News Forschung: Hardware-Verschlüsselung bei SSDs teils umgehbar

[GGG107]

Dein Beitrag ist halt unnütz, stell mal ein paar vergleichende Benchmarks mit AS SSD und CDM

Hatte ich vor Wochen in einem anderen Thread gemacht, ich muss mal schauen ob ich die Screens noch habe. Unnütz ist es keinesfalls denn du siehst dass CPU mit AES-NI da keinerlei Geschwindigkeitseinbußen bei Software-Verschlüsselung bringen. Selbst auf HDDs komme ich da fast an die maximale Transfergeschwindigkeit.

bisschen Energie

Die hält sich da sehr in Grenzen, wie gesagt AES-NI ist ein Befehlssatz für CPUs, kommt der Hardwareverschlüsselung irgendwo ähnlich da dadurch beschleunigt. Kaum zusätzliche Last, somit keine Energie, und somit Wärme usw.

Außerdem ist es durchaus praktisch, wenn das Betriebssystem die Verschlüsselung nicht sieht/verwalten muss.

Bei Systemvollverschlüsselung Wird/muss es das auch nicht.

So muss ich zum Beispiel mit LUKS für ein Systembackup erst einmal manuell den Cryptocontainer entsperren um aus dem Livesystem meine Partitionen zu sichern

Das ist auch genau der Sinn, sonst käme doch jeder mit einer Live-CD an deine Daten und umgehe die Verschlüsselung.

Ohne diesen Zwischenschritt hat das Backup dann eben die Gesamtgröße des Laufwerks.

Hätte es doch so oder so, entweder ich mache ein Image (komplett Kopie des Laufwerks/Partition) oder ein Backup (kopie der darin liegenenen Dateien) - das kann ich auch im laufenden Betrieb machen, ohne großartigen Geschwindigkeits oder Komfort Verlust.

Zum Wiederherstellen muss ich dann allerdings den Cryptocontainer neu anlegen und öffnen bevor ich die Partitionen kopiere.

Bei einen Image nicht.

Du verwechselst Container mit Laufwerk. Du kannst einen Container erstellen (Das ist dann eine Datei im System welches ein Virtuelles Laufwerk öffnet) oder eben die gesamte Partition oder Festplatte. (Bei System-Partition wirst du noch vor dem starten des OS nach dem PW gefragt.) - So zumindest bei True/Vera-crypt, LUKs hatte ich noch nie im Einsatz.

Ergänzung (9. November 2018)

damals

Das muss aber ewig her sein.
Kein AES-NI und uralte Festplatten wahrscheinlich.

 

[coldBug]

@GGG107 da haben wir scheinbar ganz schön aneinander vorbei geredet! Ich fange mal an:

1. Sichtbarkeit: Bei Windows siehst du davon vielleicht nichts, bei Softwareverschlüsselung muss dein Betriebssystem aber auf jedenfall Fall mit der Verschlüsselung arbeiten.

2. Natürlich muss ich den Cryptocontainer erst entsperren - ich sage ja nur das hier ein zusätzlicher administrativer Aufwand entsteht.

3. Ein Backup der Partition, kein raw-Image, ist zum Beispiel mit Partclone wie es Clonezilla nutzt möglich. Ich sehe da durchaus einen Vorteil zum Datenbackup im laufenden Betrieb.

4. Ja, wenn ich ein Komplettimage der Platte mache - das dann natürlich auch genauso groß wie die Platte ist - muss ich natürlich den Container nicht neu anlegen.

 

[GGG107]

aneinander vorbei geredet!

Möglich.

1. Sichtbarkeit:

Mh ich weiß nicht genau wie das bei der Systemverschlüsselung läuft, da liegt die Schicht ja noch drunter, also das Laufwerk mit System wird gemountet vom BIOS aus, gute Frage in wie weit da das System mit zutun hat, - wahrscheinlich nur ein Treiber?

Den Rest hatten wir ja.

 

[Miuwa]

In welchen Anwendungsfällen nützt mir, als Privatmann, denn so eine Verschlüsselung? [...] Also das einzige was mir einfällt, wäre ein Diebstahl.

Genau darum geht es. Bzw. auch einfach um Verlust oder wenn du die SSD verkaufen willst und sicher gehen möchtest, dass nichts mehr wiederhetsellbar ist.

Lustigerweise verweisen die Hersteller darauf, dass die Verschlüsselung nur bei physischem Zugriff auf die SSD umgangen werden kann - also genau in dem Szenario in dem man auf die Verschlüsselung angewiesen ist.
Das ist so als ob die Autohersteller sagen würden: "Wir wissen, dass die Airbags nicht aufgehen, aber keine Angst, das passiert nur bei einem Unfall sonst funktionieren die einwandfrei".

 

[Palemooner]

Ja das ist möglich, Sasmsung hat insgesamt 3 verschiedene formen der Hardwareverschlüsselung.
In "Samsung Magican" kannst du prüfen welche form aktiviert ist.
https://www.samsung.com/semiconductor/minisite/ssd/download/tools/

Genau eine von diesen (die ganz rechts stehende Name vergessen) habe ich Doedel gedrückt, jetzt geht "Secure Erase" bei meiner SAMSUNG NVMe 960 Evo nicht mehr (erhalte Fehlermeldung). . Ich habe versucht zu verstehen, wie ich die zurücksetzen könnte, aber den Weg verstehe ich nicht wirklich.

Hat jemand freundlicherweise einen einfachen Rat, wie ich das _evil bit_ von Magician loswerde (außer das Ding zu SAMSUNG einsenden)??

 

[ed25519]

PSID-Revert? Habs hier mal hochgeladen, Samsung gibt es nicht raus:

https://files.fm/u/72d3gh6u

https://ufile.io/fp7v6

https://www.file-upload.net/download-13384311/PSID_revert.zip.html

Kannst du aus dem laufendem System machen, löscht aber sofort die ganze SSD, also Achtung!

 

[Zac4]

Eine einfache möglichkeit gibt es nicht. Die einzige Möglichkeit, die eDrive-Funktion zu deaktivieren, besteht darin, das Laufwerk mit einem speziellen Samsung-Tool zu löschen, das den Sicherheitszustand des Laufwerks auf den Standardwert zurücksetzt,
Samsung hat aber beschlossen, das PSID Revert Tool nicht freizugeben, um zu verhindern, dass jemand, der eine verschlüsselte SSD stehlen oder eine verschlüsselte SSD von einem inoffiziellen Kanal erhalten könnte, sie verwendet oder weiterverkauft.
Besser den Support anschreiben als auf irgendwelche zweifelhafte quellen zurückzugreifen.
NVME wird auch nur in der neusten Version unterstützt.

 

[ed25519]

Eine einfache möglichkeit gibt es nicht. Die einzige Möglichkeit, die eDrive-Funktion zu deaktivieren, besteht darin, das Laufwerk mit einem speziellen Samsung-Tool zu löschen, das den Sicherheitszustand des Laufwerks auf den Standardwert zurücksetzt,
Samsung hat aber beschlossen, das PSID Revert Tool nicht freizugeben, um zu verhindern, dass jemand, der eine verschlüsselte SSD stehlen oder eine verschlüsselte SSD von einem inoffiziellen Kanal erhalten könnte, sie verwendet oder weiterverkauft.
Besser den Support anschreiben als auf irgendwelche zweifelhafte quellen zurückzugreifen.
NVME wird auch nur in der neusten Version unterstützt.

Ja, ich hab den Thread auch gefunden und wollt es dort hochladen, habs aber dann doch gelassen. Das Archiv hat eine Anleitung von Samsung selbst dabei

https://www.virustotal.com/#/file/8...f44ad64f05b6c139e07d54773cd59608b13/detection

edit: Im Thread steht auch das NVME damit geht (wobei ich nicht die Version kenne die dort probiert wurde, ich habe es auf einer 850Evo Sata gemacht, einwandfrei). Die Tools gibt es von Intel und Crucial direkt, nur Samsung streubt sicht, einfach lächerlich und hat nichts mit Sicherheit zu tun.

 

[GokuSS4]

Youtube im Hintergrund hören geht immer noch nicht aber Verschlüsselungen von SSDs "erforschen"

https://vanced.app/

Thank me later

 

[paxtn]

Falls einer ohne dem Samsung-Tool prüfen will ob Bitlocker die Hardware- oder Software-Verschlüsselung nutzt und man gleichzeitig keine Angst vor der Windows-Eingabeaufforderung hat, dann gibt's noch folgende Prüfmöglichkeit:

In der Windows-Suche nach CMD suchen -> diese mit Rechtklick und "Als Administrator starten" ausführen -> "manage-bde -status X:" (ohne ""-Zeichen) eingeben. X: ist dabei das abzufragende Laufwerk.

Es kommt dann beispielsweise folgende Ausgabe:

C:\>manage-bde -status S:
BitLocker-Laufwerkverschlüsselung: Konfigurationstool, Version 10.0.17763
Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten.

Volume "S:" [Die Bezeichnung ist unbekannt.]
[Datenvolume]

    Größe:                        Unbekannt GB
    BitLocker-Version:            2.0
    Konvertierungsstatus:         Unbekannt
    Verschlüsselt (Prozent):      Unbekannt %
    Verschlüsselungsmethode:    Hardwareverschlüsselung - 1.3.111.2.1619.0.1.2
    Schutzstatus:                 Unbekannt
    Sperrungsstatus:              Gesperrt
    ID-Feld:                      Unbekannt
    Automatische Entsperrung:     Deaktiviert
    Schlüsselschutzvorrichtungen:
        Kennwort

Die Verschlüsselungsmethode zeigt, dass die Hardware-Verschlüsselung genutzt wird. Bei der Software-Verschlüsselung würde dort beispielsweise nur "XTS-AES 128" stehen:

Verschlüsselungsmethode:      XTS-AES 128

So sieht es zumindest bei normalen Datenlaufwerken aus. Ich denke aber, dass es bei Betriebssystem-Laufwerken ähnlich aussehen wird.

Bei meiner 850 Evo steht: XTS-AES 256

Aber in Samsung Magician steht, dass TCG OPAL aktiviert ist. (Class 0 und Encrypted Drive sind deaktiviert)

Kann ich mich nun trotzdem auf die Verschlüsselung verlassen oder sollte ich lieber auf Veracrypt umsteigen?

 

[Bob.Dig]

oder sollte ich lieber auf Veracrypt umsteigen?

BitLocker läuft also "in Software".

 

[paxtn]

Sorry, ich verstehe deinen Post nicht

 

[ed25519]

Sorry, ich verstehe deinen Post nicht

Die Verschlüsselung läuft demnach in Software, dh du bist nicht betroffen...

 

[C4rp3di3m]

Die Lücke kann allerdings nicht aus der Ferne ausgenutzt werden und beschränkt sich daher auf Situationen, in denen der Angreifer direkten Zugriff auf die SSD hat.

Ja schön ein Backdoor für die Behörden gemacht wa Besonders die Polizei in Unrechtsstaaten wird sich freuen, ebenso die NSA.

mfg

 

[paxtn]

Die Verschlüsselung läuft demnach in Software, dh du bist nicht betroffen...

Top, danke

 

[Riseofdead]

kann man mit Veracrypt eigentlich Systemplatten "komplett" verschlüsseln? Bei mir geht 1. die gesamte HDD verschlüsseln nicht (ausgegraut) und 2. steckt Veracrypt beim Schritt wo man die EFI Datei auf einen Stick entpacken muss, da sagt Vera Crypt das er auf dem Stick nix erkannt hat (obwohl der EFI Ordner im Rootverzeichnis vom Stick liegt, also D:\EFI

Wenn die das hinbekommen (und zusätzlich wenn Veracrypt TPM unterstützt), wäre ich bereit, auf Veracrypt umzusteigen. Ansonsten muss halt Bitlocker ran.

 

[ed25519]

Meine Zeiten mit Komplettverschlüsselung waren noch zu BIOS und Truecryptzeiten. Mit UEFI scheint es wirdklich um einiges schwerer zu sein: https://blog.marvin-menzerath.de/artikel/veracrypt-secure-boot-verwenden/ .

 

[/root]

Aber wieso Risiko wenn es doch ohne Probleme mit Software klappt?
Software der man noch am ehesten Vertrauen kann.

Wie kommst du darauf dass es mit Software Verschlüsselung besser klappt bzw. es weniger Sicherheitslücken gibt
Nachdem ich Hard- und Software-Verschlüsselung schon seit Jahren nutze ist mein Fazit: Hardware Veschlüsselung funktioniert problemloser und performanter. Wenn man jetzt Hardware Crypto Systeme noch vernünftig entwickelt und auditiert (was ja bei Software meistens auch nicht der Fall ist) braucht niemand mehr Software-Crypto für solche Zwecke Einsetzen.

 

[Bob.Dig]

Wenn die das hinbekommen (und zusätzlich wenn Veracrypt TPM unterstützt), wäre ich bereit, auf Veracrypt umzusteigen. Ansonsten muss halt Bitlocker ran.

Veracrypt braucht natürlich einen MBR und TPM haben wohl ihre ganz eigenen Probleme.

 

[ed25519]

UEFI geht bei Veracrypt schon seit 2 Jahren https://www.heise.de/security/meldu...ftware-VeraCrypt-kann-jetzt-UEFI-3301464.html . Habs aber noch nie getestet. SecureBoot wie oben beschrieben soll auch gehen.