TPM+Bitlocker+SSD, wie machen

[Bogeyman]

Hallo, möchte eine SSD verschlüsseln.

Laptop hat TPM und Windows 8.1pro. Wie stelle ich es am besten an? Es handelt sich um ein Thinkpad L440.

Würde die verschlüsselung ungern über die CPU laufen lassen, habe mal gelesen dass die Samsung 840 EVO von Bitlocker genutzt werden kann und so die CPU geschont wird. Mehr weiß ich aber auch nicht.

Also wie mache ich es.

 

[BlubbsDE]

http://windows.microsoft.com/de-de/windows-vista/bitlocker-drive-encryption-overview

Jede HDD / SSD wird unterstützt. Das hat mit dem Laufwerk nichts zu tun. Was Du wohl meinst, es gibt SSDs, die verschlüsseln selbst. Dazu gehört die EVO aber nicht.

Und Bitlocker läuft immer über die CPU. Woher soll sonst die benötigte Rechenpower fürs ver / entschlüsseln kommen?

 

[c137]

Explorer --> Rechtsklick auf die Platte/SSD ---> Bitlocker verwalten.
Dort aktivierst du Bitlocker.

 

[h00bi]

du brauchst eDrive
http://www.experts-exchange.com/OS/Microsoft_Operating_Systems/Windows/Windows_8/Q_28312804.html
http://www.anandtech.com/show/6891/...ndows-8-edrive-investigated-with-crucial-m500

 

[nicknackman1]

Einfach in der Systemsteuerung TPM aktivieren und den weiteren Anweisungen folgen. Wenn das Laptop nen eigenen Chip on Board hat, läuft die Verschlüsselung darüber.

Ach, ja und den Schlüssel unbedingt ausdrucken! Sonst kommste im Fall der Fälle an die Daten so gut wie nie mehr ran!

 

[Bogeyman]

Das solld ei 840Evo doch auch können soweit ich weiß

 

[Rome1981]

Nimm einfach Bitlocker... die CPU-Last liegt bei vollverschlüsselten SSDs bei unter 1 Prozent, das kann man bedenkenlos verkraften. Es gibt keine Lösung die besser/performanter ist, es sei denn du steckst richtig Geld rein und dann hast du ein mieses P/L.

 

[h00bi]

Nimm einfach Bitlocker... die CPU-Last liegt bei vollverschlüsselten SSDs bei unter 1 Prozent

Laut benches auf Anandtech deutlich über 10%

 

[Bogeyman]

wie gesagt ich will die SSD verschlüsselung nutzen

 

[Rome1981]

Laut benches auf Anandtech deutlich über 10%

Dann weiß ich nicht, was die testen. Ich benutze Bitlocker schon seit Jahren und habe diverse Firmenrechner damit verschlüsselt. Eine CPU-Last von 10% wäre ganz sicher aufgefallen. Lediglich, wenn man alte und schwache Prozessoren verwendet, will ich das nicht ausschließen, aber alle aktuellen Core i und auch AMDs Prozessoren unterstützen AES-Encryption und haben dadurch eine hohe Performance mit BL bei geringer Last.

 

[BlubbsDE]

wie gesagt ich will die SSD verschlüsselung nutzen

Und wie schon mehrfach geschrieben. Die EVO hat keine.

 

[Rome1981]

wie gesagt ich will die SSD verschlüsselung nutzen

So, jetzt mal zurück auf Start... Verwirf alle bisherigen Aussagen und nimm diese einzige:

RTFM!

Oder ausgeschrieben: Benutze doch bitte einfach die (soweit ich weiß bereits auf Datenträger mitgelieferte) Samsung Software "SSD Magician" und verwende unter "Advanced Options" die Funktion für das SED (Self Encrypting Device).
Ich denke damit kann der Thread geschlossen werden...

 

[Bogeyman]

Die 840Evo ist ein eDrive. Google nutzen.

 

[c137]

Dann bist du ja auch sicher fähig genug rauszufinden, dass Bitlocker das dann automatisch erkennt.
TPM im BIOS anschalten, dort auch nach eDrive-Optionen suchen - BitLocker anmachen, fertig.

Bei den neuen CPUs mit AVX/AES-Befehlssätzen ist die Last aber sowieso vernachlässigbar.

 

[Piktogramm]

TPM aktivieren, Laufwerksverschlüsselung aktivieren und ATA Passwort setzen und fertig. Wer sicher gehen will führt vorher noch ein secure erease durch um einen "eigenen" "zufälligen" Schlüssel zum Verschlüsseln zu generieren.

Dann findet die Verschlüsselung in Hardware statt ohne Bitlocker oder andere höhere Softwareschichten.

 

[Bogeyman]

TPM aktivieren, Laufwerksverschlüsselung aktivieren und ATA Passwort setzen und fertig. Wer sicher gehen will führt vorher noch ein secure erease durch um einen "eigenen" "zufälligen" Schlüssel zum Verschlüsseln zu generieren.

Dann findet die Verschlüsselung in Hardware statt ohne Bitlocker oder andere höhere Softwareschichten.

Möchte kein Bios Passwort eingeben sondern wenn ich TPM habe kann ich das doch auch mit dem TPM lösen. Soweit ich das verstehe ist der Schlüssel dann sicher im TPM, und es gibt keine Möglichkeit an die Daten heranzukommen indem man die Platte einfach ausbaut oder über USB zu booten.

 

[c137]

Ein ATA- und BIOS-Passwort schadet aber nicht, ne? Man kann ja auch gleich den ganzen Laptop samt TPM klauen - ich glaube nicht, dass sich da ein potentieller "Kunde" der Daten die Mühe macht, die SSD erst auszubauen um dir den restlichen PC dazulassen...

 

[Piktogramm]

Wenn das TPModul das ATA Passwort verwaltet wollen die TPM-Implementierungen die ich kenne zwangsweise ein Passwort beim Booten. Alles Andere wäre auch Unsinn. Denn ohne Sicherheitsabfrage vor dem Zugfriff aus das Laufwerk könnte man das Gerät starten, ohne Abfrage das ATA Passwort mitschneiden welches gesendet wird und hätte dann auch Zugriff auf das Laufwerk. Zudem wird das ATA Passwort anhand des "zentralen" TPM Passworts verschlüssel (sonst könnte man das TPM Modul auslesen und hätte alle Passwörter die das Ding enthälg... AUTSCH!)

Solche groben Patzer wird man in professionellen Lösungen wie TPM auf keinen Fall zulassen, denn in diesem Fall kann man sich der Verschlüsselung gleich klemmen!

 

[Rome1981]

Wenn das Passwort im TPM ist, dann ist die Platte nur gegen Ausbau geschützt... Genau genommen ist die Verschlüsselung dann nahezu wertlos, denn jeder, der in der Lage ist, den Powerknopf an deinem Laptop zu drücken, kann dann auch deine Festplatte entschlüsseln.
Also lohnt es sich erst dann, wenn du ein Passwort ein Fingerabdruck oder sonst was zur Authentifizierung verwendest... Zur Not speicher den Decrypt-Key auf einem USB-Stick und nimm den raus, wenn du damit unterwegs bist... aber eben nicht ganz ohne.

 

[Bogeyman]

Bitlocker funktioniert aber auch ohne Pin oder sonstwas wenn man TPM hat. Sprich man kann starten ohne ein Passwort einzugeben.

Das System ist eh durch das Windows Passwort geschützt. Also kann man den geklauten PC zwar hochfahren, aber nicht einloggen