News Forschung: Hardware-Verschlüsselung bei SSDs teils umgehbar

[Moep89]

In welchen Anwendungsfällen nützt mir, als Privatmann, denn so eine Verschlüsselung? Der Staat kann auch einfach Beugehaft anordnen, wenn er an die Daten will. Hacker betrifft die Verschlüsselung eh nicht, sobald ich mich mit meinem User angemeldet habe und somit die Verschlüsselung geöffnet ist. Also das einzige was mir einfällt, wäre ein Diebstahl.

Nein, Beugehaft ist nicht. Du kannst dich auf dein Aussageverweigerungsrecht berufen. Du musst den Behörden als Beschuldigter keine Informationen zur Sache liefern. Erst Recht nicht, wenn du dich selbst belasten würdest. Die Amis und Briten sind da anders drauf (selbst wenns deren Gesetze eigentlich auch verbieten), aber in Deutschland ist man da (noch) sicher.

 

[ed33]

Youtube im Hintergrund hören geht immer noch nicht aber Verschlüsselungen von SSDs "erforschen"

Das ist aber so von YouTube gewollt! Mit einem kostenpflichtigen Abo kann man yt auch im Hintergrund hören.

Ich habe gerade mal geschaut: wenn ich das Fenster minimiere, höre ich auf youtube trotzdem noch meine Musik.

Das meinte er wahrscheinlich nicht an PC sondern Smartphone oder Tablet!?

 

[Ilsan]

Man sollte zum vergleich dies hier aber auch mal objektiv aus der sicht der Hersteller betrachten. Die Forscher haben nur Client SSDs untersucht, welche vornehmlich für den Heimgebrauch vorgesehen sind. Die Hersteller gehen nun mal in der Regel davon aus, das Heimanwender kein Daten besitzen, welche "100% sicher" sein müssen. Die Hersteller der SSDs werden bei Client SSDs deshalb auch nur Techniken verbauen, welche eine Art Grundsicherheit bieten. Die sichereren Verschlüssenlungsverfahren werden die sich mit sicherheit für die teureren Enterprise Produkte aufheben. Den die Hersteller währen ja schön blöd wenn die in die günstigen Consumer Produkte die gleiche Technik verbauen wie in die Enterprise SSDs, wo die Gewinnspannen deutlich größer sind.

Man sollte den Herstellern in diesem Fall dann jedoch vorwerfen, nicht darauf hinzuweisen, das die verwendeten Techniken zur Verschlüsselung in Client SSDs nur eine Grundsicherheit bietet und mehr nicht.

Wie gesagt, dies soll jetzt nur die Sichtweise der Hersteller versuchen darzustellen und nicht dazu dienen diese Forschungsergebnisse anzuzweifeln.

Und welchen Sinn macht es einmal eine unsichere und einmal eine sichere Umsetzung zu erschaffen? Wieso macht man es nicht gleich richtig.
Zumal glaubst du wirklich nach einem Shitstorm der Consumer SSDs betrifft, würden Admins noch ohne schlechtes Gewissen Enterprice SSDs kaufen beim selben Hersteller?
Wenn mir nen billiger A1 verreckt weil da einfach Mist fabriziert wurde, kauf ich mir auch kein R8. Rein aus Prinzip schon nicht, da Wechsel ich dann einfach den kompletten Hersteller...

 

[stevefrogs]

Weiß jemand genau, wo ich nachschauen kann, wie genau mein Bitlocker verschlüsselt? Ich benutz eine reine Passwort-Verschlüsselung, hab kein TPM.

SSDs sind alle Crucials, 2 MX100 (eine davon System) und eine MX500. Wär schon blöd, wenn meine Backups (Vera Crypt, AES) besser geschützt sind als mein System.

 

[Sun_set_1]

Nein, Beugehaft ist nicht. Du kannst dich auf dein Aussageverweigerungsrecht berufen. Du musst den Behörden als Beschuldigter keine Informationen zur Sache liefern.

Jein. Beugehaft geht, wenn es um die Vereitelung einer Straftat geht. Klingt erstmal abwegig. Wenn aber jemand zum Beispiel zum G20 Gipfel eine Gegendemonstration plant, bei der die Polizei von geplanten Ausschreitungen ausgeht, könnte man Beugehaft anordnen.

Ergänzung (5. November 2018)

In welchen Anwendungsfällen nützt mir, als Privatmann, denn so eine Verschlüsselung? Der Staat kann auch einfach Beugehaft anordnen, wenn er an die Daten will. Hacker betrifft die Verschlüsselung eh nicht, sobald ich mich mit meinem User angemeldet habe und somit die Verschlüsselung geöffnet ist. Also das einzige was mir einfällt, wäre ein Diebstahl.

Richtig, Einbruch zum Beispiel. Da ist der Laptop schnell weg. Wenn da dann noch das halbe Leben drauf ist, ist ne Verschlüsselung doch recht praktisch.

 

[Wilhelm14]

Mich würden weitere SSD-Hersteller, besonders Intel, interessieren. Geht tatsächlich jeder Hersteller einen eigenen Weg bei FullDisk Encryption oder nehmen die Verschlüsselungs-Chips von einem Zulieferer?

Youtube im Hintergrund hören geht immer noch nicht

Das ist aber so von YouTube gewollt!

Das geht mit alternativen Apps. Neulich hier im Forum gefunden, kannte ich noch nicht, geht aber:
https://www.xda-developers.com/youtube-vanced-apk/

 

[Ilsan]

Du kannst dich auf dein Aussageverweigerungsrecht berufen. Du musst den Behörden als Beschuldigter keine Informationen zur Sache liefern. Erst Recht nicht, wenn du dich selbst belasten würdest.

Jap, so zumindest in der Theorie. Spreche aber mal mit Juristen, in der Praxis läuft das gern mal anders. Da bist du sehr schnell mal verdächtigt wenn du ne Aussage verweigerst.
Oder stell dir mal vor am Supermarkt, die Kassiererin fragt ob sie mal einen Blick in die Tasche werfen darf. Du sagst "nein". Sollen wir mal wetten wieviele Personen die den Vorfall mitbekommen haben jetzt denken du hast was zu verbergen und in der Tasche befindet sich Diebesgut? Was wird der Staatsanwalt denken? Er wird sich auch fragen, wieso macht der Typ son ne große Sache raus wenn er doch nix geklaut hat.
Verdächtig macht man sich durch sowas immer, einfach weil ein Mensch der wirklich nix zu verbergen hat idr anders reagieren würde...
Klar ist nix zu sagen dein gutes Recht, aber Konsequenzen hat es eben auch, für jemanden der sich unsicher ist ob du es warst oder nicht wird son Ding wie Aussage verweigern kaum dazu führen dass er sich bestätigt dadrin sieht dass du unschuldig bist, eher das Gegenteil. Wirklich Pluspunkte wirste dadurch kaum sammeln.

 

[powerrobsi]

Frage: Heist das, dass meine Evo ransomware sicher ist ??

 

[Zac4]

Jetzt mal eine bloede Frage. Wenn ich eine 950 Pro einsetze, dazu eine 840 Evo und eine Ultra2 von SanDisk, dabei aber kein TPM habe, und auch im UEFI nichts derartiges eingestellt ist. Nimmt BitLocker dann dennoch die Hardwareverschluesselung?

Ja das ist möglich, Sasmsung hat insgesamt 3 verschiedene formen der Hardwareverschlüsselung.
In "Samsung Magican" kannst du prüfen welche form aktiviert ist.
https://www.samsung.com/semiconductor/minisite/ssd/download/tools/

 

[GGG107]

Woah echt? Wusste ich ja noch gar nicht...

 

[Zac4]

Jap, so zumindest in der Theorie. Spreche aber mal mit Juristen, in der Praxis läuft das gern mal anders. Da bist du sehr schnell mal verdächtigt wenn du ne Aussage verweigerst.
Oder stell dir mal vor am Supermarkt, die Kassiererin fragt ob sie mal einen Blick in die Tasche werfen darf. Du sagst "nein". Sollen wir mal wetten wieviele Personen die den Vorfall mitbekommen haben jetzt denken du hast was zu verbergen und in der Tasche befindet sich Diebesgut? Was wird der Staatsanwalt denken? Er wird sich auch fragen, wieso macht der Typ son ne große Sache raus wenn er doch nix geklaut hat.
Verdächtig macht man sich durch sowas immer, einfach weil ein Mensch der wirklich nix zu verbergen hat idr anders reagieren würde...
Klar ist nix zu sagen dein gutes Recht, aber Konsequenzen hat es eben auch, für jemanden der sich unsicher ist ob du es warst oder nicht wird son Ding wie Aussage verweigern kaum dazu führen dass er sich bestätigt dadrin sieht dass du unschuldig bist, eher das Gegenteil. Wirklich Pluspunkte wirste dadurch kaum sammeln.

#verstecktes Volumen
#Verstecktes Betriebssystems
#Alibi Betriebssystem
#Köder Betriebssystem

Du gibst dein Passwort natürlich raus, nicht nur 1 passwort sondern 2 passwörter, damit der Emittler glaubt er hätte deine geheimsten daten bekommen. Du hast aber noch ein 3 ultra geheimes passwort was eine versteckte partion innerhalb der verschlüsselten partition öffnet, die forensisch nicht nachweisbar ist.

"Glaubhafte Bestreitbarkeit"

Fazit:
Alle freuen sich; der Ermittler, weil er sich (aus seiner Sicht erfolgreich) Zutritt zu den verschlüsselten - vermeintlich sensiblen - Daten verschafft hat und der TrueCrypt-Anwender, weil das Vorhandensein der wirklich schützenswerten Daten und Spuren erfolgreich verheimlicht werden konnte. Denn die Existenz eines versteckten Betriebssystems (versteckten Volume) ist für den Ermittler/Angreifer verschleiert und absolut unmöglich nachzuweisen, auch nicht bei Öffnung des äusseren (Outer-)Volume , da es sich inkl. seines Header im freien Speicher desselbigen befindet, perfekt!

Quelle
https://www. bauser-enterprises.com/html/truecrypt8.php

 

[GGG107]

Und vor Bugs ist auch keiner gefeit, statt etwas zu verschlüsseln wird vielleicht formatiert oder ich verliere meinen Zugangsschlüssel und komme an die eigenen Daten nicht mehr heran - nein danke

Backup? Wenn dir die Festplatte platt geht, sind deine Daten auch weg...

 

[SVΞN]

@MichaG Danke für den interessanten Beitrag, bitte mehr über solchen Themen berichten.

Ich nutze VeraCrypt 1.23 auf meiner Windows 10 und Manjaro Linux Partition. Auf beiden liegen allerdings nur Spielstände, Benchmarks und ein paar Fotos.

Für alle sensiblen Daten, private Fotos und Videos, sowie Finanzen, nutze ich mein 2. System mit Qubes OS 4.0, welches ich in Sachen Datenschutz nur jedem wärmstens empfehlen kann.

Liebe Grüße
Sven

 

[GGG107]

Und welchen Sinn macht es einmal eine unsichere und einmal eine sichere Umsetzung zu erschaffen? Wieso macht man es nicht gleich richtig.

Ja echt, warum sind die Leute früher mit Kutschen unterwegs gewesen, wieso nicht mit autonomen Automobilen. Total sinnlos alles..

Ergänzung (5. November 2018)

@MichaG Danke für den interessanten Beitrag, bitte mehr über solchen Themen berichten.

Ja dem kann ich tatsächlich zustimmen, ist besser wenn einige Leute mal aufwachen die meinen Bitlocker und Co wären ja vollkommen sicher. Auch der Download unten setzt da klare Worte.

Ergänzung (5. November 2018)

Klar ist nix zu sagen dein gutes Recht

Man kann sich auch einfach dumm stellen, "Passwort? uff.. wie war das nochmal.." - sollen die dir das Gegenteil beweisen. Nen vernünftiger Rechtsanwalt holt dich da raus, egal wie abef. irgendwelche Staatsanwälte und co drauf sind.

Ergänzung (5. November 2018)

Richtig, Einbruch zum Beispiel. Da ist der Laptop schnell weg.

Mitbewohner und Co, weiterer Anwendungsfall. Ebay, usw usw

Ergänzung (5. November 2018)

Zumal glaubst du wirklich nach einem Shitstorm der Consumer SSDs betrifft, würden Admins noch ohne schlechtes Gewissen Enterprice SSDs kaufen beim selben Hersteller?

Da frag mal Microsoft nach der Home und Pro von Win10.

 

[Moep89]

Klar ist nix zu sagen dein gutes Recht, aber Konsequenzen hat es eben auch, für jemanden der sich unsicher ist ob du es warst oder nicht wird son Ding wie Aussage verweigern kaum dazu führen dass er sich bestätigt dadrin sieht dass du unschuldig bist, eher das Gegenteil. Wirklich Pluspunkte wirste dadurch kaum sammeln.

Nach meiner Kenntnis ist es genau andersherum. Die Forschung sagt sehr deutlich, dass Aussagen von Beschuldigten nahezu immer nachteilig sind. Zumindest in Systemen wie unserem, wo keine Jurys eingesetzt werden.

 

[Shririnovski]

Und deshalb nutz ich seit Jahren Software Lösungen. Damals unter Windows wars noch TrueCrypt, seit dem Linux-Umstieg sind meine Platten mittels LUKS verschlüsselt. Und zwar alle. AES in Hardware können alle meine CPUs, und das seit einigen Jahren bereits, Leistung steht da üblicherweise mehr zur Verfügung als die SSD/HDD liest/schreibt.

Im Prinzip hat ein verschlüsseltes System nur Vorteile für mich.
- Defekte Laufwerke einfach Einschicken ohne sich einen Kopf um die Daten machen zu müssen
- Laufwerke verkaufen, siehe oben
- Laufwerke verloren / geklaut, siehe oben
- Offsite Backup bei Bekannten im Keller, siehe oben

 

[arktom]

[...]

Ja dem kann ich tatsächlich zustimmen, ist besser wenn einige Leute mal aufwachen die meinen Bitlocker und Co wären ja vollkommen sicher. Auch der Download unten setzt da klare Worte.
[...]

War jetzt aber eher dürftig argumentiert. Denn dass BitLocker die Hardwareunterstützung nutzen kann, war ja klar. Man kann es auch ohne machen. An dieser Sache hier kann ich aber keinerlei Problem am/vom BitLocker sehen.
Und trotz aller Verschwörungstheorien gibt es auch keinen Gegenbeweis.

 

[Faultier]

Eh alles properitärer closed Code.

Bleibt bei Veracrypt und Gut.

Dauerhaft müste man vifeleicht mal AES von 256 auf 512 erweitern als Kaskaden Alternative aber sonst wüst Ich nicht wieso Ich was properitäres nehmen soll.

 

[Hallo32]

Immerhin eine positive Sache hat die News, die Samsung Evo scheinen ja nicht betroffen zu sein, also kann man hier wenigstens die Verschlüsselung einsetzen.

Die Samsung 840 Evo und 850 Evo sind betroffen.

Mich würden weitere SSD-Hersteller, besonders Intel, interessieren. Geht tatsächlich jeder Hersteller einen eigenen Weg bei FullDisk Encryption oder nehmen die Verschlüsselungs-Chips von einem Zulieferer?

Die eigentliche Verschlüsselung erfolgt im Controller der SSD. Das Problem ist eher der Schutz des Schlüssels der zum verschlüsseln verwendet wird.

Frage: Heist das, dass meine Evo ransomware sicher ist ??

Nein

 

[Cr4y]

Nein, Beugehaft ist nicht. Du kannst dich auf dein Aussageverweigerungsrecht berufen. Du musst den Behörden als Beschuldigter keine Informationen zur Sache liefern. Erst Recht nicht, wenn du dich selbst belasten würdest. Die Amis und Briten sind da anders drauf (selbst wenns deren Gesetze eigentlich auch verbieten), aber in Deutschland ist man da (noch) sicher.

Da bin ich rechtlich bewandert genug, ich könnte mir aber vorstellen, dass es schon aktuell Sachverhalte gibt, die das ermöglichen. Und ein Verweigerungsrecht hast du auch nur als Angeklagter.
Und ob der Staat nun durch Trojaner oder Beugehaft an die Daten kommt... Ich glaube wenn er es will kommt er an die Daten. Aber ich bin auch eher skeptisch, ob wir wirklich in einem Rechtsstaat leben...