Beste Verschlüsselung für SSD mit Win7+Linux?

T

tuxpad

Active member
Themenstarter
Registriert
30 März 2008
Beiträge
772
Hallo Zusammen!

Ich möchte in mein neu erstandenes x220 gern eine Crucial mx100 mit 240GB einbauen, darauf soll als Dual Boot ein Windows 7 und xubuntu installiert werden. Jetzt frage ich mich, was wohl die sinnvollste Variante ist. Die mx100 ist ja eine "self encrypting disk", aber ich bin mir nicht sicher, unter welchen Voraussetzungen ich das in der o.g. Konstellation für mich nutzen kann.

Wenn ich diesem Link hier folge:
http://forum.crucial.com/t5/Crucial...rdware-Encryption-on-Crucial-SEDs/ta-p/145520

Würde ich annehmen, dass das nur mit Win 8 plus Bitlocker+UEFI+TPM funktioniert. Oder sehe ich das falsch? Aber selbst wenn es auch mit Win 7 und Bitlocker funktioniert, kann ich dann auch noch Linux nutzen?

Alternativ könnte ich natürlich auch Truecrypt verwenden, dass hat natürlich einerseits heftige Performanceeinbußen zur Folge, andererseits bin ich mir nicht sicher, wie sich das auf die Lebensdauer des Laufwerks auswirkt. Oder reicht es, z.B. 20% des Speicherplatzes unpartitioniert zu lassen, damit noch etwas Platz für das Wear-Levelingt zur Verfügung steht?

Schon mal vielen Dank für Eure Hilfe!

Viele Grüße

tuxpad
 
Wenn die SSD FDE unterstützt, sollte man den Zugang zur SSD mit einem im BIOS/UEFI gesetzten HDD-Passwort sichern. Dann kann man jedes OS installieren und es ist verschlüsselt.
 
Hallo Derriell,

Danke für die schnelle Antwort. D.h. wenn FDE der self encryption von Crucial entspricht, reicht es die Betriebssysteme zu installieren und dann ein HD-Passwort im BIOS (x220 hat UEFI) zu setzen?

Viele Grüße

tuxpad
 
Zu diesem komplexen Thema gab es vor kurzem einen Thread, also bitte mal die SuFu oder Google "... site:thinkpad-forum.de" nutzen.

Am einfachsten ist es allerdings, dem Vorschlag von Derriell zu folgen. Alles andere führt nur zu fortschreitendem Haarausfall.

tuxpad schrieb:
reicht es die Betriebssysteme zu installieren und dann ein HD-Passwort im BIOS (x220 hat UEFI) zu setzen?
Zum Vergrößern anklicken....
Zu der Frage am besten den Post von Derriell nochmals genau lesen.
 
Zuletzt bearbeitet:
Bei Windows 7 gibts vor allem Bitlocker nur mit der Enterprise Version. Hast du da Zugriff drauf?
 
AFAIK kannst Du das SED Feature bereits mit ATA- Security, also einem Festplatten-Passwort, nutzen. TCG Opal hat vor allem fuer Firmen einige Vorteile (siehe hier); zu Hause braucht man das wohl eher nicht.

Gegen welche Zu- bzw. Angriffe willst Du Dich schuetzen?
 
@linrunner: SuFu habe ich genutzt, aber zumindest mit meinen Begriffen nichts passendes gefunden, sorry! Der Rest Deines Postings soll mir sagen, dass ich zuerst das Passwort setzen soll und dann die OS installieren?

@der_ingo: ja, ich habe die Enterprise Version von Windows 7.

Edit:
@jal2: Schutz vor Diebstahl. Frage ist natürlich: Reicht die Hardwareverschlüsselung auch gegen versierte Angriffe? (Nicht NSA, eher ein gut ausgebildeter Einzeltäter)

Vielen Dank und viele Grüße

tuxpad
 
Zuletzt bearbeitet:
solange ein starkes Passwort verwendet wird, sollte es genug für den Diebstahlschutz sein
 
Vielleicht habe ich hier etwas falsch verstanden, aber was ist mir folgenden Szenario bei einem im UEFI-gesetzten Passwort: jemand gelangt an das Laptop und baut die Festplatte aus (warum auch immer). Dann sind doch die Daten unverschlüsselt vorliegend, richtig?
 
enrico schrieb:
Vielleicht habe ich hier etwas falsch verstanden, aber was ist mir folgenden Szenario bei einem im UEFI-gesetzten Passwort: jemand gelangt an das Laptop und baut die Festplatte aus (warum auch immer). Dann sind doch die Daten unverschlüsselt vorliegend, richtig?
Zum Vergrößern anklicken....

Mit "im UEFI gesetztem Passwort" war oben ein HD-Passwort (aka ATA Security Password) gemeint, kein Power-On Passwort. Ein ausgebaute Festplatte damit wuerde an jedem anderen Rechner ohne Eingabe des HD-Passwortes ihre Daten nicht preisgeben. Diese waeren aber unverschluesselt auf den Scheiben der Festplatte bzw. in den NAND-Flashbausteinen einer SSD lesbar, z.B. fuer HD-Recovery Firmen mit spezieller Hardware.
Da aber die M100 des TE ein Self-Encrypting Device ist, liegen die Daten in den NAND auch verschluesselt vor. Zum erfolgreichen Auslesen muss man also an den Schluessel kommen - wie sicher dieser im SSD-Controller abgelegt ist, ist wohl das Geheimnis des Herstellers.
tuxpad schrieb:
@jal2: Schutz vor Diebstahl. Frage ist natürlich: Reicht die Hardwareverschlüsselung auch gegen versierte Angriffe? (Nicht NSA, eher ein gut ausgebildeter Einzeltäter)
Zum Vergrößern anklicken....
Wenn Du Diebstahl der Daten meinst, der Dieb also eine Zeit lang Zugriff auf den Rechner hat, waehrend Du zwischendurch damit arbeitest, wuerde ich mir eher Gedanken um den Einbau eines Hardware-Keylogger (bzw. einer Kamera, die die Eingaben aufzeichnet) machen - die IMHO aber auch die Passworteingabe jeder anderen Methode aufzeichnen koennen. Dann muesste man mit einem externen Hardware-Token (Smartcard) arbeiten.

Bei nur einmaligem Zugriff (also "schneller" Diebstahl des Rechners) hat der Dieb keine Zeit fuer den Einbau eines Keyloggers o.ae.
 
Nein, da diese "mit dem im UEFI/BIOS gesetzten HDD-Passwort" gesichert sind.

Lustige Anekdote zu diesem Thema:
Ich habe hier eine alte 160GB Toshiba Platte aus einem Fujitsu Siemens Celsius H240, Baujahr glaube ich 2005 oder 2006. War in einem der ersten CoreDuo-Notebooks verbaut.
Hier habe ich aus Jux und Dollerei, als ich das Gerät selbst noch hatte, mal ein Festplattenpasswort im BIOS gesetzt. Dieses musste direkt am Bootscreen eingegeben werden. Vorher ging nix.

Wir haben alles versucht, dieses Passwort ohne das passende Notebook zu entfernen und die HDD wieder gangbar zu machen: KEINE CHANCE!
Hier würden selbst die Spezialisten von Ontrack etc. scheitern. Das ist wirklich sicher. :p
 
te_zwo schrieb:
Nein, da diese "mit dem im UEFI/BIOS gesetzten HDD-Passwort" gesichert sind.
Zum Vergrößern anklicken....
Woher weißt du das?

Hier würden selbst die Spezialisten von Ontrack etc. scheitern. Das ist wirklich sicher. :p
Zum Vergrößern anklicken....
Nur, wenn die Daten wirklich verschlüsselt sind und man den Key nicht aus der Firmware auslesen kann. Wenn nur die Firmware den Zugriff regelt, kann man die Platter in eine baugleiche Platte umbauen und hat dann u.U. Zugriff auf die Daten.
 
buddabrod schrieb:
Wenn nur die Firmware den Zugriff regelt, kann man die Platter in eine baugleiche Platte umbauen und hat dann u.U. Zugriff auf die Daten.
Zum Vergrößern anklicken....

HI, das wäre ja zu einfach, das PW wird mit auf die Platte geschrieben und nicht in der Elektronik der Platte abgelegt.

Nobby
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • IT Refresh - IT Teile & mehr
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben