Datenträger - Festplatten, SSDs, Speichersticks und -Karten, CD/ 19.508 Themen, 108.855 Beiträge

Wie SED-Passwort vergeben? (UEFI, Hardware-Verschlüsselung)

justyn66 / 28 Antworten / Flachansicht Nickles

Hallo! ich habe eine gebrauchte HDD mit SED Encryption erworben (Seagate Constellation ES.2, ST33000651NS).

Ich möchte die HDD als hardwareverschlüsselte NICHT-System Platte mit Passwort schützen. Leider konnte ich noch nirgends eine (für mich) brauchbare Info finden, wie (und wo) man die Passwortvergabe handhabt.
Meistens liest man, man müsse dazu im BIOS die ATA-Passwort Funktion nutzen (ATA Security Command). Auf Youtube gibt´s einige Videos dazu. Jedoch behandeln die ausschließlich "klassisches" BIOS, ich habe aber ein UEFI. Über UEFI nirgends ein Wort!!
Auf der Suche nach Entsprechungen habe ich in meinem UEFI unter Security nur Admin-Pass, U-Key, und Chassis Intrusion gefunden.
Kann es wirklich sein, dass die SED-Funktion unter UEFI gar nicht funktioniert??? Oder was habe ich übersehen?

Angeblich klappt die SED-Implementierung (als Hardware-Verschlüsselung!) auch über Bitlocker, wobei die Meinungen auseinander gehen. Z. B. Bei WIN 8 ja, bei WIN 7 nein. Oder sowieso nur bei OPAL2 Laufwerken (was meines nicht ist) und/oder mit TPM, etc.

Vielen Dank schon mal für eure qualifizierten Tipps! Aber bitte keine Alternativ-Vorschläge wie Software-Verschlüsselung, etc. oder Diskussionen über die (Un)sicherheit von SEDs!

WIN7 Ultimate SP1
Board: MSI 79A-GD45 (8D)
BIOS: V12.8/20141208

.

bei Antwort benachrichtigen
nemesis² justyn66 „Hallo fakiauso! Danke für die Antwort! Ja, es scheint wohl so zu sein, dass mein MB das ATA Security Mode Feature Set ...“
Optionen
Du empfiehlst VeraCrypt. Ist das SOO viel besser als Bitlocker? Der ist immerhin schon "eingebaut".

Bitlocker würde ich für die Windows-Partition empfehlen, denn nur damit kann man auch ein Image platzsparend erstellen und wiederherstellen. Bei TC/VC wäre das Image immer so groß wie die gesamte Partition und Eindampfen ist nicht!

Außerdem kann eine Bitlocker-Partition (vorübergehend) dauerhaft entsperrt werden - wie beim halbjährlichen Upgrade von Win10. Dabei wird nicht entschlüsselt, sondern im Prinzip "der Schlüssel sichtbar draufgeklebt". Wird er wieder entfernt (Upgrade fertig), ist wieder alles "sicher", d. h. nur noch mit Passwort/Recoery-Key/TPM ... zu entsperren.

So entfällt das aufwändige und sinnlose hin- und herverschlüsseln.

Außerdem kann die die Größe von Bitlockerverschlüsselten Laufwerken nachträglich geändert werden (klappt zumindest bei Win10). Ein TC/VC-Laufwerk hat rammelfest seine Größe und wenn die nicht passt, muss ein neues erstellt werden .... .

Für TC/VC sprechen:

- die Verschlüsselung dürfte wesentlich sicherer (machbar) sein, da offen, gut durchdacht und dokumentiert

- man kann die Volume-Header einfach sichern und wiederherstellen. Im Ernstfall ist damit die Datenrettung eher besser machbar.

Bei Bitlocker kann man höchstens den Bootsektor (+7 dahinter sichern => 4k) sichern und hoffen, im Ernstfall damit ein verschüttetes Laufwerk zu retten. Zwar werden die Bitlocker-Schlüssel an drei verschiedenen Orten auf dem Volume gespeichert, wo ist aber verschieden und dafür kenne ich kein einfaches Backup. Zerballert es theoretisch alle drei, ist Feierabend.

Der Vorteil von Bitlocker ist wiederum, dass man ein "verlorenes Laufwerk" auch findet, wenn man sich nicht die Sektoradressen notiert hatte ...

... bei TC/VC muss man genau wissen, wo die lag!

bei Antwort benachrichtigen