SSD verschlüsseln

[LisaL]

Hallo Leute,

ich versuche gerade Debian zu installieren und die SSD zu verschlüsseln. Also beim Partitionieren unter "Use as:" sollte es unter anderem den Punkt "physical volume for encryption" geben - den gibts aber nicht

Ich habe es auf 2 verschiedenen Notebooks jeweils mit Debian 7.9.0 und 8.1.0 versucht - leider vergeblich.

Kann mir wer einen Tipp geben?

Danke, Lisa

[debianoli]

Mit der manuellen Partitionierung geht das

[LisaL]

Leider nein - das versuche ich ja. Wenn ich das selbe auf einem Windows Rechner virtuell mache, geht es.

Gibts dafür irgend welche Hardarevoraussetzungen? Oder Einstellungen im BIOS - obwohl - das habe ich auch schon alles versucht. Ich habe sogar schon die SSD gegen eine normale HDD getauscht.

[LisaL]

Ich habe es jetzt bei meinem 3. Notebook versucht, und dort funktioniert es. Es muss also an der Hardware liegen.

Irgend welche Tipps?

lg, Lisa

[logoft]

Ich habe eine SSD verschlüsselt. Als ich dann was mit Netzwerk entfernte ging nichts mehr, die Boot-Meldungen waren so zahlreich das ich mit Grub nichts retten konnte. Ich empfand es als umständlich. Ich dachte es wäre beim Laptop sinnvoll die Daten zu verschlüsseln.

Ich habs dann nochmal installiert, aber ohne Verschlüsselung.

Ich glaube die Verschlüsselung braucht etwas Platz. Ich hatte es auch per Hand verschlüsselt beim partitionieren.

# cryptsetup
Verwendung: cryptsetup [-?vyrq] [-?|--help] [--usage] [--version] [-v|--verbose]
[--debug] [-c|--cipher=STRING] [-h|--hash=STRING]
[-y|--verify-passphrase] [-d|--key-file=STRING]
[--master-key-file=STRING] [--dump-master-key] [-s|--key-size=BITS]
[-l|--keyfile-size=Bytes] [--keyfile-offset=Bytes]
[--new-keyfile-size=Bytes] [--new-keyfile-offset=Bytes]
[-S|--key-slot=INTEGER] [-b|--size=SEKTOREN] [-o|--offset=SEKTOREN]
[-p|--skip=SEKTOREN] [-r|--readonly] [-i|--iter-time=msek]
[-q|--batch-mode] [-t|--timeout=sek] [-T|--tries=INTEGER]
[--align-payload=SEKTOREN] [--header-backup-file=STRING]
[--use-random] [--use-urandom] [--shared] [--uuid=STRING]
[--allow-discards] [--header=STRING]
[OPTION...] <action> <action-specific>]
cryptsetup: Argument <Aktion> fehlt.

[wanne]

Also Zuerst mal der unterschied:
Es gibt einige SSDs, die sich selbst Verschlüsseln. Man gibt ihnen das Passwort und die machen den Rest. Das geht natürlich nur wenn die Festplatte das auch kann.
Wie das Passwort da hinkommt ist unterschiedlich einige Hersteller bringen eigene Tools mit.
Die meisten missbrauchen ATA-Kommandos:
Das Passwort kann dann entweder im Bios unter Festplatttenpasswort oder mit hdparm (Relevant sind die Option --security-set-pass und --security-unlock mit --user-master u --security-mode m) Anmerkung: für die Verwendung von hdparm sollte die HD erst nach dem Boot angeschlossen werden. (Beim Boot führen die meisten BIOSe --security-freeze aus.)

Alternativ gibt es mit cryptsetup die Verschlüsslung per LUKS. Hier nimmt der Linux-Kernel die Verschlüsslung vor.
Die unterschiede sind:

• LUKS kann den Linux-Kernel (/boot) selbst nicht verschlüsseln.
• Will man sein Betriebssystem auf die direkt Verschlüsselte platte legen, muss das BIOS zumindest entschlüsseln können.
• LUKS kann auch einzelne Partitionen (mit unterschiedlichen Passwörtern) verschlüsseln.
• LUKS schützt nicht gegen Manipulation.
• Die direkt Festplattenverschlüsslungen haben in der Vergangenheit massenhaft massive Sicherheitslücken gehabt. Fast jedes System das getestet wurde konnte geknackt werden. (Feste Master-Keys, BIOS speichert ein "Backup" des Passwords...)
• LUKS nutzt die CPU zum Verschlüsseln. Zwar haben moderne CPUs zumindest für AES (default) eigene Einheiten für, die das extrem schnell erledigt. Trotzdem wird die CPU kurz belegt. In der HDD läuft das wirklich vollständig nebenher.
• LUKS besitzt einen Bruteforce Schutz. Brutforceangriffe gegen Festplatten sind zwar etwas komplizierter aber viel schneller.
• LUKS ist sehr erprobt und kommt auf unzähligen Systemen zum Einsatz.

Wie schon oben angemerkt funktioniert die direkte Verschlüsslung aus de Installer heraus eigentlich nie. Entweder das BIOS macht einen --security-freeze und verhindert das setzen des Passwrds. Oder es kann das schlicht nicht. Wenn musst du das passwort vorher setzen. Und wie gesagt: Die Festplatte muss es können. Bei HDDs gibt es das passwort zwar auch. Aber das hat nichts mit Verschlüsslung zu tun. Funktioniert eher wie ein Zündschlüssel beim Auto: Die HDD gibt nichts her, bevor sie das PW bekommt. Schraubt jemand auf kann sie sich dagegen natürlich nicht wehren.