsselung nicht davor schützt ausspioniert zu werden, dafür wird Schadsoftware verwendet (Stichwort Staatstrojaner) und auch nicht vor Ransomware die einem die Daten dann ungewollt nochmal verschlüsselt. Sie schützt nur vor dem Auslesen der Daten durch jemanden der die Platte physikalisch in Besitz bekommt, also wenn man einen Garantiefall hat oder der Rechner mit der Platte gestohlen wird. Der Einzige den die Verschlüsselung am Auslesen der Daten hindert ist aber nicht selten der Besitzer selbst und daher ist Verwendung einer Verschlüsselung doppelt so gut darauf zu achten mindestens ein aktuelles Backup aller wichtigen Daten zu haben und natürlich gehört das auf ein Medium welches in einem anderen Gehäuse steckt wie z.B. ein NAS, die Cloud oder USB Platten die nur dazu verwendet werden und nur zum Erstellen, Prüfen und Aktualisieren des Backups angeschlossen werden und nur so lange angeschlossen bleiben wie dies dauert!