Wie Computer schützen außer mit Bitlocker?

C

CommanderBond

Enthusiast
Thread Starter
Mitglied seit
16.04.2012
Beiträge
748
Hallo, ich möchte mein Notebook schützen gegen physikalischen Diebstahl genauer gesagt die Daten da drauf.
Bitlocker kommt für mich nicht in Frage weil es zuviel Leistung frisst, ich möchte dadurch weder Performance noch Akkulaufzeit verschwenden.
Also was bleibt übrig an Möglichkeiten?
Der Schutz sollte natürlich auch wirksam sein falls jemand die SSD einfach ausbaut und woanders versucht auszulesen.
Ganz früher gab es mal das Sata Passwort. Gibt es da heute noch was ähnliches? Ein Passwort was man vielleicht eingeben muss bevor der Rechner überhaupt startet/bootet?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
CommanderBond schrieb:
Hallo, ich möchte mein Notebook schützen gegen physikalischen Diebstahl genauer gesagt die Daten da drauf.
Bitlocker kommt für mich nicht in Frage weil es zuviel Leistung frisst, ich möchte dadurch weder Performance noch Akkulaufzeit verschwenden.
Also was bleibt übrig an Möglichkeiten?
Der Schutz sollte natürlich auch wirksam sein falls jemand die SSD einfach ausbaut und woanders versucht auszulesen.
Ganz früher gab es mal das Sata Passwort. Gibt es da heute noch was ähnliches? Ein Passwort was man vielleicht eingeben muss bevor der Rechner überhaupt startet/bootet?
Zum Vergrößern anklicken....
Und inwiefern hilft ein SATA Kennwort gegen Ausbau in einen anderen PC? Garnicht. Die einzige Möglichkeit ist die Verschlüsselung. Aber die kostet dir ja zuviel Performance.

Aber nur ein kleine Anmerkung. Bitlocker kann man auch auf hardwarebassierte Verschlüsselung einstellen. Dann ist es keine AES-NI Verschlüsselung der CPU sondern z.B. TCG Opal, falls deine SSD das kann
 
kaiser schrieb:
Und inwiefern hilft ein SATA Kennwort gegen Ausbau in einen anderen PC?
Zum Vergrößern anklicken....
Und wie kommt der Angreifer dann an das Passwort wenn er sie ausbaut?

kaiser schrieb:
Bitlocker kann man auch auf hardwarebassierte Verschlüsselung einstellen. Dann ist es keine AES-NI Verschlüsselung der CPU sondern z.B. TCG Opal, falls deine SSD das kann
Zum Vergrößern anklicken....
Kann ich die SSD dann ausbauen und mit einem anderen PC auslesen falls das Gerät in dem die SSD steckt stirbt?
 
Ja.
Du musst dann allerdings den 48-stelligen Bitlocker-Key eingeben.
Den sollte man also notieren.
kaiser schrieb:
Und inwiefern hilft ein SATA Kennwort gegen Ausbau in einen anderen PC? Garnicht.
Zum Vergrößern anklicken....

Doch, denn das SATA-Kennwort ist ein Feature der SATA-Spezifikation.
Das SATA-Kennwort wird in der Firmware der HDD/SSD gespeichert und nicht im BIOS/UEFI des PCs.
Steckt man eine so geschützte HDD/SSD in einen anderen PC, wird nach dem Kennwort gefragt.
Es gibt sogar 3 Stufen des SATA-Kennworts:
User = muss man eingeben, um auf den Datenträger zugreifen zu können
Master High = muss man eingeben, um das User-Kennwort deaktivieren zu können. Auch die Rolle des User-Kennworts kann es übernehmen.
Master Maximum = muss man eingeben, um ein Sercure Erase des Datenträgers machen zu können.
Alle Tools, mit denen man ein Secure Erase machen kann, setzen das Master-Kennwort, machen dann den Secure Erase
und wenn der abgeschlossen ist, wird das Master-Kennwort wieder entfernt.
Daher darf man nie ein Secure Erase abbrechen, denn sonst ist der Datenträger unbrauchbar, weil dann das Kennwort nicht wieder entfernt wird und man das automatisch gesetzte Kennwort nicht kennt.

Das SATA-Kennwort ist trotzdem unsicherer als Bitlocker, denn die Daten sind ja unverschlüsselt.
Man braucht nur einen zweiten baugleichen Datenträger und tauscht dann die Steueuelektronik.
Denn da steckt ja die Firmware mit dem Kennwort drin.
Bei HDDs geht das leichter als bei SSDs.

Aber wer baut denn den Datenträger aus?
I.d.R. wird der ganze PC geklaut und dann einfach z.B. von einem USB-Stick gebootet und so der Kennwortschutz von Windows umgangen.
Man sollte daher im BIOS/UEFI das booten von USB und CD/DVD deaktivieren und das BIOS/UEFI mit einem Kennwort schützen.

Im Übrigen:
Man kann auch EFS nutzen.
Das gibt es in allen Windows-Editionen außer Home.
Damit geht die Verschlüsselung sogar auf Ordner- und Dateiebene.
EFS gibt es seit Windows NT 4.0!
Datei/Ordner mit EFS verschlüsseln:
Rechtsklick auf die Datei/Ordner, dann "Eigenschften" wählen, unten bei "Attribute" den Button "Erweitert" anklicken, dann Haken rein bei "Inhalt verschlüsseln, um Daten zu schützen".
Sollte man aber nur bei Daten machen, nicht im Windows-Verzeichnis!
Sonst sperrt man sich selbst aus, weil Windows dann nicht mehr booten kann.
Entschlüsseln geht ja erst, nachdem Windows gebootet ist.
I.dR. muss man ja gar nicht den kompletten Datenträger verschlüsseln, sondern will nur seine Daten vor fremdem Zugriff schützen.
Da wäre dann EFS ausreichend. EFS verschlüsselt die Daten übrigens seit XP SP1 mit AES und das gilt bis heute als ungeknackt.
 
Zuletzt bearbeitet:
Die Hardwareverschlüsselung ist nicht Bitlocker!
Die Hardwareverschlüsselung passiert in der Elektronik der HDD/SDD.
 
Und vor allem sollte das Bios/UEFI auch dies unterstützen bzw. das jeweilige Dienstprogramm (wenn vorhanden). Ansonsten bleibt halt nur BT, VC usw. usf.

ps: Ich persönlich nutze z.b. schon seit Jahren das "containern" via VC. Im Gegensatz zu BT wirklich sehr viel flotter und vor allem weniger fehlerbehaftet. Was mich bei BT immer am meisten genervt hat war, dass man das LW/Partition zwar schnell entsperren kann aber ohne Script dann halt nicht im laufenden Betrieb wieder sperren kann. Das fand ich dann doch schon sehr altbacken und halt das bei Sicherheitspatches von MS (wie aktuell) BT_verschlüsseltes Storage immer wieder mal irgendwo für Bugs sorgt.

edit: Selbst meine WD SN850X unterstützen IE1667 nicht (eigener Mikrocontroller für hardwarebasierte Verschlüsselung), laut KI aber wohl TCG Opal 2.01 und will man die "richtig" verschlüsseln, dann brauchts dafür wohl SEDutil. Das wiederum ist aber, da befehlszeilenorientiert, auch etwas umständlicher in der Bedienung und muss/wird zum ver-/entschlüsseln erst von z.b. einen USB Stick als Bootmedium vorgeladen werden. Keine Ahnung ob man sich den ganzen Murks wirklich antun möchte. Wäre auch mal gut zu wissen, um was für eine SSD es sich überhaupt handelt.

kaiser schrieb:
Und inwiefern hilft ein SATA Kennwort gegen Ausbau in einen anderen PC? Garnicht. Die einzige Möglichkeit ist die Verschlüsselung. Aber die kostet dir ja zuviel Performance.
Zum Vergrößern anklicken....
Genau! Die schützt ja nur auf den jeweiligen Board. Stöppelst du die woanders an, dann wars das.
 
Zuletzt bearbeitet:
passat3233 schrieb:
Die Hardwareverschlüsselung ist nicht Bitlocker!
Die Hardwareverschlüsselung passiert in der Elektronik der HDD/SDD.
Zum Vergrößern anklicken....
Die Frage bleibt dann ob man sie außerdem des PCs entschlüsseln kann. Weil der 48stellige Key ist ja Bitlocker. Also welchen Schlüssel gibt man dann ein oder geht das nicht?
 
BT verschlüsselst [at] default meines Wissens nach AES-128. Man kann auf AES-256 umstellen, kostet aber dann halt noch mehr Performance. Wichtig ist ja auch, welche Methoden deine SSD zur Verschlüsselung supportet. Daher ja die Frage -> um welche SSD handelt es sich? Der Schlüssel ansich wird von BT generiert und kann man sich z.b. ausdrucken lassen bzw. u.a. als automatisches Entsperrmedium auf USB installieren usw.

..aber denk daran, BT kann [at] default in laufender Sitzung nur Storage entsperren nicht wieder sperren, heißt, gesperrt ist das Medium quasi nur nach Neustart. Alles andere muss man scripten.

ps: Meiner Meinung nach komfortabler ist da VC, da brauchts aber bei einen Systemlaufwerk erst einer Modifikation, da VC sich vor den Bootblock setzt und die Partitionszuordnungen modifiziert.
Kann man eigentlich sehr einfach bewerkstelligen wenn man z.b. mittels MT Wizard bischen was von der ersten MSR Partition abzwackt (nur bei GPT) für diesen VC Bootmanager.

vc.png

..dafür bietet VC halt weit mehr Verschlüsselungsalgorithmen als BT und läuft halt schneller (zumindest bei mir).

edit: Willst du vor Start des OS bzw. generell verschlüsseln, solltest du erst einmal wissen, ob deine SSD entsprechende Encryption unterstützt. SEDutil nimmt z.b. (wenn ich das richtig nachgelesen habe) nur Storage das minimum TCG Opal supportet. Bietet das deine SSD nicht (z.b. nur AES), dann kannst du auch das nicht verwenden. Und eine "richtige Hardwareelektronik" die muss dann IE1667 supporten. Das wird aber eher weniger der Fall sein. Das dürften dann ganz spezielle SSDs sein.

passat3233 schrieb:
Doch, denn das SATA-Kennwort ist ein Feature der SATA-Spezifikation.
Das SATA-Kennwort wird in der Firmware der HDD/SSD gespeichert und nicht im BIOS/UEFI des PCs.
Steckt man eine so geschützte HDD/SSD in einen anderen PC, wird nach dem Kennwort gefragt.
Zum Vergrößern anklicken....
Da hast du in der Theorie durchaus Recht und hatte ich selbst mal mit meinen damaligen (Samsung) HDDs so auch eingerichtet.
In der Praxis war es aber dann nachher so, dass meine Spinpoints an einen anderen Board dann gar nicht verschlüsselt/PW-geschützt waren.
Und ganz ehrlich, bei NVMe Storage wüsste ich gar nicht, wo ich diese Option für M.2 gesockeltes Storage überhaupt finden könnte.
 
Zuletzt bearbeitet:
schaff dir kein Computer an......
 
Einfach Veracrypt mit AES un jut is. AES-NI haben eig alle Prozessoren heutzutage und das frisst kaum Performance. Je mehr Bandbreite man braucht, umso höher die Auslastung. Mach den Benchmark mit deinem System und dann siehst du ja was theoretisch möglich ist.

Beispiel von nem 8845HS:
1778208107727.png

14GB/s, die SSD schafft max 1GB/s hier. Sind PI mal Daumen 7% Auslastung bei max. read oder write. Ich vermute du wirst einen nicht spürbaren und marginal messbaren Performance- und Akkuleistungsverlust bei normaler Anwendung haben.

Secureboot läuft btw auch mit Veracrypt.
 
Zuletzt bearbeitet:
Prankst3r schrieb:
AES-NI haben eig alle Prozessoren heutzutage und das frisst kaum Performance. Je mehr Bandbreite man braucht, umso höher die Auslastung. Mach den Benchmark mit deinem System und dann siehst du ja was theoretisch möglich ist.
Zum Vergrößern anklicken....
Das sagt halt nicht viel aus. Mess mal die IOs. AES-NI bindet immer noch CPU Ressourcen. Das ist immer noch Softwareverschlüsslung. In einem Laptop verringert das auch ganz real dann die Laufzeit.
 
Was machst du denn mit deinem Laptop unterwegs, dass das zum Problem wird? Und ich hab ja gesagt, dass es Performance frisst, es ist halt sehr wenig, da am Ende die SSD der limitierende Faktor ist und beim Surfen, Videos schauen, Office Kram, Programmieren und ansich auch leichtem Gaming (außer du hast da natürlich n Game, welches paar hundert GB an Daten hat, die teilweise gelesen werden müssen, aber dann ist eher das Problem, dass das Game selbst sehr ressourcenhungrig ist) keine spürbaren Einbusen vorhanden sind. So zumindest meine eigene Erfahrung mit vollverschlüsselten Systemen, auch an Laptops mit Akku.
 
Habe da andere Erfahrung gemacht. Der Performanceverlust ist nicht nur messbar sondern auch spürbar. Softwareverschlüsselung ist für mich keine Alternative mehr bei einem Laptop. Das darf aber jeder anders bewerten...

Samsung Magican hat selbst bei der Sequentiellen Lesen/Schreiben Performance bei mir nur noch die Hälfte angezeigt bei verschlüsselt zu unverschlüsselt. Und die IOs sind komplett unterirdisch...

CrystalDiskMark war hingegen etwas besser... Seh aktuell jetzt keinen Nachteil wieso man die Hardwareverschlüsselung wenn die SSD sie bietet nicht nutzen sollte..
 
Der Nachteil dürfte darin begründet sein, dass a.) nicht jede SSD diese auch aktiv unterstützt und b.) du diese nicht mal ebend im laufenden Windows Betrieb ein/aus switchen kannst, wie z.b. mit Veracrypt.
Und ja, meine VC Container fressen kaum CPU Ressourcen, dass stimmt schon. Im Gegensatz zu z.b. BT läuft VC wesentlich geschmeidiger.
 
Erklärbär schrieb:
Im Gegensatz zu z.b. BT läuft VC wesentlich geschmeidiger.
Zum Vergrößern anklicken....
Läuft am Ende dennoch über die CPU wegen AES-NI
Erklärbär schrieb:
b.) du diese nicht mal ebend im laufenden Windows Betrieb ein/aus switchen kannst, wie z.b. mit Veracrypt.
Zum Vergrößern anklicken....
Doch das geht. Ich kann das ganze pausieren. Bietet mir zumindest Bitlocker an, abschalten kann ich es auch. Hatte anfangs sogar den Fehler gemacht und über die Gruppenrichtlinien Windows nicht zur Hardwareverschlüssunge gezwungen. Da hat er Software genutzt. Habe es deaktiviert, dann hat er es entschlüsselt, habe die Gruppenrichtlinie geändert und dann wieder aktiviert dann hat er Hardwareverschlüsselung benutzt.. Ob ich bei pausierter Verschlüsselung die SSD dann in einem externen Gehäuse auslesen kann müsste ich mal probieren. Mit aktivierter Verschlüsselung keine Chance, da scheint die SSD wirklich eingebaut zu sein sprich über PCIe verbunden. Die unverschlüsselte Partition sehe ich aber so oder so auch mit aktivierter Verschlüsselung.
Erklärbär schrieb:
.) nicht jede SSD diese auch aktiv unterstützt u
Zum Vergrößern anklicken....
Kann man ja käuflich erwerben. Mich stört bei Samsung eigentlich nur dass sie ihr Tool nicht für Linux anbieten. Hätte ich ein Linux System wären SSDs von Samsung daher ggf nicht meine erste Wahl, aber man kann ja auch wenn man was ändern muss einfach Windows ToGo oder so nutzen... Stromverbrauch könnte man ggf noch anführen, da gibt es sparsammere SSDs. Wobei dann auch mit weniger Features denke ich. Man spart aber halt auch schon Leistung dadurch dass die CPU die Verschlüsselung nicht mehr muss. Könnte ggf sogar auf +/- 0 rauskommen, spricht eine sparsame SSD nehmen mit Softwareverschlüsselung, oder eine nicht ganz so sparsame Samsung 980/990Pro und dann mit Hardwareverschlüsselung..
 
Zuletzt bearbeitet:
tom1tom schrieb:
schaff dir kein Computer an......
Zum Vergrößern anklicken....
Das ist die beste Lösung. Alles kann "geknackt" werden, wenn man nur will.
Geht da nicht um den Verschlüsselungsalgorithmus, sondern um die Dummheit von uns.
 
AES Twofish Serpend knackt niemand, aber dich.
 
Weiß man immer nicht so genau, man geht aber eh ja den kurzen Weg.
 
The Fappening war auch nur SE :d

Und jop, die Algos sind tendenziell sicher, bin gespannt, was da mit Quanten Computern irgendwann mal machbar sein wird (oder auch nicht :d)

Bestenfalls macht man sich aber einfach nicht zum Ziel (und wenn, dann toitoitoi für ne gute OpSec) :fresse:
 
Jop, sehe ich ähnlich skeptisch, am Ende wirds halt auch nur wieder für spezifischen Kram benutzt werden können. Was haben wir 100 qbits oder so? Was brauchen wir? Millionen oder mehr. Derzeit ists einfach nur da um Geld zu generieren, mehr nicht imo. (bin da aber auch nicht tief in der Materie drinnen, weils halt für mich selbst und meinen Interessen null zutut. Viel FUD :d)
 
Ein Teilchen weiss genau was das Andere gerade tut, egal wie weit es entfernt ist.

Das ist Quantenmechanik.
Hört sich so an als könnte man damit Sachen knacken, aber das ist viel wichtiger.
 
Glaube gibt wichtigeres als Sachen zu knacken.
 
Zuletzt bearbeitet:
Welthunger lösen und Weltfrieden schaffen z.B. :d Wobei da QC halt wahrscheinlich auch nicht helfen wird. Wenns nicht mal unsere Multimilliardäre schaffen ihre drecks Gier zu stillen und die Kohle sinnvoll einzusetzen... Aber ich schweife ab :d
 
CommanderBond schrieb:
Weil der 48stellige Key ist ja Bitlocker. Also welchen Schlüssel gibt man dann ein oder geht das nicht?
Zum Vergrößern anklicken....
Sofern Du von BitLocker eDrive unter Windows sprichst, dann geht das. MS scheint aber schon an einem Nachfolger von eDrive zu arbeiten, wirklich konkretes habe ich dazu aber noch nicht gesehen.
 
Ein Quantencomputer kann schon in der Theorie nicht funktionieren, Stichwort Heisenbergsche Unschärferelation.
Und jetzt nicht mit einem Heisenberg-Kompensator kommen, den gibts nur in Science Fiction Filmen.

Und was die Festplattenverschlüsselung angeht:
Ein Profi wird die Festplatte nicht ausbauen, sondern z.B. mit einem Rettungs-Datenträger auf die Festplatte zugreifen.
Dagegen schützt auch Bitlocker nicht.
Und auch keine Hardwareverschlüsselung der HDD/SSD.

Wenn man seine Daten wirklich schützen will muß man:
1. Das Booten von externen Datenträgern im BIOS/UEFI deaktivieren
2. Das BIOS/UEFI mit einem hinreichend komplizerten und langen Passwort schützen
3. Auch für den Zugriff auf den PC ein hineichend kompliziertes und langen BIOS/UEFI-Passwort vergeben. Das sollte NICHT identisch sein mit dem Passwort von Punkt 2.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh