ATA Security Feature Set: Festplatte unter Windows UND Linux auf versch. Rechnern auslesen- konfigurieren?
Hallo allerseits,
es gibt bekanntlich die Möglichkeit, Festplatten durch Setzen eines User-Passwortes im Rahmen des 'ATA Security Feature Set' im Bios zu schützen:
http://www.thomas-krenn.com/de/wiki/ATA_Security_Feature_Set
Neuere SSDs (wie Samsung 840/850pro u.a.) sind hardwareseitig mit einem internen Masterpasswort bereits AES-256 verschlüsselt (self-encrypting disk SED), diese Verschlüsselung kann man dann durch Setzen eines individuellen Passwortes nutzen, was dann bei jedem Booten abgefragt wird.
Die c't wies bereits in 8/2005 darauf hin, dass dies nur sicher ist, wenn das Bios gleichzeitig auch den Plattenzustand vor Booten des Betriebssystems 'einfriert' (Security freeze lock):
http://www.heise.de/ct/artikel/Baerendienst-289866.html
Gesetzt den Fall, das funktioniert:
Kann man eigentlich eine so auf Rechner A mit dem Bios-Kennwort verschlüsselte Platte z.B. an einem anderen Rechner B anschließen und auslesen?
Kann man ein Passwort, was auf Rechner A via Bios gesetzt wurde, auf Rechner B z.B. mit Linux hdparm resetten und/oder die ''ATA Security Features' bearbeiten ?
Gibt es etwas Vergleichbares zu hdparm unter Windows?
Hintergrund ist der Zugriff auf die gespeicherten Daten im Falle eines Hardwaredefektes z.B des Motherboards. (Ja, ja, regelmäßiges Backup ist bei verschlüsselten Disks obligat und selbstverständlich!)
Es gibt zudem Empfehlungen, die Verschlüsselung nicht via Bios, sondern generell via hdparm zu aktivieren, um diverse 'Eigenheiten' der Passwortbehandlung durch ein Bios zu umgehen...
https://www.zeitgeist.se/2014/09/07/enabling-ata-security-on-a-self-encr ...
Danke und schöne Grüße, uc
es gibt bekanntlich die Möglichkeit, Festplatten durch Setzen eines User-Passwortes im Rahmen des 'ATA Security Feature Set' im Bios zu schützen:
http://www.thomas-krenn.com/de/wiki/ATA_Security_Feature_Set
Neuere SSDs (wie Samsung 840/850pro u.a.) sind hardwareseitig mit einem internen Masterpasswort bereits AES-256 verschlüsselt (self-encrypting disk SED), diese Verschlüsselung kann man dann durch Setzen eines individuellen Passwortes nutzen, was dann bei jedem Booten abgefragt wird.
Die c't wies bereits in 8/2005 darauf hin, dass dies nur sicher ist, wenn das Bios gleichzeitig auch den Plattenzustand vor Booten des Betriebssystems 'einfriert' (Security freeze lock):
http://www.heise.de/ct/artikel/Baerendienst-289866.html
Gesetzt den Fall, das funktioniert:
Kann man eigentlich eine so auf Rechner A mit dem Bios-Kennwort verschlüsselte Platte z.B. an einem anderen Rechner B anschließen und auslesen?
Kann man ein Passwort, was auf Rechner A via Bios gesetzt wurde, auf Rechner B z.B. mit Linux hdparm resetten und/oder die ''ATA Security Features' bearbeiten ?
hdparm --security-help
ATA Security Commands:
Most of these are VERY DANGEROUS and can destroy all of your data!
Due to bugs in older Linux kernels, use of these commands may even
trigger kernel segfaults or worse. EXPERIMENT AT YOUR OWN RISK!
--security-freeze Freeze security settings until reset.
--security-set-pass PASSWD Lock drive, using password PASSWD:
Use 'NULL' to set empty password.
Drive gets locked if user-passwd is selected.
--security-unlock PASSWD Unlock drive.
--security-disable PASSWD Disable drive locking.
--security-erase PASSWD Erase a (locked) drive.
--security-erase-enhanced PASSWD Enhanced-erase a (locked) drive.
The above four commands may optionally be preceded by these options:
--security-mode LEVEL Use LEVEL to select security level:
h high security (default).
m maximum security.
--user-master WHICH Use WHICH to choose password type:
u user-password (default).
m master-password
Gibt es etwas Vergleichbares zu hdparm unter Windows?
Hintergrund ist der Zugriff auf die gespeicherten Daten im Falle eines Hardwaredefektes z.B des Motherboards. (Ja, ja, regelmäßiges Backup ist bei verschlüsselten Disks obligat und selbstverständlich!)
Es gibt zudem Empfehlungen, die Verschlüsselung nicht via Bios, sondern generell via hdparm zu aktivieren, um diverse 'Eigenheiten' der Passwortbehandlung durch ein Bios zu umgehen...
https://www.zeitgeist.se/2014/09/07/enabling-ata-security-on-a-self-encr ...
Danke und schöne Grüße, uc
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 249481
Url: https://administrator.de/contentid/249481
Ausgedruckt am: 21.11.2024 um 23:11 Uhr
8 Kommentare
Neuester Kommentar
Hi,
Ausnahmen gibt es aber: Hersteller können das ganze z.B. zusätzlich mit dem TPM des Mainboards koppeln um so die Sicherheit zu erhöhen, so dass jemand der die Platte entfernt dann ohne das jeweilige Notebook nicht mehr an die Daten herankommt.
Grüße Uwe
Gesetzt den Fall, das funktioniert:
Kann man eigentlich eine so auf Rechner A mit dem Bios-Kennwort verschlüsselte Platte z.B. an einem anderen Rechner B anschließen und auslesen?
Wenn man das Passwort kennt, und das BIOS das ATA-Security Feature Set unterstützt (tun heute eigentlich alle), ja.Kann man eigentlich eine so auf Rechner A mit dem Bios-Kennwort verschlüsselte Platte z.B. an einem anderen Rechner B anschließen und auslesen?
Kann man ein Passwort, was auf Rechner A via Bios gesetzt wurde, auf Rechner B z.B. mit Linux hdparm resetten und/oder die ''ATA Security Features' bearbeiten ?
ja, wenn man das Kennwort hat, denn das Feature wird in der ATA-Spezifikation festgelegt. D.h. also wenn ein BIOS das ATA-Security Feature Set unterstützt, kann solch eine Platte auch an einem anderen Rechner wieder freigeschaltet werden, sofern man im Besitz des Passwortes ist. Die Informationen dazu werden auf der Platte selber und nicht in der Controller-Firmware abgelegt. D.h. also wenn du die Platte an ein anderes System anschließt, wird sich diese dem BIOS als gesperrt ausweisen und vom BIOS das Kennwort anfordern, und dieses dann dem User ein Passwortprompt präsentieren. Das BIOS schickt dieses dann an die Platte und die entscheidet dann ob es korrekt ist oder nicht.Ausnahmen gibt es aber: Hersteller können das ganze z.B. zusätzlich mit dem TPM des Mainboards koppeln um so die Sicherheit zu erhöhen, so dass jemand der die Platte entfernt dann ohne das jeweilige Notebook nicht mehr an die Daten herankommt.
Gibt es etwas Vergleichbares zu hdparm unter Windows?
Fûr DOS gibt's z.B. atapwdGrüße Uwe
Zitat von @usercrash:
Das wäre eher hinderlich, bei einem MoBo-Defekt käme man ja gar nicht mehr an die Daten!?
Das wäre eher hinderlich, bei einem MoBo-Defekt käme man ja gar nicht mehr an die Daten!?
Das ist der Zweck des ganzen. TPM "kaputt" -> Daten sicher vor unbefugtem Zugriff.
Wenn die wichtig waren, hat man ein Backup auf einem anderen TPM-gesicherten System.
Gerade mal mit FreeDos gebootet:
"No ATA Drive detected..." liegt vermutlich am fehlenden Treiber; ich weiss allerdings nicht, ob SSDs überhaupt
über DOS selig anzusprechen sind bzw. ob ich irgendwo passende Treiber finde...?
"No ATA Drive detected..." liegt vermutlich am fehlenden Treiber; ich weiss allerdings nicht, ob SSDs überhaupt
über DOS selig anzusprechen sind bzw. ob ich irgendwo passende Treiber finde...?
Solange die SSD über die IDE-Emulation oder über die BIOS-Funktionen angesprochen wird, benötigt DOS da keine speziellen Treiber. nur die Programme die die speziellen Funktionen an dem BIOs vorbei direkt über die Hardware ansprechen wollen, müssen die Unterstützung mitbringen.
lks
Zitat von @usercrash:
Was passiert, wenn man eine geschützte Platte an ein MoBo mit Bios *ohne* explizit implementierte ATA-Security
anschließt?
ohne Tools wie hdparm wirst du dann die Platte nicht freischalten können, also direktes Booten davon ohne vorheriges Freischalten z.b. mit einem Live Linux wäre dann nicht möglich.Was passiert, wenn man eine geschützte Platte an ein MoBo mit Bios *ohne* explizit implementierte ATA-Security
anschließt?
Und wie melden sich zwei Festplatten, die beide ATA-Security mit *gleichem* Passwort verschlüsselt sind? Zweimalige
Passwort-Eingabe notwendig?
habe ich noch nicht ausprobiert. Aber normalerweise Fragt das BIOS nur nach dem Passwort der Platte von der du bootest.Passwort-Eingabe notwendig?
Das wäre eher hinderlich, bei einem MoBo-Defekt käme man ja gar nicht mehr an die Daten!?
Das ist ja der Zweck von erhöhter Sicherheit z.b. für Firmen deren Mitarbeiter mit sensitiven Daten auf Ihren NBs hantieren, das diese nicht in fremde Hände gelangen.Gerade mal mit FreeDos gebootet:
"No ATA Drive detected..." liegt vermutlich am fehlenden Treiber; ich weiss allerdings nicht, ob SSDs überhaupt
über DOS selig anzusprechen sind bzw. ob ich irgendwo passende Treiber finde...?
Controller auf IDE-Mode stellen."No ATA Drive detected..." liegt vermutlich am fehlenden Treiber; ich weiss allerdings nicht, ob SSDs überhaupt
über DOS selig anzusprechen sind bzw. ob ich irgendwo passende Treiber finde...?
Grüße Uwe
Zitat von @usercrash:
koppelt ATA-Security via Bios das Freischalten einer Platte nicht nur an ein Passwort, sondern zusätzlich an TPM und gibt es auf dem MoBo einen Hardwaredefekt, kann die Platte nicht mehr ausgelesen werden!?
In der Spezifikation ist das TPM nicht enthalten, das ist eine Option die der Hersteller implementieren kann. Wie gesagt, hier muss der User/Firma entscheiden ob Ihm/Ihr Datenschutz wichtiger ist. Der User muss die Option ja nicht nutzen.koppelt ATA-Security via Bios das Freischalten einer Platte nicht nur an ein Passwort, sondern zusätzlich an TPM und gibt es auf dem MoBo einen Hardwaredefekt, kann die Platte nicht mehr ausgelesen werden!?
Deshalb Frage:
Setzt man ein ATA-Security-Passwort z.B. über ein Live-Linux via hdparm und bootet diese Platte dann an einem System mit TPM, wird dann trotzdem TPM genutzt oder bleibt es bei der "einfachen" ATA-Security via Passwort?
Wie oben gesagt ist das TPM nicht Teil dieser ATA-Spezifikation ! Die Funktion bleibt daher vom TPM unberührt.Setzt man ein ATA-Security-Passwort z.B. über ein Live-Linux via hdparm und bootet diese Platte dann an einem System mit TPM, wird dann trotzdem TPM genutzt oder bleibt es bei der "einfachen" ATA-Security via Passwort?
Unklar ist mir als ATA-Security-Novizen auch, inwieweit eine Passwortabfrgae bei mehreren geschützten physikalischen
Datenträgern kommt.
Das ist je nach BIOS-Implementierung unterschiedlich. Was ich weiß ist, dass bei Dell-Notebooks ein gemeinsames Password für mehrere Disks gesetzt werden kann, so dass nur eine gemeinsame Abfrage erscheint. Alternativ sind auch unterschiedliche möglich, was dann mehrere Abfragen triggert. Im Allgemeinen sind hier Business-Notebooks vorzuziehen, da sie hier meistens mehr Optionen in dieser Hinsicht anbieten.Datenträgern kommt.
Noch zur Info: Der ATA-Passwortschutz ist nicht wirklich sicher. Für Datenrettungsunternehmen ist es ein Kinderspiel die Platte wieder freizuschalten sogar ohne die Platte zu öffnen! Er ist daher nur als Schutz gegen "Otto-Normaluser" anzusehen.
Grüße Uwe
Moin,
Alles von Menschenhand verschlüsselte kann der Mensch auch wieder herstellen, ist nur eine Frage der Zeit ! Absolut schützenswerte Daten gehören nie auf vernetzte Geräte.
Gruß
Jodel32
Alles von Menschenhand verschlüsselte kann der Mensch auch wieder herstellen, ist nur eine Frage der Zeit ! Absolut schützenswerte Daten gehören nie auf vernetzte Geräte.
Gruß
Jodel32