Frage: SSDs mit Hardware-Verschlüsselung (AES)?

[Nero Atreides]

Hallo zusammen,

suche eine schnelle SSD mit Hardware-Encryption / AES, damit ich nicht die SSD via TrueCrypt verschlüsseln muss...kostet zu viel Performance.

a) Welche Modelle haben das?
b) Wie aktiviert man die? Via BIOS- bzw. ATA-Passwort? Spezielle Tools?

Danke!

 

[0xffffffff]

Ich glaube die Intel SSD's verschlüsseln standardmäßig alles mit AES. Unter anderem dazu, dass wenn man die platte wipen will nicht verschleißend überschreiben muss, sondern einfach den key wiped

Das scheint aber auch seine Tücken zu haben. Siehe dazu mal: http://communities.intel.com/message/120689#120689

 

[Holt]

Die Verschlüsselung per ATA-Passwort funktioniert wohl weder bei Intel noch bei Sandforce problemlos und man sollte besser darauf verzichten.

 

[etheReal]

Unter anderem dazu, dass wenn man die platte wipen will nicht verschleißend überschreiben muss, sondern einfach den key wiped

Überschreiben ist bei SSDs sowieso die falsche Methode. Zum Wipen einfach ein Secure Erase durchführen, dann löscht der Controller selbst alle Zellen.
Das ist meines Wissens auch sicher, wenn nicht verschlüsselt gespeichert wurde, und es schadet den Zellen nicht, und es stellt sogar wieder die ursprüngliche Leistung der SSD her (bei SSDs, die mit der Zeit in der Schreibleistung nachlassen)

 

[Holt]

etheReal, Intel hatte sich mal darüber ausgelassen, dass die Verschlüssellung das Secure Erease (in diesem Sinne hat Intel darunter wohl nur das sichere Löschen der Daten verstanden) beschleunigt wenn man einfach den Key löscht statt alle Flashzellen wirklich zu löschen. Das bringt natürlich nicht den gleichen Effekt für die SSD, sollte aber bzgl. der Datensicherheit ähnliche Ergebnisse bedeuten.

 

[enteon]

Ist die Verschlüsselung per ATA-Passwort überhaupt gleichwertig mit Dingen wie Truecrypt? Man hört ja nicht zum ersten mal von Master-ATA-Passworten und dem Umgehen durch Datenrettungsfirmen im Handumdrehen.

Nicht dass ich Daten hätte die ich damit verschlüsselt müsste, hab es aber aus Bequemlichkeit trotzdem gesetzt, und gerne gewusst wie sicher das genau ist

Ein "spezielles tool" das ATA-Security-Kommandos senden kann (sofern nicht vom BIOS gelockt) ist hdparm.

Verschlüsseln tun die SandForce 1k (alle?) und Intel whatever (320er Serie). Letztere hab ich mit ATA-Passwort am laufen.

PPPPPS: gibt es denn Anzeichen für schleichende Fehler dank Verschlüsselung, oder nur plötzliche Totalausfälle? Letzteres wäre zwar ärgerlich, aber dank Backup recht egal.

 

[Holt]

Da musst Du zwischen der normalen Funktion des ATA-Passworts als Zugangsschutz und der als Schlüssel für die Verschlüsselung unterscheiden. Ersteres kann eigentlich jede HDD/SSD, zweites aber nur Intels 320er und SF, was aber wohl bei beiden nicht problemlos funktioniert. Setzt Du also bei einer SSD deren Controller keinen Verschlüsselung unterstützt ein ATA-Passwort, so ändert dies nichts an den Daten.

 

[enteon]

Weiß ich, danke.
Bleibt die frage ob das BIOS bei 320 und sandforce immer noch ein master-passwort setzen kann. (unabhängig vom ATA user- master-passwort)
Oder das anderweitig umgangen werden kann, weiß jetzt nicht was die datenrettungsfirmen so in petto haben.

 

[etheReal]

So sicher wie TrueCrypt wird es bestimmt nicht sein, schon alleine deshalb, weil die Verschlüsselung vom Hersteller auf den Chip programmiert wurde, und nicht als open source Code zugänglich ist.

 

[enteon]

Durchaus.

Mit dem nachteil, dass sich truecrypt und co. sehr viel leichter durch bootkits aushebeln lassen, aber das tangiert mich persönlich jetzt weniger.
Kommt sowieso darauf an wovor man seine daten denn nun genau schützen möchte. Vor diebstahl und gemeinen hausdurchsuchungen schützt wohl jede halbwegs wirksame form der verschlüsselung (bleibt die frage ob ATA-passwort + hardware-verschlüsselung dazugehört). Gegen BND und (bundes)trojaner nützt verschlüsselung alleine nichts.

 

[Hallo32]

@enteon
Wie sicher die Implementierung der Verschlüsslung ist, wird dir hier im Forum keiner sagen können. AES ist an sich solange sicher, solange der verwendete Schlüssel gut geschützt ist.

Falls SF oder Intel irgendwo ein "Fehler" unterlaufen ist und ein Dritter den Schlüssel für AES zurückrechnen kann, ist die Hardware Verschlüsselung hinfällig.

In der Regel gilt immer, dass die Verschlüsselung deine Daten vor einen "einfachen" Dieb schützt, weil das notwendige Geld für das reverse engineering der Hardware bzw. die Zeit für das Brutforcen des ATA-Passworts fehlt.

Hast du Stress mit größeren "Unternehmen" fahren diese notfalls auch andere Geschütze auf ....

 

[enteon]

Wollte auch nur wissen ob jemand schonmal was dazu gelesen/gehört hat.
Ich meine gelesen zu haben, dass datenrettungsunternehmen hardwareverschlüsselte SSDs gerne als unknackbar bezeichnen, aber das mag sich halt geändert haben und nicht auf alle zutreffen.

 

[Hallo32]

Bei SF gibt es ein Datenrettungsunternehmen, welches die Daten von einer "panic locked" SF SSD wiederherstellen können. Wie weit dabei die Verschlüsselung angetastet wird, kann ich dir aber nicht sagen.

 

[enteon]

Und wieder einen bug kennengelernt

solange vor dem ausfall kein ATA-passwort gesetzt wurde, ist die verschlüsselung praktisch nicht aktiv und somit offensichtlich nutzlos ^^

 

[Holt]

Sandforce und Intel sind US Unternehmen und da gelten bzgl. Verschlüsselung bestimmte Regeln. Ich würde mich da nicht drauf verlassen, dass es keine Hintertüren gibt.

 

[enteon]

Gutes argument.

Ich rate auch für firmen- oder strafrechtlich eventuell relevante (bei auslandsreisen also ALLE) daten grundsätzlich zu open source verschlüsselung, zwangsweise in software.

Mein notebook sollte aber eigentlich beides nicht enthalten, solange es in hiesigen landen bleibt ^^

Bei einer reise in die USA würde ich die SSD dann eventuell löschen und mir die daten per internet nachholen. Erspart etwaige wartezeit und erklärungsversuche oder gar einreiseverbote aufgrund verschlüsselter daten.
Blöd wenn man sich auf dem antragsformular dann aus versehen verschrieben und als terrorist geoutet hat...

 

[=DarkEagle=]

Der Thread ist zwar uralt, aber der Vollständigkeit halber.

ATA-Passwörter können mit entsprechender Hardware gecrackt werden (laut der Homepage eines Datenrettungsunternehmens).
Es ist ja nicht so, dass nach 3 mal falscher Eingabe
die HDD/SSD für immer gesperrt ist. Und so ein Kennwort kann nur 8 Zeichen maximal lang sein.

 

[Holt]

Das Problem der HW Verschlüsselung ist: Die Sicherheit der jeweiligen Lösungen kennt nur der Hersteller selbst! Damit weiß auch nur der Hersteller, welche Backdoors es gibt. Interessant könnte auch sein, was Crucial bei der kommenden M500 realisiert hat:

Wie bei Plextors M5Pro handelt es sich auch bei der M500 um ein sogenanntes Self-Encrypting Drive (SED) mit eingebauter Hardware-Datenverschlüsselung (AES, 256-Bit). Anders als das Plextor-Exemplar ist sie aber kompatibel mit den Vorgaben der Opal-Spezifikation (PDF) in Version 2.0 der Trusted Computing Group (TCG) und unterstüzt außerdem das IEEE1667-Protokoll. Damit erfüllt sie als erste SSD die Voraussetzung für sogenannte eDrives unter Windows 8. Das bedeutet, dass die BitLocker-Laufwerksverschlüsselung die kryptografische Rechenarbeit dem Controller des Datenträgers überlässt.

Das man neue Anforderungen und Spezifikationen erstellt hat, zeigt eigentlich schon klar, dass die bisherigen Lösungen nicht ausreichend sind. Wie sicher das dann am Ende ist, kann man aber eben auch noch nicht ausreichend bewerten.