Verschlüsselung in Laptop nachrüsten (SSD+TPM)

[Wafer_sil]

Hallo Community,

aktuell befasse ich mit mit dem Thema Verschlüsselung und würde gerne meinen Laptop voll verschlüsseln. Allerdings scheint es mir dabei einige Hürden zu geben:

- In den Laptop befindet sich noch eine "alte" Samsung 830 SSD. Soweit mir bekannt ist besitzt diese keine hardwareseitige Verschlüsselung. Bisher habe ich sehr widersprüchliche Informationen gefunden, was die zu erwartenden Leistungseinbußen angeht. Der Laptop wird eigentlich nur für Office, Internet/Videos und ab und zu mal eine Runde LoL benutzt. Wie groß meint ihr denn werden die Leistungseinbußen ein?

- Ist es möglich, nachträglich ein TPM Modul einzubauen? Ich könnte auf das DVD-Laufwerk verzichten. Expresscard-Anschlüsse oder ähnliches sind mir aber nicht bekannt.


Beste Grüße

 

[HominiLupus]

Bitte nenne den Laptop und die Software (OS und Verschlüsselungsmethode) die du nutzen willst.
Nur dann kann man Aussagen treffen was bei dir geht.
Es wäre auch sehr sehr hilfreich zu wissen gegen was du dich schützen willst: Freundin soll das Notebook nicht nutzen? Kriminelle die Firmengeheimnisse stehlen? Die TSA die bei der Grenzkontrolle deinen Laptop aufmacht, etc.

Zusätzliches TPM wird in aller Regel nicht gehen.

 

[Wafer_sil]

OS ist Windows10 Pro zum verschlüsseln würde ich gerne das integrierte BitLocker benutzen.
Wenn die Freundin das Notebook nicht nutzen soll würde doch ein einfacher Passwortschutz reichen, oder?
Konkret geht es darum dass ich gerne sämtliche Dokumente (beruflich und persönlich) schützen möchte. Also der Anwendungsfall hier eher "Kriminelle die Firmengeheimnisse stehlen".
So eine Verschlüsselung schützt aber nur gegen den physischen Eingriff, oder? Wenn ein Angreifer es schafft an Firewall/Virenschutz vorbei einzudringen während das Laufwerk entschlüsselt ist bringt das nichts?

Bzgl. TSA: Ich wäre jetzt in meiner Naivität davon ausgegangen, dass die eh nicht an die Daten ohne den entsprechenden Schlüssel kommt.

 

[Hallo32]

So eine Verschlüsselung schützt aber nur gegen den physischen Eingriff, oder? Wenn ein Angreifer es schafft an Firewall/Virenschutz vorbei einzudringen während das Laufwerk entschlüsselt ist bringt das nichts?

Ja, nur gegen physischen Zugriff wenn der PC aus ist.

Bitlocker sollte dich doch auch mit Passwort und oder USB Stick als Key umsetzen lassen. Performance dürfte primär von deinen CPU anhängen.

 

[DaZpoon]

Bitlocker müsste auch ohne TPM gehen, siehe bspw. hier: https://answers.microsoft.com/en-us/windows/forum/windows_10/bitlocker-in-windows-10-without-tpm/f79add65-17c2-4a5d-92d6-e4d2a387119f . Der Einfluss auf die Performance hängt von der CPU ab. Beherrscht sie hardwareseitig AES, dann ist das schon ein gutes Zeichen. Es wirkt sich halt bei jedem Schreib-Lesevorgang aus und reduziert auch die Akkulaufzeit.

Richtig, die Verschlüsselung schützt nur vor physischem Zugriff. Also beispielsweise wenn das Notebook (oder generell ein Speichermedium) geklaut oder vergessen wird. Solltest du mit dem Notebook öfter ins Ausland verreisen, solltest du dich mit den Zollbestimmungen befassen. In einigen Ländern ist der Einsatz von Verschlüsselung verboten und das NB kann konfisziert werden.

 

[Wafer_sil]

Bitlocker müsste auch ohne TPM gehen, siehe bspw. hier: https://answers.microsoft.com/en-us/windows/forum/windows_10/bitlocker-in-windows-10-without-tpm/f79add65-17c2-4a5d-92d6-e4d2a387119f . Der Einfluss auf die Performance hängt von der CPU ab. Beherrscht sie hardwareseitig AES, dann ist das schon ein gutes Zeichen. Es wirkt sich halt bei jedem Schreib-Lesevorgang aus und reduziert auch die Akkulaufzeit.

Laut Informationsseite von Intel beherrscht der 3612HQ AES. Die Akkulaufzeit ist aufgrund von häufigem Netzbetrieb von nachrangiger Bedeutung. Viel mehr würde mich das subjektive Empfingen bezüglich des Geschwindigkeitsverlusts interessieren. Geht mit "softwareseitiger" Verschlüsselung der große "Wow-Effekt" einer SSD im Bezug auf die Geschwindigkeit verloren?

Grüße

 

[Neo Phontane]

Hi, sorry dass ich etwas verspätet zur Party komme aber ich beschäftige mich akutell auch sehr mit dem Thema bzw. möchte genauso wie der TE die Daten auf meinem Notebook verschlüsseln, so dass ich bei einem etwaigen Verlust/Diebstahl des Notebooks nicht fürchten muss, dass all meine Daten in fremde Hände fallen.

Also was die Frage bezüglich der Leistungseinbusen mit aktiviertem BitLocker angeht, gibts hier einen guten Thread: https://stackoverflow.com/questions/2762844/developers-how-does-bitlocker-affect-performance
Kurzversion: Die Leistungseinbusen sind zwar messbar, aber nicht/kaum Wahrnehmbar. Die Zugriffszeit (was viel wichtiger ist als die Lese-/Schreibgeschwindigkeit) verschlechtert sich nicht.

Nun zu meiner Frage: BitLocker kann ja einen etwaigen TPM Chip nutzen, den ich für mein Mainboard nachrüsten müsste. Man kann aber BitLocker auch ohne TPM nutzen. Obwohl ich nun bereits einige Artikel zum Thema gelesen habe, habe ich noch immer keine Antwort auf folgende Frage gefunden: Was genau bringt mir nun ein TPM Chip? Ich weiß dank Wikipedia und Google, was er tut und kann, aber ich versteh ehrlich gesagt noch nicht den konkreten Nutzen davon, der sich mir dabei ergeben soll? Was geht mit TPM, was ohne TPM nicht geht? Kann mich da jemand aufklären?

 

[canen68]

Hallo,

also soweit ich weiß wird bei Bitlocker ohne TPM der Sicherheitschlüssel auf einen USB Stick gespeichert, der dann auch immer angesteckt sein muss beim starten. Mit TPM wird der Schlüssel im Modul gespeichert.

Edit: Okay es geht mittlerweile wohl auch ohne USB wenn man dafür ein Kennwort festlegt.

TPM hat die Aufgabe den Rechner vor Manipulationen zu schützen und die verschlüsselte Platte wird an Dein System gebunden, nicht wie z.B. bei einer SmartCard an den Nutzer.

 

[Neo Phontane]

Aaah verstehe. Vielen Dank, canen68!

Das heißt TPM bringt mir nur was, wenn der Dieb die SSD von meinem Notebook ausbaut und dann an einen anderen PC anschließt. Dann hat er keine Chance, an meine Daten zu kommen (das ginge nur mit dem Wiederherstellungsschlüssel, richtig?). Wenn er jedoch mein Notebook stiehlt und einfach von selbigem aus auf meine Daten zuzugreifen probiert, hat Bitlocker mit TPM und mit Passwort eigentlich gar keine Vorteile gegenüber Bitlocker ohne TPM aber mit Passwort.

Da ich meinen Laptop ja nicht vor Manipulationen schützen will (die Chance schätze ich als verschwindend gering ein), sondern einfach verhindern will, dass ein etwaiger Dieb meine Daten nicht lesen kann, reicht wohl Bitlocker ohne TPM für mich.

Ich bin allerdings noch immer am grübeln, ob es für mich schlauer ist, wirklich die ganze SSD mittels Bitlocker zu verschlüsseln, oder einfach nur jene Ordner, in denen ich persönliche Daten habe (also mein gesamter Eigene Dateien Ordner sowie mein gesamter Windows-User Ordner, in dem ja zB Firefox oder Thunderbird die Profile speichern), zB mittels True/Veracrypt/WinRAR mit Key. Die Bitlocker-Variante gefällt mir, weil sie denke ich benutzerfreundlicher und umfassender ist, habe jedoch doch auch etwas Performance-Bedenken. Die Container-Variante gefällt mir, weil die Programme an sich somit zB nicht verschlüsselt werden, ich dadurch aber auch immer sehr darauf achten muss, dass keine persönlichen Daten außerhalb der verschlüsselten Container liegen bleiben, was mühsam ist. Hmm..

Ich tendiere zu Bitlocker.