Self-Encrypting Drive (SED) und S3-Suspend (Sleep)

3

Da mein Laptop altert, ich aber den 4: 3-Bildschirm liebe, verlasse ich mich nicht gerne auf externe Medien (auch keine USB-3-Anschlüsse), und SSDs sind zu klein für mein Budget, aber ich möchte eine vollständige Verschlüsselung (zuvor truecrypt). Da die CPU AES nicht unterstützt, habe ich mich für ein selbstverschlüsselndes 1-TB-SSHD-Laufwerk ST1000LM015 von Seagate entschieden.

Jetzt, wo ich darüber gelesen habe, wie man es aufbaut, dachte ich, es sei recht geradlinig. Erst dann entdeckte ich, dass das Entsperren nicht nur eine einfache Firmware-Funktion ist, sondern dass es eine gesamte unverschlüsselte Partition gibt, die die PBA handhabt und über ausreichend Speicherplatz verfügt (ich denke, ich habe 128 MB gelesen?), Um ein kleines Betriebssystem auszuführen, das die gesamte Entriegelung ausführt Zeug.

Was ich aber haben möchte, ist der S3-Suspend-Modus. Ich habe darüber nachgedacht, sedutil für die Verwaltung des Laufwerks zu verwenden, da es angeblich Windows und Linux unterstützt und dem OPAL TCG-Standard entspricht. Aber dann habe ich festgestellt, dass es S3 nicht unterstützt, was sehr logisch erscheint, wenn Sie genauer nachdenken. Andererseits habe ich eine Software gefunden, die die SED-Funktion verwendet und immer noch S3 unterstützt (zum Beispiel SecureDoc von WinMagic). Es gibt also eindeutig einen Weg! Ich weiß, dass der Verschlüsselungsschlüssel dafür irgendwie im RAM zwischengespeichert werden muss, aber es ist ein akzeptables Risiko für mich.

Jetzt dachte ich daran, nur die ATA Security eXtensions zu verwenden. Da ich im BIOS ein Kennwort für das Laufwerk festlegen kann, wird das Laufwerk auch gesperrt. Und soweit ich weiß, deaktivieren die ATA Security eXtensions S3 nicht. Aber sind die Daten dann noch verschlüsselt? Wie geht der Controller der Festplatte damit um? Ich weiß, dass Sie mit normalen Laptop-Laufwerken (ohne SED-Fähigkeit) die Festplatte mit aktiviertem Kennwort unbrauchbar machen können, aber die Daten können sehr leicht (!) Von jedem forensikspezialisierten Unternehmen wiederhergestellt werden.

Informationen zu diesem Thema sind sehr knapp. Und oft schwer zu beweisen, richtig oder falsch. Soweit ich weiß, handelt es sich bei den auf dem SED gespeicherten Daten standardmäßig um verschlüsselte Daten. Nur das Sperren des Laufwerks muss aktiviert werden, damit ein Kennwort erforderlich ist.

Kann jemand einige meiner Fragen klären? Gibt es Möglichkeiten, PBA (ob BIOS oder Drittanbieter-Tool) und Verschlüsselung zu verwenden? Möglicherweise sowohl für Linux als auch für Windows in Dual-Boot? Vor allem aber möchte ich die Suspend-Funktionalität haben!

Hilfe wäre sehr dankbar, und ich hoffe, dass ich das über das Wochenende hinbekomme.

TJJ
quelle
1
AFAIK Das ATA-Sicherheitsfeature-Set (Passwort) hat nichts mit Verschlüsselung zu tun. Es bietet nur eine Möglichkeit, den Zugriff auf das Laufwerk zu verhindern. Ich bezweifle sogar, dass die Verschlüsselungsimplementierungen auf den meisten Laufwerken wirklich eine weitere Sicherheitsebene hinzugefügt haben. Was ich sehe, was sie hauptsächlich bieten, ist ein schnelles Mittel, um ein "vollständiges Löschen" des Laufwerks durchzuführen, was die Neuerstellung des Verschlüsselungsschlüssels ist. Wenn jemand das ATA-Sicherheitsfeature auf irgendeine Weise umgeht, ist zweifelhaft, ob der Verschlüsselungsschlüssel weiterhin unzugänglich bleibt.
Tom Yan
Haben Sie versucht, den Hersteller zu fragen? Fast jedes Laufwerk macht die Dinge ein wenig anders
Xen2050
1
Ja, scheint definitiv so zu sein. Und diese Leute, die Sie an der Unterstützungslinie bekommen, wissen normalerweise nicht, worüber Sie sprechen. Ja, ja, es ist verschlüsselt. Nein, Sie müssen sich keine Sorgen machen, der Schlüssel wird verschlüsselt gespeichert. Wie? Ich weiß es nicht, aber Sie können sicher sein, dass es verschlüsselt ist. Ja, so funktioniert es. Es ist also besser, sich mit Software zu beschäftigen, wenn Sie sich bei der Implementierung sicher sein wollen!
TJJ