c't 23/2019
S. 156
Praxis
SSD-Verschlüsselung

Vertrauen verspielt

BitLocker meidet hardwaregestützte SSD-Verschlüsselung

Microsoft hat Konsequenzen aus Sicherheitslücken gezogen, die in der Firmware selbstverschlüsselnder SSDs gefunden wurden. Was das bedeutet – und wie Sie die Verschlüsselung auf den sichereren Software-Modus umstellen.

Es hätte so schön sein können: In den meisten SSDs stecken heutzutage Controllerchips, die genug Leistung haben, um die Inhalte des Laufwerks zu verschlüsseln. Bei diesen sogenannten Self-Encrypting Drives (SEDs) werden stets automatisch alle Daten beim Schreiben ver- und beim Lesen entschlüsselt. Dass man sie in ihrer Werkseinstellung trotzdem ohne irgendein Kennwort sofort benutzen kann, liegt daran, dass die Laufwerke in einem offenen, quasi transparenten Modus geliefert werden. Der Industriestandard dafür ist OPAL 2.0 der Trusted Computing Group (TCG).

Um den Zugriff zu beschränken und die Verschlüsselung scharfzuschalten, braucht es dann nur noch ein Schlüsselmanagement. Microsofts Verschlüsselungslösung BitLocker kann diese Rolle übernehmen und hält sich dabei an den Industriestandard IEEE 1667. Laufwerke, die TCG OPAL 2.0 und IEEE 1667 unterstützen, nennt Microsoft „eDrive“-tauglich – ein selbstgeschaffener Quasi-Standard, der sich ausdrücklich auf die Eignung für BitLocker bezieht. Wie man BitLocker mit solchen Laufwerken verwendet, haben wir vor knapp einem Jahr ausführlich beschrieben [1].

Kommentare lesen (3 Beiträge)