SSD mit FDE Hardwareverschlüsselung

[noco]

Also dass die Postvilles FDE könnten, wäre mir neu. Ich verstehe das jetzt so:

Bei einer FDE Platte liegen sämtliche Daten verschlüsselt vor. Die Platte generiert dabei scheinbar selbstständig einen Schlüssel und man kann diesen (hoffentlich) auch nicht auslesen. Ohne ATA Passwort kann man jedoch wie bei einer normalen HD auf die Daten zugreifen, da automatisch entschlüsselt wird.
Das ATA PW setzt nun davor an. Ohne dieses kann man nicht auf die Platte zugreifen, wie du bereits festgestellt hast. Hat die SSD nun kein FDE, kann man die Daten (das richtige Equipement vorausgesetzt) direkt von den Speicherchips auslesen. Verschlüsselt die Platte aber, lässt sich da natürlich nichts auslesen. Der Vorteil einer FDE ist eben, dass die Daten (sofern man das ATA PW als sicher ansehen kann) ohne das PW nicht auszulesen sind.

Konntest du mal testen, ob man mit dem richtigen Passwort an einem anderen Rechner/Notebook wieder an seine Daten kommt oder ob es funktioniert, unter Verlust sämtlicher Daten das Passwort zurückzusetzen?

 

[kaigue]

Das ATA Passwort ist nicht sicher. Mit ATA PW kann man keine HDD schützen. Bloß weil er es nicht geschafft hat, die Platte an einen anderen PC anzuschließen bedeutet das nicht, dass die Platte jetzt sicher ist.

Das ATA Passwort wird bei den FDE HDDs nur genutzt um damit die Platte zu verschlüsseln. Es wird dann quasi durch die HDD/SSD übernommen.

Das ist ein großer Unterschied. Dann bringt es dir auch nichts, das ATA PW zu umgehen. Weil die SSD hat das PW schon längst gesetzt.

 

[noco]

Ich frage diesbezüglich mal bei den Herstellern nach. Irgendwie hört man überall etwas anderes. War jetzt eigentlich der Meinung, dass bei FDE HDDs die Verschlüsselung nur dazu da ist, dass man die Daten nicht direkt von den Scheiben/Chips auslesen kann und das ATA Passwort, damit man nicht "normal" darauf zugreifen kann.

 

[Wilhelm14]

Uns ist allen klar, dass der FDE-Schlüssel mit dem ATA-Passwort des BIOS scharf geschaltet wird (kurz und plump gesagt). Und wir können den Datenblättern der Laufwerke entnehmen, ob sie FDE können oder nicht.

Wie kann man das aber prüfen? Mal angenommen, man hat ein unbekanntes Laufwerk. Wie kann man unterscheiden, ob es nur das ATA-Passwort ist oder zusätzlich FDE? An vielen Ecken hört man, das ATA-Passwort sei nicht sicher und aushebelbar.

Wie sicher sind Festplattenpasswörter?

Bei dem in diesem Artikel beschriebenen ATA Security Feature Set handelt es sich um eine in der Festplattenfirmware realisierte Passwortsperre. Sie kostet im Betrieb keine Performance, bietet aber weniger Sicherheit als eine starke Verschlüsselung. Wenn es irgendwie gelingt, die Firmware auszutricksen, liegen alle Daten offen.

Die Festplattenhersteller versichern, dass sie keine Hintertüren in Form geheimer Generalschlüssel eingebaut haben und selbst nicht in der Lage sind, passwortgeschützte Platten zu entsperren. Auch ein Tausch der Laufwerkselektronik mit der einer ungeschützten Platte hebelt den Schutz nicht aus, denn große Teile der Firmware und das Passwort werden auf der Platte selbst gespeichert und nicht etwa in einem Flash-Speicher auf der Platine.

Findige Köpfe bei den Datenrettungsunternehmen haben dennoch Wege gefunden, das Passwort zu umgehen. Die Firma Ibas war so freundlich, uns eine Probe ihres Könnens zu geben. Wir haben eine WD1000JB mit einem 32 Byte langen Passwort gesperrt und eingesandt und postwendend die „geheime“ Datei zurückerhalten, die auf der Platte gespeichert war. „Da war ein bisschen Glück dabei“, so Ibas-Geschäftsführer Karl Flammersfeld. „Wenn wir das Festplattenmodell bereits kennen, geht das recht schnell. Bei unbekannten Modellen kann es schon mal eine Weile dauern, aber meistens bekommen wir es hin.“ Wie der Trick funktioniert, möchte er nicht verraten - Geschäftsgeheimnis. Es ist jedenfalls nicht nötig, die Festplatte dazu zu öffnen.

So lautet das ernüchternde Fazit zum Thema ATA Security: Für wirklich sensible Daten ist der Mechanismus zu unsicher, weil ihn die Datenretter umgehen können. Man kann damit aber großen Schaden anrichten, weil nur die Datenretter ihn umgehen können.

aus http://www.heise.de/ct/artikel/Baerendienst-289866.html

Das Tool ATAPwd funktioniert bei mir nicht. http://www.heise.de/ct/05/08/links/172.shtml Und das IBM-Tool läuft mit meinem Notebook auch nicht. Da müsste ich wirklich meine FDE-Hitachi in ein Thinkpad bauen, dass fürs IBM-Tool empfänglich ist.

 

[noco]

Habe mal bei OCZ wegen der Verschlüsselung nachgefragt und folgende Info erhalten

Um die Verschlüsselung unserer SF1200 SSDs nutzen zu können bzw. diese mit einem Passwortschutz zu versehen, ist eine Software namens OCZ Toolbox nötig. Leider ist diese noch nicht fertiggestellt. Weitere Informationen dazu finden Sie hier -> Guide Sandforce encryption info

Könnte mir vorstellen, dass das Tool nur das ATA Passwort setzt, damit man es auch bei Boards ohne dieses Feature im Bios nutzen kann. Habe aber nochmal nachgehakt und auch wegen der Sicherheit gefragt. Wird irgendwie immer undurchsichtiger alles..


Gruß,
Nico.


EDIT: Habe eben noch eine Mail von OCZ bekommen. Das nenne ich mal Service, um diese Uhrzeit!

das Encryption Feature unserer SF SSDs können Sie nur mit der Toolbox nutzen. Ein Passwort im BIOS können Sie natürlich dennoch verwenden. Sollte das Passwort verloren gehen, wäre die SSD zwar nicht unbrauchbar, wohl aber die Daten. Mit HDDErase könnten Sie die SSD komplett in den Urzustand versetzen.

Mir scheint, ich muss mal abwarten, bis diese Toolbox raus ist, bevor ich mir irgendwas kaufe.

Wisst ihr, wie das bei den anderen Herstellern ist? Bieten die auch Toolboxen für die Verschlüsselung an bzw. ist da ebenfalls etwas geplant?

 

[kaigue]

Ich hab ja schon geschrieben, was SF gesagt hat. Laut deren Meinung ist keine Software nötig.