News Forschung: Hardware-Verschlüsselung bei SSDs teils umgehbar

[h00bi]

Ich habe gerade mal geschaut: wenn ich das Fenster minimiere, höre ich auf youtube trotzdem noch meine Musik.

Handy....
Wobei ich nicht verstehe warum man eine Videoseite nutzt um Musik zu hören. Man vervielfacht den Traffic
sinnlos.

In welchen Anwendungsfällen nützt mir, als Privatmann, denn so eine Verschlüsselung?

Die meisten Privatanwender haben durch Verschlüsselung mehr Probleme als Vorteile (Speed, vergessene Schlüssel). Die Verschlüsselung ist beim durchschnittlichen Privatmann auch viel zu umständlich zum Daten abgreifen. Das geht viel einfacher über andere Methoden.
Verschlüsselungen sind eigentlich nur auf mobilen Geräten wirklich sinnvoll weil man diese verliert. Das Szenario dass jemand einbricht und den PC klaut ist schon sehr unwahrscheinlich, dass dann auch noch jemand Interesse hat deine Daten zu missbrauchen is noch unwahrscheinlicher.

 

[ScorpAeon]

Prüft nicht immer alles auf Sicherheit, das macht nur traurig

 

[smuper]

Denn in der Standardeinstellung schalte BitLocker die Software-Verschlüsselung ab, wenn das Laufwerk eine eigene Verschlüsselung (Hardware) bietet. Laut der Studie würde also in so einem Fall allein auf die teils unsichere Verschlüsselungstechnik der SSD zurückgegriffen.

Wenn dem mal so wäre, ich habe verzweifelt versucht meine 850 Evo und eine MX500 zu einer Bitlocker Hardwareverschlüsselung zu bringen, keine Chance. Naja, Hardwarebeschleunigtes "Software" AES hat ja scheinbar keine Nachteile...

TPM per Richtlinie ausgestellt, CSM deaktiviert, SecureBoot aktiviert. Hardware Ryzen 2700 auf Crosshair VI.

 

[Harti2011]

Das ist aber so von YouTube gewollt! Mit einem kostenpflichtigen Abo kann man yt auch im Hintergrund hören.

Das meinte er wahrscheinlich nicht an PC sondern Smartphone oder Tablet!?

Einfach den Browser auf "Desktopmodus" stellen und minimieren. Dann kannst du in der Widgetleiste (auf dem Bildschirm nach unten ziehen) auf das Play Symbol gehen und Youtube läuft im Hintergrund....

 

[[wege]mini]

@MichaG

"Zeil der Untersuchungen "

und zum thema...das pdf ist wirklich interessant. am ende ist das BS egal, wenn man in "hardware" an die controller chips rangeht.

"Setting the LBA to 0x306775, and the block count to 0x65 will unlock the vendor-specific commands." ....usw.....

mfg

 

[Sun_set_1]

Das Szenario dass jemand einbricht und den PC klaut ist schon sehr unwahrscheinlich, dass dann auch noch jemand Interesse hat deine Daten zu missbrauchen is noch unwahrscheinlicher.

Bitte was? Wenn Du dich ausschließlich auf 15kg Desktop-PC's beziehst, okay - die werden vllt stehen gelassen.
Laptops sind bei so gut wie jedem Einbruch weg. MacBooks sowieso, aber auch Dell-Geräte oder ähnliches werden entwendet.

Ich möchte gar nicht wissen, wie viele Leute unverschlüsselte Laptops haben, auf denen zudem noch die Online-Banking Zugangsdaten gespeichert sind. Wäre ich ein Einbrecher, ich würd jeden Laptop mitnehmen und darauf prüfen. Getreu dem Motto, erst die Wohnung, dann das Konto räumen.

https://www.google.de/search?q=einb...1.69i57j0l2.4309j1j7&sourceid=chrome&ie=UTF-8

 

[Kowa]

"it is possible to bypass the encryption entirely, allowing for a complete recovery of the data without any knowledge of passwords or keys. "
was ist denn nun die Ursache? So wie es klingt (bypass the encryption), wurden die Daten unverschlüsselt geschrieben. Beziehen die Hersteller diese Verschlüsselung vlt. nur auf einen paßwortgeschützten Zugriff auf die Daten und Verschlüsseln lediglich das Paßwort? Sowas hat die c´t ja schon of bei USB-Sticks gefunden.

 

[raph]

Bzgl. der Performance der Verschlüsselung bietet der OPAL Standard einen riesigen Vorteil. Alle Daten auf der SSD werden schlicht immer von dedizierten Komponenten verschlüsselt. Immer. Der Schlüsselbereich liegt aber erst mal transparent vor.

Wenn man also "jetzt die Festplatte verschlüsselt" wird die SSD von der Firmware gelocked und die benutzte Verschlüsselung geht auf den OPAL Schlüsselspeicher los. Fühlt sich an wie - schnips - Verschlüsselung fertig.

Nachteilig ist, dass die SSD in einigen OPAL-Standards nur durch den Besitzer des Schlüssels unlocked werden können. Man kann also tatsächlich eine OPAL-SSD bricken. Einige Hersteller drucken einen unlock-Key auf die SSD, der sie mit komplett neuem Schüssel ausstattet und dabei unlocked. Die vorhandenen Daten sind dann mit einem nicht mehr existierenden Key verschlüsselt und sind praktisch nicht entschlüsselbar.

Um hier die nötige Vorsicht walten zu lassen (korrektes Ansprechen der Schlüsselbereiche und Integration in die Prozeduren der jeweiligen Verschlüsselungssoftware), muss die Verschlüsselung entspr. Vorgaben von OPAL einhalten. Und hier können schlicht Fehler passieren. Seitens der Software und seitens der Implementierung in der Firmware der SSD. Oder auch der existierenden OPAL-Richtlinien für die Firmware.

 

[ed25519]

@raph: Ja, ich hatte mal versucht bei einer 850 Evo die Opalverschlüsselung zu aktivieren. Das geht mit der oben schon genannten Magician Toolbox. Anschließend muss man das Windows neu aufsetzen, beim formatieren wird die Hardwareverschlüsselung aktiv (es reicht also auch nicht ein Image zu ziehen, OPAL zu aktiviern, Image wieder zurückzuspielen).

Wollte dann das Project wieder abbrechen, konnte aber den OPAL-Modus nicht mehr deaktivieren (ist ja auch so vorgeshene. Mitarbeiter sollten ja nicht selbst sowas deaktivieren können). Dann hab ich von der PSID gehört, steht auch der Rückseite der SSD (geil wenn das in nem Gerät ist wo man nicht einfach zur SSD kommt ). Nun gibt es aber für den Normalo keine Möglichkeit das zu deaktiverien. Das PSID-Revert-Tool nutzt nur der Samsungsupport, sie bieten einem an die SSD einzuschicken. Nach etwas googlen hab ich dann das Tool doch gefunden. Es startet ein 14KB kleines Komandozeilenprogramm wo man die PSID eingeben muss, dann stürzt das Windows nach ca 1 Sekunde ab (Bluescreen) und die SSD ist secure erased (ja, sollte man wahrscheinlich extern machen ).

Summa summarum, für den Heimgebrauch, Finger weg von OPAL

 

[Hallo32]

@Kowa

Die entsprechende Stelle des Paper bitte einmal selbst lesen.
Die Probleme lassen sich nicht so einfach mit ein paar Sätzen beschreiben ohne den Hintergrund zu stark zu vereinfachen.

 

[arktom]

Ja das ist möglich, Sasmsung hat insgesamt 3 verschiedene formen der Hardwareverschlüsselung.
In "Samsung Magican" kannst du prüfen welche form aktiviert ist.
https://www.samsung.com/semiconductor/minisite/ssd/download/tools/

Alles aus bei mir.

 

[Hallo32]

Wenn man also "jetzt die Festplatte verschlüsselt" wird die SSD von der Firmware gelocked und die benutzte Verschlüsselung geht auf den OPAL Schlüsselspeicher los. Fühlt sich an wie - schnips - Verschlüsselung fertig.

Ganz so einfach ist es nicht, da OPAL eine Menge an Funktionen bietet, die sich so nicht umsetzen lassen.
Stark vereinfacht betrachtet stimmt es hingegen.

Nachteilig ist, dass die SSD in einigen OPAL-Standards nur durch den Besitzer des Schlüssels unlocked werden können. Man kann also tatsächlich eine OPAL-SSD bricken. Einige Hersteller drucken einen unlock-Key auf die SSD, der sie mit komplett neuem Schüssel ausstattet und dabei unlocked. Die vorhandenen Daten sind dann mit einem nicht mehr existierenden Key verschlüsselt und sind praktisch nicht entschlüsselbar.

Alle SSDs die Opal unterstützen haben den Key auf dem Aufkleber stehen.

Ergänzung (6. November 2018)

Summa summarum, für den Heimgebrauch, Finger weg von OPAL

OPAL hat den schönen Vorteil, dass es unabhängig vom Betriebssystem funktioniert und somit auch die vollständige Verschlüsselung der SSD ermöglicht, wenn darauf zum Beispiel Linux und Windows parallel installiert ist.

 

[NJay]

Die meisten Privatanwender haben durch Verschlüsselung mehr Probleme als Vorteile (Speed, vergessene Schlüssel). Die Verschlüsselung ist beim durchschnittlichen Privatmann auch viel zu umständlich zum Daten abgreifen. Das geht viel einfacher über andere Methoden.
Verschlüsselungen sind eigentlich nur auf mobilen Geräten wirklich sinnvoll weil man diese verliert. Das Szenario dass jemand einbricht und den PC klaut ist schon sehr unwahrscheinlich, dass dann auch noch jemand Interesse hat deine Daten zu missbrauchen is noch unwahrscheinlicher.

Speed ist kein Argument, jede halbwegs aktuelle CPU schafft AES mit mehreren GB/s in der hardware, d.h. ohne Auslastung der Rechenkerne. Seinen Schlüssel zu vergessen ist sau dämlich und auch nicht möglich, da man ja jeden Tag gezwungen wird es beim booten eingegeben.

 

[MichaG]

Artikel-Update: ComputerBase hat die betroffenen SSD-Hersteller kontaktiert und um Stellungnahme gebeten. Von Samsung erreichte die Redaktion folgendes Statement, eine Antwort von Crucial steht noch aus. Auf Nachfrage, ob auch die neue Samsung 860-Serie betroffen ist, konnte der Hersteller noch keine Antwort liefern – dies werde noch geprüft.

Samsung Electronics wurde vom National Cyber Security Centre in den Niederlanden (NCSC-NL) über mögliche Schwachstellen einiger unserer SSDs informiert. Diese Schwachstellen können es potenziellen Angreifern ermöglichen, Informationen von einer SSD ohne Passwortverifizierung zu erhalten. Die Lücke kann allerdings nicht aus der Ferne ausgenutzt werden und beschränkt sich daher auf Situationen, in denen der Angreifer direkten Zugriff auf die SSD hat.

Bei Samsung nehmen wir die Sicherheit und den Datenschutz unserer Kunden sehr ernst. Daher arbeiten wir seit den ersten Hinweisen eng mit dem NCSC-NL an einer Lösung. Wir werden die Situation weiterhin beobachten und stellen unter folgendem Link stetige Updates bereit: http://www.samsung.com/semiconductor/minisite/ssd/support/consumer-notice/.

 

[ed25519]

@Hallo32 Ja, in der Theorie schon. So transparent wie man denkt ist es dann aber auch nicht mit den Partitionsschema usw. https://newyear2006.wordpress.com/2...probleme-mit-gelschten-bitlocker-partitionen/ . Ich würde generell immer eine Ebene darüber ansetzen (zuerst RAID, dann Softwareverschlüsselung).

 

[|SoulReaver|]

Die Bösen Jungs sind eben oft einen Schritt voraus, leider.

 

[0xffffffff]

...Die Lücke kann allerdings nicht aus der Ferne ausgenutzt werden und beschränkt sich daher auf Situationen, in denen der Angreifer direkten Zugriff auf die SSD hat....

Nunja, ist ja zum glück nicht so als wäre GENAU DAS ja das Szenario, gegen welches Festplattenverschlüsselung schützen soll. I see what you did there, dear PR division 😏

 

[Dark_Soul]

Die Lösung ist einfach - ich speichere nichts wirklich Wichtiges auf dem PC

Einfach gar nichts auf dem PC speichern. Alles in die Cloud, da kommt bestimmt keiner dran

 

[Wilhelm14]

Das wäre ernsthaft eine Möglichkeit und wird von manchen auch so umgesetzt. Die Notebooks sind nur minimal konfiguriert, die Daten kommen verschlüsselt übers Netz, z.B. per VPN. Knackt einer die geklaute SSD, hat er nur Windows. Der Besitzer muss natürlich den Zugang am Server sperren.

 

[ed25519]

@Wilhelm14 Dafür haben Firmen ja die Terminalserver