Systemverschlüsselung mit SSD

[NemesisFS]

Hi,

ich lege mir einen neuen Laptop zu, bei dem ich gern das ganze System verschlüsseln würde.
Nun habe ich vor, eine SSD einzubauen und da gibt es ja auch solche Modelle, die eine eigene Verschlüsselung mitbringen.
Ich frage mich nun, ob es sinnvoll ist eine solche zu verwenden.

Die Vorteile, die ich sehe sind folgende:
- vermtl. schneller, da die SSD die verschlüsselung in ihre eigenen Algorithmen einbauen kann
- erhöht SSD haltbarkeit (s.o.)

Auf der anderen Seite habe ich Sorge, dass die Herrsteller schlampig gearbeitet haben, wie es oft vorkommt, und die Verschlüsselung daher umgangen werden kann.
Außerdem weiß ich nicht, wie ich die Verschlüsselung verwenden kann (ich verwende Linux) wie greift man darauf zu?

Es wäre schön, wenn ihr mir sagen könntet, wie stark die Einbrüche in Haltbarkeit und Performance durch eine Softwareseitige Verschlüsselung sind, ich würde dazu gern eure Meinungen hören.

Liebe Grüße,
nemesis

 

[~DeD~]

vernünftiger laptop-> passwort im bios für den start+ passwort für die festplatte vergeben = keiner kommt je an die daten ran.

 

[NemesisFS]

Das hilft jetzt nur bedingt weiter. Was ist für dich ein vernünftiger Laptop? Mein neuer wird ein T440s, ich weiß nicht, ob der eine solche Option bietet und selbst wenn er das tut wird das vermtl (?) nicht mehr funktionieren, wenn ich die Festplatte ausgetauscht habe.

 

[Piktogramm]

Es ist zu empfehlen ein Notebook mit TPM Modul zu nutzen (meist bei Geräten für professionelle Käuferschichten)

Das Verschlüsseln der SSD erfolgt je nach Implementierung im Bios mit dem ab Werk gesetztem Schlüssel, ist damit theoretisch angreifbar, wenn der Interessent den Werksschlüssel kennen sollte. Daher wenn es das Bios nicht macht ein Secure Erease durchführen!

Ansonsten ist Hardwareverschlüsselung meist ne Blackbox, daher man kann nicht 100% sicher gehen, dass es nicht doch ein Backdoor gibt. ABER die Verschlüsselung überwindet kein normaler Dieb, schon weil die Laufwerke ohne Passwort sich meist schon nicht einbinden lassen.

Performance: Wenn die CPU Hardware Hardware-AES kann oder es das AES Modul der SSD macht ist recht egal. Geht schnell genug (meist nur wenige % langsamer wenn überhaupt) und die Leistungsaufnahme lässt sich kaum feststellen.


EDIT: Die T440s haben ein TPM Modul. Können also alle Sicherheitsfeatures die man so braucht (HDD/SSD ist wie auch das Mainboard ohne Passwort unbrauchbar, Batterie rausnehmen hilft auch net)

 

[NemesisFS]

Ich glaube ich habe das nicht richtig verstanden. Das TPM übernimmt die Verschlüsselung? Oder ist das nur ein weiteres Layer, das verhindert, dass Hardware geändert wird?

 

[miac]

Ich gebe dir mal einen Link:
http://vxlabs.com/2012/12/22/ssds-with-usable-built-in-hardware-based-full-disk-encryption/

 

[Piktogramm]

http://de.wikipedia.org/wiki/Trusted_Platform_Module

Oder kurz: Das Ding speichert dein Hardwarepasswörter recht ordentlich verschlüsselt ab. Daher du kannst ein Systempasswort setzen und ein anderes HDD/SSD Passwort. Gibst das Systempasswort einmal ein, der TPM Chip gibt das HDD/SSD Passwort frei, ohne dass du noch ein Passwort eingeben musst. + anderer Kram der möglich ist.

Angriffe auf die ganze Geschichte sind möglich. Diebe die dein Gerät klauen haben diese Fähigkeiten in aller Regel nicht (hat man das KnowHow hat man auch einen Stundenlohn, bei dem man keine Notebooks mehr klaut ). Daher bei Verlust/Diebstahl ist dein privater Kram in Sicherheit. Daher solang du nicht befürchtest von div. lustigen Carnevalsvereinen hops genommen zu werden sind diese Vorsichtsmaßnahmen ausreichend. Dürfte selbst gegen Carnevalsvereinen helfen, solang du nicht wirklich die aller besten Karlauer der Welt hast und die da ran wollen...

 

[Fresh0razoR]

Wenn dein Notebook TPM unterstützt, würde ich das auch benutzen. Es kommt ein wenig darauf an vor wem du dich schützen willst. Da fallen mir konkret drei Dinge ein:

1. Dieb
2. Deutsche Behörden (Polizei)
3. NSA

In genau der Reihenfolge sehe ich persönlich auch die Prio und die Schwierigkeit sich zu schützen. Sprich, wenn die NSA deine Daten will, musst du wesentlich mehr Aufwand betreiben als bei einem Dieb. Die Polizei ist so dazwischen. Kommt jetzt auch darauf an, was du für Daten hast...

Ich persönlich habe mein System mit TrueCrypt verschlüsselt. Wenn du also kein TPM willst, kannst du es auch damit machen.

Gruß
Fresh

 

[miac]

Also Truecrypt für SSD's kann man machen, ist aber nicht optimal.
Das TPM bindet übrigens Passwörter bzw. Schlüssel als weitere Schlüssel an die Hardware.

In deinem Fall würde ich das ATA Passwort benutzen, wenn Du eine SSD mit Selbstverschlüsselung benutzt.

 

[NemesisFS]

Ich habe mich jetzt ein wenig eingelesen, und hoffe dass ich das Konzept nun richtig verstanden habe.

Wenn ich alles eingerichtet habe, starte ich den Rechner und muss das TPM Passwort eingeben. Damit wird dann das Passwort für die SSD Verschlüsselung freigegeben und das System bootet.
Außerdem kann ich noch SSH und PGP Keys im TPM ablegen, sodass die an den Rechner gebunden, sicher sind und ich die nichtmehr extra ent/verschlüsseln muss.

 

[miac]

Das Passwort für die SSD macht nur Sinn, bzw. die Daten sind nur dann sicher, wenn die SSD selbst verschlüsselt.

 

[NemesisFS]

Da gibt es doch Modelle, die das tun, zB die Samsung 840 Pro

 

[Piktogramm]

Ich habe mich jetzt ein wenig eingelesen, ...

Genau so. Wobei "sicher" sich bei kritischer Betrachtung nur darauf bezieht, dass der Aufwand sehr hoch ist. Da die Funktion der Festplattenverschlüsselung und des TPM Chips ne Blackbox ist kann Niemand nachvollziehen, wie sicher die Verschlüsselung genau ist und ob es nicht doch Backdoors gibt. Für alle normalen staatlichen Dienste und sonstigen Verbrecher sind die Daten aber nicht erreichbar (bzw wird es leichter sein dich zur Herausgabe des Passworts zu zwingen).

Tips:
-Secure Erease bevor du dein eigenes Passwort festsetzt! Der Schlüssel zum Verschlüsseln ist nicht dein Passwort sondern ein interner Key, der bei Secure Erease neu und zufällig festgelegt wird. Ohne Secure Erease besteht die Gefahr, dass du mit dem (oftmals bekannten) Werksschlüssel unterwegs bist, was die Verschlüsselung hinfällig werden lässt.

-MACH BACKUPS, das was deine Daten sichert macht sie im Falle von Defekten ungleich schwerer den Spaß wiederherzustellen!

 

[NemesisFS]

Backups sind ja klar, das mit dem Secure Erase werd ich mir merken, danke!