Festplatten plattform-übergreifend verschlüsseln?

[UNDERESTIMATED]

Fragen über Fragen :-)

Viele Fragen stellen sich mir da nicht.

Entweder möchte man Daten Betriebssystemübergreifend benutzbar verschlüsselt transportieren ohne auf Client-Software angewiesen zu sein, oder man will eine Festplatte mit OS entschlüsseln.

SecurStick soll auch mit "anderen Datenträgern" funktionieren, dem ist es also praktisch offenbar egal ob es eine Disk, oder ein Stick ist.

Das sind dennoch zwei ganz unterschiedliche Themen. In welche Richtung seine Frage eher geht, erschließt sich imo nicht wirklich.

Das ist dann aber letztlich alles über zusätzliche Software gelöst. Es gibt aber Sticks mit eingebauter Verschlüsselung.

Ja, zur Einrichtung logischerweise auch essentiell notwendig. Deine vorgebastelten Sticks sind nur eben vom Hersteller schon so eingerichtet. Ändert nichts daran, dass man das auch selbst kann.

 

[tollertyp]

Es sind halt verschiedene Fragen:

• Ist es mögliche eine Disk ...
• Gibt es eine Disk ...

 

[xexex]

Ja, zur Einrichtung logischerweise auch essentiell notwendig. Deine vorgebastelten Sticks sind nur eben vom Hersteller schon so eingerichtet. Ändert nichts daran, dass man das auch selbst kann.

Es gibt einen grundlegenden Unterschied ob eine auf dem System laufende Software die Daten verschlüsselt, oder die Verschlüsselung ein Stick übernimmt und die Software nur den Zugang regelt. Ich gebe dir aber recht, im Gegensatz zu SED bei SSDs und HDDs benötigt die Kingston Lösung eine zusätzliche Software zum entsperren.

Als "Alternative" würde sich dann sowas anbieten, beantwortet aber nicht die Frage vom TE.

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

https://www.kingston.com/de/ssd/ironkey-vp80es-encrypted-external-ssd

Was der TE benötigt ist ein Datenträger mit Hardware Verschlüsselung und die Unterstützung dafür im UEFI.

https://docs.microsoft.com/en-us/windows/security/information-protection/encrypted-hard-drive

 

[UNDERESTIMATED]

Es gibt einen grundlegenden Unterschied ob eine auf dem System laufende Software die Daten verschlüsselt, oder die Verschlüsselung ein Stick übernimmt und die Software nur den Zugang regelt.

Soweit klar und logisch. Dafür brauchst du (siehe mein Link) aber nicht zwingend einen OPAL- fähigen Datenträger oder vorgebastelte Lösungen von USB-Stick Produzenten.
Natürlich aber ist das Vorgehen so (mit Standards) leichter.

Ganz nebenbei: Nicht selten haben die Herstellerintegrationen selbst Lücken, so bspw. die Crucial MMX Reihe fast durchgehend, bei Samsung die T3/T5 Reihe und bis zur EVO850. Sieht man so einen Datenträger vor sich und weiß, der ist mit SED verschlüsselt, gute Nacht. Dann kann man sich wirklich einen USB-Stick zusammen fummeln, der mit anstecken an den PC den Datenträger entschlüsselt. Wer dann den MEK bei der Einrichtung nicht ändert und drauf vertraut das würde alles passen hat eben doch wieder verloren.

Aber hier reden wir dann über Sicherheit vs. Sicherheitsgefühl. Für normale Anwender sollte auch sowas gerade noch ausreichen, einfach auch, weil die Haft für die Datenintegrität damit hinreichend sichergestellt ist. Ob und wie ein Hersteller seine Integrationen verbockt, kann nicht Schuld des Verbrauchers sein.

 

[xexex]

Natürlich aber ist das Vorgehen so (mit Standards) leichter.

Im vorliegenden Fall war ja die Frage, ob das was man aus Filmen kennt so möglich ist. Grundsätzlich ja und OPAL ist hier eigentlich der Standard für die Interoperabilität.
https://www.ontrack.com/de-de/blog/was-ist-tcg-opal-und-was-sind-seds

 

[UNDERESTIMATED]

Im vorliegenden Fall war ja die Frage, ob das was man aus Filmen kennt so möglich ist.

Wenn man die verwendete Verschlüsselungstechnik im Vorwege kennt und genügend Know-How mitbringt dafür ein Angriffsszenario zu entwickeln oder zu nutzen: Ja.

Denn das automatisieren eines solchen gezielten Angriffs ist dann kein Hexenwerk mehr.

Ansonsten eher nein.
Man muss sich einfach klar machen, dass die Verschlüsselung nur ein Baustein ist. Die Integration dieser muss mindestens ebenso gut sein und das ist sie leider eben oftmals nicht (mehr). Also greift man nicht die Verschlüsselung an sich an, sondern viel lieber die Software die die Freigabe regelt. Ob die nun vom Hersteller aufgespielt wurde und in der Firmware schlummert, oder nachträglich vom User installiert wurde halte ich dabei für egal.

Beispiel: https://portswigger.net/daily-swig/self-encrypting-ssds-can-easily-be-cracked

The contents of drives can be decrypted without entering a password, but only in cases where hackers have physical access to a targeted (vulnerable) device.

The computer scientists were able to recover master passwords that gave access to encrypted data without recourse to the user-chosen password because of faulty implantation of the TCG Opal encryption standard on affected kit, among other problems.

Some of the affected devices have a factory-set master password, while others hold the encryption key on the hard drive, from where it can be harvested and subsequently abused.

Es ist also imo immer wichtig wie die Integration aussieht, das mussten auch Kingston und Sandisk mit ihren "Hardware"-Verschlüsselten Sticks lernen.