Festplatte mit Hardware-Verschlüsselung sinnvoll?

Praxis & Tipps | Tipps & Tricks

Zum Datenschutz empfehlen Sie die Vollverschlüsselung kompletter Festplatten. Sind dazu Laufwerke und SSDs mit eingebauten Kryptoprozessoren sinnvoll, die quasi „in Hardware“ verschlüsseln?

Vor allem bei SSDs lösen eingebaute Kryptoprozessoren Probleme. Anders als bei Software-Verschlüsselung funktioniert mit solch einem Self-Encrypting Drive (SED) auch die Trim-Funktion; zudem vermeiden solche Laufwerke das Risiko, dass wegen des Wear Levelings unverschlüsselte oder anders verschlüsselte Reste alter Daten in den Flash-Chips zurückbleiben. Ein SED verschlüsselt stets sämtliche Daten mit einem intern generierten Zufallswert, bevor es sie auf die Magnetscheiben oder in die Flash-Chips schreibt. Diese Verschlüsselung lässt sich nicht abschalten und der interne Schlüssel verlässt die SED-Elektronik nie – er lässt sich nur gegen einen neuen Zufallswert ersetzen, und zwar mit dem Befehl „HDD Security Erase“.

Daten in den Flash-Chips oder auf den Magnetscheiben eines SED lassen sich ohne den Controller nicht mehr lesen, also auch nicht retten. Zwecks Datenschutz muss Unbefugten aber noch der Zugriff über die Schnittstelle versperrt werden. Der gängige Weg dafür ist das ATA-HDD-Passwort, das bei jedem Systemstart und nach dem Aufwachen aus einem Schlafmodus eingegeben werden muss. Um das Passwort eingeben zu können, muss das BIOS des Systems aber das ATA Security Mode Feature Set unterstützen. Das ist längst nicht bei allen PCs der Fall oder nicht korrekt implementiert, greift etwa nicht nach dem Aufwachen aus dem S3-Schlaf. SEDs mit Zugriffsschutz nach TCG Opal benötigen wiederum andere Zusatzsoftware und sogenannte eDrives kooperieren nur mit der BitLocker-Funktion der Pro- und Enterprise-Versionen ab Windows 8. Weil das System sozusagen mitspielen muss, sind SEDs eher für PC-Hersteller gedacht, die sie sorgfältig einbinden. Firmen nutzen solche für Bürocomputer oder Business-Notebooks, um Datenschutzrichtlinien umzusetzen.

SEDs arbeiten typischerweise jedoch mit Algorithmen, die nicht oder unvollständig offengelegt sind. Es lässt sich folglich nicht überprüfen, ob die Verschlüsselung fehlerfrei und ohne Hintertüren funktioniert. Nach den Enthüllungen von Edward Snowden scheint es nicht mehr abwegig, dass Geheimdienste proprietäre Verschlüsselungsfunktionen unterlaufen oder schwächen. Sie müssen daher selbst entscheiden, wie weit Sie einem SED vertrauen. (ciw@ct.de)

Artikel kostenlos herunterladen

Kommentare

Anzeige