|
Self Encrypting Drive ?
Hi,
als Auszug >dieses Threads<, weil es ein extra Thema darstellt: das Objekt meiner Begierde >Link Geizhals< steht: '256GB SSD'. Wenn man nun bei einem der Händler rein klickt - nehmen wir mal >diesen< - wird daraus eine: '256 GB SSD Self Encrypting Drive'. Ich hab' natürlich nachgelesen, was ein Self Encrypting Drive ist. Trotzdem bleiben Fragen offen:
Thx für ein paar Hinweise. Quintus14 |
An die 280 Klicks ... und niemand weiß Näheres zu SED?
|
Ich kann dir nur sagen, wie es bei den Thinkpads (speziell T42) war: Da wurde das Passwort bzw. ein Vergleichswert auf die HDD (ev. im Controller) geschrieben. Ohne passendes Gerät war sie nirgends lesbar und auch nicht formatierbar. Aber es war egal, in welchem Thinkpad (hatte einige T42) sie eingesetzt wurde, mittels BIOS konnte sie wieder "geöffnet" werden. Vermute mal selbiges beim HP-Teil.
Aber das wichtigste: Es war deaktivierbar. |
Danke, LR20, das hilft schon mal ein wenig weiter.
Wenn die SED-Funktion deaktivierbar ist, würde das schon helfen. Interessant wäre noch, ob man bei aktivierter SED-Funktion die HDD in einem anderen PC auslesen könnte, wenn man dort das PW (mir einer SW des Herstellers???) eingibt. ---- Ich hab' mal an HP bezüglich der HDD im 2170p eine Anfrage geschickt (ob man das NB auch mit einer 750GB Hybrid haben könnte) ... HP-D hat mich an HP-A verwiesen. HP-A antwortet seit 2 Tagen nicht ... "ACHTUNG KUNDE!" |
Eine Software wäre mir nicht bekannt (hab damals eben wegen erwähnter HDD gesucht). Nur ein annähernd baugleiches (markenabhängig??) Gerät ist notwendig.
|
Ich glaub ich hab erst mal des Rätsels Lösung was die Frage betrifft, ob es sich deaktivieren läßt:
Erstmal, was dazu benötigt wird: http://www.insanelymac.com/forum/ind...owtopic=262832 Zitat:
http://bizsupport1.austin.hp.com/bc/.../c03333896.pdf Auf Seite 77 Zitat:
|
Danke, LR20 - das bringt teilweise Licht ins Dunkel.
Ich geh' jetzt davon aus, dass man eine vercryptete SSD dann nicht an einen anderen PC anhängen kann, irgendwie dort auch dasselbe PW setzen und die SSD beackern kann. ---- Ich weiß ja nicht, wie HP das Gerät ausliefert. Wenn es so ist, wie es bei meinen Vaios war - dass auf der HDD eine Recovery-Partition drauf ist und man beim ersten Start Recovery-DVDs brennen muss - dann schätze ich, dass da die SED-Funktion bereits von HP aus aktiviert ist und man da nachträglich nicht mehr dran drehen kann - sonst ist ja die Recovery-Partition weg. Hmmm ... mir gefällt das alles nicht. Eine 750 GB Hybrid wär' mir eigentlich am liebsten. Oder ich greife zum i5-Modell mit der normalen 500 GB HDD. ---- NACHTRAG: laut HP-Handbücher funktioniert das bei HP mit dem HP Recovery Disc Creator - ähnlich wie beim Vaio (nur dass das Vaio ein DVD-Brenner eingebaut hatte und das 2170p keinen hat ;) ). D.h. die SED-Funktion muss gesetzt sein - nachträglich da was zu ändern dürfte die Installation & die Recovery-Partition ruinieren. |
Warum muß wegen der Recovery-Partition SED aktiv sein?
|
Zitat:
--- NACHTRAG: dann müsste man ja eigentlich mit einem BIOS-PW arbeiten für den Fall, dass einem das Teil geklaut wird. |
Du hast es falsch verstanden.
SED wird über TPM aktiviert. Dieses setzt sich aus meiner Erfahrung aus einigen Systemkomponenten und einem Passwort zusammen. Lassen wir mal die Systemkomponenten weg, da bin ich mir nicht sicher, ob Hardwareseriennummern zählen, aber mit dem Password de-/aktivierst du ja die Verschlüsselung. Warum sollte dann was weg sein? Du verwechselst das mit einer Selbstzerstörung. Du kannst SED-verschlüsselte Datenträger ausbauen und wo anders einbauen. Aber mehr als nicht lesbar wirds nicht sein. Kommts wieder in den Rechner aus dem sie ausgebaut wurde, funktioniert sie wieder (bei Eingabe des Passworts). |
Zitat:
LG |
Falsch. Dann wird es entschlüsselt. Dafür bedarf es eben der TPM-Plattform und dem Passwort. Du verwechselst es wirklich mit einem Selbstzerstörungsmechanismus, bei dem die Daten in keinster Weise entschlüsselt werden dürfen.
|
Hintergrund Info zu SED
Vielleicht schon etwas zu spät - jedoch will ich auch noch "meinen Senf" dazu geben:
In Verbindung mit SED Platten hat man es mit zwei speziellen Schlüsseln (Passwörter) zu tun: DEK und AK. Data Encryption Key (DEK) • jener Schlüssel, welcher verwendet wird, um alle Daten auf dem Laufwerk zu verschlüsseln • wird durch das Laufwerk erzeugt und verlässt nie das Laufwerk! • dieser Schlüssel wird in einem verschlüsselten Format im Laufwerk gespeichert • wird der DEK geändert oder gelöscht, können keine vorhandenen Daten auf dem Laufwerk mehr entschlüsselt werden! Authentication Key (AK) • jener Schlüssel, welcher verwendet wird, um das Laufwerk zu entsperren • eine Hash dieses Schlüssel kann auf der Festplatte gespeichert werden • nach der erfolgreichen Bestätigung wird diese Schlüssel zum Entschlüsseln des DEK verwendet Dies heißt: Verschlüsselt ist nicht gleich sicher!! Im Auslieferungszustand besitzt eine SED einen nur intern bekannten DEK und verschlüsselt hiermit sämtliche Daten out-of-the-box. Wurde der AK nicht definiert (z.B. per BIOS HDD Passwort Funktion, Nutzung des TPM Chip oder SED Verwaltungstools), so werden bei einem Lesezugriff sämtliche Daten automatisch mit dem DEK wieder entschlüsselt. Die SED erscheint für den Anwender also quasi "unverschlüsselt" - in Wirklichkeit wird die Ver-/Entschlüsselung einfach nur transparent im Hintergrund automatisch durchgeführt. In diesem Zustand kann die SED an beliebigen Geräten ohne Einschränkung genutzt werden. Erst mit Definition des AK (=Initialisierung) ist eine SED auch tatsächlich sicher! Sobald der AK definiert wurde, wird der AK verwendet, um den DEK zu verschlüsseln. In diesem Zustand kann selbst die SED den DEK nicht mehr zur Entschlüsselung verwenden. Erst mit Eingabe des AK wird der DEK wieder entschlüsselt und somit die SED in die Lage versetzt, die Daten wieder mit Hilfe des DEK zu entschlüsseln. Ich hoffe, etwas Licht in die Sache gebracht zu haben. Gruß |
| Alle Zeitangaben in WEZ +2. Es ist jetzt 12:49 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2026, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag