Ich überlege derzeit, mir ein ThinkPad X201 zu kaufen und es mit einer SSD auszustatten. Um meine Daten zu schützen, habe ich auf meinen Laptops bisher immer Linux mit LUKS-Vollplattenverschlüsselung verwendet. Wie jedoch in einem anderen SuperUser-Beitrag erwähnt, würde dies die Unterstützung für TRIM deaktivieren – das scheint also bei einer SSD-Festplatte keine gute Idee zu sein.
Ich habe gelesen, dass SSDs auf SandForce-1200-Basis eine integrierte AES-Verschlüsselung bieten, die an das BIOS-Passwort gebunden ist. Ich kann jedoch keine entsprechende Dokumentation dazu finden. Fragen:
- Gibt es bei diesem Ansatz generelle Nachteile?
- Ich nehme an, dass hierfür eine BIOS-Unterstützung für die Funktion erforderlich wäre. Wie finde ich heraus, ob es auf einem X201 funktioniert?
- Ältere BIOS-Versionen unterstützten nur kurze Passwörter (etwa 6 oder 8 Zeichen). Hat sich diese Situation verbessert, um ausreichend Sicherheit für eine Festplattenverschlüsselung zu bieten?
Aktualisieren:Diese Quellesagt, dass Sie für diese Laufwerke nicht einmal ein Passwort festlegen können. Hä? Das ergibt keinen Sinn. Warum sollten Sie überhaupt die komplizierten AES-Operationen durchführen, wenn Sie die Verwendung eines Schlüssels nicht zulassen?
Vielen Dank für jeden fachkundigen Rat zu diesem Thema :)
Antwort1
Um meine eigene Frage zu beantworten: Das habe ich nach ein paar Stunden Suche im Internet herausgefunden:
- Auf den SandForce-Geräten ist die AES-Verschlüsselung standardmäßig aktiviert.Aberes gibt Probleme damit (siehe unten)
- Wenn Sie das Laufwerk mit ATA Secure Delete auf Null setzen, wird der Schlüssel gelöscht und später neu generiert, sodass die alten Daten nicht mehr zugänglich sind. Dies ist eine akzeptable Lösung, wenn Sie Ihre SSD verkaufen oder entsorgen möchten.
- Es ist jedoch nicht möglich, ein Benutzerkennwort festzulegen, das jemanden, der Ihren Laptop mit einer SandForce SSD stiehlt, daran hindern würde, Ihre Daten zu lesen
- Der Verschlüsselungsschlüssel istnichtverbunden mit der ATA-Sicherheit und/oder dem BIOS
- Festlegen eines Benutzerkennwortswürdewäre möglich, wenn es ein Tool dafür gäbe. OCZ versprach in seinen Support-Foren sehr oft ein Programm namens „Toolbox“, das dies ermöglichen würde, aber als es im Oktober 2010 endlich veröffentlicht wurde, verfügte es immer noch nicht über die entsprechende Funktionalität (und ist es auch heute noch nicht).
- Ich vermute, dass Sie das Gerät auch dann nicht mehr als Startgerät verwenden könnten, wenn Sie das Kennwort mithilfe der Toolbox festlegen könnten, da Sie es nicht über das BIOS entsperren könnten.
- Die Verwendung einer softwarebasierten Vollfestplattenverschlüsselung auf einer SSD beeinträchtigt die Leistung des Laufwerks erheblich – bis zu einem Punkt, an dem es langsamer als eine normale Festplatte sein kann.
Quellefür einige dieser Informationen.
Update: Falls es Sie interessiert, habe ich etwas mehr über die Probleme in einemdedizierter Blog-Beitrag.
Antwort2
Die Festplattenverschlüsselung ist für Sandforce, nicht für Sie. Wenn Ihr Laufwerk ausfällt, müssen Sie einen ihrer „zugelassenen“ Anbieter verwenden, dem sie die Schlüssel liefern und der für die Datenwiederherstellung 5.000 bis 6.000 US-Dollar verlangt. Auch bekannt als „Ihre Daten als Geisel nehmen, um Geld zu verdienen“.