Hallo! Hat sich mal jemand mit der Hardwareverschlüsselung von Samsung SSDs beschäftigt? (in meinem Fall 840er). Diese sollte AES 256bit hardwaremäßig unterstützen. Die Verschlüsselung funktioniert "versteckt" im SSD Controller, das Betriebssystem merkt davon nichts. Ich habe schon herausgefunden, dass ich diese über das HDD-Passwort im BIOS aktivieren kann. Mein BIOS unterstützt diese Funktion auch. Was mir unklar ist: Wie soll das funktionieren? Auf der SSD ist bereits ein fertiges System installiert (Linux/Win Dualboot), bis jetzt unverschlüsselt. Wenn ich jetzt die Verschlüsselung aktiviere, können ja nicht alle Daten instantan verschlüsselt werden. Einzige Möglichkeit was ich mir vorstellen könnte: Die Daten sind bereits verschlüsselt. Mit dem HDD Passwort wird nur der für die Verschlüsselung verwendete Schlüssel verschlüsselt. ( :-) ), und dieser liegt jetzt noch unverschlüsselt vor, so dass ich jetzt keine Passwort eingeben muss. Meine Hautpangst ist, dass sämtliche Daten verloren gehen, wenn die das Passwort jetzt setzte. Hat dies bereits mal jmd hier gemacht und hat Erfahrung? freundliche Grüße Jürgen PS: Mir ist bewusst, dass in solcher proprietären Software (NSA-)Backdoors vorhanden sein können, und Hardware-Encryption an sich zusätzliche Angriffspunkte bietet.
J. K. schrieb: > Meine Hautpangst ist, dass sämtliche Daten verloren gehen, wenn die das > Passwort jetzt setzte Hersteller fragen, Backup sollte sowieso obligatorisch sein.
J. K. schrieb: > Meine Hautpangst ist, dass sämtliche Daten verloren gehen, wenn die das > Passwort jetzt setzte. Hat dies bereits mal jmd hier gemacht und hat > Erfahrung? Erfahrungen hab ich damit leider keine. Falls du es aber gar nicht mit absoluter Sicherheit rausfindest machst du davor eben ein Backup (kann sowieso nie schaden :) ).
Samsung fragen ist immer so eine Sache, da bin ich schneller wenn ichs einfach probiere. Backup hab ich sowieso immer "genug" :-) . System neu aufsetzten bedeutet immer mindestens einen Arbeitstag, das will ich mir ersparen. Wenn ich nichts mehr finde, könnte ich noch ein 1:1 HDD komplett-Backup machen, dass ich im Notfall einfach zurück-spielen kann.
:
Bearbeitet durch User
Das Prinzip ist simpel: Alle Daten, die auf dem Sata-Anschluß zur Platte reingehen, werden verschlüsselt im Flash abgelegt. Als "Schlüssel" dient ein Hash des HDD-Passworts, das an den bekannten Stellen in Klartext im Flashbereich für die Firmwareparameter abgelegt wird. Beim Auslesen der FLashsteine Richtung Sata-Anschluß des Mainboards werden die Daten wieder entschlüsselt. Also völlig transparent. Lediglich das HDD-Passwort, das früher die Platte lediglich "Erreichbar am IDE/Sata-Bus machte", hat eine weitere Funktion bekommen. Ohne PW keine Daten. Das HDD-Passwort wird der SSD beim PC-Start über das BIOS mitgeteilt, alternativ kann es der Mount-Befehl übergeben. Diese Art der Verschlüsselung dient dazu, die Passwortsperre der HDD wirksam gegen jene durchzusetzen, die die Flashchips nach dem Auslöten direkt auslesen wollen. Alternativ kann durch Überschreiben des Passworts der gesamten Inhalt "gelöscht" werden - Vorausgesetzt die Firmware speichert die Firmwareparameter nicht ebenso wie die anderen Daten im Flash ab: an anderer(!) Stelle neu schreiben. Datenretter haben in der Regel _keine_Probleme, die Daten bei vergessenen Pw wieder herzustellen.
Vielen Dank für die ausführliche Antwort! D.h. die Daten auf der Platte sind bereihts verschlüsselt, mit dem HDD-Passwort wird nur der dazugehörige Hash versteckt ?
Nein. Die Daten werden erst verschlüsselt, wenn ein HDD-Passwort eingegeben und aktiviert wird. Ab dann wird die HDD nach dem Einschalten solange keine Daten rausrücken, bis die HDD den Entsperrbefehl mit dem richtigen Passwort bekommen hat. Dummerweise liegt das richtige Passwort im Klartext (zumindest bei WD und Seagate) im Firmware-Flash. Auch nachteilig: du hast keine Möglichkeit zu prüfen, ob die Daten tatsächlich AES/DES/XXX-verschlüsselt sind. Bei richtigem PW bekommst du deine Daten via Sata-interface im Klartext, bei falschen PW bekommst du gar nichts. Der Hersteller kann also auch einfach:
1 | if (pw_ok == true) {
|
2 | Datablock := Datablock XOR 55 |
3 | } |
als Verschlüsselung einbauen, ohne daß der Anwender es gegenprüfen kann.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.