ComputerBase Menü
Aktuelles

Verschlüsselung einer nvme ssd mit USB Stick als Schlüssel?

I

ICT-Profi

Cadet 3rd Year
Registriert
Sep. 2023
Beiträge
52
hallo zusammen.

Ich möchte meine nvme drive mit einem schlüssel verschlüsseln, der automatisch den laptop entschlüsselt wenn ich den usb stick einstecke. ich möchte aber kein bitlocker brauchen, da es mehrere optionen gibt diesen zu umgehen. der schlüssel sollte auf einen 300Mb usb stick platz haben und sollte nicht mehr als 10 minuten um zu decrypten brauchen. wisst ihr wie so was geht?

Danke für alle Antworten !
 
Nimm veracrypt.

Techprofi schrieb:
und sollte nicht mehr als 10 minuten um zu decrypten brauchen. wisst ihr wie so was geht?
Zum Vergrößern anklicken....
?!
Relativ egal bei welcher modernen Chiffre man auch schaut, soweit deine CPU das mit macht geht entschlüsseln mehr oder weniger in echtzeit, logischerweise wird aber nur das entschlüsselt was gebraucht wird. Da dauert nichts10 Minuten

Auf einem USB Stick hat key material i Klartext nichts verloren.
Dann doch wenigstens nen Yubikey / vergleichbares

Ein 300MB Passwort ist nicht unbedingt sicherer als eines mit ~30-40 Stellen.
 
Zuletzt bearbeitet:
Techprofi schrieb:
ich möchte aber kein bitlocker brauchen, da es mehrere optionen gibt diesen zu umgehen.
Zum Vergrößern anklicken....
Aus Interesse: welche wären das?
 
  • Gefällt mir
Reaktionen: tollertyp, aragorn92, JumpingCat und eine weitere Person
Bitlocker reicht für den Privatmann. Darf es etwas mehr sein nutzt man das bewährte VC.
Aber:
Techprofi schrieb:
Ich möchte meine nvme drive mit einem schlüssel verschlüsseln, der automatisch den laptop entschlüsselt wenn ich den usb stick einstecke
Zum Vergrößern anklicken....
da bin ich überfragt ob das so geht.
 
Afaik kannst du Out of the box Boot Drives nicht mit yubikeys oder ähnlichem als Zertifikatsträger verschlüsseln, die notwendige Treiberinfrastruktur wird zu spät geladen.
Für laufwerke dir erst on-demand gemountet werden geht yubikey.
Für Boot brauchst du entsprechende pre Boot Environments. Zb
https://cryptware-it-security.de/pr...sungen-festplattenverschluesselung/bitlocker/

Das Problem mit solchen Applikationen ist , dass die sehr wenig Security Reviews haben, wenn überhaupt. Wenn du schon MS nicht vertraust, brauchst du denen erst Recht nicht vertrauen
 
Ich versuche deinen Post mal zu entwirren.

Du möchtest deine Bootpartition verschlüsseln.
Du möchtest aber beim Boot nicht händisch ein Passwort eintippen.
Es ist für dich in Ordnung, wenn das "Schlüsselmaterial" ungeschützt auf einem USB-Stick gespeichert ist.

Dann fällt mir genau eine Lösung ein: Ein Yubikey ö.ä., der beim Drauftippen ein Static Password eintippt.

Bedeutet: Du schaltest den Laptop ein, das System fragt nach dem Passwort für die Pre-Boot-Authentication, du steckst den Stick ein und betätigst den Knopf. Password wird eingegeben, System bootet.

Techprofi schrieb:
ich möchte aber kein bitlocker brauchen, da es mehrere optionen gibt diesen zu umgehen
Zum Vergrößern anklicken....

Das ist Unsinn.
 
  • Gefällt mir
Reaktionen: tollertyp und aragorn92
Veracrypt kann gemäß deren Seite keine Laufwerke mit Keyfile verschlüsseln, welche als Bootlaufwerk dienen sollen. Nur normale Datenlaufwerte...

Note: Keyfiles are currently not supported for system encryption.
Zum Vergrößern anklicken....
https://veracrypt.eu/en/Keyfiles in VeraCrypt.html

CoMo schrieb:
Das ist Unsinn.
Zum Vergrößern anklicken....
So pauschal: Nein, kein Unsinn. Es gibt Konfigurationen wo Bitlocker ziemlich easy knackbar ist... Viel Spaß beim Lesen:

https://pulsesecurity.co.nz/articles/TPM-sniffing

Man muss sich natürlich an der Stelle fragen wie realistisch so ein Angriff ist.
 
Ich habe eine externe M.2 mit Bitlocker verschlüsselt. Funktioniert prima. Ist aber nicht das Bootlaufwerk. Aber der Arbeit sind aber alle Notebooks mit Bitlocker (TPM im BIOS) verschlüsselt. Funktioniert auch.
 
Tzk schrieb:
Es gibt Konfigurationen wo Bitlocker ziemlich easy knackbar ist...
Zum Vergrößern anklicken....
So easy wohl nicht, wie du zu Ende hin noch schreibst. Am Ende des Tages kann man immer irgendwie einen Weg rein finden. Auch das PW bei der Eingabe könnte man abfangen oder einfach den USB-Stick nehmen, der dem TE hier als Unlock-Key vorschwebt.

Zur Not bei all den Vor-Ort-Angriffen (wie etwa TMP) investiert man etwa 4€ in einen großen Schraubenschlüssel und fragt damit den Besitzer des Geräts nach dem Passwort / der Entsperrung. Erfordert nicht einmal IT-Kenntnisse des Angreifers...

Gerade der Otto-Normalverbraucher, der in einem Forum wegen Datenverschlüsselung fragt / fragen muss dürfte da mit BL doch eine gute Mischung aus einfach und sicher bekommen. Passwort beim Bootvorgang einstellen, wenn man dem TPM nicht vertrauen will und es funktioniert. Auch ohne den Stress / Aufwand, den hat wenn eine neue Windows-Version installiert werden muss.
 
  • Gefällt mir
Reaktionen: tollertyp
Tzk schrieb:
So pauschal: Nein, kein Unsinn. Es gibt Konfigurationen wo Bitlocker ziemlich easy knackbar ist... Viel Spaß beim Lesen:
Zum Vergrößern anklicken....
Das betrifft aber nur TPM-only.
Hier gab es auch kürzlich eine Schwachstelle in der WinRE, mit der die Bitlocker-Verschlüsselung umgangen werden konnte.

Daher immer Bitlocker mit PIN/Kennwort einrichten.

Darauf wird auch in den verlinkten Artikel hingewiesen:
Durch die Aktivierung von BitLocker mit einem TPM+PIN-Schutz sollte diese Schwachstelle gemindert werden, allerdings müssen Benutzer beim Booten eine PIN eingeben. Smartcards oder USB-Sticks, die als zusätzliche Pre-Boot-Authentifizierung zusätzlich zum TPM verwendet werden, sollten dieses Problem ebenfalls mildern.
Zum Vergrößern anklicken....
 
  • Gefällt mir
Reaktionen: CoMo
Tzk schrieb:
So pauschal: Nein, kein Unsinn. Es gibt Konfigurationen wo Bitlocker ziemlich easy knackbar ist
Zum Vergrößern anklicken....

Wie schon erwähnt, muss dafür Bitlocker ohne PIN / Passwort aktiviert sein. Das TPM ist dann der Schlüssel.

Wenn der Angreifer die verschlüsselten Daten inkl. Schlüssel klaut, kann er die Daten entschlüsseln. Das sollte nun wirklich keine Überraschung sein. Das hat mit Knacken nichts zu tun. Das ist Schlüssel ins Schloss stecken und umdrehen.

Also ganz pauschal: Nein, Bitlocker ist nicht "easy knackbar". Wie bei allen anderen Lösungen auch muss lediglich der geheime Schlüssel geheim gehalten werden.
 
  • Gefällt mir
Reaktionen: Fusionator und Tzk
M@rsupil@mi schrieb:
So easy wohl nicht, wie du zu Ende hin noch schreibst. Am Ende des Tages kann man immer irgendwie einen Weg rein finden. Auch das PW bei der Eingabe könnte man abfangen oder einfach den USB-Stick nehmen, der dem TE hier als Unlock-Key vorschwebt.

Zur Not bei all den Vor-Ort-Angriffen (wie etwa TMP) investiert man etwa 4€ in einen großen Schraubenschlüssel und fragt damit den Besitzer des Geräts nach dem Passwort / der Entsperrung. Erfordert nicht einmal IT-Kenntnisse des Angreifers...

Gerade der Otto-Normalverbraucher, der in einem Forum wegen Datenverschlüsselung fragt / fragen muss dürfte da mit BL doch eine gute Mischung aus einfach und sicher bekommen. Passwort beim Bootvorgang einstellen, wenn man dem TPM nicht vertrauen will und es funktioniert. Auch ohne den Stress / Aufwand, den hat wenn eine neue Windows-Version installiert werden muss.
Zum Vergrößern anklicken....
Ich bin so eben kein Otto-Normalverbraucher und habe Daten die Spezielle Datensicherheit brauche. Gerade in einem Umfeld mit IT-Profis. Und ja ich weiss das Bitlocker nicht ganz einfach zu Knacken ist. Und macht euch keine Probleme wegen dem Stick, denn den habe ich immer bei mir.
 
Wenn du dich in einem Umfeld mit "IT-Profis" bewegst, frage ich mich, warum du diese Fragen überhaupt in einem öffentlichen Forum stellen musst.

Lösung wurde dir bereits genannt. Security Key mit Button und Static Password. Wie sinnvoll das ist, musst du selbst beurteilen.
 
  • Gefällt mir
Reaktionen: tollertyp
ich dachte daran das der usb stick automatisch ein passwort eingibt beim einstecken. es darf aber kein script sein das auf windows läuft, da ich das wahrscheinlich mit veracrypt machen würde und das dann ja vor windows booten würde. wisst ihr wie sowas gehen könnte?
 
du hast viel das wort "Yubikey" erwähnt aber ich habe keine ahnung wie ich das erstelle, wo ich das kaufe und einrichte usw. könntest du mir vielleicht einen artikel verlinken oder so?
 
Du kaufst einen Yubikey mit Button und richtest mit dem Yubikey Manager dein Passwort als Static Password ein. Fertig.

ykman-gui_du8qklQ1Qd.png
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

[LAVA]ONE
Fedora über NVME SSD an USB 3.2 Gen 2 Booten
2
Antworten
21
Aufrufe
2.961
riversource
R
H
NVMe SSD wird nach mehreren BlueScreens nicht mehr erkannt
Antworten
12
Aufrufe
4.583
Heckx195
H
MichaG
News ArmorLock NVMe SSD: Robuster USB-Datenträger nutzt Handy als Schlüssel
Antworten
7
Aufrufe
1.961
TriggerThumb87
T
Tronado
NVME SSD als USB 3.1 Stick
Antworten
2
Aufrufe
1.371
jodd
J
p4z1f1st
Wie beeinflusst AES-256 Verschlüsselung die Performance (NVMe-SSD)?
Antworten
17
Aufrufe
7.727
Bob.Dig
Bob.Dig

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz