SSD ATA Passwort - Festplatte unbrauchbar

[dendee]

Hallo zusammen.

Ich habe vor kurzem auf einer neuen ADATA SU900 256GB Windows 10 installiert. Anschließend wurde über das BIOS ein ATA Passwort gesetzt und im Zuge dessen hat die Festplatte nicht mehr funktioniert. Das Booten, das neuformatieren, alles nicht machbar. Das Gerät, in das die Festplatte verbaut war, war ein Lenovo Thinkpad, die genaue Bezeichnung weiß ich gerade leider nicht.

Nun habe ich mehrere Fragen:

1. Ist es möglich, dass die Festplatte gar kein Passwort unterstützt und das BIOS, was von Lenovo als dynamisch deklariert wird, an dieser Stelle fehlerhaft war, weil das Passwort überhaupt erst setzbar war, obwohl es das nicht hätte sein dürfen?

2. Woran genau erkenne ich, ob eine Festplatte ATA Passwörter unterstützt, damit so ein Fall nicht wieder vorkommt?

3. Ist es möglich, die Festplatte zu resetten? Sie wird noch erkannt im Sinne von, dass ich sie über externe Software auslesen kann und mir auch Informationen gegeben werden, aber selbst unter Linux bin ich mit hdparm nicht weiter gekommen. Sie reagiert auf keine Befehle.

Vielen Dank schon mal für die Hilfe
Gruß, Dendee

 

[TheGrizzlyGiant]

Hallo,

diesen Fall hatte ich schon mehrfach in der Firma - du musst die SSD wieder in ein ThinkPad einbauen und damit das Kennwort entfernen, andernfalls ist die SSD unbauchbar.

Ob es andere Workarounds gibt ist mir unbekannt.

PS: Per USB anschließen reicht in diesem Fall nicht, die SSD muss an eine interne Schnittstelle.

 

[Bartmensch]

Habe ich hier gefunden: https://thinkpad-forum.de/threads/204956-ATA-Security-Laufwerks-Passwort-bei-unverschlüsseltem-Laufwerk-sinnvoll

Die Verschlüsselung ist völlig unabhängig vom ATA-Passwort, s.o. - d.h. ein Laufwerk mit HW-Verschlüsselung speichert immer alles verschlüsselt, auch ohne aktiviertes Passwort. Allerdings kann dann weiter jeder auf die Daten zugreifen, da der SSD-Controller sie auch ohne Passwort automatisch entschlüsselt. Nur der forensische Zugriff auf die Speicherchips (d.h. unter Umgehung des integrierten Controllers der SSD = SSD auseinandernehmen und die Chips an einen anderen Controller anschließen) scheitert dann, weil die Daten auf den Chips verschlüsselt sind und nur über den originalen Controller entschlüsselt werden können. Man muss also auch den Controller noch sichern, durch die Vergabe eines Laufwerks-/ATA-Passwortes.

Zusammenfassung:
a) HW-Verschlüsselung ohne Laufwerks-/ATA-Passwort: Nur Speicherchips gegen forensisches Auslesen gesichert, originaler Controller entschlüsselt diese aber jederzeit, d.h. Dieb könnte intakte SSD jederzeit auslesen.
b) Laufwerks-/ATA-Passwort ohne HW-Verschlüsselung: Speicherchips nicht gegen forensisches Auslesen gesichert, Zugriff über originalen Controller aber gesichert, d.h. Dieb müsste SSD auseinanderbauen und Chips an anderen Controller hängen.
c) HW-Verschlüsselung und Laufwerks-/ATA-Passwort: Speicherchips gegen forensisches Auslesen gesichert, Zugriff über originalen Controller auch gesichert, d.h. Dieb könnte SSD weder über den originalen Controller noch per Forensik (Speicherchips an anderen Controller hängen) auslesen.


-> Wenn also tatsächlich nur das ATA PW für die SSd gesetzt ist, sollte man die SSD extern auslesen können.
Das PW wird im Lenovo in BIOS und Controller gespeichert, soll die SSD im Lenovo weiter genutzt werden, muss dieses PW rausgenommen werden.

 

[Glowman]

Hallo,

diesen Fall hatte ich schon mehrfach in der Firma - du musst die SSD wieder in ein ThinkPad einbauen und damit das Kennwort entfernen, andernfalls ist die SSD unbauchbar.

Ob es andere Workarounds gibt ist mir unbekannt.

PS: Per USB anschließen reicht in diesem Fall nicht, die SSD muss an eine interne Schnittstelle.

Kann ich so unterschreiben, es muss jedoch nicht das gleiche Gerät sein in welche die Platte verbaut war

 

[xallobj]

Das ATA Pwd wird auf dem Controller der SSD eingerichtet und gespeichert.
Wenn die SSD in einem Thinkpad war, kannst DU sie wieder in das Thinkpad einbauen und das Passwort wieder entfernen.

ACHTUNG, EIGENE ERFAHRUNG:
Nicht alle Thinkpads verwalten Passwörter identisch, bzw. ist die Art und Weise verschieden.
Beispiel: Ein Thinkpad der uralten Serie R60, HDD Passwort eingerichtet.
Folge: Das Festplattenpasswort wurde nicht auf einem Thinkpad der T500 Serie akzeptiert, Mithilfe eines T60 konnte dass Passwort aber bearbeitet und dann entfernt werden.

Ich möchte mit dieser Erfahrung darauf hinweisen, dass verschiedene Geräte, auch von gleichen Herstellern (ähnliche Erfahrung mit HP) teilweise unterschiedlich die Passwörter behandeln.

 

[dendee]

Vielen Dank für die schnellen Antworten.

Ist es bei der SSD dann so, dass sie nicht mit einem Passwort schützbar ist? Und das, obwohl das Modell noch relativ jung ist? (Kam 2017 auf den Markt)

Und gibt es von Lenovo eine Stellungsnahme, warum der Menüpunkt zum Setzen des Passworts trotz Unterstützung nicht deaktiviert wird?

Gruß

 

[xallobj]

Zu 1. Es ist generell möglich, das Alter der SSD spielt in dem Fall keine Rolle, ich habe hier neue Toshiba SSDs, welche das Feature nicht unterstützen. Es ist generell bei SSDs als Feature anzusehen, welches zusammen mit Self-Encryption relativ einfach einen ziemlich guten Sicherheitsstatus bietet.

Zu 2. Generell gibt es kein Statement von Lenovo, es hängt wohl auch zusammen, wie alt das Thinkpad ist (Du hattest nicht gesagt, welches genaue Modell, oder ich habe es überlesen) Früher war der ATA Standard immer gültig und alle Festplatten haben das generell unterstützt. Jetzt ist die Schnittstelle auch nur noch eine von vielen, und die Implementierung des ATA Standards ist eine Sache des Controllers.
Wer von beiden jetzt genau Schuld ist (ADATA oder Lenovo) muss man erst mal feststellen, meine Erfahrung ist, dass bei SSDs, welche kein Passwort unterstützen, die Option auch nicht angeboten wird.

 

[Holt]

aber selbst unter Linux bin ich mit hdparm nicht weiter gekommen. Sie reagiert auf keine Befehle.

Dann poste doch mal die Ausgabe von (ggf. sudo) hdparm -I /dev/sdx (das x in sdx durch den passenden Buchstaben der Platte ersetzen), wobei der interessante Teil am Ende bei security steht.

Wenn also tatsächlich nur das ATA PW für die SSd gesetzt ist, sollte man die SSD extern auslesen können.

Nein, wenn ein Userpasswort gesetzt wurde, dann kann man erst nach der Eingabe des richtigen Passwortes die Daten auslesen, alle andere Lese- und Schreibbefehle werden mit einem I/O Error beantwortet. Die Device Identdaten kann man aber trotzdem auslesen.