it-swarm.com.de

Samsung SSD 850 EVO. Der beste Weg, um persönliche Daten vor Dieben zu schützen

Ich frage mich, wie ich meine auf Samsung SSD 850 EVO unter Linux gespeicherten persönlichen Daten am besten schützen kann.

Ich habe einige Nachforschungen angestellt und dies gefunden.

Um ein ATA-Passwort festzulegen, greifen Sie einfach auf das BIOS zu, navigieren Sie zum Menü "Sicherheit", aktivieren Sie "Passwort beim Booten" und legen Sie ein "HDD-Passwort" fest. Administratoren haben auch die Möglichkeit, ein „Hauptkennwort“ festzulegen, mit dem ein verlorenes Benutzerkennwort („Festplattenkennwort“) wiederhergestellt werden kann. Das „Hauptkennwort“ kann auch verwendet werden, um das Laufwerk zu entsperren und/oder zu löschen (abhängig von den Einstellungen), wodurch die Daten effektiv zerstört und somit geschützt werden, das Laufwerk jedoch wiederverwendet werden kann.

( http://www.samsung.com/global/business/semiconductor/minisite/SSD/global/html/whitepaper/whitepaper06.html )

Ich klaue deinen Laptop. Sie haben ein Passwort auf der Festplatte festgelegt. Na ja, hier habe ich einen anderen PC, der diese Art der Festplattenkennwortverschlüsselung unterstützt (nicht alle und die meisten Desktops unterstützen sie nicht, außer in der Business Class wie dem Dell Optiplex, auf dem ich alle meine Tests durchgeführt habe). Ich gehe in mein BIOS. Ich habe ein Administratorkennwort in meinem BIOS festgelegt. Ich schalte meinen PC aus, schließe dein Laufwerk an, schalte es ein und gehe ins BIOS. Aber du denkst WARTEN! Sie werden nach dem Festplattenkennwort gefragt, bevor Sie überhaupt ins BIOS gelangen können! Errrr FALSCH! Ich verwende MEIN Administratorkennwort für Ihre Festplatte und bin in meinem BIOS. Jetzt gehe ich zum Festplattenkennwort und ändere es mit MEINEM ADMIN-PASSWORT UND DEM AKTUELLEN PASSWORT. Dann setze ich entweder kein Passwort oder ändere es. Ich starte neu, ich bin dabei, deine Dateien gehören mir.

( http://www.tomshardware.co.uk/answers/id-2813442/encryption-samsung-840-ev0-ssd.html )

In anderen Fällen kann ich zusätzliche OPAL-Software msed ( https://vxlabs.com/2015/02/11/use-the-hardware-based-full-disk-encryption-your-tcg-opal-ssd) verwenden -with-msed / ) oder verwenden Sie softwarebasierte Verschlüsselungsprogramme wie TrueCrypt und akzeptieren Sie alle Leistungsprobleme.

Mit anderen Worten - ist es wirklich so einfach, das Kennwort der Samsung EVO 850-Festplatte zu entschlüsseln? - Wird msed die Verwendung in meinem Fall sicherer sein oder ist TrueCrypt die einzige Lösung?

8
ytterrr

Bei Samsung 850-Laufwerken und anderen SSDs besteht die beste und sicherste Option darin, die OPAL-Vollplattenverschlüsselung zu verwenden, indem Sie ein Laufwerkskennwort im BIOS Ihres Systems aktivieren.

Die Verschlüsselung auf diesen SSDs funktioniert so, dass das Laufwerk immer verschlüsselt ist - es wird ab Werk mit einem generierten und festgelegten Verschlüsselungsschlüssel geliefert. Alle Daten, die es schreibt und liest, werden mit diesem Schlüssel verschlüsselt/entschlüsselt, nichts wird unverschlüsselt geschrieben.

Wenn Sie im BIOS ein Kennwort festlegen, verschlüsselt das Laufwerk den (im Laufwerkscontroller gespeicherten) Verschlüsselungsschlüssel mit dem von Ihnen angegebenen Kennwort. Bis Sie das Kennwort eingeben und dem Laufwerk den Schlüssel geben, den es zum Entschlüsseln seines eigenen Verschlüsselungsschlüssels benötigt, sind alle Daten nicht lesbar - selbst für die SSD selbst. Außerdem können Sie keine SATA-Befehle ausgeben oder das Laufwerk formatieren/neu verwenden, ohne dieses Kennwort anzugeben.

Beachten Sie, dass dies für das Betriebssystem transparent ist - die Verschlüsselung erfolgt auf Hardwareebene und die Entschlüsselung beim Start über das BIOS. Das Betriebssystem, egal was es ist, sieht nur eine normale SSD und interagiert normal damit.

Wenn Sie die Samsung-Software verwenden, um ein "sicheres Löschen" einer SSD durchzuführen, wird tatsächlich nichts im reinen Sinne des Wortes "gelöscht". Mit SSDs kann jedes Schreiben/Umschreiben eines Sektors durch forensische Analyse leicht wiederhergestellt werden. Wenn diese Daten verschlüsselt wurden, können Sie sie trotzdem wiederherstellen - solange Sie über den Verschlüsselungsschlüssel verfügen. Mit der Funktion "Sicheres Löschen" wird der interne AES-Verschlüsselungsschlüssel des Laufwerks auf einen neuen zurückgesetzt. Laufwerk effektiv zurücksetzen. Somit sind alle alten Informationen auf dem Laufwerk, die von der Forensik wiederhergestellt werden könnten, jetzt selbst für das Laufwerk selbst verschlüsselt/unlesbar, was die Wiederherstellung der Daten exponentiell schwieriger, wenn nicht unmöglich macht.

Der Laufwerkscontroller selbst verarbeitet das Kennwort. Wenn Ihr BIOS OPAL- oder SED-Laufwerke unterstützt, können Sie die Laufwerkverschlüsselung nicht umgehen, indem Sie das Supervisor-Kennwort des BIOS verwenden, um das Festplattenkennwort zu ändern. Selbst wenn Sie mit einem Supervisor-Passwort im BIOS angemeldet sind, können Sie das Passwort auf einer OPAL/SED-SSD nicht ändern (sofern Ihr BIOS dies ordnungsgemäß unterstützt), ohne das vorhandene SSD-Passwort anzugeben. Wenn Sie können, bedeutet dies, dass Ihr BIOS nie mit dem Laufwerk kommuniziert hat, um das Kennwort überhaupt festzulegen. In diesem Fall unterstützt das BIOS OPAL nicht und Sie können die SSD auch einfach an einen anderen Computer anschließen und die Daten ungehindert abbilden. Die meisten Laufwerkshersteller bieten Tools an, mit denen Sie dies überprüfen und feststellen können, ob der Status des Laufwerks "verschlüsselt" ist, dh, ein Kennwort wurde festgelegt.

Beachten Sie, dass TrueCrypt inzwischen eingestellt wurde und es heftige Spekulationen darüber gibt, ob die Codebasis des Projekts möglicherweise von einem Unternehmen wie einer Regierungsbehörde kompromittiert wurde. oder wenn die Schöpfer einfach in den Ruhestand gingen. Hier ist ein Artikel mit einigen Informationen.

Beachten Sie auch, dass die Sicherheitsanfälligkeit der vollständigen Festplattenverschlüsselung darin besteht, dass Ihre Daten geschützt sind, wenn die verschlüsselten Daten nicht verwendet werden/der Verschlüsselungsschlüssel sich nicht im Speicher befindet - dh wenn Ihr Computer eingeschaltet und verwendet wird. Wenn ein Gegner Ihren Computer während der Ausführung in den Griff bekommen hat, ist es für ihn möglich (obwohl schwierig), den Schlüssel aus dem System-BIOS/Laufwerk-Controller-Speicher wiederherzustellen.

Natürlich schützt Sie die vollständige Festplattenverschlüsselung auch nicht vor den Auswirkungen von Malware oder anderen Kompromissen, wenn das System ebenfalls ausgeführt wird.

Links

Samsung-Marketing-Website mit Hinweis auf die OPAL-Verschlüsselung von Samsung 850 SSD

Samsung SSD White Paper zur Funktionsweise der Verschlüsselung

11
Herringbone Cat

Ich weiß es nicht für das jeweilige Modell, aber diese Antwort ist für die meisten selbstverschlüsselenden Geräte geeignet:

Bei SSDs besteht der Vorteil der integrierten SED-Verschlüsselung darin, dass die Trimmfunktion (Wear-Leveling) genutzt werden kann.

Vor einigen Jahren hat ein großes deutsches Computermagazin gezeigt, dass viele eingebaute Selbstverschlüsselungsfunktionen von Festplatten schlecht implementiert sind http://www.heise.de/security/artikel/Windige-Festplattenverschluesselung-270702.html - http://www.heise.de/security/artikel/Verschusselt-statt-verschluesselt-270058.html und kann sehr leicht entschlüsselt werden (wenn die Daten sogar verschlüsselt und nicht nur passwortgeschützt sind!). Einige von ihnen gaben an, AES zu verwenden, verwendeten jedoch nur AES zum Verschlüsseln des Schlüssels, verwendeten jedoch die unsichere XOR-Verschlüsselung für die Daten. Auch wenn sie AES für die Daten verwenden, können sie es falsch machen, wenn sie es im falschen Modus/in der falschen Kombination verwenden. OPAL scheint auf den ersten Blick nur die eingebauten Funktionen zu verwenden.

Ich weiß nicht, ob es möglich ist, die Verschlüsselung wie in Ihrem zweiten Link zu umgehen, aber dies wäre ein sehr schlechtes Zeichen für die Verschlüsselung.

Grundsätzlich stellt sich also die Frage, wie wichtig die Verschlüsselung der Daten für Sie ist und wie sehr Sie der integrierten Verschlüsselung vertrauen. Wenn es kein Sicherheitsaudit für genau dieses Modell von einer vertrauenswürdigen externen Sicherheitsfirma gibt, würde ich es nicht für wichtiger als die geheime Weihnachtsgeschenkliste für Ihre Frau verwenden.

Für alles andere würde ich eine unabhängige Verschlüsselung wie truecrypt/LUKS/EncFS/.... verwenden. Wenn Sie die vollständige Festplattenverschlüsselung auf SSDs verwenden, lassen Sie einen nicht abgeteilten Platz für die Verschleißausgleichung. Bei Verwendung einer dateibasierten Verschlüsselung wie EncFS kann ein Angreifer Informationen über die Datei-/Ordnerstruktur und die Dateigröße erhalten. Für einige ist dies ein Problem, für andere nicht.

3
H. Idden