Verschlüsselung der Crucial M500

[sairence]

Hallo,
ich habe mir eine M500 mit 240GB gekauft und würde gern die Verschlüsselung nutzen.

Ich werde ungefähr auf:

175 GiB Windows 8
 40 GiB Fedora
  8 GiB Intel Rapid Start

formatieren.

Soweit ich herausgefunden habe unterstützt die M500 die Verschlüsselung als eDrive (was bei mir (glaube ich) aufgrund fehlendem UEFI nicht klappt und nur bei Windows) und via ATA-Passwort.

Wie sicher ist die ATA-Passwort Verschlüsselung? (Für die Datenpartitionen auf der HDD verwende ich Truecrypt)

Hauptgrund für die Verschlüsselung ist einfach der Schutz meiner Daten bei Verlust/Diebstahl.

Danke im Vorraus

 

[Stryker]

Wenn du eh Software-Encryption benutzt, warum willst du dann noch einmal Hardware-Encryption drauflegen?

Auf dem 29C3 gab es einen Vortrag darüber, dass hardwarebasierte Verschlüsselung sich oftmals leicht austricksen lässt.
Und dann haben wir ja auch noch dank der NSA-Affäre erfahren, dass die sich mit National Security Letters in jedes (US-)Unternehmen einklinken können, um die Freigabe von Hersteller-Keys zu erzwingen oder gar selber eine Backdoor in die Firmware einzupacken.
Von daher ist Hardware-Crypto eher weniger zu trauen als Software-Crypto.

 

[highks]

Als Schutz gegen den Durchschnitts-Laptop-Dieb sollte die Hardwareverschlüsselung ausreichen, so lange der Mainboardhersteller das einigermaßen vernünftig implementiert hat.

Allerdings ist das Problem, dass man nur sehr schwer herausfinden kann, ob der Hersteller das gut implementiert hat. Im schlimmsten Fall ist es so schlecht gemacht, dass man es sehr einfach aushebeln kann - Crypto-Spezialisten haben schon manches Mal bei proprietären Verschlüsselungen herausgefunden, dass ganz krasse Fehler gemacht wurden (nicht speziell bei Mainboards, sondern im Allgemeinen)
Aber wie gesagt, das kann man schlecht selbst herausfinden, denn der Hersteller des Mainboards wird einem natürlich immer nur sagen, dass das ganz toll funktioniert!

Allerdings müsste dein i5 doch AES-NI unterstützen, also die Hardwareunterstützung für AES, was z.B. auch mit Truecrypt funktioniert. Der Leistungsverlust mit Truecrypt auf der System-SSD sollte sich also in Grenzen halten, so lange du ausschließlich AES verwendest (was ja auch vollkommen ausreicht, und bisher als absolut sicher gilt)

 

[sairence]

@Stryker: Die Software Verschlüsselung verwende ich für die Magnet Festplatte.
--

Das mein i5 AES-NI unterstützt weiß ich. Das ist schon super. Aber es müssen dann trotzdem alle Daten über die CPU zur Entschlüsselung. Das geht zwar trotzdem schnell, aber hat für mich bei der Systempartition irgendwie einen schlechten Beigeschmack.

 

[Hallo32]

Ich sage nur, schlechte NB Wahl:

Das Feature "ATA-Password" wird prinzipiell in keinem unserer Notebook unterstützt. Hintergrund ist die Tatsache, dass es sich hierbei um ein sehr altes, schlecht standardisiertes Protokoll handelt. Das Verfahren wirkt zwar auf den ersten Blick recht einfach (man gibt einfach ein HDD/SSD-Passwort im BIOS ein und die HDD/SSD erledigt den Rest), ist aber insgesamt fehleranfällig und inhärent unsicher. Bitte lesen Sie hierzu die folgenden Artikel

http://www.mysn.de/addon/shopuser.asp?KategorienOrder=010;020;010&userid=h7&link=faq#Encryption

 

[highks]

...oder gute NB Wahl, würde ich eher sagen!
Weil Schenker, anstatt so zu tun, als ob das eine ganz tolle Lösung wäre, einfach klar sagt, dass sie das ATA Passwort nicht unterstützen, weil das unsichere Grütze ist! Dann weiß man wenigstens gleich, woran man ist!

sairence, bei AES-NI gibt es doch einen speziellen Bereich der CPU, der nur die Verschlüsselung und Entschlüsselung abwickelt, das ist ja im Prinzip wie ein separater AES-Chip, nur eben in der CPU integriert.
Irgendwo müssen die Daten ja immer ver- und entschlüsselt werden, die Hauptsache ist doch, dass es hier nicht per Software in der CPU gemacht werden muss, sondern in Hardware von einem speziell dafür vorgesehen Teil der CPU.

 

[Hallo32]

Beim ATA PW liegt es nur an der Implementierung.

 

[Rumo]

Kommt drauf an ob der Hersteller eine Hintertür eingebaut hat oder nicht [um im Service als "Datenretter" auftreten zu können]. Software zum ATA-PW-Knacken existiert (modellabhängig).

AES-NI ist echt schnell. Unter Linux mit cryptsetup/LUKS schafft mein Haswell i5 >2000MiB/s. Ist also auch für SSD-Geschwindigkeit absolut OK. Zum Vergleich, mein alter 2x3Ghz C2D ohne AESNI hat nur 100MB/s geschafft.