festplatte mit hardware verschlüsselung

U

uhahaohha

Neuling
Thread Starter
Mitglied seit
12.03.2012
Beiträge
156
habe gesehen es gibt festplatten die einen extra chip eingebaut haben der die daten verschlüsselt
wie genau funktioniert das? wann und wo wird der schlüssel festgelegt und beim booten eingegeben?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Willst du dir ein entsprechendes System kaufen oder interessiert dich nur wie so etwas prinzipiell funktioniert?
Du bräuchtest einen SAS Controller und SAS Festplatten welche die Verschlüsselung unterstützen. Daneben gibt es noch LTO Bandlaufwerke die auch eine Laufwerksverschlüsselung haben. Das verteilen der Schlüssel für die symmetrische AES Verschlüsselung ist nicht gerade einfach. Du brauchst einen extra Rechner der das übernimmt mit entsprechender Software.

http://www.seagate.com/staticfiles/docs/pdf/de-DE/whitepaper/tp596_128-bit_versus_256_bit_de.pdf
 
Zuletzt bearbeitet:
In der letzten CT war ein guter Artikel darüber, falls du die noch irgendwo bekommst
c't - Inhalt 6/2012 - Seite 174
Wenn ich nachher Zeit habe kann ich gerne mal ein paar Sachen daraus zusammenfassen.
Nur kurz: Der Schlüssel wird auf einem "unzugänglichen Chip" auf der Festplatte gespeichert und mit einem von dir gewählten Passwort geschützt/verschlüsselt. Es gibt dann verschiedene Wege wie du das Passwort beim Start eingeben kannst. Eigene Software(die sich dann im Bootloader einnistet), ATA Bios Passwort, und noch weitere (TPM, TCG-Opal..).
Fazit: Sicher, einfach, schnell

---------- Post added at 13:55 ---------- Previous post was at 13:52 ----------
bluesunset schrieb:
Willst du dir ein entsprechendes System kaufen oder interessiert dich nur wie so etwas prinzipiell funktioniert?
Du bräuchtest einen SAS Controller und SAS Festplatten welche die Verschlüsselung unterstützen. Daneben gibt es noch LTO Bandlaufwerke die auch eine Laufwerksverschlüsselung haben. Das verteilen der Schlüssel für die symmetrische AES Verschlüsselung ist nicht gerade einfach. Du brauchst einen extra Rechner der das übernimmt mit entsprechender Software.

http://www.seagate.com/staticfiles/docs/pdf/de-DE/whitepaper/tp596_128-bit_versus_256_bit_de.pdf
Zum Vergrößern anklicken....

Ich glaube, du meinst etwas anderes als der Threadersteller. Warum SAS? Man kann in jeden PC bei dem man im Bios ein ATA-Passwort setzen kann eine selbst verschlüsselnde Festplatte (auch SATA) einbauen.
 
Ein ATA Security Passwort hat nichts mit einer Selbstverschlüsselung einer HDD zu tun.

Der Artikel sieht interessant aus. Welche Möglichkeiten gibt es, mit denen man sich nicht zwangsweise an einen bestimmten PC bindet und welche auch ohne TPM Modul funktionieren?
 
Zuletzt bearbeitet:
bluesunset schrieb:
Ein ATA Security Passwort hat nichts mit einer Selbstverschlüsselung einer HDD zu tun.
Zum Vergrößern anklicken....

Auf einer gewöhnlichen Festplatte natürlich nicht. Aber es geht hier um Festplatten die selbstverschlüsselnd sind und dort ist ein ATA Passwort eine möglichkeit, diese zu entschlüsseln. Wenn dann jemand das ATA Passwort knackt kann er zwar auf die Daten zugreifen, diese sind allerdings verschlüselt.
Ich glaube du weißt nicht, wovon wir reden ;)

zB: Intel SSD 320
oder Seagate Constellation ES.2
 
Zuletzt bearbeitet:
Ich versteh garnicht was immer alle mit dem Verschlüsseln haben, es kostet Leistung und erheblichen Mehraufwand und istz dennoch für die richtigen Leute schnell geknackt.
Regierungen haben sicher MIttel, und eine Firma (finde den link nicht) hat eine Software entwickelt welche z.b. TC System innerhalb weniger Minuten komplett geknackt hat.

Ist ja auch klar, für jedes Schloß gibt es einen Schlüssel. Von daher versteh ich diesen Verschlüsselungshype nicht.
 
Zuletzt bearbeitet:
Romsky schrieb:
Ich versteh garnicht was immer alle mit dem Verschlüsseln haben, es kostet Leistung und erheblichen Mehraufwand und istz dennoch für die richtigen Leute schnell geknackt.
Regierungen haben sicher MIttel, und eine Firma (finde den link nicht) hat eine Software entwickelt welche z.b. TC System innerhalb weniger Minuten komplett geknackt hat.

Ist ja auch klar, für jedes Schloß gibt es einen Schlüssel. Von daher versteh ich diesen Verschlüsselungshype nicht.
Zum Vergrößern anklicken....

Mit einer solchen selbstverschlüsselden Festplatte ist der Aufwand gerade mal das setzen eines Passwortes, man hat eben kein Performanceverlust und wo TC und aes geknackt worden sein soll will ich sehen..
 
Du hast doch auch keine Holztür vor nem Raum stehen, sondern eine gute Tür.

Und wen man weiß was man tut, und wie man es macht, kann man schonmal länger versuchen zu knacken. Da hilft einem dann das FBI auch nicht mehr viel, wenn man den Schlüssel in der Hosentasche herumträgt. ^^


Gab kürzlich einen Bericht, wo das FBI eine TC Verschlüsselte Platte nicht knacken konnte.


Look, FBI beißt sich an verschlüsselten Festplatten die Zähne aus!
 
Zuletzt bearbeitet:
Kenne die ES.2, Seagate hatte davor schon FDE HDDs. Und du widersprichst dich.
... Festplatten die selbstverschlüsselnd sind und dort ist ein ATA Passwort eine möglichkeit, diese zu entschlüsseln. Wenn dann jemand das ATA Passwort knackt kann er zwar auf die Daten zugreifen, diese sind allerdings verschlüselt.
Zum Vergrößern anklicken....
Wenn das ATA Passwort fürs entschlüsseln wäre, wieso sollten man immer noch nur verschlüsselte Blöcke bekommen?

Zitier doch mal bitte ein paar wichtige stellen aus dem Artikel. Aber wie gesagt ohne den Pferdefuß TPM. Es hilft keinem etwas, wenn man eine Festplatte an eine bestimmte Hardware bindet.
 
Mit lahmarschigen Passwörtern braucht man da sicher nicht zu kommen,
 
Mit ATA Passwort knacken meine ich nicht, dass der Angreifer dann das Passwort kennt, sondern dass er an die Daten kommt ohne das Passwort zu wissen. Und das bringt ihm nichts, weil die Daten eben verschlüsselt sind.
Kann grad nicht zitieren, bin nicht daheim ;)
Ohne tpm geht es halt über mit dem ATA Passwort. Darfst das nicht wie den normalen ATA Passwortschutz verstehen, sondern nur als den weg wie das Passwort zur Festplatten gelangt.
 
@bluesunset
gemeint sind natürlich die selfencrypting drives (sed) u.a. von seagate, die Geräte arbeiten mit Hardware basierter Verschlüsselung (eingebauter Verschlüsselungschip),
die Performance der SED Modelle ist praktisch identisch mit der Performance der Normal Modelle, auch wird die Systemleistung nicht beeinträchtigt, wie das jedenfals bei rechnern ohne (intel) aes-ni der Falls ist
Performance-Probleme wie bei Software-basierten Lösungen gibt es also keinesfalls
und natürlich ist es Sinn der Sache, die Daten, die geschützt werden sollen, an genau den Computer zu binden, in dem sie sich befinden
typischerweise geht es hier um Unternehmensdaten, und die Festplatten mit solchen Daten werden nicht eben mal an diverse Computer im Unternehmen rumgereicht wie das vielleicht
im homebereich der Fall sein mag

@TE
Seagate Secure arbeitet mit einer Preboot-Environment (die Seagate mit jeder Platte mitliefert), das besteht meines Wissens nach in einem gehärteten Mini-Linux
die Authentifizierung kann dann durch klassische user-name/password eingabe, einen usb-token oder per smartcard geschehen
das passwort wird in einem nicht addressierbaren Bereich der SED Platte gespeichert, ist also auf keine sonstige Weise zugänglich

wird eine ganzer computer mit SED Platte gestohlen, so sind die Daten durch das password und Verschlüsselung geschützt
eine SED Platte auszubauen, zu stehlen und zu öffnen um so an die Daten zu kommen nutzt auch nichts

soll eine SED Platte z.b. aus Altersgründen ausgemustert werden, so kann sie innerhalb einer Sekunde komplett gelöscht werden,
nämlich durch Löschen des Entschlüsselungspassortes aus dem nicht addressierbaren Speicherbereich der Platte
bei hardware-basierter Festplattenverschlüsselung kann auf den Schlüsselspeicherort nicht über das OS zugegriffen werden, der Verschlüsselungsprozess ist auch nicht
im Hauptspeicher des Rechners nachvollziehbar

einige links:
vergleich zur Sicherheit diverser authentifizierungsmethoden
http://www.trustedstrategies.com/papers/can_your_computer_keep_a_secret.pdf

seagate secure technology
http://www.seagate.com/staticfiles/docs/pdf/security/Tech_Paper_Enables_Robust_Security.pdf
index

seagate drivetrust technology für momentus series und db35 series
http://www.seagate.com/docs/pdf/whitepaper/TP564_DriveTrust_Oct06.pdf
 
2009 - Bootkit hebelt Truecrypt komplett aus
2010 - Truecrypt und Bitlocker über Speicherabbild und tools entschlüsseln

Sicher geht z.b. die 2. Methode nur wenn ein Speicherabbild besteht (und dies wurde in der aktuellsten Version behoben, da der Key nicht mehr unverschl. im Ram liegt). Aber die 1. Methode scheint nachwievor zu gehen. Ich weiß das sich das FBI angeblich nach einem Jahr die Zähne an einer TC-HDD eines Bankiers ausgebissen hat... ich glaube das nicht. Wenn es ein Österreicher in seiner Freizeit geschafft hat, dann schafft das sicher auch das FBI/CIA/BND usw.
 
dv2130n schrieb:
@bluesunset
gemeint sind natürlich die selfencrypting drives (sed) u.a. von seagate, die Geräte arbeiten mit Hardware basierter Verschlüsselung (eingebauter Verschlüsselungschip),
die Performance der SED Modelle ist praktisch identisch mit der Performance der Normal Modelle, auch wird die Systemleistung nicht beeinträchtigt, wie das jedenfals bei rechnern ohne (intel) aes-ni der Falls ist
Performance-Probleme wie bei Software-basierten Lösungen gibt es also keinesfalls
Zum Vergrößern anklicken....
Hab ich nicht in Frage gestellt. Das war Romsky mit dem Mehrwaufwand.

und natürlich ist es Sinn der Sache, die Daten, die geschützt werden sollen, an genau den Computer zu binden, in dem sie sich befinden
typischerweise geht es hier um Unternehmensdaten, und die Festplatten mit solchen Daten werden nicht eben mal an diverse Computer im Unternehmen rumgereicht wie das vielleicht
Zum Vergrößern anklicken....
Ich würde keinen Vorteil an der Bindung eines Sicherungssystems an eine bestimmte Hardware sehen. Spätestens wenn genau diese Hardware (Mainboard, Controller, whatever) ausfällt, wär das Geschrei groß.

@TE
Seagate Secure arbeitet mit einer Preboot-Environment (die Seagate mit jeder Platte mitliefert), das besteht meines Wissens nach in einem gehärteten Mini-Linux
die Authentifizierung kann dann durch klassische user-name/password eingabe, einen usb-token oder per smartcard geschehen
das passwort wird in einem nicht addressierbaren Bereich der SED Platte gespeichert, ist also auf keine sonstige Weise zugänglich

wird eine ganzer computer mit SED Platte gestohlen, so sind die Daten durch das password und Verschlüsselung geschützt
eine SED Platte auszubauen, zu stehlen und zu öffnen um so an die Daten zu kommen nutzt auch nichts

soll eine SED Platte z.b. aus Altersgründen ausgemustert werden, so kann sie innerhalb einer Sekunde komplett gelöscht werden,
nämlich durch Löschen des Entschlüsselungspassortes aus dem nicht addressierbaren Speicherbereich der Platte
bei hardware-basierter Festplattenverschlüsselung kann auf den Schlüsselspeicherort nicht über das OS zugegriffen werden, der Verschlüsselungsprozess ist auch nicht
im Hauptspeicher des Rechners nachvollziehbar

einige links:
vergleich zur Sicherheit diverser authentifizierungsmethoden
http://www.trustedstrategies.com/papers/can_your_computer_keep_a_secret.pdf

seagate secure technology
http://www.seagate.com/staticfiles/docs/pdf/security/Tech_Paper_Enables_Robust_Security.pdf
index

seagate drivetrust technology für momentus series und db35 series
http://www.seagate.com/docs/pdf/whitepaper/TP564_DriveTrust_Oct06.pdf
Zum Vergrößern anklicken....

Hab die Papers noch ned gelesen, aber so wie du das mit dem embeded Linux beschreibst, bootet der Rechner dann von der HDD dieses System? Dann wärs ja recht umständlich. Vor allem wie würde dann ein größeres Raid dann damit initialisiert?
 
Romsky schrieb:
2009 - Bootkit hebelt Truecrypt komplett aus
2010 - Truecrypt und Bitlocker über Speicherabbild und tools entschlüsseln

Sicher geht z.b. die 2. Methode nur wenn ein Speicherabbild besteht (und dies wurde in der aktuellsten Version behoben, da der Key nicht mehr unverschl. im Ram liegt). Aber die 1. Methode scheint nachwievor zu gehen. Ich weiß das sich das FBI angeblich nach einem Jahr die Zähne an einer TC-HDD eines Bankiers ausgebissen hat... ich glaube das nicht. Wenn es ein Österreicher in seiner Freizeit geschafft hat, dann schafft das sicher auch das FBI/CIA/BND usw.
Zum Vergrößern anklicken....

Und wo genau steht, dass bei Methode 1 die Verschlüsselung geknackt wurde? Damit kann man nur ein Bootkit auf einem Rechner installieren, der mit TC geschützt ist. Das ist zwar blöd, allerdings kommt trotzdem niemand ohne das Passwort an die Daten. Und genau deswegen auch nicht das CIA/FBI etc. Was bringt denen ein Bootkit auf einem Windows, das nicht hochfährt mangels Passwort ;)
 
Das Bootkit versucht nicht TC zu knacken, sondern greift viel mehr vor der Verschlüsselung ein. Der Sinn der Sache ist einfach unerkannt die Festplattenzugriffe mit zu protokollieren. Das geht natürlich auch mit SED Platten. Festplattenverschlüsselung bringt nichts wenn dein System durch Viren etc. kompromittierbar ist. Das Problem haben grundsätzlich alle Festplattenverschlüsselungssysteme. Das ist weder eine Schwäche von TC noch eine Stärke von SED Platten.
 
bluesunset schrieb:
...Hab die Papers noch ned gelesen, aber so wie du das mit dem embeded Linux beschreibst, bootet der Rechner dann von der HDD dieses System? Dann wärs ja recht umständlich. Vor allem wie würde dann ein größeres Raid dann damit initialisiert?
Zum Vergrößern anklicken....

das glaub' ich, aber ich hab' andererseits weder Zeit noch Lust hier mundgerechte Häppchen zu füttern zur Bezugnahme und zum Disputieren
wenn das Thema interessiert, hast du also noch ne Menge vor dir zum Lesen
und da du gerade nach raid auf sed's fragst, gibts noch viel mehr zu lesen
als Suchtip: es gibt Raid-Controller, die ein local key management im zusammenhang mit seagate secure technology dediziert unterstützen, etwa von Intel und damit LSI
 
Romsky schrieb:
Regierungen haben sicher MIttel, und eine Firma (finde den link nicht) hat eine Software entwickelt welche z.b. TC System innerhalb weniger Minuten komplett geknackt hat.

Ist ja auch klar, für jedes Schloß gibt es einen Schlüssel. Von daher versteh ich diesen Verschlüsselungshype nicht.
Zum Vergrößern anklicken....

Kompletter Schwachsinn.

Schau dir den Wiki Artikel zu Verschlüsselung und dem System an, dann verrate mir, über welchen Weg man z.B. AES knacken möchte. btw, der CIA hat eine sehr, sehr hohe Summe Belohnung ausgesetzt, für denjenigen der AES "geknackt" hat. Kannst dich doch mal dran versuchen, räusper...


Bei TrueCrypt gibt es kein Schloss, so einfach ist das nicht.
 
Doch, so einfach ist es. Was verschlüsselt wird muss auch entschlüsselt werden... von daher wird es immer Mittel und Wege geben.
Wie einfach das nun ist kann ich nicht sagen. Aber grundsätzlich wird es immer möglich sein.
 
In den alten PDFs von Seagate steht nichts neues. Nur die Erklärung von DriveTrust Technology kannte ich nicht.
Seit wann ist Intel == LSI?

Da ich eh einen M1015 habe: IBM Redbooks | ServeRAID M1015 SAS/SATA Controller for System x

The ServeRAID M1000 Series Advanced Feature Key enables the following features:

* LSI SafeStore: support for self-encrypting drive (SED) services
o Instant secure erase
o Local key management


LSI SafeStore encryption services offer instant secure erase and local key management for SEDs. This technology represents a significant step forward in securing data on a disk drive from any unauthorized access or modification resulting from theft, loss, or repurposing of drives:

* Instant secure erase permanently removes data when repurposing or decommissioning SEDs.
* SafeStore local key management provides the necessary management and protection of SEDs using a simple pass phrase, security key identifier, and security key file that can be set and applied to all SEDs assigned to a ServeRAID adapter. This removes the complexity of managing each SED’s unique encryption key and essentially relieves the administrator from most of the daily tasks of securing data.
Zum Vergrößern anklicken....

Demnach wäre ich wieder bei meiner ersten Aussage, dass man einen SAS Controller braucht, neben entsprechenden SAS HDDs die die Verschlüsselung unterstützen.
Immerhin hat LSI nun eine Firmware für Ihre SAS Controller, in der Anfangszeit der FDE HDDs konnte man diese im Einzelhandel nicht einmal kaufen.

Wenns doch nur endlich Controller und Platten mit OSD gäb *seufz*.
 
Zuletzt bearbeitet:
Romsky schrieb:
Doch, so einfach ist es. Was verschlüsselt wird muss auch entschlüsselt werden... von daher wird es immer Mittel und Wege geben.
Wie einfach das nun ist kann ich nicht sagen. Aber grundsätzlich wird es immer möglich sein.
Zum Vergrößern anklicken....

Setz dich doch mal bitte mit dem Thema auseinander. Verschlüsselung ist eine sehr komplexe Thematik, allein Verschlüsselungsalgorithmen dürften deine Aufmerksamkeit für einige Zeit beanspruchen. Ohne Passwort und ohne die richtige Software, kommst du nicht an die Daten heran.


Da du nicht weißt, sondern vermutest, hast du dich definitiv nicht über Verschlüsselung informiert. ;)
 
Bezüglich der Märchen über TC:
bootkit: Kann man sich einfach vor schützen, indem man TC immer von einem USB-Stick/CD bootet. (Für Hardware-FDE irrelevant, da diese mittels ATA-PW VOR dem Abfragen der Pre-boot-Authentication entsperrt werden müssen.)
nicht erwähnt - Hardware key logger: Keine Chance, dagegen vorzugehen. Wenn man hochsensible Daten hat und so etwas vermutet, muss man andere (sichere) Hardware nutzen.
Speicherabbild auslesen: Dieser Fehler von Truecrypt wurde nur ganz kurze Zeit später behoben - mittlerweile schreibt TC das Passwort verschlüsselt in den Speicher, deswegen bringt ein Auslesen desselben dem Angreifer gar nichts mehr. ;)

Hardware-FDE ist allerdings so ein Problem - niemand weiß, ob der Hersteller nicht ein Hintertürchen eingebaut hat. Aber Diskussionen hierzu gibts in anderen Threads zu Hauf.

Was AES selbst anbetrifft - so lange noch (von Seitenkanal-Attacken mal abgesehen) nicht mal eine theoretische Methode existiert, die Verschlüsselung zu knacken, muss man immer Workarounds dafür finden ;)
 
Zuletzt bearbeitet:
Los schrieb:
....Hardware-FDE ist allerdings so ein Problem - niemand weiß, ob der Hersteller nicht ein Hintertürchen eingebaut hat. Aber Diskussionen hierzu gibts in anderen Threads zu Hauf. ...
Zum Vergrößern anklicken....


möchtest du das mal näher erläutern? Das dürfte besonders interessant sein für die Personen, Unternehmen, Organisationen und Regierungsstellen, die heute bereits millionenfach ihre Daten und Unternehmensgeheimnisse auf FIPS-zertifizierten Festplatten speichern, die als geeignet ausgewiesen sind für kritische Daten bis unterhalb einer Einstufung, die Regierungen als "Top-Secret" klassifizieren

die Beweislast für diesen irren Verschwörungsquatsch liegt klar bei denjenigen, die diese Gerüchte (in offensichtlich böswilliger Absicht zum Schaden der Hersteller von Hardware-Verschlüsselung) aufgebracht haben und ihren Vertretern und Sympathisanten, aber darin besteht ja immer das vornehmste Interesse der Für-Lau-Fraktion, andere Leute um die verdienten Früchte ihrer Arbeit, um Lohn und Brot zu bringen (und sich selbst von Dritten alimentieren und subventionieren zu lassen) Dazu müßte eine solche SED-Platte zerlegt und ihre Schalt-Logik komplett enträtselt werden, das wird die Für-Lau-Fraktion nicht tun, sie halten lieber die irren Gerüchte am Köcheln.
Es gibt seit Alters her ein Wort dafür: man nennt es Beutelschneiderei
 
Zuletzt bearbeitet:
@dv2130n: Ich glaube du überbewertest die FIPS-140 Zertifizierung. Die diversen USB-Sticks, die 2010/2011 geknackt worden sind mit HW-Verschlüsselun,g waren auch FIPS-140 zertifiziert, mit Level 1 bzw 2. Die Verschlüsselung war sicher, aber zb die Keyerzeugung nicht. In einigen Fällen wars ein simpler Implementierungsfehler o.Ä. Es ist praktisch unmöglich zu wissen ob das bei den FDE Platten von zb Seagate nicht auch so ist oder zb die Keylogik in nem LSI Controller Probleme hat.
 
Anmelden, um zu antworten.

Ähnliche Themen

P
unionsine hd2510 - amazon festplatte
Antworten
9
Aufrufe
890
p3tzko
P
A
Ext4-formatierte Festplatte auf fehlerhafte Blöcke hin untersuchen
Antworten
21
Aufrufe
2K
Holt
Holt
M
WD120EDAZ PCB
Antworten
5
Aufrufe
414
Holt
Holt
W
Raid 1 Festplatte
Antworten
7
Aufrufe
801
n3cron
n3cron
BulletSnake
Festplatte in GPT Format umwandeln
Antworten
13
Aufrufe
484
Aktaion
A
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh