(komfortable) Verschlüsselung interner und externer HDDs/SSDs

[drac23]

Hallo Community,

aktuell habe ich Windows 10 auf PC und Notebook (jeweils mit internen SSDs) und zusätzlich ein paar externe Speichermedien (ext. HDD/SSD, USB-Stick). Der PC ist nicht verschlüsselt, das Notebook per Windows-Passwort geschützt, welches ich per Fingerabdruck freigebe, und Teile der ext. Medien mit VeraCrypt-Containern verschlüsselt.

Das ist für mich relativ komfortabel, was mir ziemlich wichtig ist, passt gefühlt aber - ich weiß, ein konträres Ziel - noch nicht ganz zu meinem Sicherheitsbedürfnis. Wenn nämlich z. B. eine HDD/SSD abraucht und zur Garantie eingeschickt werden müsste, würde ich mir in manchen Konstellationen datenschutzrechtliche Sorgen um z. B. den Ordner "Eigene Dateien" machen. Deswegen wollte ich euch fragen, welche Möglichkeiten ihr seht, mit wenig Komfortverlust (oder gar -gewinn) einen Sicherheitsgewinn für meinen Anwendungsfall zu erzielen.

Ein paar Ideen dazu:

• Auf dem PC jedes Mal ein PW einzugeben, kommt nicht in Frage. Auf dem Notebook eigentlich auch eher nicht. Jeweils wg. nahezu täglicher Benutzung, primär in "sicherer" Umgebung, wo nichts abhanden kommen kann. Löst aber logischerweise das Defektproblem nicht.
• Auf externen Medien jedoch hätte ich mit PW-Eingabe kein Problem. Mach ich ja z. T. heute schon. Vlt. wäre es eine Option, direkt alles mit VeraCrypt o. ä. zu verschlüsseln!?
• Richtig cool fände ich z. B. eine Lösung, wo ich am PC einen Stick oder sowas anstecken kann - und immer, wenn der dran ist, muss ich gar nichts eingeben, es ist aber im Hintergrund trotzdem alles verschlüsselt. Erst wenn er fehlt, greift die Verschlüsselung. Habe da mal was bzgl. YubiKey gelesen, weiß aber nicht, ob das in meine Richtung ginge.
• Mit Bitlocker habe ich mich noch nicht wirklich auseinandergesetzt, nur z. B. zuletzt mal von Probleme bzgl. TPM im Kontext Hardwarewechsel und Windows 11 gelesen (Wechsel steht evtl. demnächst an). Womöglich wäre das auch eine Option!?

Ansonsten bin ich wie immer aufgeschlossen für Ideen und lass mich gern von euch überzeugen, vielen Dank schon mal für die Unterstützung!

 

[yxcvb]

Bitlocker. Und du kannst externe Medien automatisch entsperren lassen. Du kannst Bitlocker so einstellen, dass das System ohne PW startet, und du kannst es so einstellen, dass beim Start ein Bitlocker Kennwort verlangt wird.

 

[sikarr]

Bitlocker, ist in Windows integriert und mit einer aktuellen TPM Version brauchst auch kein Passwort (bis auf den Wiederherstellungsschlüssel), Windows und das TPM kümmert sich dann um den Rest.

Und ja bei einem Hardwarewechsel (der das TPM beinhaltet) wird es etwas aufwändiger.

 

[coasterblog]

Auf dem PC jedes Mal ein PW einzugeben, kommt nicht in Frage.

Vlt. wäre es eine Option, direkt alles mit VeraCrypt o. ä. zu verschlüsseln!?

die beiden Punkte beißen sich, du wirst ein PW eingeben müssen bei einer Datenträgervollverschlüsselung. Bei jedem Einschalten allerdings nur. Backups sind sowieso Pflicht!

 

[sikarr]

Richtig cool fände ich z. B. eine Lösung, wo ich am PC einen Stick oder sowas anstecken kann - und immer, wenn der dran ist, muss ich gar nichts eingeben, es ist aber im Hintergrund trotzdem alles verschlüsselt. Erst wenn er fehlt, greift die Verschlüsselung. Habe da mal was bzgl. YubiKey gelesen, weiß aber nicht, ob das in meine Richtung ginge.

Ja das geht in die Richtung. Die Verschlüsselung ist aber immer da, wenn der Stick kaputt geht z.B. kommst du nicht mehr ran.

 

[drac23]

die beiden Punkte beißen sich, du wirst ein PW eingeben müssen bei einer Datenträgervollverschlüsselung. Bei jedem Einschalten allerdings nur. Backups sind sowieso Pflicht!

PW-Eingabe bezog sich auf PC/NB (Punkt 1), VeraCrypt hingegen war auf die ext. Medien bezogen (Punkt 2).
@coasterblog: Aber warum muss trotzdem immer was eingegeben werden? Die beiden Kommentare drüber hatte ich so verstanden, dass das nicht mehr nötig ist.

Ergänzung (17. Februar 2023)

Ja das geht in die Richtung. Die Verschlüsselung ist aber immer da, wenn der Stick z.B. kommst du nicht mehr ran.

Fehlt da im hinteren Teil vom Satz nicht noch was wie z. B. "kaputt geht"?! Falls ja: Selbst dann versteh ich nicht, warum man nicht mehr rankommt!?

 

[coasterblog]

Selbst dann versteh ich nicht, warum man nicht mehr rankommt!?

Wenn dir dein Schlüssel fehlt sind die Daten verschlossen. Das will er damit sagen und ja, sein Satz war wohl zu früh abgeschickt

Ergänzung (17. Februar 2023)

Aber warum muss trotzdem immer was eingegeben werden? Die beiden Kommentare drüber hatte ich so verstanden, dass das nicht mehr nötig ist.

Wie soll Verschlüsselung ohne PW sonst funktionieren mit Veracrypt?
Bitlocker ist nicht VC

edit 2: Der einfache Weg auch ohne große Systembelastung wäre die Verschlüsselung der SSD zu nutzen wenn diese eine hat. Einmal beim Einschalten eingeben (ATA Passwort) und gut iss. Reicht völlig um Daten beim Einsenden oder Diebstahl zu schützen. Die SSD muss es allerdings können. Dazu in den techn. Daten nachsehen.

 

[drac23]

Wie soll Verschlüsselung ohne PW sonst funktionieren mit Veracrypt?
Bitlocker ist nicht VC

Das ist mir klar, deswegen eben meine Aussagen:

• PC/NB bislang "nichts" (außer Win-PW), ext. Medien bislang VC-Container.
• künftig evtl. PC/NB in Richtung Bitlocker/YubiKey und andererseits ext. Medien zukünftig VC-Komplettverschlüsselung/Bitlocker.

Ich bezog mich auf "Du kannst Bitlocker so einstellen, dass das System ohne PW startet" von oben. Da gehts ja nur um BL bei PC/NB und nicht die ext. Medien.

 

[coasterblog]

Du solltest dich wenn du mich zitierst oder anschreibst nicht auf andere Kommentar beziehen. Und wenn du kein PW zum Start abfragst bei Bitlocker gilt das auch für den Reparaturdienst und einen Dieb. Der braucht dann auch nur hochfahren und kommt an alles ran.

Ergänzung (17. Februar 2023)

siehe meinen edit 2 weiter oben. Falls vorhanden die Hardware Verschlüsselung der SSD nutzen.

 

[drac23]

edit 2: Der einfache Weg auch ohne große Systembelastung wäre die Verschlüsselung der SSD zu nutzen wenn diese eine hat. Einmal beim Einschalten eingeben (ATA Passwort) und gut iss. Reicht völlig um Daten beim Einsenden oder Diebstahl zu schützen. Die SSD muss es allerdings können. Dazu in den techn. Daten nachsehen.

Meinst du das hier? Zitat aus dem CB-Test:

Für die 960 Evo nennt Samsung wie für die 960 Pro nun offiziell die Unterstützung von AES mit 256 Bit sowie TCG/Opal. Microsoft eDrive wird vorerst nicht unterstützt.

Verschlüsselung ist bei NVMe noch schwierig
Dass Samsungs SATA-Modelle ohne Probleme vom Start weg alle genannten Standards unterstützen, die PCIe-Modelle aber nicht, zeigt, dass es beim NVMe-Protokoll noch Nachholbedarf gibt. Im Gespräch mit ComputerBase erklärte ein Samsung-Sprecher, dass es beim im Vergleich zu AHCI noch sehr jungen NVMe-Protokoll aufgrund der geringen Erfahrung noch komplizierter sei. Kompatibilitätsprobleme müssten erst aus der Welt geschaffen werden.

Klingt für NVMe natürlich unschön. :-/

 

[coasterblog]

Meine beiden NVMe sind verschlüsselt.
Problem vom Anfang der Geschichte: es gab u.U. Masterkennwörter und manchmal wurde gelogen dass überhaupt verschlüsselt wurde. Das ist aber lange her und evtl. kommt der Hersteller noch an die Daten was aber bedeuten würde da müssen Behörden mit involviert sein um es überhaupt versuchen zu dürfen.

Wie gesagt, der Reparaturdienst und ein gewöhnlicher Dieb werden damit i.d.R. abgewehrt.

 

[_anonymous0815_]

Bitlocker und TPM sind mittlerweile so eine Sache:

https://astralvx.com/stealing-the-bitlocker-key-from-a-tpm/

TLDR: Bitlocker-Verschlüsselung kann umgangen werden!

 

[coasterblog]

Du musst halt nur gucken ob deine SSD das können. Beispiel von mir:

 

[sikarr]

Fehlt da im hinteren Teil vom Satz nicht noch was wie z. B. "kaputt geht"?! Falls ja: Selbst dann versteh ich nicht, warum man nicht mehr rankommt!?

Ja da war ich gedanklich schneller als beim schreiben.

Ergänzung (17. Februar 2023)

TLDR: Bitlocker-Verschlüsselung kann umgangen werden!

Fragt sich von wem. Fragt euch mal selber ob ihr einfach nur ein Diebstahl Schutz haben wollt oder wirklich etwas vor dem System zu verbergen habt und ob bitlocker dann nicht trotzdem reicht.

 

[coasterblog]

Getestet und mit einem guten PW als sehr sicher angesehen ist halt Veracrypt.

Aber Bitlocker reicht wenn man es nicht mit Behörden zu tun hat. Bei einer Entwendung oder Service Anliegen reicht es aus. Für die "spezielle" XXX Sammlung die wirklich von Niemanden gesehen werden soll (ohne massiven Aufwand) nimmt man VC + ein starkes PW

 

[sikarr]

Aber Bitlocker reicht wenn man es nicht mit Behörden zu tun hat.

Und selbst da wahrscheinlich.

Für die "spezielle" XXX Sammlung die wirklich von Niemanden gesehen werden soll (ohne massiven Aufwand) nimmt man VC + ein starkes PW

Da ist es dann aber eher das Thema Spionageschutz weil man vielleicht in einem nicht ganz so freien Land lebt oder um Strafumgehung.

Bei letzterem muss man sich wirklich fragen ob die Daten das Wert sind. Wenn man bei einem Verhör nach dem Passwort gefragt wird haben die auch Möglichkeiten einen dazu zubringen. 24h Beugehaft und penetrantes Bearbeiten und Löchern, da gebt ihr bei Zeiten das Passwort preis.

 

[drac23]

Naja, also abgesehen vielleicht von den paar Dokumenten, die mir damals Edward panisch in London zugesteckt hat, liegen keine Staatsgeheimnisse auf dem PC. Ich breche also nicht in Paranoia über Beugehaft etc. aus, nur weil jetzt seit etwa einer Woche gegenüber ein komisches Auto von einem vermeintlichen Kammerjäger parkt.

B2T: Noch ein paar Nachfragen:

1. @coasterblog: Genau, bei mir reden wir eher von "Reparaturdienst/Dieb" als Szenario. Bei der Windows-SSD steht bei mir übrigens "Datenschutzfunktionen: 256bit AES, TCG Opal 2.0". Wäre damit auch eine Verschlüsselungslösung ohne PW-Eingabe möglich? Weil...
2. ...so ganz im Klaren über das mit Bitlocker bin ich mir jetzt noch nicht: Wenn ich das mit TPM richtig verstanden habe, wäre die Bitlocker-TPM-Verschlüsselung ja Hardware-gebunden.
   Heißt also:
   1. Wenn was im PC den Geist aufgibt, ich es ausbaue und verschicke, dann alles wunderbar!
   2. Wenn jedoch das komplette NB eingeschickt werden muss inkl. SSD, dann "Problem", oder?
3. @yxcvb: Für externe Medien wäre dann deine Empfehlung, komplett auf VC zu verzichten?
   

   Bitlocker. Und du kannst externe Medien automatisch entsperren lassen. Du kannst Bitlocker so einstellen, dass das System ohne PW startet, und du kannst es so einstellen, dass beim Start ein Bitlocker Kennwort verlangt wird.

   Falls ja: Hab ich mit Bitlocker dann wirklich auch keine Probleme, wenn der USB-Stick an nem Win7-, Linux- oder Apple-Rechner angeschlossen wird bzw. wie würde das dort mit der Entschlüsselung laufen?
4. @sikarr: Nachdem deine Empfehlung ja dann - erklärbar - nicht so ein Key ist...
   

   Und ja bei einem Hardwarewechsel (der das TPM beinhaltet) wird es etwas aufwändiger.

   ...wie viel Aufwand (und ggf. Gefahrenpotential!?) ist das denn bei einem HW-Wechsel?

Bin gerade außerdem dabei, ein paar alte Bitlocker-Einträge hier im CB-Forum zu lesen, vlt. kommen noch weitere Fragen.

 

[coasterblog]

Bei der Windows-SSD steht bei mir übrigens "Datenschutzfunktionen: 256bit AES, TCG Opal 2.0". Wäre damit auch eine Verschlüsselungslösung ohne PW-Eingabe möglich?

Nein. Einmalig beim Start des Systems (vor Windows)
Das ATA Passwort hat auch nichts mit Bitlocker zu tun. Alles findet per Hardware in der SSD statt.

 

[sikarr]

Wenn was im PC den Geist aufgibt, ich es ausbaue und verschicke, dann alles wunderbar!

Ja, da kann nix passieren.

Wenn jedoch das komplette NB eingeschickt werden muss inkl. SSD, dann "Problem", oder?

Nein, weil das Passwort wird ja Trotzdem gebraucht.

Falls ja: Hab ich mit Bitlocker dann wirklich auch keine Probleme, wenn der USB-Stick an nem Win7-, Linux- oder Apple-Rechner angeschlossen wird bzw. wie würde das dort mit der Entschlüsselung laufen?

Kommt drauf an wie sie verschlüsselt wurde (gibt 2 Optionen), aber für Linux und wahrscheinlich auch macOS gibt es tools mit denen du dann auch auf die Daten zugreifen kannst wenn du das Passwort kennst.

...wie viel Aufwand (und ggf. Gefahrenpotential!?) ist das denn bei einem HW-Wechsel?

Ich habe das selber noch nicht durch aber dafür sollte eigentlich der Masterkey da sein. Wenn du einfach nur aufrüstest dann tutst du vorher einfach die Verschlüsselung aufheben. wechselt die Hardware (Mainboard und/oder CPU, der Rest ist egal und verschlüsselst neu. Evtl. kann man den Schlüssel auch aus dem TPM holen und in das Neue importieren. Bei einem defekt brauchst du dann aber das Masterkennwort nach dem Tausch.

 

[PC295]

Wenn man bei einem Verhör nach dem Passwort gefragt wird haben die auch Möglichkeiten einen dazu zubringen. 24h Beugehaft und penetrantes Bearbeiten und Löchern, da gebt ihr bei Zeiten das Passwort preis.

Wir leben nicht in den USA...

Als Beschuldigter in einem Strafverfahren musst du keine Aussagen bzw. irgendwelche Vorladungen nachkommen, dass heisst, du musst auch keine Passwörter oder Zugangsdaten herausgeben.

Wenn jemand von seinem Aussageverweigerungsrecht gebrauch macht, ist dass auch kein Haftgrund.

Bitlocker ist übrigens auch sehr sicher (auch im Labor), wenn das System und Bitlocker richtig konfiguriert sind,
also Preboot-Authentifizierung mit alphanummerischen PIN, verschlüsselter Systempartition, Secure Boot, UEFI-Passwortschutz, Kernel-DMA-Schutz und natürlich einen Wiederherstellungsschüssel der weder im MS-Konto gespeichert ist noch irgendwo zugänglich herumliegt (als Datei oder ausgedruckt).