PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Notebook mit Hardwareverschlüsselung der Festplatte


Avalox
2009-07-27, 14:41:13
kann jemand ein Notebook mit Hardwareverschlüsselung der Festplatte empfehlen und von Erfahrungen berichten?
Bitte nicht mit dem Bios Festplattenkennwort verwechseln.

sloth9
2009-07-27, 15:28:38
Wieso nicht TrueCrypt?

Die meisten Sticks und HDDs fuschen laut c't nur rum und verschlüsseln die Daten selbst nur schwach (-> ausbauen und angreifen).
Wie sollten sie auch sicher verschlüsseln, ohne eigene Rechenleistung.

Philipus II
2009-07-27, 16:49:40
Ich kenne keine einzige integrierte Festplattenverschlüsselung, die Sinn macht.
TrueCrypt und Co sind sicher, komfortabel und preiswert/kostenlos.
Die Performance ist ganz ok.

Avalox
2009-07-27, 18:31:23
Ich kenne keine einzige integrierte Festplattenverschlüsselung, die Sinn macht.
TrueCrypt und Co sind sicher, komfortabel und preiswert/kostenlos.
Die Performance ist ganz ok.

TrueCrypt ist nicht Hibernate fähig und damit ziemlich Notebook ungeeignet.
Zudem kann es keine Linux Systempartion verschlüsseln. Das kann zwar Linux selbst, aber dann hat man wieder zwei Lösungen.

Ein Safeguard Easy ist erst gar nicht 64Bit fähig.

usw. hat jede Lösung die ich bisher gesehen habe so seine Tücken.


Nun meinte vor kurzen ein bekannter Berater, dass Festplatten Hardwareverschlüsselung bei Notebooks wirklich ausgezeichnet geworden sind. Also sollte man es sich mal ansehen.

dreas
2009-07-27, 18:59:34
Die Businessgeräte von FSC bzw. FTS können das alle. Nur nicht die billigsten Esprimo Mobile.
Also ab der E-KLasse. Z.B. das E8420 siehe http://sp.ts.fujitsu.com/dmsp/docs/db_lifebook_e8420_de.pdf

mfg dreas

Avalox
2009-07-28, 12:54:48
Die Businessgeräte von FSC bzw. FTS können das alle. Nur nicht die billigsten Esprimo Mobile.
Also ab der E-KLasse. Z.B. das E8420 siehe http://sp.ts.fujitsu.com/dmsp/docs/db_lifebook_e8420_de.pdf

mfg dreas


Vielen Dank.
Auf was in der Beschreibung muss ich denn achten?

Dort steht nur was von Festplatten Kennwort.
Ist es dieses? Ist dieses nicht die Funktion, welche sich nach c't ohne Mühe aushebeln lässt?

Dktr_Faust
2009-07-28, 13:00:34
Die Lenovo Thinkpads sollten das auch können --> zumindest könnte es meines wenn ich nicht das PW für die Konfigurationskonsole vergessen hätte :eek:. Die verwenden dafür das TPM, wie sicher das ist und welche aktuellen Geräte das genau können kann ich Dir leider nicht beantworten.

Grüße

Haarmann
2009-07-28, 15:14:29
Avalox

Das ist eines der Probleme... meisst wirds nur so gesichert. Ein Austausch der HD Platine reicht dann jeweils. Wenn verschlüsselt wird, dann sind mir bisher nur 128 Bit AES Platten untergekommen, was auch keine 5 Cent wert ist imho. Die Versclüsselung war zum Teil nebenher nichtmals 128 Bit AES, sondern noch grösserer Müll.

An SW gibts noch Bitlocker, welches man von Hand auf 256Bit AES umstellen kann.

dreas
2009-07-28, 15:44:29
Vielen Dank.
Auf was in der Beschreibung muss ich denn achten?

Dort steht nur was von Festplatten Kennwort.
Ist es dieses? Ist dieses nicht die Funktion, welche sich nach c't ohne Mühe aushebeln lässt?

Ja die Option nennt sich bei FTS "Festplattenkennwort" da wird das Kennwort übers BIOS in der Firmware der HD hinterlegt.
Auch mit einer anderen Platine für die HD ist die Platte nicht lesbar. (Selbst schon versucht) Optional kann man noch eine Platte mit integrierter Verschlüsselung konfigurieren.

mfg dreas

Haarmann
2009-07-28, 22:50:09
dreas

Kann bei gewissen Platten so sein, aber auch das kann man umgehen. Viele Platten speichern das jedenfalls auf der Platine... XBox Platten lassen grüssen.

Absorber
2009-07-29, 00:27:50
TrueCrypt ist nicht Hibernate fähig und damit ziemlich Notebook ungeeignet.

TrueCrypt kann seit Version 5.1 Hibernate. Also seit mehr als einem Jahr. Und Suspend to Ram funktioniert auch ausgezeichnet. Ist bei mir seit längerer Zeit im Einsatz.

Zudem kann es keine Linux Systempartion verschlüsseln. Das kann zwar Linux selbst, aber dann hat man wieder zwei Lösungen.

Da hast du natürlich recht, aber unter Linux würde ich wirklich dm-crypt empfehlen.

Haarmann
2009-07-29, 11:06:30
Absorber

Das war mal ein Sicherheitsleck die Hibernate bei Version 6.0 imho - danach wurde sie ne Weile abgeschaltet,

Absorber
2009-07-29, 12:13:34
Hm. Bei mir ist es aktiviert und funktioniert. TrueCrypt 6.2a.

Avalox
2009-07-29, 13:28:10
Hm. Bei mir ist es aktiviert und funktioniert. TrueCrypt 6.2a.

Für die Systempartition?

Das Problem war gewesen(?), dass das auf die Platte geschriebene Speicherabbild den TrueCrypt Schlüssel enthielt und dieser von dort gelesen werden konnte.

Ja die Option nennt sich bei FTS "Festplattenkennwort" da wird das Kennwort übers BIOS in der Firmware der HD hinterlegt.
Auch mit einer anderen Platine für die HD ist die Platte nicht lesbar. (Selbst schon versucht) Optional kann man noch eine Platte mit integrierter Verschlüsselung konfigurieren.



Ah vielen Dank. Werde ich mir mal ansehen.

_DrillSarge]I[
2009-07-29, 13:35:51
mir fällt jetzt spontan die seagate momentus 5400 FDE.3 ein

http://www.seagate.com/docs/pdf/de-DE/datasheet/disc/ds_momentus_5400_fde_3.pdf

Absorber
2009-07-29, 13:37:01
Bei mir sogar für die ganze Systemplatte:
http://img1.abload.de/img/tcsystemdrivem0mn.jpg

http://www.truecrypt.org/docs/hibernation-file
Encrypt the system partition/drive (for information on how to do so, see the chapter System Encryption) and make sure that the hibernation file is located on one the partitions within the key scope of system encryption (which it typically is, by default), for example, on the partition where Windows is installed. When the computer hibernates, data will be encrypted on the fly before they are written to the hibernation file.

Ja, ich glaube da war irgendwann mal ein Problem dass unter bestimmten Umständen das Hibernation File trotzdem unverschlüsselt auf der Platte landen konnte. Aber das dürfte inzwischen behoben sein.
Ja, es kann sein dass Teile oder der ganze TrueCrypt-Key im Hibernation File landen. So lange dieses aber auf einer verschlüsselten Partition liegt ist das kein Problem. Denn ich müsste erst die Verschlüsselung umgehen können, um dann aus dem Hibernate-File den Schlüssel extrahieren zu können. Und wenn ich schon durch die Verschlüsselung durch bin muss ich auch nicht mehr nach dem Schlüssel suchen.

mrt
2009-07-29, 16:50:48
Zudem kann es keine Linux Systempartion verschlüsseln. Das kann zwar Linux selbst, aber dann hat man wieder zwei Lösungen.
Für Linux bitte dm-crypt verwenden und Hibernate geht da problemlos wenn man swap, sofern für hibernate genützt, mit einem fixen Schlüssel verschlüsselt wird.
Hardwarelösungen sind (im bezahlbarem Bereich) eher schlecht verglichen mit 384Bit AES mittels dm-crypt.

Absorber
2009-07-29, 17:05:55
Für Linux bitte dm-crypt verwenden und Hibernate geht da problemlos wenn man swap, sofern für hibernate genützt, mit einem fixen Schlüssel verschlüsselt wird.

Dann musst du aber wieder bei der Partitionierung tricksen. Also z.B. ein großes Volume über den gesamten freien Speicherplatz (abzüglich /boot), dieses als crypt-Volume, darin ein Container für LVM, darin dann endlich Swap und root. Sonst musst du zwei oder mehr Passworte beim booten eingeben. Sehe ich das richtig?

Haarmann
2009-07-30, 11:21:34
Absorber

Funktioniert hats vorher auch... nur sicher wars nicht.
Gewisse Versionen schalteten es daher imho bei Installation ab.

_DrillSarge]I[

128Bit AES - wie alle Anderen leider auch... irgendwie will keiner 256Bit liefern. Da das, was AES wurde, keineswegs aufgrund der Sicherheit zum AES erhoben wurde... schaden die Mehrbits bestimmt nicht.

Gast
2009-07-30, 12:23:16
Die Versclüsselung war zum Teil nebenher nichtmals 128 Bit AES, sondern noch grösserer Müll.Was genau ist an AES mit 128-Bit-Schlüssel denn so müllig? Sicherlich ist auf modernen Systemen die Verwendung von 256-Bit-Schlüsseln meist sinnvoller, aber unsicher ist AES-128 bei ordentlicher Implementierung jetzt auch nicht gerade.Hardwarelösungen sind (im bezahlbarem Bereich) eher schlecht verglichen mit 384Bit AES mittels dm-crypt.AES kann nur mit Schlüsseln von 128, 192 oder 256 Bit umgehen. Wenn du beim Erstellen eines Volumes mit Cryptsetup-Luks als Keysize 384 definierst, resultiert dies in einem AES-Schlüssel von 256 Bit bei Wahl von aes-lrw-benbi bzw. 128 Bit bei Wahl von aes-xts-plain. Um bei letzterem einen 256-Bit-Key zu nutzen, ist der Wert für Keysize auf 512 Bit zu setzen, da für den Verwaltungsschlüssel bei XTS 256 Bit benötigt werden. LRW kommt mit 128 Bit aus.

Wenn es um die Verschlüsselung von Blockdevices unter Linux geht, kommt nichts an Cryptsetup-Luks/DM-Crypt heran, da hast du völlig Recht.

mrt
2009-07-30, 14:22:01
Ich sprach von der Gesamtschlüssellnänge ;)
Empfehlenswert ist inzwischen sowieso xts mit 512 Bit Gesamtlänge, experimentell ist das Verfahren nicht mehr, kein Grund mehr für cbc oder gar lrw.
@Absorber
Wieso so kompliziert? Man kann die Schlüssel auch auf einer verschlüsselten Partition (root) speichern und von dort nehmen oder, besser weil sicherer, die Schlüssel zwischen MBR und erster Partition verstecken. Man lese sich dazu die cryptsetup Beschreibung durch ;)

_DrillSarge]I[
2009-07-30, 14:31:32
128Bit AES - wie alle Anderen leider auch... irgendwie will keiner 256Bit liefern. Da das, was AES wurde, keineswegs aufgrund der Sicherheit zum AES erhoben wurde... schaden die Mehrbits bestimmt nicht.
aes-128 ist sicher. der einzige schwachpunkt ist, wie immer, die passphrase.
mal das lesen: http://www.seagate.com/staticfiles/docs/pdf/de-DE/whitepaper/tp596_128-bit_versus_256_bit_de.pdf

Thanatos
2009-07-30, 14:47:19
Was mich interessieren würde bei einer kompletten Festplattenverschlüsselung: Wie viel Leistung braucht dies?

Bei Desktoprechner eigentlich egal, aber bei Laptops ist ja die Akkulaufzeit nicht gerade uninteressant, was der erhöhte Rechenaufwand für die Verschlüsselung wieder stark verkürzen könnte, insbesondere, wenn man dann eine SSD Festplatte hat, wo die CPU dann nicht mehr so viel Däumchen drehen muss, bis die Daten kommen.

peppschmier
2009-07-30, 19:35:20
http://www.heise.de/newsticker/Bootkit-hebelt-Festplattenverschluesselung-aus--/meldung/142780

Nur zur Info

Gast
2009-07-31, 11:21:18
http://www.forum-3dcenter.org/vbulletin/showthread.php?p=7445309#post7445309

gleicher Link aber mehr Diskussion. Die Verschlüsselung wird nicht gebrochen.