SandForce SSD-Verschlüsselung - Sicherheit und Support


12

Ich denke gerade über den Kauf eines ThinkPad X201 nach und rüste es mit einem SSD-Laufwerk aus. Um meine Daten zu schützen, habe ich auf meinen Laptops immer Linux mit LUKS-Festplattenverschlüsselung verwendet. Wie in einem anderen SuperUser-Beitrag erwähnt, würde dies jedoch die Unterstützung für TRIM deaktivieren. Dies scheint bei einem SSD-Laufwerk keine gute Idee zu sein.

Ich habe gelesen, dass SandForce-1200-basierte SSDs eine integrierte AES-Verschlüsselung bieten, die an das BIOS-Passwort gebunden ist. Ich kann jedoch keine ordnungsgemäße Dokumentation dazu finden. Fragen:

  • Gibt es allgemeine Nachteile dieses Ansatzes?
  • Ich nehme an, dies würde BIOS-Unterstützung für die Funktion erfordern - wie finde ich heraus, ob es auf einem X201 funktioniert?
  • Alte BIOS-Versionen unterstützen nur kurze Passwörter (wie 6 oder 8 Zeichen). Hat sich diese Situation verbessert, um eine ausreichende Sicherheit für die Festplattenverschlüsselung zu gewährleisten?

Update: Diese Quelle besagt, dass Sie für diese Laufwerke nicht einmal ein Passwort festlegen können. Huh? Das macht keinen Sinn, warum sollten Sie die komplizierten AES-Operationen überhaupt ausführen, wenn Sie nicht zulassen, einen Schlüssel zu verwenden?

Vielen Dank für jeden kompetenten Rat in dieser Angelegenheit :)

Antworten:


11

Das habe ich herausgefunden, nachdem ich einige Stunden im Internet gesucht hatte:

  • Bei SandForce-Geräten ist die AES-Verschlüsselung standardmäßig aktiviert, es gibt jedoch Probleme (siehe unten).
  • Wenn Sie das Laufwerk mit ATA Secure Delete auf Null setzen, wird der Schlüssel gelöscht und später neu generiert, sodass auf die alten Daten nicht mehr zugegriffen werden kann. Dies ist eine akzeptable Lösung, wenn Sie Ihre SSD verkaufen oder in den Papierkorb werfen möchten
  • Es ist jedoch nicht möglich, ein Benutzerkennwort festzulegen, das verhindert, dass jemand, der Ihren Laptop mit einer SandForce-SSD stiehlt, Ihre Daten liest
  • Der Verschlüsselungsschlüssel ist nicht mit der ATA-Sicherheit und / oder dem BIOS verknüpft
  • Das Setzen eines Benutzerpassworts wäre möglich, wenn es dafür ein Tool gäbe. OCZ versprach ein Programm mit dem Namen "Toolbox", das dies sehr oft in den Support-Foren zuließ. Als es jedoch im Oktober 2010 veröffentlicht wurde, verfügte es immer noch nicht über die Funktionalität (und dies auch heute noch nicht).
  • Ich denke, selbst wenn Sie das Passwort mit der Toolbox festlegen könnten, wäre es nicht mehr möglich, das Gerät als Startgerät zu verwenden, da Sie es nicht vom BIOS entsperren konnten.
  • Die Verwendung der Software-Verschlüsselung mit vollständiger Festplatte auf einer SSD beeinträchtigt die Leistung des Laufwerks erheblich - bis zu einem Punkt, an dem es langsamer sein kann als eine normale Festplatte.

Quelle für einige dieser Informationen.

Update: Wenn Sie interessiert sind, habe ich ein wenig mehr über die Probleme in einem speziellen Blog-Beitrag geschrieben .


Die Verlangsamung der Festplattenverschlüsselung gilt nur für Sandforce-Controller, deren Geschwindigkeit auf Komprimierung beruht.
Zan Lynx

Ich mache gerade die gleichen Forschungen, um herauszufinden, was ich mit der integrierten SSD meines neuen HP Folio 13 machen soll. Ich fand deinen Blogpost wirklich hilfreich - +1 auf die Antwort, die du gepostet hast. Vielen Dank!
Tarehman

Sie blockieren erfordert ein Passwort. Ist es dann sinnvoll, hier Werbung zu machen?
Maaartinus

upps tut mir leid, ich habe es irgendwie geschafft, das falsche wordpress-
konto

0

Die Festplattenverschlüsselung ist für Sandforce und nicht für Sie. Wenn Ihr Laufwerk ausfällt, müssen Sie einen der "zugelassenen" Anbieter beauftragen, der die Schlüssel für die Datenwiederherstellung zur Verfügung stellt und 5-6.000 US-Dollar in Rechnung stellt. Wird auch als Geiselnahme bezeichnet, um Geld zu verdienen.


Sie können TRIM auch im LUKS-Container aktivieren. Anweisungen hierzu finden Sie hier: blog.christophersmart.com/2013/06/05/trim-on-lvm-on-luks-on-ssd
Jimbo Jones
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.