usercrash
Goto Top

ATA Security Feature Set: Festplatte unter Windows UND Linux auf versch. Rechnern auslesen- konfigurieren?

Hallo allerseits,

es gibt bekanntlich die Möglichkeit, Festplatten durch Setzen eines User-Passwortes im Rahmen des 'ATA Security Feature Set' im Bios zu schützen:
http://www.thomas-krenn.com/de/wiki/ATA_Security_Feature_Set

Neuere SSDs (wie Samsung 840/850pro u.a.) sind hardwareseitig mit einem internen Masterpasswort bereits AES-256 verschlüsselt (self-encrypting disk SED), diese Verschlüsselung kann man dann durch Setzen eines individuellen Passwortes nutzen, was dann bei jedem Booten abgefragt wird.

Die c't wies bereits in 8/2005 darauf hin, dass dies nur sicher ist, wenn das Bios gleichzeitig auch den Plattenzustand vor Booten des Betriebssystems 'einfriert' (Security freeze lock):
http://www.heise.de/ct/artikel/Baerendienst-289866.html

Gesetzt den Fall, das funktioniert:
Kann man eigentlich eine so auf Rechner A mit dem Bios-Kennwort verschlüsselte Platte z.B. an einem anderen Rechner B anschließen und auslesen?
Kann man ein Passwort, was auf Rechner A via Bios gesetzt wurde, auf Rechner B z.B. mit Linux hdparm resetten und/oder die ''ATA Security Features' bearbeiten ?

hdparm --security-help

ATA Security Commands:
 Most of these are VERY DANGEROUS and can destroy all of your data!
 Due to bugs in older Linux kernels, use of these commands may even
 trigger kernel segfaults or worse.  EXPERIMENT AT YOUR OWN RISK!

 --security-freeze           Freeze security settings until reset.

 --security-set-pass PASSWD  Lock drive, using password PASSWD:
                                  Use 'NULL' to set empty password.
                                  Drive gets locked if user-passwd is selected.
 --security-unlock   PASSWD  Unlock drive.
 --security-disable  PASSWD  Disable drive locking.
 --security-erase    PASSWD  Erase a (locked) drive.
 --security-erase-enhanced PASSWD   Enhanced-erase a (locked) drive.

 The above four commands may optionally be preceded by these options:
 --security-mode  LEVEL      Use LEVEL to select security level:
                                  h   high security (default).
                                  m   maximum security.
 --user-master    WHICH      Use WHICH to choose password type:
                                  u   user-password (default).
                                  m   master-password

Gibt es etwas Vergleichbares zu hdparm unter Windows?

Hintergrund ist der Zugriff auf die gespeicherten Daten im Falle eines Hardwaredefektes z.B des Motherboards. (Ja, ja, regelmäßiges Backup ist bei verschlüsselten Disks obligat und selbstverständlich!)

Es gibt zudem Empfehlungen, die Verschlüsselung nicht via Bios, sondern generell via hdparm zu aktivieren, um diverse 'Eigenheiten' der Passwortbehandlung durch ein Bios zu umgehen...
https://www.zeitgeist.se/2014/09/07/enabling-ata-security-on-a-self-encr ...

Danke und schöne Grüße, uc

Content-Key: 249481

Url: https://administrator.de/contentid/249481

Ausgedruckt am: 28.03.2024 um 13:03 Uhr

Mitglied: colinardo
colinardo 17.09.2014 aktualisiert um 23:45:27 Uhr
Goto Top
Hi,
Gesetzt den Fall, das funktioniert:
Kann man eigentlich eine so auf Rechner A mit dem Bios-Kennwort verschlüsselte Platte z.B. an einem anderen Rechner B anschließen und auslesen?
Wenn man das Passwort kennt, und das BIOS das ATA-Security Feature Set unterstützt (tun heute eigentlich alle), ja.

Kann man ein Passwort, was auf Rechner A via Bios gesetzt wurde, auf Rechner B z.B. mit Linux hdparm resetten und/oder die ''ATA Security Features' bearbeiten ?
ja, wenn man das Kennwort hat, denn das Feature wird in der ATA-Spezifikation festgelegt. D.h. also wenn ein BIOS das ATA-Security Feature Set unterstützt, kann solch eine Platte auch an einem anderen Rechner wieder freigeschaltet werden, sofern man im Besitz des Passwortes ist. Die Informationen dazu werden auf der Platte selber und nicht in der Controller-Firmware abgelegt. D.h. also wenn du die Platte an ein anderes System anschließt, wird sich diese dem BIOS als gesperrt ausweisen und vom BIOS das Kennwort anfordern, und dieses dann dem User ein Passwortprompt präsentieren. Das BIOS schickt dieses dann an die Platte und die entscheidet dann ob es korrekt ist oder nicht.

Ausnahmen gibt es aber: Hersteller können das ganze z.B. zusätzlich mit dem TPM des Mainboards koppeln um so die Sicherheit zu erhöhen, so dass jemand der die Platte entfernt dann ohne das jeweilige Notebook nicht mehr an die Daten herankommt.

Gibt es etwas Vergleichbares zu hdparm unter Windows?
Fûr DOS gibt's z.B. atapwd

Grüße Uwe
Mitglied: usercrash
usercrash 17.09.2014, aktualisiert am 18.09.2014 um 00:00:03 Uhr
Goto Top
Hallo,
und danke!

D.h. also wenn du die Platte an ein anderes System anschließt, wird sich diese dem BIOS
als gesperrt ausweisen und vom BIOS das Kennwort anfordern, und dieses dann dem User ein Passwortprompt präsentieren. Das
BIOS schickt dieses dann an die Platte und die entscheidet dann ob es korrekt ist oder nicht.

Was passiert, wenn man eine geschützte Platte an ein MoBo mit Bios *ohne* explizit implementierte ATA-Security anschließt?

Und wie melden sich zwei Festplatten, die beide ATA-Security mit *gleichem* Passwort verschlüsselt sind? Zweimalige Passwort-Eingabe notwendig?

Ausnahmen gibt es aber: Hersteller können das ganze z.B. zusätzlich mit dem TPM des Mainboards koppeln um so die
Sicherheit zu erhöhen, so dass jemand der die Platte entfernt dann ohne das jeweilige Notebook nicht mehr an die Daten
herankommt.

Das wäre eher hinderlich, bei einem MoBo-Defekt käme man ja gar nicht mehr an die Daten!?

> Gibt es etwas Vergleichbares zu hdparm unter Windows?
Fûr DOS gibt's z.B. atapwd

Gerade mal mit FreeDos gebootet:
"No ATA Drive detected..." liegt vermutlich am fehlenden Treiber; ich weiss allerdings nicht, ob SSDs überhaupt über DOS selig anzusprechen sind bzw. ob ich irgendwo passende Treiber finde...?

Gruß, uc
Mitglied: Lochkartenstanzer
Lochkartenstanzer 18.09.2014 um 07:46:25 Uhr
Goto Top
Zitat von @usercrash:

Das wäre eher hinderlich, bei einem MoBo-Defekt käme man ja gar nicht mehr an die Daten!?

Das ist der Zweck des ganzen. TPM "kaputt" -> Daten sicher vor unbefugtem Zugriff.

Wenn die wichtig waren, hat man ein Backup auf einem anderen TPM-gesicherten System.

Gerade mal mit FreeDos gebootet:
"No ATA Drive detected..." liegt vermutlich am fehlenden Treiber; ich weiss allerdings nicht, ob SSDs überhaupt
über DOS selig anzusprechen sind bzw. ob ich irgendwo passende Treiber finde...?

Solange die SSD über die IDE-Emulation oder über die BIOS-Funktionen angesprochen wird, benötigt DOS da keine speziellen Treiber. nur die Programme die die speziellen Funktionen an dem BIOs vorbei direkt über die Hardware ansprechen wollen, müssen die Unterstützung mitbringen.

lks
Mitglied: colinardo
colinardo 18.09.2014 aktualisiert um 07:51:53 Uhr
Goto Top
Zitat von @usercrash:
Was passiert, wenn man eine geschützte Platte an ein MoBo mit Bios *ohne* explizit implementierte ATA-Security
anschließt?
ohne Tools wie hdparm wirst du dann die Platte nicht freischalten können, also direktes Booten davon ohne vorheriges Freischalten z.b. mit einem Live Linux wäre dann nicht möglich.
Und wie melden sich zwei Festplatten, die beide ATA-Security mit *gleichem* Passwort verschlüsselt sind? Zweimalige
Passwort-Eingabe notwendig?
habe ich noch nicht ausprobiert. Aber normalerweise Fragt das BIOS nur nach dem Passwort der Platte von der du bootest.
Das wäre eher hinderlich, bei einem MoBo-Defekt käme man ja gar nicht mehr an die Daten!?
Das ist ja der Zweck von erhöhter Sicherheit z.b. für Firmen deren Mitarbeiter mit sensitiven Daten auf Ihren NBs hantieren, das diese nicht in fremde Hände gelangen.

Gerade mal mit FreeDos gebootet:
"No ATA Drive detected..." liegt vermutlich am fehlenden Treiber; ich weiss allerdings nicht, ob SSDs überhaupt
über DOS selig anzusprechen sind bzw. ob ich irgendwo passende Treiber finde...?
Controller auf IDE-Mode stellen.

Grüße Uwe
Mitglied: usercrash
usercrash 19.09.2014 aktualisiert um 11:14:19 Uhr
Goto Top
Hallo allerseits,

koppelt ATA-Security via Bios das Freischalten einer Platte nicht nur an ein Passwort, sondern zusätzlich an TPM und gibt es auf dem MoBo einen Hardwaredefekt, kann die Platte nicht mehr ausgelesen werden!?

Hmmm, da bleibt ein ungutes Gefühl, da Backups eher selten "minutiös aktuell" sind, und ein Arbeitstag schon lang sein kann... Sicherung jeweils nachts. Hier (!) würde der Schutz der Platte über ein ausreichend sicheres Passwort ausreichen, ohne TPM und damit ohne Hardwareabhängigkeit.

Deshalb Frage:
Setzt man ein ATA-Security-Passwort z.B. über ein Live-Linux via hdparm und bootet diese Platte dann an einem System mit TPM, wird dann trotzdem TPM genutzt oder bleibt es bei der "einfachen" ATA-Security via Passwort?
Unklar ist mir als ATA-Security-Novizen auch, inwieweit eine Passwortabfrgae bei mehreren geschützten physikalischen Datenträgern kommt.
Konfig:
Boot-SSD mit System und C:\Windows, geschützt.
Daten-SSD mit D:\Daten, geschützt.
Beide SSDs sollen mit dem gleichen Passwort geschützt werden und idealerweise nach einmaliger Abfrage des Boot-Passwortes entsperrt werden.

Exkurs:
Derzeit sind die Platten verschlüsselt mit DiskCryptor ( AES-256, https://diskcryptor.net/ ), da erfolgt eine Abfrage des Passwortes und Entsperren aller Platten/Partitionen, für die dieses Passwort passt. Die Platten lassen sich an einem anderen System oder via Live-CD mit dem Passwort öffnen und auslesen.
Ein Wechsel zur ATA-Security wäre aus Peformancegründen angedacht, da die neuen SSDs hardwareseitige selbst verschlüsseln (SED; Samsung 850pro).

Viele Grüße, uc
Mitglied: colinardo
Lösung colinardo 19.09.2014 aktualisiert um 21:37:23 Uhr
Goto Top
Zitat von @usercrash:
koppelt ATA-Security via Bios das Freischalten einer Platte nicht nur an ein Passwort, sondern zusätzlich an TPM und gibt es auf dem MoBo einen Hardwaredefekt, kann die Platte nicht mehr ausgelesen werden!?
In der Spezifikation ist das TPM nicht enthalten, das ist eine Option die der Hersteller implementieren kann. Wie gesagt, hier muss der User/Firma entscheiden ob Ihm/Ihr Datenschutz wichtiger ist. Der User muss die Option ja nicht nutzen.

Deshalb Frage:
Setzt man ein ATA-Security-Passwort z.B. über ein Live-Linux via hdparm und bootet diese Platte dann an einem System mit TPM, wird dann trotzdem TPM genutzt oder bleibt es bei der "einfachen" ATA-Security via Passwort?
Wie oben gesagt ist das TPM nicht Teil dieser ATA-Spezifikation ! Die Funktion bleibt daher vom TPM unberührt.

Unklar ist mir als ATA-Security-Novizen auch, inwieweit eine Passwortabfrgae bei mehreren geschützten physikalischen
Datenträgern kommt.
Das ist je nach BIOS-Implementierung unterschiedlich. Was ich weiß ist, dass bei Dell-Notebooks ein gemeinsames Password für mehrere Disks gesetzt werden kann, so dass nur eine gemeinsame Abfrage erscheint. Alternativ sind auch unterschiedliche möglich, was dann mehrere Abfragen triggert. Im Allgemeinen sind hier Business-Notebooks vorzuziehen, da sie hier meistens mehr Optionen in dieser Hinsicht anbieten.

Noch zur Info: Der ATA-Passwortschutz ist nicht wirklich sicher. Für Datenrettungsunternehmen ist es ein Kinderspiel die Platte wieder freizuschalten sogar ohne die Platte zu öffnen! Er ist daher nur als Schutz gegen "Otto-Normaluser" anzusehen.

Grüße Uwe
Mitglied: usercrash
usercrash 19.09.2014 aktualisiert um 21:36:46 Uhr
Goto Top
Nabend,

Noch zur Info: Der ATA-Passwortschutz ist nicht wirklich sicher. Für Datenrettungsunternehmen ist es ein
Kinderspiel die Platte wieder freizuschalten sogar ohne die Platte zu öffnen! Er ist daher nur als Schutz gegen
"Otto-Normaluser" anzusehen.

und danke für die reichhaltigen Infos! Mal abgesehen vom Performanceverlust:

Wäre dann nicht konsequenterweise eine Verschlüsselung z.B. via DiskCryptor besser? Open Source, damit Hersteller- und evt. "Weisungs-" face-wink unabhängig, nicht hardware-gebunden, Keyfile + Passwort möglich, AES-256...
Zudem neuere Prozessoren im Businessbereich meist den Befehlssatz AES-NI (Intel) für hardwareunterstützte Verschlüsselung unterstützen.

TrueCrypt hat ja leider die Segel gestrichen, das als quelloffener Nachfolger angedachte TrustedDisk von Sirrix ( https://www.sirrix.de/content/news/66225.htm ) kämpft mit Lizenzproblemen, VeraCrypt ist bestenfalls Alpha, Bitlocker kämpft um seine Reputation ohne Backdoors...

Schönen Abend, uc
Mitglied: 114757
114757 20.09.2014 aktualisiert um 10:12:22 Uhr
Goto Top
Moin,
Alles von Menschenhand verschlüsselte kann der Mensch auch wieder herstellen, ist nur eine Frage der Zeit face-smile ! Absolut schützenswerte Daten gehören nie auf vernetzte Geräte.

Gruß
Jodel32