Intel 320 AES Verschlüsselung und löschen von Daten

O

optx

Neuling
Thread Starter
Mitglied seit
08.03.2009
Beiträge
105
Hi Leute,
ich möchte mich ein wenig weiterbilden in dem Breich der Datensicherheit von SSD leider habe ich zu diesem Thema wenige bis keine Informationen gefunden.

Es geht um die Intel 320 SSD die eine AES verschlüsselung besitzten soll leider bin ich mir nicht genau sicher wie man diese verschlüsselung verwenden kann.
Hat jemand eine Idea oder eine Anleitung ?

Des weiteren möchte ich einmal Wissen wie weit das Tool von Intel "Solid-State-Laufwerk-Toolbox" die Daten wirklich löscht bei der Funktion "Secure Erase" dort steht folgende Beschreibung:
"Sicheres Löschen (Secure Erase) löscht dauerhaft alle Daten auf dem ausgewählten Intel SSD."
Dauerhaft bedeutet ja eigendlich das die Daten nie wieder hergestellt werden können was ich bezweifel. Bei HDD´s ist eine dauerhaft löschung ja auch nicht möglich.

Vielen dank für alle Nützlichen Antworten und Links
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Hallo,

wenn ich das so einwerfen darf:

Vielmehr würde mich interessieren, wie dort ein Schlüssel für die eingebaute AES-Verschlüsselung generiert wird und vor allem wie sicher er ist?

Sicher genug, für einen Diebstahl durch Firmenspione. Oder sicher genug für eine Untersuchung durch z.B. das BKA oder den NSA?

Denn wenn da ein Backdoor ist, fällt die Sicherheit im gleichen Moment. Vorallem würde ich die Firma Intel nicht gerade als einen Amerika-Regierungsgegner bezeichnen. Daher denke ich, dass die im Notfall kooperieren...

Von Truecrypt weiss ich zumindest aus 2 sicheren Quellen zuverlässig, dass das BKA nicht an die verschlüsselten Daten herankommt.

Gruss
Freeman
 
Die AES-Verschlüsselung aller Consumer SSDs ist aus sicherheitstechnischer Sicht ein Witz und ein reiner Marketing Spass. Das liegt vor allem daran, dass Implementierungsdetails geheim sind und von niemanden geprüft oder zertifiziert und geht damit weiter, dass selbst der Einsatz ein Glücksspiel ist. Aktivieren tut man die Verschlüsslung über das Bios HDD Passwort Feature. Je nach Bios ist das nicht vorhanden oder mit nur einer begrenzten Zeichensatzzahl (8 Zeichen) oder unzureichend implementiert. Wahrscheinlich gibt es auch korrekte und vollständige Implementierungen, aber allein das zu prüfen ist schon ein Akt.

Im Intel wie auch im OCZ Forum haben Leute nach Details gefragt und keine verwertbaren bekommen. Soweit ich mich entsinne sind das Bios HDD Passwort und der eigentliche Verschlüsselungskey nicht miteinander verknüpft, so dass auch ein Zugriff auf den Key ohne das korrekte Passwort denkbar ist. Die Idee von Secure Erase müsste eigentlich sein den Key zu löschen, dadurch wären die Daten zwar noch vorhanden aber nicht mehr entschlüsselbar.

Um mal noch meinen eigenen Test mit einer Sandforce AES Platte zu schildern: mein Bios hatte das HDD Feature, aber es hat nur 8 Zeichen erlaubt. Naja, was hat man schon zu verlieren also hab ich es halt so verwendet. Eines Tages ist mir aufgefallen, dass ich beim Booten das Passwort nicht mehr eingeben musste. Tatsächlich lief die Platte dann auch in einem anderen Rechner ohne jedes Passwort und man konnte auf die Daten zugreifen. Ich vermute mal, das Bios hat das Passwort nie durchgereicht sondern nur für sich selbst als Check genutzt.

Da es dort offensichtlich keine sichere Regelung gibt, wäre sogar denkbar, dass ein Bios das Passwort irgendwie modifiziert bevor es dieses weiterreicht und man an anderen Rechnern selbst mit richtigem Passwort nicht an die Inhalte kommt. Wenn man wirklich Verschlüsselung will, sollte man auf Softwarelösungen zurück greifen.
 
Ich würde der Verschlüsselung von Intel auch kein vertrauen schenken wenn es sich um hochwichtige Firmenakten handelt.
Es ist immernoch ein gewinnorientiertes Unternehmen was bestimmt die eine oder andere Hintertür parat hat wenn ein Topf mit Gold winkt :wink:

---------- Post added at 12:00 ---------- Previous post was at 11:47 ----------
freeman303 schrieb:
Von Truecrypt weiss ich zumindest aus 2 sicheren Quellen zuverlässig, dass das BKA nicht an die verschlüsselten Daten herankommt.
Zum Vergrößern anklicken....

Das ist nicht ganz richtig.
Angriffsszenario

Es existiert ein Angriffsszenario, das zur Erlangung des geheimen TrueCrypt-Passworts führen kann. Voraussetzung ist ein gerade laufendes System mit gemountetem TrueCrypt Volume. (Es existiert dasselbe Angriffsszenario auch für Microsofts BitLocker-Verschlüsselung.) In diesem Zustand kann bei Vorhandensein eines FireWire-Anschlusses mit einer speziellen Software über die FireWire-Verbindung der Inhalt des Arbeitsspeichers kopiert werden. Dieses Speicherabbild kann danach mit der Angriffssoftware durchsucht und das Passwort extrahiert werden. Damit kann schließlich vom Angreifer das TrueCrypt-Volume gemountet und gelesen werden. Der Hersteller bietet die Software außer für Behörden auch für Privatdetektive an.
 
Zuletzt bearbeitet:
optx schrieb:
Es existiert ein Angriffsszenario, das zur Erlangung des geheimen TrueCrypt-Passworts führen kann. Voraussetzung ist ein gerade laufendes System mit gemountetem TrueCrypt Volume. (Es existiert dasselbe Angriffsszenario auch für Microsofts BitLocker-Verschlüsselung.) In diesem Zustand kann bei Vorhandensein eines FireWire-Anschlusses mit einer speziellen Software über die FireWire-Verbindung der Inhalt des Arbeitsspeichers kopiert werden. Dieses Speicherabbild kann danach mit der Angriffssoftware durchsucht und das Passwort extrahiert werden. Damit kann schließlich vom Angreifer das TrueCrypt-Volume gemountet und gelesen werden. Der Hersteller bietet die Software außer für Behörden auch für Privatdetektive an.
Zum Vergrößern anklicken....
Davon mal ab, dass die Verbreitung von Firewire wohl eher begrenzt ist würde ich sowieso davon ausgehen, dass es diverse Software gibt die es erlaubt in einen laufenden Rechner einzudringen. Falls dein Rechner zwischendurch in 'feindliche' Hände fällt, kann man auch einfach einen (Key)logger installieren. Grundsätzlich schützt die Verschlüsselung nur davor, dass jemand die Festplatte in die Hände bekommt (wie z.B. bei Diebstahl oder Beschlagnahmung) und damit dann nichts anfangen kann. Wenn die Gelegenheit besteht das System zu kompromittieren hilft das alles nichts.
 
optx schrieb:
Des weiteren möchte ich einmal Wissen wie weit das Tool von Intel "Solid-State-Laufwerk-Toolbox" die Daten wirklich löscht bei der Funktion "Secure Erase" dort steht folgende Beschreibung:
"Sicheres Löschen (Secure Erase) löscht dauerhaft alle Daten auf dem ausgewählten Intel SSD."
Dauerhaft bedeutet ja eigendlich das die Daten nie wieder hergestellt werden können was ich bezweifel. Bei HDD´s ist eine dauerhaft löschung ja auch nicht möglich.

Vielen dank für alle Nützlichen Antworten und Links
Zum Vergrößern anklicken....

HDDs arbeiten bekanntlich anders und auch direkter mit Sektoren. Diese Sektoren lassen sich auch auslesen. Ein SSD emuliert diese aber nur und schreibt die Daten dann in die am wenigsten benutzten Zellen. Somit weiß nur der Controller, wo die Daten sind. Wird dessen Zuordnung gelöscht, sind die Daten in den Zellen nur noch Müll und lassen sich auch nicht mehr auslesen, außer man liest die Zellen direkt aus, was erheblicher Aufwand ist und versucht dann die Daten wieder sinnvoll zusammenzusetzen.
Eine Schnellformatierung unter Win7 samt TRIM erklärt dem Controller, welche Zellen gelöscht werden können (hier alle), was dieser dann auch ausführt.

In Kürze: Weiß der Controller nicht, ob noch Daten noch in seinen Speicherzellen stehen, dann sind diese nicht wiederherstellbar.
 
musschrott schrieb:
Davon mal ab, dass die Verbreitung von Firewire wohl eher begrenzt ist würde ich sowieso davon ausgehen, dass es diverse Software gibt die es erlaubt in einen laufenden Rechner einzudringen. Falls dein Rechner zwischendurch in 'feindliche' Hände fällt, kann man auch einfach einen (Key)logger installieren. Grundsätzlich schützt die Verschlüsselung nur davor, dass jemand die Festplatte in die Hände bekommt (wie z.B. bei Diebstahl oder Beschlagnahmung) und damit dann nichts anfangen kann. Wenn die Gelegenheit besteht das System zu kompromittieren hilft das alles nichts.
Zum Vergrößern anklicken....

Ich würde fürs erste sagen das es nicht möglich ist ein Keylogger auf ein verschlüsseltes Betriebssystem zu installieren wenn es in 'feindliche' Hände fällt ausser man infieziert den Bootsektor(ist wahrscheinlich möglich oder ?). Also würden sich die Angriffe eher darrauf richten einen Keylogger auf ein laufendes System im Online zustand zu bekommen.

Jetzt fällt mir nur die Idea ein die Daten auf einem Offline Rechner zu speicher und die Daten mit dem normalen Rechner als Client abzurufen. Dadurch würde der Keylogger ja das Einloggen bei TrueCrypt nicht mitbekommen. Aber das Netzwerk 100% sicher zubekommen ist ja auch wieder mit enormen Aufwand verbunden.

Es ist aber auch wirklich nicht ganz einfach Daten zu 100% zu sichern.
 
optx schrieb:
Ich würde fürs erste sagen das es nicht möglich ist ein Keylogger auf ein verschlüsseltes Betriebssystem zu installieren wenn es in 'feindliche' Hände fällt ausser man infieziert den Bootsektor(ist wahrscheinlich möglich oder ?). Also würden sich die Angriffe eher darrauf richten einen Keylogger auf ein laufendes System im Online zustand zu bekommen.
Zum Vergrößern anklicken....
Prinzipiell wird es zig Varianten geben, sei es durch Manipulation des Bootsektors, des BIOS oder anderer Kompontenten die beim Start automatisch ausgeführt werden. Denkbar ist auch direkt am Keyboard via Hardware alles mitzuloggen.

optx schrieb:
Jetzt fällt mir nur die Idea ein die Daten auf einem Offline Rechner zu speicher und die Daten mit dem normalen Rechner als Client abzurufen. Dadurch würde der Keylogger ja das Einloggen bei TrueCrypt nicht mitbekommen. Aber das Netzwerk 100% sicher zubekommen ist ja auch wieder mit enormen Aufwand verbunden.

Es ist aber auch wirklich nicht ganz einfach Daten zu 100% zu sichern.
Zum Vergrößern anklicken....
Wenn du via Fernzugriff drauf kommst, können doch auch andere Leute via Fernzugriff drauf kommen. Das löst das Problem nicht wirklich. Letzten Endes muss man sich schon genau überlegen was man vor wem schützen will. Eine Ein-Click-Lösung für maximale Sicherheit gibt es nicht. Für den normalen Nutzer der sich vor Diebstahl oder zufälligen Kontrollen schützen will dürfte die Festplattenverschlüsselung in Deutschland reichen. Reist man aber ins Ausland kann es sein, dass man durch den örtlichen Zoll gezwungen wird das Passwort einzugeben oder offen zu legen. Ich glaube bei den Briten und Amis gibt es dafür auch Beugehaft die potentiell bis in die Ewigkeit dauern kann. Da muss man sich dann überlegen ob man nicht mit einem sauberen Rechner anreist und es herunter läd etc.
 
Zum Glück hab ich gar keine Daten die wirklich geschützt werden müssten. Aber ist mal interessant heraus zufienden wie schwer totale Datensicherheit ist. Der Hacker der sich die mühe macht meine Daten auf so schweren weg zu klauen tut mir jetzt schon leid :d

---------- Post added at 21:16 ---------- Previous post was at 21:10 ----------
musschrott schrieb:
Wenn du via Fernzugriff drauf kommst, können doch auch andere Leute via Fernzugriff drauf kommen. Das löst das Problem nicht wirklich. Letzten Endes muss man sich schon genau überlegen was man vor wem schützen will. Eine Ein-Click-Lösung für maximale Sicherheit gibt es nicht. Für den normalen Nutzer der sich vor Diebstahl oder zufälligen Kontrollen schützen will dürfte die Festplattenverschlüsselung in Deutschland reichen. Reist man aber ins Ausland kann es sein, dass man durch den örtlichen Zoll gezwungen wird das Passwort einzugeben oder offen zu legen. Ich glaube bei den Briten und Amis gibt es dafür auch Beugehaft die potentiell bis in die Ewigkeit dauern kann. Da muss man sich dann überlegen ob man nicht mit einem sauberen Rechner anreist und es herunter läd etc.
Zum Vergrößern anklicken....

Aber der Angreifer könnte nicht an das Passwort kommen nur an die Daten. Oder er müsste den Offline Rechner auch infieziern dabei könnte er sich das Passwört aber nur über den Online Rechner zusenden.
 
Anmelden, um zu antworten.

Ähnliche Themen

hugoLOST
[User-Review] Redmagic Titan 16 Pro - Neuling im Gaming Markt
Antworten
1
Aufrufe
439
hugoLOST
hugoLOST
TjArden
[User-Review] Lesertest: Patriot Viper VP4000 Mini 2TB - Der Steam Pile of Shame immer dabei
Antworten
0
Aufrufe
607
TjArden
TjArden
P
[Kaufberatung] Budget-NAS für Backup, Foto-Selfhost und Firewall+VLAN - EpycEmbedded vs AM4 vs gebrauchte Workstation?
Antworten
14
Aufrufe
2K
Pete_5
P
Chakka89
[User-Review] Lesertest - Synology DiskStation DS224+
Antworten
1
Aufrufe
3K
Rommel
Rommel
M
[User-Review] LG gram 17 17Z90S-G.AA78G
Antworten
7
Aufrufe
1K
mz_z
M
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh