https://www.computerbase.de/2018-11/forschung-hardware-verschluesselung-ssd-umgehbar/

In Kurzform: Wenn Bitlocker erkennt, dass eine SSD Hardwareverschlüsselung beherscht, dann nutzt er diese. Und da diese bei einigen SSDs kompromitiert ist ist das ganze ergo unsicher.

Alternativ könne auch weiterhin BitLocker genutzt werden, wenn durch Anpassung der Gruppenrichtlinien eingestellt wird, dass bei vorhandener Hardware-Verschlüsselung dennoch die Software-Variante verwendet wird. Diese manuelle Anpassung wirke sich allerdings nicht auf bestehende Daten aus und mache eine Neuinstallation erforderlich.

Frage: wie genau ERZWINGE ich die softwarebasierte Verschlüsselung unter Bitlocker?

Aus der Gruppenrichtlineneinstellung werd ich nicht ganz schlau...

Ist doch relativ klar beschrieben:

Configure use of hardware-based encryption for operating system drives (https://gpsearch.azurewebsites.net/#8152)

If you disable this policy setting, BitLocker cannot use hardware-based encryption with operating system drives and BitLocker software-based encryption will be used by default when the drive is encrypted.

Wie sieht es bei den NVMe Modellen aus?

Naja wenn 5 von 7 durchfallen....sieht das für mich generell eher schlecht aus für SSD Hardware Encryption...



Ich frage mich was passiert, wenn ich die richtlinie ändere. En und re-crypted dann das System automatisch?

Ich frage mich was passiert, wenn ich die richtlinie ändere. En und re-crypted dann das System automatisch?
Nein, nur wenn die Dateien neu geschrieben werden. Bitlocker funktioniert auf Dateiebene (oder von mir aus auch auf Blockebene). Aber es ist kein verschlüsselter Container wie bei Veracrypt.

Naja wenn 5 von 7 durchfallen....sieht das für mich generell eher schlecht aus für SSD Hardware Encryption...



Ich frage mich was passiert, wenn ich die richtlinie ändere. En und re-crypted dann das System automatisch?


Steht im ersten Pos, geht nicht.

Diese manuelle Anpassung wirke sich allerdings nicht auf bestehende Daten aus und mache eine Neuinstallation erforderlich.

Da habe ich aber einen Knoten im Gehirn.

bitlocker stelle ich um, wenn Windows installiert ist...

ich kann das ja nicht vor der Installation umstellen.

Wie sieht sowas aus, ich klicke die Änderung ein und dann fragt er mich ob ich rebooten will, damit er automatisch windows neu installiert?

Wenn du auf eine formatierte Partition installierst (aber keine Schnellformatierung), ists kein Problem. Dann kannst du vor dem kopieren deiner sensiblen Daten die Funktion ausmachen.
Alles andere ist eh keine richtige Neuinstallation.

"Wie sieht sowas aus, ich klicke die Änderung ein und dann fragt er mich ob ich rebooten will, damit er automatisch windows neu installiert?"
Gegenfrage: Wieso sollte Windows sich dann neuinstallieren??

Wenn Bitlocker erkennt, dass eine SSD Hardwareverschlüsselung beherscht, dann nutzt er diese.
....
Frage: wie genau ERZWINGE ich die softwarebasierte Verschlüsselung unter Bitlocker?



Wenn Bitlocker so einen S.. macht, dann macht er es woanders auch.

Truecrypt ist die sicherste Verschlüsselung weil sie gestorben wurde.
Veracrypt hat diese Auszeichnung nicht.
Und Bitlocker wurde überhaupt propagiert.

https://www.computerbase.de/2018-11/forschung-hardware-verschluesselung-ssd-umgehbar/

In Kurzform: Wenn Bitlocker erkennt, dass eine SSD Hardwareverschlüsselung beherscht, dann nutzt er diese. Und da diese bei einigen SSDs kompromitiert ist ist das ganze ergo unsicher.



Frage: wie genau ERZWINGE ich die softwarebasierte Verschlüsselung unter Bitlocker?

Aus der Gruppenrichtlineneinstellung werd ich nicht ganz schlau...
Neuinstallation ist bullshit. Das Volume braucht "nur" entschlüsselt und wieder verschlüsselt werden.

Note: After a drive has been encrypted using hardware encryption, switching to software encryption on that drive will require that the drive be unencrypted first and then re-encrypted using software encryption. If you are using BitLocker Drive Encryption, changing the Group Policy value to enforce software encryption alone is not sufficient to re-encrypt existing data.
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV180028

Theoretisch muss man auch noch nicht mal in den Gruppenrichtlinien rumspielen. Man kann Bitlocker auch über die Eingabeaufforderung steuern (wesentlich detaillierter) und da gibt es sogar einen Parameter, womit man zwischen HW und SW auswählen kann.

Wie gesagt, theoretisch, ich hab's bisher nicht getestet. Außerdem weiß ich nicht ob es bei der Option einen Unterschied zwischen Datenvolumen und Betriebssystem-Volumen gibt.

Neuinstallation ist bullshit. Das Volume braucht "nur" entschlüsselt und wieder verschlüsselt werden.


https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV180028

Danke :)

Ist eine Verschlüsselung auf einer SSD überhaupt sicher?
Die wahre Kapazität von modernen SSDs ist ja größer, als die angezeigte Kapazität. Bitlocker True- und Veracrypt etc. können nur das verschlüsseln, was sichtbar ist. Da aber TRIM dafür sorgt, dass die Zellen einer SSD gleichmäßig benutzen werden, lagert es Daten aus dem verschlüsselten Bereichen in den unverschlüsselten Bereich (Reservesektoren) aus.

Wenn es jmd darauf anlegt, könnte er die Reservesektoren auslesen.
Oder liege ich falsch?

Es wird kein "Bereich" verschlüsselt, sondern die jeweiligen Blöcke bzw. Sektoren. Die SSD bekommt nie unverschlüsselte Daten zu sehen, wenn man die in Software vom Betriebssystem verschlüsseln lässt.

Siehe auch: https://en.wikipedia.org/wiki/Disk_encryption_theory

Bitlocker benutzt AES-XTS, meine ich.

Bitlocker True- und Veracrypt etc. können nur das verschlüsseln, was sichtbar ist. Deswegen fängt man ja auch mit der Verschlüsselung auf einer leeren SSD an und verschlüsselt idealerweise nicht vorher unverschlüsselte Daten.

Da aber TRIM dafür sorgt, dass die Zellen einer SSD gleichmäßig benutzen werden, lagert es Daten aus dem verschlüsselten Bereichen in den unverschlüsselten Bereich (Reservesektoren) aus. Du solltest nochmal nachschauen was TRIM macht.

Wenn es jmd darauf anlegt, könnte er die Reservesektoren auslesen.Nur bei vorher unverschlüsselten Daten.

Ok, angenommen die SSD ist noch unverschlüsselt. TRIM würde dann doch unverschlüsselte Daten die so verteilen, dass sie auch in Reservesektoren landen. Also in einem Bereich, auf den ich keinen Einfluss habe, oder?

Wenn ich nun die SSD verkaufen möchte, wie schaffe ich es, dass jede Zelle in der SSD gelöscht wird?
Ich habe ein Programm, dass Laufwerke auch weiter beschreiben kann, nachdem sie voll sind. Also unendliche lange. Würde es damit funktionieren alle Zellen zu überschreiben?

Zum Post #1
Und welche SSDs geht es denn?
Bei den Samsungs kann man es mit dem Tool von Samsung einstellen, ob mit hardwareverschlüsselung oder ohne

Ich würde erst gar kein OS unverschlüsselt auf die Platte schreiben. Bei den meisten Betriebssystemen kann man bei der Installation direkt FDE aktivieren. Ich weiß jetzt aber nicht, wie Windows das bei Bitlocker handhabt.

[...]Wenn ich nun die SSD verkaufen möchte, wie schaffe ich es, dass jede Zelle in der SSD gelöscht wird?
Ich habe ein Programm, dass Laufwerke auch weiter beschreiben kann, nachdem sie voll sind. Also unendliche lange. Würde es damit funktionieren alle Zellen zu überschreiben?[...]

Die meisten (oder mittlerweile alle?) SSD-Hersteller haben ein Tool, womit man einen Secure-Erase durchführen kann. Man muss natürlich darauf vertrauen, dass damit wirklich alle Sektoren gelöscht werden, auch die Reserve.

Und wenn es doch ein Hersteller gibt der kein Tool anbietet, dann klappt es evtl. mit "Parted Magic", welches aber kostenpflichtig ist. Keine Ahnung ob es auch andere herstellerunabhängige Tools gibt.

Ich würde erst gar kein OS unverschlüsselt auf die Platte schreiben. Bei den meisten Betriebssystemen kann man bei der Installation direkt FDE aktivieren. Ich weiß jetzt aber nicht, wie Windows das bei Bitlocker handhabt.
Bitlocker kann man nur nachträglich aktivieren...


Und wenn es doch ein Hersteller gibt der kein Tool anbietet, dann klappt es evtl. mit "Parted Magic", welches aber kostenpflichtig ist. Keine Ahnung ob es auch andere herstellerunabhängige Tools gibt.
Du meinst, dass man mit dem Tool auch den Reservebereich sicher löschen kann?

Und was ist mit meinem Tool...
Ist zwar nicht für sowas gedacht, aber es schreibt solange man will. Und durch TRIM nicht immer die gleichen Sektoren

Bitlocker kann man nur nachträglich aktivieren...Das blanke Windows hat soviel geheime informationen wie die Windows DVD

Du meinst, dass man mit dem Tool auch den Reservebereich sicher löschen kann?Genauso sicher wie den Rest. Das sektorweise Überschreiben ist nicht mal bei Festplatten wirklich sicher.

Ist zwar nicht für sowas gedacht, aber es schreibt solange man will. Und durch TRIM nicht immer die gleichen SektorenDas hat immer noch nichts mit TRIM zu tun.
Die Sektoren an der Schnittstelle sind bei allen Massenmedien nur noch eine Abstraktion und nicht zwangweise ein 1:1 Mapping auf die physikalische Hardware.

Du meinst, dass man mit dem Tool auch den Reservebereich sicher löschen kann?

"Parted Magic" sendet das ATA-Kommando "Secure Erase" an das Laufwerk. Es hängt dann davon ab, was der Controller / dessen Firmware bei diesem Kommando macht. Sicher kann man sich nicht zu 100% sein. Ich wüsste halt auch nicht, wie man das überprüfen kann.

Ehrlich gesagt habe ich bisher auch nie nach einer Prüfmöglichkeit gesucht. Ich vertraue einfach blind auf die Hersteller-Tools.

Und was ist mit meinem Tool...
Ist zwar nicht für sowas gedacht, aber es schreibt solange man will. Und durch TRIM nicht immer die gleichen Sektoren

Solche Tools sind für klassische HDDs gedacht. Wie häufig willst du die SSD denn überschreiben lassen? 1x, 5x oder sicherheitshalber 10x? Durch das Wearleveling wird ja mit 1x überschreiben nichts zwangsläufig jeder Sektor 1x überschrieben. Einige Sektoren werden bei einer Komplettüberschreibung vielleicht 5x angefasst und andere wiederum 0x (als plumpes Zahlenbeispiel). Siehe auch die Antwort von "PatkIllA".

Dazu nochmal eine andere Frage, mit welcher BootCD kann ich z.B Trucrypt Platten gut backupen?
Acronis meckert rum trotz 1:1 bzw. ich kann das machen aber beim Verifizieren sagt er stimmt nicht.
Was ist hier also zu empfehlen?

Jede beliebige Linux-Distribution als Live-Medium bringt Gparted und dd mit.

Fedora 29 hat AFAIK übrigens auch nativen Support für VeraCrypt. Aber keine Ahnung, wie kompatibel das mit TrueCrypt ist.

Bei den meisten Betriebssystemen kann man bei der Installation direkt FDE aktivieren. Ich weiß jetzt aber nicht, wie Windows das bei Bitlocker handhabt.

Lt. Snoopy get das bei Windows erst nachträglich - also nachdem das OS fertig installiert wurde.

Meine eigentliche Frage ist aber eine ganz andere: GnuPG funktioniert nur für die Verschlüsselung von Dateien, Ordnern oder auch Nachrichten - aber nicht für die Selbstverschlüsselung von ganzen Festplatten, korrekt?

Ich frage das deswegen, weil ich nach einem Neustart mein GPG (wieder mal:redface:) "rebuilden" muss - also erneut einen eigenen Schlüssel erstellen.

Jetzt stehe ich grade vor dem Algorithmus-Auswahlbildschirm und bis jetzt hatte ich stets nur "RSA (sign only)" ausgewählt, da ich GPG nur fürs Verifizieren/Signieren brauche; also um die Integrität und Authentizität von Dateien & Downloads zu prüfen - sonst brauche ich GPG eigentlich nicht.

Aber falls GPG auch ganze Festplatten verschlüsseln kann, dann bin ich geneigt, doch einen "richtigen" Schlüssel anzulegen - also signieren und verschlüsseln;)

Falls nicht, dann werde ich wieder "RSA (sign only)" auswählen...

R2

Betrifft das ganze auch ältere Crucial SSDs?
(MX 550 mit Firmware MU02)

Mit GnuPG kannst du nur Dateien/Emails verschlüsseln.
Für die komplette Festplattenverschlüsselung gibt es dm-crypt/LUKS

Mit GnuPG kannst du nur Dateien/Emails verschlüsseln.
Für die komplette Festplattenverschlüsselung gibt es dm-crypt/LUKS

Alles klar, Danke! ;)

Dann werde ich mir doch keinen vollen Key anlegen - Hauptsache, ich kann damit die Integrität und Authentizität sicherstellen...

R2

Wenn du jedes Mal die öffentlichen Schlüssel neu runterlädst, ist die ganze Prozedur übrigens relativ witzlos. Einen Vorteil zum Vergleich mit den unsignierten Prüfsummen hast du damit jedenfalls nicht.

Wenn du jedes Mal die öffentlichen Schlüssel neu runterlädst, ist die ganze Prozedur übrigens relativ witzlos.

Natürlich tue ich das nicht - die öffentlichen Schlüssel habe ich ein einziges Mal runtergeladen (in Dateiform oder als Textdatei) und dann auf einem externen Medium gespeichert. Bei jedem Rebuild schließe ich das externe Medium an den Rechner und importiere dann die Schlüssel über die Kommandozeile aus diesen Dateien...

Übrigens: kannst du in meinen anderen Thread mal reinschauen? ;) Bin wieder mal steckengeblieben...

R2

Bitlocker kann man nur nachträglich aktivieren...

Lt. Snoopy get das bei Windows erst nachträglich - also nachdem das OS fertig installiert wurde.


Ich hab' das nochmal gegoogelt aber ich konnte keinerlei Informationen oder Artikel dazu finden - alle Artikel, die ich bis jetzt im Netz gefunden habe, behandeln BL nach der Windows-Installation! Wurde es denn nicht irgendwo/irgendwann bestätigt, dass das Einrichten von BL vor der Windows-Installation nicht möglich ist? (in meinem Fall Windows 7)

Ich will meine SSD zwar ohnehin komplett plätten (so gut es irgendwie möglich ist... z.B. Secure Erase), aber wenn ich mir durchs Verschlüsseln zukünftig keine Sorgen mehr ums komplette Plätten bzw. übriggebliebener Malware machen muss, dann nehme ich es gerne mit...

R2