[Kaufberatung] SED SSD?

[Boy2006]

Hey
Ich suche eine SED SSD für mein Raid.
Die Seagate MLC sind mit 100GB und 455€ exkl ja irre.

Dagegen sind die "Fujitsu" mit 128GB und 285€ ja gerade zu günstig.
Das problem ich finde aber 0 Daten und Bilder dazu.
S26361-F3771-L128
S26361-F3772-L128

Weis jemand wo ich Daten zu denen finde?
Gibt es sonst noch welche?
THX!

 

[Holt]

Wieso brauchst Du für Dein RAID ein Self-Encrypting Drive?

 

[Boy2006]

Das die Daten verschlüsselt sind.

 

[CrazyCookie]

Hast du Angst dass jemand deine Platten klaut?

 

[Boy2006]

Nö das der Pc mitgenommen wird. Die SSD wird als Cache dienen wenn es relativ günstig zum realisieren ist.
Nur müssen die Daten auf dieser SSD verschlüsselt sein weil sonst ist ja die verschlüsselung der HDD unnötig.

 

[Reaver1988]

Wenn es solch kritischen Daten sind Zahl halt auch entsprechend den preis für (semi)Profi Lösungen. Ansonsten kann es nicht so wichtig sein

Gesendet von meinem GT-I9100 mit der Hardwareluxx App

 

[Boy2006]

Es ist rein Privat. Vor paar Monaten hatte man gemeint ich hätte ne Webseite gehackt obwohl ich nur ein normales Script habe laufen lassen.
Die HDDs war natürlich weg und für den fall das noch mal jemand auf die idee kommt bin ich eben gerüstet. Das Problem ist eben die Cache SSD.

 

[Holt]

Das die Daten verschlüsselt sind.

Toll, die stehen dann zwar verschlüsselt im NAND, aber der Controller ist für jeden so freundlich diese zu entschlüsseln, wenn er nicht durch ein HDD Passwort daran gehindert wird und es keine Backdoors gibt. Bei den Sandforce SSDs die ja auch SED sind, schließt das Passwort z.B. nur die Tür zum Schlüssel auf und bildet ihn nicht selbst. Da ist die Tür für Backdoor also offen und wenn man bedenkt woher der Sandforce kommt (USA) und wie dort die Gesetzeslage in dieser Hinsicht ist, der sollte sich dann darüber auch nicht wirklich wundern. Die Marvell 9187 basierten SSDs bieten auch SED, aber auch Marvell ist eine US Firma. Bliebt nur die Samsung 840 Pro, das sind Koreaner, aber ob es dadurch wirklich sicherer ist? Ich weiß es nicht, niemand überprüft sowas, sonst wäre ja auch viel früher aufgefallen, dass die Sandforce der zweiten Generation nur mit 128Bit statt der versprochenen 256Bit verschlüsseln!

Das Problem ist eben die Cache SSD.

Kann der Controller denn der Cache SSD ein Passwort verpassen? Sonst ist das alles total sinnlos und würde nur verhindern, dass jemand die Daten direkt aus den Flash Bausteinen auslesen kann, aber wenn die Trachtengruppe kommt und das ganze mitnimmt, dann entschlüsselt der Controller die Daten freiwillig für jeden der es möchte. Da würde ich eine Softwareverschlüsselung über das ganze RAID empfehlen, denn damit landen dann auch im Cache nur verschlüsselte Daten, aber die Performance leidet halt.

 

[Boy2006]

Um es kurz zu machen sicher verschlüssle ich die Daten zusätzlich via Software aber das ist mir eben nicht sicher genug.
Der Punkt ist eben das es überall ein Backdoor geben kann da ist man nie sicher egal was man einsetzt.
Durch die Doppel Verschlüsselung durch Hard + Software gehe ich sicher das man auf normalen weg zumindest nicht an die Daten rankommt.
Natürlich der einfachste weg ist wenn man an das Online System rankommt aber das kann ich auch nicht so einfach verhindern.

wenn er nicht durch ein HDD Passwort daran gehindert wird

Meinst du das lange PW was ich beim PW eingebe?

Der Punkt ist eben auch der das ich schauen muss ob man überhaupt SED SSDs einsetzen kann.
Mir ist einmal wichtig zu wissen wie viel eine SED SSD kostet ob sich das überhaupt lohnt sowas zu kaufen.

 

[Holt]

Der Punkt ist eben das es überall ein Backdoor geben kann da ist man nie sicher egal was man einsetzt.
Durch die Doppel Verschlüsselung durch Hard + Software gehe ich sicher das man auf normalen weg zumindest nicht an die Daten rankommt.

Das ist ja Unsinn, denn wenn Du selbst davon ausgehst, dass es überall Backdoors gibt, dann bedeutet die Doppelverschlüsselung ja nicht wirklich 100%ige Sicherheit sondern eben nur, dass der "Angreifer" durch 2 Backdoors gehen muss.

Natürlich der einfachste weg ist wenn man an das Online System rankommt aber das kann ich auch nicht so einfach verhindern.

Die allermeisten Spionageangriffe gehen über Software, denn da entschlüsselt das System für den Angreifer die Daten ja selbst. Deshalb hilft eine Verschlüsselung eigentlich nur, wenn jemand anders die HW in die Finger bekommt.

Meinst du das lange PW was ich beim PW eingebe?

Du hast über die Konfiguration des RAIDs und der Cache SSD nichts verraten, aber eine SED nutzt überhaupt rein gar nichts, sofern die Platte nicht durch ein Passwort geschützt wird und was Du für ein langes Passwort wo eingibst, verrät mir meine Glaskugel gerade nicht. Andernfalls kann jeder die einfach schnließe0n und der Controller entschlüsselt bereitwillig die Daten. Die sind dann nur nicht direkt auf dem Medium lesbar.

Wo auch immer die Cache-SSD (und die anderen Laufwerke) angeschlossen sind, wenn es da keine Möglichkeit gibt ein Passwort für die Platten zu setzen, dann ist SED da totaler Unsinn. Notebooks haben i.d.R. solch eine Funktion im BIOS und auch die Board mit den Q Chipsätzen von Intel weisen das i.d.R. auf, aber die mit den Z Chipsätzen i.d.R. nicht und auch von RAID Controllern haben ich in der Richtung noch nie was gehört bzw. gelesen.

Also: SED ohne Passwort ist totaler Blödsinn, außer man reist mit einem Notebook und hat Angst, die Geschäftsgeheimnisse werden werden beim Röntgen auf dem Flughafen von der Platte gelesen. Man hat mir zwar schon versichert, dass dies möglich sein soll, aber wenn man sich die Datendichte heutige HDDs ansieht und sich dann vorstellt, wie groß und trotzdem hochauflösend der Sensor dafür sein müsste und dann gibt es bei den meisten HDDs auch noch mehr als einen Plattern.....

Der Punkt ist eben auch der das ich schauen muss ob man überhaupt SED SSDs einsetzen kann.

SED bedeutet erstmal nur, dass die Patte die Daten auf dem Medium selbst verschlüsselt, nicht mehr und nicht weniger. Das verhindert eben nur das Auslesen der Daten direkt aus dem Medium, aber eben nicht über den Controller. Dazu muss ein Passwort gesetzt werden, da der Controller sonst die Daten für jeden entschlüsselt, muss er ja auch, sonst käme ja niemand mehr an die Daten ran, auch Du nicht.

Mir ist einmal wichtig zu wissen wie viel eine SED SSD kostet ob sich das überhaupt lohnt sowas zu kaufen.

Immer mehr Consumer SSD bieten das, die Sandforce schon seid jeher, die alten Intel 320 konnte es schon, die mit dem Marvell 9187 (Plextor M5P und die kommende Crucial M500) sowie die Samsung 840 (Basic wie Pro) bieten das und sicher noch die eine oder andere, die ich nun vergessen habe. Aber es nutzt halt eben nur was, wenn ein ATA Security Passwort gesetzt wird.

---------- Post added at 00:03 ---------- Previous post was at 00:02 ----------

Zum Thema Passwort kann ich nur auf diesen Artikel von heise verweisen, den solltest Du Dir mal durchlesen.

 

[Boy2006]

Zum Thema Passwort kann ich nur auf diesen Artikel von heise verweisen, den solltest Du Dir mal durchlesen.

Ich habe es mir paar mal durchgelesen und es geht hier scheinbar nicht um SED HDDs sondern "nur" um HDDs wo man ein PW einrichten kann? Es würde mich doch erschrecken wenn meine Serverplatten offen währen wie ein Scheunen Tor!

SED bedeutet erstmal nur, dass die Patte die Daten auf dem Medium selbst verschlüsselt, nicht mehr und nicht weniger. Das verhindert eben nur das Auslesen der Daten direkt aus dem Medium, aber eben nicht über den Controller. Dazu muss ein Passwort gesetzt werden, da der Controller sonst die Daten für jeden entschlüsselt, muss er ja auch, sonst käme ja niemand mehr an die Daten ran, auch Du nicht.

Ja eh klar das PW ist ja auch sicher so das niemand so schnell rankommt. Der Punkt ist eben der wenn die SSD unverschlüsselt ist könnte man die Daten aus den SSD "Cache" ziehen und kommt so wieder an sie ran.

Du hast über die Konfiguration des RAIDs und der Cache SSD nichts verraten

Ich habe ja keine SSD weil ich nicht weis ob sich das was bringt von der Performance. Sobald (heute) meine HDDs gekommen sind teste ich wie schnell sie sind.

Notebooks haben i.d.R. solch eine Funktion im BIOS und auch die Board mit den Q Chipsätzen von Intel weisen das i.d.R. auf, aber die mit den Z Chipsätzen i.d.R. nicht und auch von RAID Controllern haben ich in der Richtung noch nie was gehört bzw. gelesen.

Ich nutze diesen hier -> INTEL RSBL040 SAS Raid Controller
Jetzt habe ich es mit einer einzelnen SED HDD getestet und mir gleich 3 für ein richtiges Raid bstellt.

Die allermeisten Spionageangriffe gehen über Software, denn da entschlüsselt das System für den Angreifer die Daten ja selbst.

Jop das weis ich nur ist die frage ob die "Grünen" Männchen das in der Praxis machen und wenn sie den PC mitnehmen nutzt ihnen die software nix weil sie an die Daten nicht rankommen.
Auch wenn die Bitlocker im OS deaktvieren geht das mit den SED HDDs nicht solange sie nicht den Key kennen (diese ist nicht das Boot PW).

 

[musschrott]

Wie gibts du das Passwort für die SED HDD ein? Hat der Raid Controller ein spezielles Boot Menü für das HDD Passwort?

 

[Holt]

Ich habe es mir paar mal durchgelesen und es geht hier scheinbar nicht um SED HDDs sondern "nur" um HDDs wo man ein PW einrichten kann?

Wie kommst Du da drauf? Bei SSD funktioniert das ganz genau so wie bei HDDs, so wie alles nach außen hin bei SATA SSD genau so wie bei SATA HDDs funktioniert, nur intern wird eben anders gespeichert.

Der heise Artikel ist halt schon von 2005 und damals waren SSDs eben noch kein Thema.

Es würde mich doch erschrecken wenn meine Serverplatten offen währen wie ein Scheunen Tor!

Das ist aber normal, die meisten Server stehen in physikalisch abgesicherten Serverräumen, da kann kein Fremder mal eben so rein. Deshalb ist das ganze eben vor allem für Notebooks gemacht und wird dort vom BIOS ja auch recht gut unterstützt, weil man bei mobilen Rechner eben ein hohes Risiko hat, den Rechner selbst und damit die Platte zu verlieren.

Ja eh klar das PW ist ja auch sicher so das niemand so schnell rankommt. Der Punkt ist eben der wenn die SSD unverschlüsselt ist könnte man die Daten aus den SSD "Cache" ziehen und kommt so wieder an sie ran.

Nochmal: Ohne ein Passwort kommt auch jeder an die Daten einer SED Platte ran, der braucht die nur anzuschließen und kann alle Daten auslesen, weil der Controller diese für ihn entschlüsselt. SED ohne Passwort bringt absolut nichts für die Sicherheit!

Ich nutze diesen hier -> INTEL RSBL040 SAS Raid Controller

Dann schaue ins Handbuch ob und wie dort die Passworteingabe (Userpasswort der Platten) funktioniert. Ist dieses Passwort nur irgendwo hinterlegt, so bringt das auch nichts, wenn jemand den ganzen Rechner mit nimmt.

Auch wenn die Bitlocker im OS deaktvieren geht das mit den SED HDDs nicht solange sie nicht den Key kennen (diese ist nicht das Boot PW).

Es muss das User-Passwort der Platten gesetzt sein und dieses muss von Dir abgefragt werden, dann hast Du durch die SED Platten mehr Sicherheit. Wie sicher Botlocker ist, kann ich nicht sagen, aber ich würde TrueCrypt mehr vertrauen.

 

[Boy2006]

Wie gibts du das Passwort für die SED HDD ein? Hat der Raid Controller ein spezielles Boot Menü für das HDD Passwort?

Mi der Maus.... Nein natürlich via Keyboard so wie man es kennt. Ja natürlich der Key ist nur im Raid Controller drinnen und das win merkt nix von der Verschlüsselung.

Wie kommst Du da drauf? Bei SSD funktioniert das ganz genau so wie bei HDDs, so wie alles nach außen hin bei SATA SSD genau so wie bei SATA HDDs funktioniert, nur intern wird eben anders gespeichert.

Der heise Artikel ist halt schon von 2005 und damals waren SSDs eben noch kein Thema.

Ich meinte eher das es in den Artikel nicht um SED Drives geht sondern nur um die alten die nur über ein PW verfügen.
"Nur" bei einen PW sind die Daten ja offen somit knackst du das PW kannst sie lesen bei einer SED werden sie mit 256Bit verschlüsselt das knackt niemand so schnell.

Das ist aber normal, die meisten Server stehen in physikalisch abgesicherten Serverräumen

Und die ASFINA Mautbrücken? Die haben alle einen Server dort stehen.

Deshalb ist das ganze eben vor allem für Notebooks gemacht

Komisch ich finde mehr für Server als für Notebooks.

wird dort vom BIOS ja auch recht gut unterstützt

Klar IBM/ Lenovo Notebooks verschlüsseln auch die HDD nur sind das keine SED sondern "normale" HDDs.

Ohne ein Passwort kommt auch jeder an die Daten einer SED Platte ran, der braucht die nur anzuschließen und kann alle Daten auslesen, weil der Controller diese für ihn entschlüsselt.

Das stimmt nicht so ganz:
1) Findest du eine SED Platte und schliesst sie an deinen Rechner an -> nix geht
2) Schliesst du meine SED an meinen Controller an -> lauft sie (wenn kein PW im Controller währe)
3) Schliesst du meine SED an meinen Controller an wenn ich Zeit habe von meinen USB Stick zu Starte -> nix geht (weil der Key aus den Controller weg ist )

SED ohne Passwort bringt absolut nichts für die Sicherheit!

Stimmt nicht weil du brauchst den Controller mit den Key drinnen sonst ist die HDD verschlüsselt.
Sprich wenn ich die HDD aus den Fenster werfe wenn jemand Klopft kommt niemand dran.

(Userpasswort der Platten)

Ich habe ja nichts mit der verschlüsselung der Platten zu tun das macht ja alles der Controller selber.

Ist dieses Passwort nur irgendwo hinterlegt, so bringt das auch nichts, wenn jemand den ganzen Rechner mit nimmt.

Klar wie alle PWs ist das auf den Contoller gespeichert sonst geht es ja nicht.

Es muss das User-Passwort der Platten gesetzt sein

Nein wieso auch das macht sich die Platte mit den Controller aus ich habe nix damit zu tun.

aber ich würde TrueCrypt mehr vertrauen

Unterstützt kein TPM.

 

[CrazyCookie]

Vielleicht wär ja eine SSD mit Selbstzerstörungsfunktion interessant für dich.

RunCore intros hard drive with a kill switch -- a real one | Crave - CNET

 

[Boy2006]

Der Kill Switch ist bei einer SED ja der wenn man den Key aus den Controller löscht.
Kein Key -> Keine Entschlüsselung

 

[Holt]

Mi der Maus....

Wenn das für Dich nur noch lustig ist, dann mach mal, wird schon schief gehen.

Nein natürlich via Keyboard so wie man es kennt.

Ist das der Schlüssel, der von Controller an die Platten weitergereicht wird, oder ist der nur für den WinLocker?

Ja natürlich der Key ist nur im Raid Controller drinnen

Genau da sollte er nicht sein, denn wenn man den Controller und die Platten in der Hand hat, dann kann man ja die Daten einfach auslesen. Wenn Du Dich schon darum sorgst, dann solltest Du auch genau wissen, was da wie funktioniert.

Ich meinte eher das es in den Artikel nicht um SED Drives geht sondern nur um die alten die nur über ein PW verfügen.

Aber genau den Mechanismus nutzen die SED Platten doch, da wird die Platte über das User-Passwort freigeschaltet und wenn man das ändert, wird ein neuer Schlüssel generiert.

"Nur" bei einen PW sind die Daten ja offen somit knackst du das PW kannst sie lesen bei einer SED werden sie mit 256Bit verschlüsselt das knackt niemand so schnell.

Das ist gerade er Irrtum, denn die Schlüssel sind nur innerhalb der Platte und werden entweder über den Controller durch Eingabe des Userpassworts freigeben oder aus diesem generiert. Den 256Bit Schlüssel zum ver- und entschlüsseln der Daten hat nur der Controller der Platte! Bei einer SED Platte bekommt der RAID Controller immer schon die entschlüsselten Daten geliefert.

Wenn das bei Deinem Controller und Deinen Platten anders sein soll, dann zeige mir doch bitte mal, wo das steht!

Klar IBM/ Lenovo Notebooks verschlüsseln auch die HDD nur sind das keine SED sondern "normale" HDDs.

Sowas kann man immer mit einbauen, dann verschlüsselte eben der SAS/SATA Controller die Daten, aber der Kernproblem ist das gleiche: Wie wird die Entschlüsselung freigeschaltet?

Das stimmt nicht so ganz:
1) Findest du eine SED Platte und schliesst sie an deinen Rechner an -> nix geht

Stimmt so pauschal doch nicht. Jede SSD mit einem Sandforce Controller ist eine SED SSD, so wie jede Intel 320, jede mit dem Marvell 9187, jede Samsung 840er etc. Die funktionieren alle wunderbar an jedem Rechner und man kann alle Daten an jedem Rechner auslesen, solange dort kein Userpasswort gesetzt wurde!

2) Schliesst du meine SED an meinen Controller an -> lauft sie (wenn kein PW im Controller währe)

Also setzt der Controller ein Userpasswort auf der Platte und schließt diese bei jedem Boot frei, so soll es ja auch sein und gut, dass der Controller das unterstützt. Bleibst aber weiter die Kernfrage: Woher bekommt er das Passwort? Ist es das, was Du beim Booten mit dem Keyboard eingibt? Passiert diese Eingabe im BIOS des Controllers? Dann ist alles Paletti!

3) Schliesst du meine SED an meinen Controller an wenn ich Zeit habe von meinen USB Stick zu Starte -> nix geht (weil der Key aus den Controller weg ist )

Die Schlüssel sind immer nur im Controller der Platten und das Passwort ist der Schlüssel dazu. Wenn es beim Booten über USB nicht klappt, dann gibst Du das Passwort aber wohl doch nicht beim Booten mit dem Keyboard ein, wie Du anfangs noch behauptet hast.

Was da passiert, weiß ich nicht und will auch nicht noch nachschlagen, was denn genau abgeht. Du sollst Dich informieren, damit Du es so konfigurieren kannst, dass es wirklich sicher ist und es sich auch lohnt auf SED zu setzen.

Stimmt nicht weil du brauchst den Controller mit den Key drinnen sonst ist die HDD verschlüsselt.

Meinst Du den RAID Controller? Verschlüsselt der noch mal oben drauf? Nochmal: Der 256Bit AES Schlüssel ist im Controller der Platte und wird über ein Passwort freigeben (oder gebildet). Das Passwort der Platten ist aber offenbar nicht fest im Controller hinterlegt, sonst wären die Daten beim Booten vom USB Stick ja lesbar.

Klar wie alle PWs ist das auf den Contoller gespeichert sonst geht es ja nicht.

Es sind immer zwei Controller, von denen wir hier reden, also bitte sprich entweder vom RAID Contoller oder vom Platten Controller. Das Passwort für den Platten Controller ist offenbar nicht RAID Controller, wie der Test mit dem USB Stick zeigt (oder fehlt dem nur der nötige Treiber?) und es wird auch nicht booten abgefragt, zumindest nicht wenn Du von USB bootest.

Nein wieso auch das macht sich die Platte mit den Controller aus ich habe nix damit zu tun.

Das stimmt ja so auch nicht und wenn es so wäre, wäre die HW-Verschlüsselung sinnlos, weil man mit den Platten und dem Controller sonst an die Daten kommt. Du musst das Passwort der Platten schon eingeben oder freigeben, wenn das ganze Sinn machen soll.

 

[Boy2006]

Was da passiert, weiß ich nicht und will auch nicht noch nachschlagen, was denn genau abgeht.

ich glaube du es hat es noch immer nicht verstanden...

Das besteht aus 2 teile:
1) Die SED Platten bekommen vom Raidcontroller einen Key mit dem sie sich selber Verschlüsseln.
Damit ist man geschützt wenn man die (einzelne) HDD/ SSD vom Controller trennt zb weil diese defekt ist. Du kannst so eine verschlüsselte HDD/ SSD nicht an einen normalen Pc auslesen!!!
Abgesehen davon nutze ich SAS Platten da brauchst du sowieso einen SAS Controller sonst siehst du nix *gg*.
Also du kannst hier nur an die Daten ran wenn du meinen Controller hast sonst sind die HDD/ SSD verschlüsselt.

2) Das Boot PW:
Hier fragt der Controller einfach nur nach einen Boot PW so wie man es von den Mainboards gewohnt ist. Dieses PW hat aber nix mit den HDD/ SSD zu tun sondern dient nur der sicherheit des Controller und sonst macht er auch nicht weiter. Ohne dieses PW kannst du eben nicht Booten und nix machen.

Das Passwort für den Platten Controller ist offenbar nicht RAID Controller

Doch natürlich ist es dort drinnen. Genau so funktioniert das System. Kein PW (vom Controller) -> Kein Entschlüsseln möglich.

wie der Test mit dem USB Stick zeigt

Welcher Test?

und es wird auch nicht booten abgefragt, zumindest nicht wenn Du von USB bootest.

Der Controller startet als erstes noch lange bevor du ins BIOS einsteigen kannst oder sonst was machen kannst. Man könnte es schon fast als BIOS PW einsetzen solange der Controller drinnen ist.

 

[Holt]

1) Die SED Platten bekommen vom Raidcontroller einen Key mit dem sie sich selber Verschlüsseln.

Nein, so steht das auch nicht da, da steht "Authentication Key Flow", da werden also nur die Passwörter (Authentication Keys)verwaltet, nicht die Schlüssel die zur Verschlüsselung genommen werden. So muss es ja auch sein, denn nur der Controller hat ja Verbindung zu den Platten.

Damit ist man geschützt wenn man die (einzelne) HDD/ SSD vom Controller trennt zb weil diese defekt ist. Du kannst so eine verschlüsselte HDD/ SSD nicht an einen normalen Pc auslesen!!!

Das ist ja auch der Sinn der Sache, denn in Rechenzentren wo sensible Daten aufbewahrt werden, gehen ja auch mal Platten kaputt und werden auf Garantie ersetzt, also zum Hersteller eingeschickt.

Also du kannst hier nur an die Daten ran wenn du meinen Controller hast sonst sind die HDD/ SSD verschlüsselt.

Bleibt noch die Antwort auf die Frage, wie der RAID Controller selbst diese Passwörter freigibt. Wenn er das einfach immer macht, dann ist es sinnlos, weil die Trachtengruppe ja den ganzen Rechner mitnimmt, also die Platten und den RAID Controller.

Das scheint hier die Antwort zu sein:

2) Das Boot PW:
Hier fragt der Controller einfach nur nach einen Boot PW so wie man es von den Mainboards gewohnt ist. Dieses PW hat aber nix mit den HDD/ SSD zu tun sondern dient nur der sicherheit des Controller und sonst macht er auch nicht weiter. Ohne dieses PW kannst du eben nicht Booten und nix machen.

Durch das Passwort wird ja dann der ganze RAID Controller und somit die Passwörter der Platten freigeben. So muss es ja auch sein, dann macht SED für Dich auch Sinn, denn Du willst ja nicht nur den Schutz der Daten auf einer einzelnen Platte erreichen, sondern eben für den Fall, dass der ganze Rechner in die "falschen Hände" gerät.