Verschlüsselte SSD einfach zu lesen?

[peljotha]

Hallo zusammen,
ich habe eine Frage zur Verschlüsselung einer SSD.

Ich habe ein neues Notebook, ein Asus Zenbook OLED mit
i5 1135G7
16GB RAM
TPM 2.0
und ursprünglich einer Intel 660p 512GB (original Win10 home).
Danach bin ich günstig an eine Crucial P5 500GB gekommen (Win10 home neu installiert und update auf W11).
Jetzt aktuell ist aber eine 970 evo plus mit 1TB drin, auf der W11 frisch installiert ist.

Vorgeschichte: Ich wollte vor allem aus Performance- und Haltbarkeitsgründen auf eine TLC-SSD upgraden. Die P5 habe ich dann auch um 49,90 erstanden. Die 660p wollte ich mit einem Adapter in meinem E920 auf PCI-e als Daten-SSD verwenden. Ich habe in W10 gesehen, dass die SSD verschlüsselt ist und habe sie entschlüsselt, um sie in dem Desktop verwenden zu können. Ich kann auch vollumfänglich darauf zugreifen.
Nachdem ich die P5 eingebaut hatte und von W10 auf W11 upgedated habe (ohne MS-Konto!), kam mir als Angebot die 970 evo plus über den Weg und auf diese habe ich dann sofort W11 home installiert.
Die P5 habe ich dann ebenfalls in den Desktop eingebaut.

So, jetzt kommt meine Frage:
Die P5 wurde vom E920 als verschlüsselt erkannt, ich konnte aber auch voll darauf zugreifen (aber natürlich nicht davon booten).

Wie kann das sein, wenn das LW verschlüsselt ist?

Win10 home unterstützt ja kein Bitlocker. Womit ist die dann verschlüsselt? Als Opal-Laufwerk mit HW-selbst-verschlüsselung? Das habe ich bei der Installation nicht angegeben, sondern das Gerät hat das bei der Installation selbst verschlüsselt.

Frohe Weihnachten
peljotha

 

[Fusionator]

Die P5 wurde vom E920 als verschlüsselt erkannt, ich konnte aber auch voll darauf zugreifen

Ohne etwas einzugeben? Not possible.

 

[Amaoto]

Die P5 wurde vom E920 als verschlüsselt erkannt, ich konnte aber auch voll darauf zugreifen (aber natürlich nicht davon booten).

Die P5 ist - wie du schon schreibst - ein OPAL-Laufwerk, also eine selbstverschlüsselnde SSD ("SED"). Die Verschlüsselung ist immer aktiv, Daten werden aber automatisch entschlüsselt, sofern das nicht über eine konfigurierte Sicherheitsschnittstelle unterbunden wird.

 

[peljotha]

Ich musste keinen Schlüssel und nichts anderes eingeben. Ich sitze gerade vor dem E920. Die Datenträger-Verwaltung sagt mir jetzt, die Basisdatenpartition ist BitLocker-verschlüsselt.
EFI und Wiederherstellungspartition sind nicht verschlüsselt.
Wie geht BitLocker mit Win11 home und wie kann ich in einem anderen Gerät darauf zugreifen, wenn ich kein Kennwort und nichts eingeben muss?
Das führt die Verschlüsselung ja ad absurdum.

 

[Bob.Dig]

Die SSD wird mittels des TPM transparent verschlüsselt, Du bekommst davon quasi nix mit, ähnlich wie bei einem Smartphone. Wenn Du nun die SSD in einen anderen PC stecken würdest, so wären die Daten dort nicht lesbar. Das Ganze nennt sich Device Encryption oder zu Deutsch wohl Geräteverschlüsselung.

 

[PC295]

Das ist die Geräteverschlüsselung, die bei bestimmten Geräten standardmäßig aktiv ist
-> https://support.microsoft.com/de-de...-windows-ad5dcf4b-dbe0-2331-228f-7925c2a3012d

Also nichts weiter als Bitlocker, nur das der Nutzer kaum Möglichkeiten zur Konfiguration hat.
Die Bitlocker-Verwaltung gibt es nur in der Pro-Version.

Die Sicherheit liegt hier im TPM-Chip bzw. Benutzerkennwort.
Selbst bei der Pro-Version muss ggf. die Kennworteingabe/PIN bei Start vorher aktiviert werden.

Wenn du dich bei der Einrichtung des Gerätes im MS-Konto angemeldet hast, ist der Wiederherstellungsschlüssel im MS-Konto hinterlegt.
Damit kannst du auf deine Daten zugreifen, falls du das verschlüsselte Laufwerk auf einem anderen Gerät verwenden möchtest.
-> https://support.microsoft.com/de-de...-windows-6b71ad27-0b89-ea08-f143-056f5ab347d6

 

[peljotha]

Also, in den Eigenschaften von W10 Home könnte ich die Verschlüsselung der 660p einfach abschalten. Deshalb ist sie jetzt unverschlüsselt. Bei der P5 habe ich das nicht gemacht (einfach vergessen, als ich sie gegen die 970 EVO+ getauscht habe). Mir wird das im Explorer mit einem kleinen Dreieck am Laufwerk angezeigt.

Ich kann aber ohne irgend eine Eingabe auf die Daten und sogar Programme zugreifen. Ich kann z. B. auf meinem E920 und der 860evo von der P5 crystal disk mark starten.
Die P5 hatte ursprünglich ein W10 Home und wurde dann auf W11 aktualisiert. Seltsamerweise hat das ohne MS-Konto geklappt, obwohl es heißt, dass das nicht geht.
Der E920 läuft mit W10 pro und meinem MS-Konto.
Mir ist das nach Euren Kommentaren immer noch ein Rätsel.

 

[Amaoto]

Die SSD verschlüsselt die Daten intern, entschlüsselt sie aber automatisch auch wieder. Das hat zunächst "nur" den Vorteil eines sicheren Löschens: Durch Secure Erase wird ein neuer Schlüssel generiert und alle Daten in den Speicherzellen werden nutzlos.
In Verbindung mit einer sogenannten "Sicherheitsschnittstelle" (wie BitLocker) werden die Daten aber nicht mehr automatisch entschlüsselt. Und weil so die Verschlüsselung auf Hardwareebene stattfindet, entsteht einerseits weniger Last für die CPU, andererseits gibt es bei CPU und RAM weniger Angriffsfläche für Schadsoftware, die Verschlüsselungen knacken.

Ausgehend von dieser Grafik ist in deinem Fall kein AK gesetzt. Die Daten werden somit immer entschlüsselt:

 

[kieleich]

Auf manchen Laufwerken werden Daten immer, ausschließliuch, verschlüsselt gespeichert, aber so daß man das Passwort, ändern kann, ohne den Schlüssel zu ändern. Dadurch wird ermöglicht, daß man den Passwort Schutz aktivieren, oder deaktivieren, kann wenn man möchte.

Wären die Daten nicht verschlüsselt, so müsste, bei der Aktivierung des Passworts, erstmal alle Daten von vorne bis hinten, einmal verschlüsselt neu geschrieben werden. Auch auf einer SSD, würde das Zeit in Anspruch nehmen, und möglicherweise, riskant sein, zum beispiel: Was passiert, wenn beim Daten neu schreiben, auf einmal der Strom aus fällt. etc.

Wer sich für den Passwort Schutz nicht interessiert, der kann als Neben Effekt, trotzdem Instant alle Daten "löschen" durch Änderung, des Schlüssels, was zur falschen Entschlüsselung und somit totalem Daten Salat führt.

 

[Bob.Dig]

Mir ist das nach Euren Kommentaren immer noch ein Rätsel.

Was denn jetzt genau? Schalte es ab, wenn es dich stört.

Ergänzung (24. Dezember 2021)

aber so daß man das Passwort, ändern kann, ohne den Schlüssel zu ändern. Dadurch wird ermöglicht, daß man den Passwort Schutz aktivieren, oder deaktivieren, kann wenn man möchte.

So arbeiten eigentlich alle Diskverschlüsselungen.

 

[peljotha]

Auf manchen Laufwerken werden Daten immer, ausschließliuch, verschlüsselt gespeichert, aber so daß man das Passwort, ändern kann, ohne den Schlüssel zu ändern. Dadurch wird ermöglicht, daß man den Passwort Schutz aktivieren, oder deaktivieren, kann wenn man möchte.

OK, jetzt wird ein Schuh draus. Laut Microsoft ist das dann eine Geräteverschlüsselung, die nur auf der SSD (nur, wenn es ein self encrypting device ist?) erst Mal vorbereitet wird. Deshalb meldet mein Win10 auf dem anderen Gerät die vorhandene Verschlüsselung, kann die Daten aber lesen, weil die SSD sie sofort wieder entschlüsselt. Erst, wenn ich für das ursprüngliche Gerät ein Kennwort aktiviert hätte, wären die Daten wirklich verschlüsselt und für andere Geräte nicht mehr lesbar.
Danke Euch.

 

[Fusionator]

Laut Microsoft ist das dann eine Geräteverschlüsselung, die nur auf der SSD (nur, wenn es ein self encrypting device ist?) erst Mal vorbereitet wird. Deshalb meldet mein Win10 auf dem anderen Gerät die vorhandene Verschlüsselung

Wo sieht man sowas?

 

[peljotha]

Die SSD verschlüsselt die Daten intern, entschlüsselt sie aber automatisch auch wieder.

Die P5 ist - wie du schon schreibst - ein OPAL-Laufwerk, also eine selbstverschlüsselnde SSD ("SED"). Die Verschlüsselung ist immer aktiv, Daten werden aber automatisch entschlüsselt, sofern das nicht über eine konfigurierte Sicherheitsschnittstelle unterbunden wird

-> https://support.microsoft.com/de-de...-windows-ad5dcf4b-dbe0-2331-228f-7925c2a3012d

Hier.

 

[Fusionator]

Deshalb meldet mein Win10 auf dem anderen Gerät die vorhandene Verschlüsselung, kann die Daten aber lesen, weil die SSD sie sofort wieder entschlüsselt.

Entweder ich stehe auf dem Schlauch, oder ich habe den Überblick hier verloren
Ein Bitlocker-verschlüsseltes Laufwerk wird im Explorer auch so gekennzeichnet, richtig?
Also entweder wird das dann transparent durch den im TPM hinterlegten Schlüssel entschlüsselt, oder man muss zusätzlich bei PBA einen Pin eingeben.
Wie kann es dann sein, dass die verschlüsselte SSD aus Gerät A einfach so in Gerät B lesbar ist?
Das ist doch Quatsch und somit kann die nicht Bitlocker-verschlüsselt sein.
SED hat damit auch nichts zu tun. Das ist Geräteintern und für dich transparent.

 

[peljotha]

Ich habe es so verstanden, dass das SED-Laufwerk intern immer verschlüsselt. Machen nicht nur SSDs. Ich habe Zuhause eine alte SED-HDD von Seagate. Nur dann, wenn von dem Gerät eine Verschlüsselung bewusst ausgelöst wird, wird ein Schlüssel im TPM oder dem MS-Konto hinterlegt und das Laufwerk kann in keinem anderen Gerät gelesen werden, es sei denn, über das MS-Konto ist der Schlüssel Geräte-übergreifend erreichbar.

Da ich vom Gerät aus keine Verschlüsselung angefordert habe, bleibt das Laufwerk offen.

So sehe ich das.

Ergänzung (25. Dezember 2021)

Ausgehend von dieser Grafik ist in deinem Fall kein AK gesetzt. Die Daten werden somit immer entschlüsselt:

[IMG]https://pics.computerbase.de/forum/attachments/1049/1049697-3ed2ba746c35bad76d94b76132d40e79.jpg[/IMG]

Ergänzung (25. Dezember 2021)

Also entweder wird das dann transparent durch den im TPM hinterlegten Schlüssel entschlüsselt, oder man muss zusätzlich bei PBA einen

Ich denke, das passiert bei Nicht-SED Laufwerken. Pre Boot Authentication ist das Setzen eine Kennworts für das Laufwerk, ist eine BIOS-Funktion und funktioniert auch mit Nicht-SED Laufwerken. Das wird dann im BIOS abgefragt. Wenn das im TPM gespeichert ist, kann mit entsprechender Software eine Übergabe an das Betriebssystem erfolgen und damit ein Single sign on Login.