SED SSD Verschlüsselung, Key auf dem USB Stick

b4e5ff3d9e

Ensign
Registriert
Mai 2009
Beiträge
184
Um Verschlüsselung im SED SSD zu aktivieren muss man normalerweise ATA Passwort im BIOS setzen.
Ich finde es aufwendig jedes mal beim booten Passwort zu eintippen.
Weiß jemand, ob es Möglichkeit gibt den Key automatisch aus dem USB Stick beim booten zu laden, so wie mit Software Lösungen (z.b Diskcryptor)?
Außerdem mir ist nicht ganz klar ob tatsächliches Key dieses ATA Passwort ist, oder dient es nur zum Verschlüsselung-Aktivierung ?
Wenn so ist der Fall, dann ist ein längeres, binäres Key noch wichtiger.

Danke.
 
Das mit dem USB-Stick wird nicht funktionieren, da das Passwort AFAIR vor der USB-Initialisierung abgefragt wird.
Zudem hättest du dann ein echtes Problem, wenn der USB-Stick nicht mehr mag.
 
Eine SED SSD hat eigenes Betriebssystem, Verschlüsselung muss man nicht unbedingt mit ATA Passwort im BIOS aktivieren. Deswegen meine Frage.

supastar schrieb:
Zudem hättest du dann ein echtes Problem, wenn der USB-Stick nicht mehr mag.

Warum ? Man macht sowieso Sicherungskopien. Also Hardware-Verschlüsselung ist zwar schön, aber wenn es um Sicherheit geht (und das ist der Sinn der Sache) ich bin nicht ganz überzeugt. Dazu noch es handelt sich um closed-source software, backdoors sind nicht ausgeschlossen.
 
Zuletzt bearbeitet:
Übersetzt du aus dem Englischen per Übersetzer ins Deutsche? Schräge Grammatik. Anyway, per USB würde ich auch abraten. Was ist gegen HW Verschlüsselung auszusetzen? Backdoors, die du meinst, schlummern potenziell überall.
 
Out_of_CTRL schrieb:
Übersetzt du aus dem Englischen per Übersetzer ins Deutsche? Schräge Grammatik. Anyway, per USB würde ich auch abraten. Was ist gegen HW Verschlüsselung auszusetzen? Backdoors, die du meinst, schlummern potenziell überall.


Sorry, deutsch ist nicht meine Muttersprache. Ich hoffe du verstehst was ich meine. Backdoors mit open source machen keinen Sinn - sie sind sehr schnell auffindbar - jeder kann es untersuchen. Aber das ist nicht das Hauptproblem, sondern Bequemlichkeit und Schlüsselstärke. Mit Software Lösungen das geht wunderbar aber mit Leistungseinbußen. Darum geht es.
 
Macht ja nix. War nur ne Frage. Backdoors kann es in jeder Hardware geben. Netzwerkkarten, Router, Handy etc..., da ist proprietäre Software nur ein Teil des Übels. Kommt darauf an, was du erreichen bzw. schützen willst. Ab einem Punkt muss man halt auf Internet und Handy verzichten wenn man seine Daten nicht kompromittiert sehen will.
 
b4e5ff3d9e schrieb:
Eine SED SSD hat eigenes Betriebssystem, Verschlüsselung muss man nicht unbedingt mit ATA Passwort im BIOS aktivieren.
Sie hat eine FW und das als Betriebssystem zu übersetzen ist etwas schlecht, denn die FW läuft ja auch dem Controller der SSD, nicht auf der CPU des Rechners. Diese FW erwartet eben zuerst das Passwort bevor es den Zugriff auf die SSD erlaubt, von der dann normalerweise das eigentlich Betriebssystem des Rechners gebootet wird. Davor gibt es nur das BIOS des Mainboards und das musseeine Funktion haben um dieses Passwort abzufragen und die SSD so zu entsperren. Um über einen Stick die die Eingabe des Passworts zu vermeiden, müsste diese Funktion also im BIOS stecken.
 
@Holt

Ich rede nicht über Standard SSD Firmware sondern über abgespeckte Version von Linux (oder ähnliches) die extra obendrauf in SED SSDs zum Einsatz kommt. Ob Betriebssystem läuft auf dem CPU des Rechners oder der SSD, es spielt keine Rolle (im diesem Sinne), es handelt sich immer noch um (mehrzweck-) Betriebssystem :)
Es stimmt nicht das SED SSD nur mit dem BIOS des PCs kommunizieren kann um zu booten. Es würde auch keinen Sinn machen - oder meinst du gibt es nur PCs in dieser Welt? Gibt es jede menge SED Management Software wie Wave Wave Systems EMBASSY Security Center, WinMagic’s SecureDoc usw.
Also ich boote zuerst NICHT von SSD, sondern von einem Stick mit geeigneten Software, die dann wiederum SSD bootet.
 
Zuletzt bearbeitet:
Es ist leider schwer Dich zu verstehen und vermutlich hast Du auch massive Probleme uns zu verstehen, aber Du solltest Dich noch einmal auf Interneseite in Deiner Muttersprache schlau machen, denn Du scheinst alles durcheinander zu werfen weil Du von dem Thema offenbar noch keine Ahnung hast.
 
@Holt

Ich kann euch perfekt verstehen, es tut mir leid wenn ich mich nicht klar genug ausdrücken kann . Wenn du denkst das ich keine Ahnung habe dann bitte KONKRET schildern statt Thema zu wechseln. Das klingt wirklich nach wenig Ahnung.
Es ist ganz einfach - also nochmal:
Bootloader liegt im USB Stick und kommuniziert via Opal Storage Specification API direkt mit SED (self-encrypting drive) SSD.
Was verstehst du nicht und was habe ich, deiner Meinung nach, falsch geschrieben ?
 
Zuletzt bearbeitet:
Über welche SSD reden wir?
Ja, deine Idee ist möglich, wenn die SSD Opal (2?) tauglich ist und diese in diesen Modus betrieben wird.
Als Grundlage könnte man msed nehmen.
 
@Hallo32

Danke, endlich jemand der auch universelle fachliche Sprache versteht :)
Genau das meine ich, ich rede über eine TCG Opal v2.0 konform SSD (Samsung 850 Pro)
Ich habe auch gerade msed gefunden.
 
Zuletzt bearbeitet:
Erstens erwähnst Du erst jetzt, dass es um TCG Opal v2.0 geht und zweitens, dass Du von dem USB Stick auch gleich booten willst. Vorher war von "den Key automatisch aus dem USB Stick beim booten zu laden" und "ATA Passwort" die Rede, was auch die normalen SED Platten deutet und bei denen sperrt das BIOS i.d.R. die Sicherheitsfunktionen, so dass diese damit nur im BIOS selbst durch Einagbe des ATA Passwirts entschlüsselt werden können. Das ist auch sinnvoll, damit die ATA-Passwörter danach nicht von Keyloggern abgegriffen werden können.
 
@Holt

Wenn du nicht nur über Grammatik und Schlau-Macherei, sondern auch was über die Thema Ahnung hättest, dann würdest du mich sofort verstehen :) genau wie Hallo32. Es ist selbstverständlich das sich Bootloader und den Key auf dem Stick befindet, wo sonst ???
 
Widerspruch!

Der Bootloader befindet sich bei msed auf der SSD selbst. Solange die SSD noch gesperrt ist, sieht man nur eine Partition, die das OS zum freischalten der SSD beinhalten. Nach dem freischalten der SSD wird die Partition ausgeblendet und man sieht die "normalen" Partition auf der SSD.
 
@Hallo32
Logisch, ich meine der "erste" Bootloader, ich rede nicht über SSD Bootloader. Also erst bootet USB Stick mit msed und dann initiert er wiederum SSD Bootloader.
 
Zuletzt bearbeitet:
Das ist bei mir der erste.

Es ist beides mal die identische SSD.

SSD offen:
SSDOffen.png

SSD gesperrt:
SSDGesperrt.png
 
Ich habe den msed Autor kontaktiert, hier ist die Lösung:

Zitat:
Put the rescue system on a USB stick (http://www.r0m30.com/msed/documentation/managing/testrescue) and then setup the root profile to issue the msed commands to unlock your drive(s) and reboot the machine.

Ich weiß es nicht ob möglich ist, SSD Bootloader auch ohne Reboot zu re-initilalisieren.
Also die Idee war, USB-Stick wie eine Art physikalischer Schlüssel zu verwenden. Gleich nach der Freischaltung, ich stecke ihn aus.
 
So kann man es natürlich auch machen.

Den USB Stick kannst du nach dem Freischalten aus dem PC entfernen.
 
Zurück
Oben