WD Hardware-Verschlüsselung

[elephant]

Hallo, wollte mal kurz nachfragen, worin der Unterschied zwischen Hardware und Software-Verschlüsselung besteht?

Verschiedene WD-Platten bieten ja eine Hardwareverschlüsselung an:

ZITAT:

Ihre Daten werden vor fremden Angriffen oder Diebstahl mit einem Passwortschutz und einer hardwarebasierten 256-Bit-Verschlüsselung geschützt, Sie brauchen sich darüber also keine Gedanken zu machen


Worin besteht nun der Unterschied ob die Platte so verschlüsselt wird oder über eine WDE-Methode wie BsPw. PDP-Whole-Disk-Encryption?

Unterschiede in der Sicherheit? Performance?

Vielen Dank

 

[JohnnyBGoode]

Theoretisch wäre die Hardware-Verschlüsselung ohne Performance-Einbruch (der je nach CPU beträchtlich ist), praktisch wird es mit einem Mac leider nicht funktionieren, da bei Festplatten oder SSDs mit Hardware-Verschlüsselung jene nur mit normalem BIOS und nicht mit einem EFI funktioniert - finde ich auch sch***e
(sie wird dann wie 'ne normale Platte ohne Verschlüsselung laufen)

 

[elephant]

das heisst wd verkauft mir eine (mac)-festplatte mit HW-Verschlüsselung die im Grunde gar keine ist...?

 

[JohnnyBGoode]

Nur wenn die Platte direkt via SATA angeschlossen wird, so dass man beispielsweise von ihr booten könnte (davon bin ich zunächst ausgegangen). Wenn ich das bei WD richtig sehe, sind das alles externe Geschichten, da kann es funktionieren.

 

[das_micha]

VETO! habe die MyPassport von WD und das klappt bestens! der Mountet beim einstecken ein virtuelles Laufwerk auf der die Eingabemaske für das Passwort ist. Habe verschiedene Softwarelösungen ausprobiert und im Vergleich zu der WD-Variante waren alle langsamer.
Oder ich irre mich und deren Softwareverschlüsselung ist so rasend schnell das es wie ne reinrassige hardwareverschlüsselung funktioniert.

 

[elephant]

VETO! habe die MyPassport von WD und das klappt bestens! der Mountet beim einstecken ein virtuelles Laufwerk auf der die Eingabemaske für das Passwort ist. Habe verschiedene Softwarelösungen ausprobiert und im Vergleich zu der WD-Variante waren alle langsamer.
Oder ich irre mich und deren Softwareverschlüsselung ist so rasend schnell das es wie ne reinrassige hardwareverschlüsselung funktioniert.

und wie siehts mit der sicherheit aus? worin liegt (nun mal abgesehen vom performance-unterschied) der unterschied in der sicherheit zwischen HW und SW-Verschlüsselung?

 

[JohnnyBGoode]

und wie siehts mit der sicherheit aus? worin liegt (nun mal abgesehen vom performance-unterschied) der unterschied in der sicherheit zwischen HW und SW-Verschlüsselung?

Theoretisch sollte beides gleich sicher sein, sofern keine Hintertüren eingebaut sind oder der Hersteller geschlampt hat (dazu sollte man nach ausführlicheren Reviews googlen). Es gab da einige Hersteller, die Hardware-Verschlüsselung bei externen Laufwerken angepriesen haben, es stellte sich jedoch heraus, dass das Passwort nur den Controller im externen Gehäuse sperrte und man die nackte Festplatte problemlos direkt angeschlossen auslesen konnte.

@ das_micha: Schau einach mal in die Aktivitätsanzeige beim Kopieren großer Dateien von der oder auf die verschlüsselte Platte. Dann vergleiche die Systemauslastung mit einem nichtverschlüsselten Pendant.

Ich habe ehrlich gesagt kein allzu großes Vertrauen in die Hardware-Verschlüsselung bei Consumer-Produkten, Open Source Software ist mir da lieber. Aber leider funktoniert True Crypt ja nur unter Windows kompromisslos und flott, sogar mit Hardware-Beschleunigung bei der AES-Verschlüsselung bei diversen neueren CPUs - unter OS X bleibt da bislang nur PGP, welches aber auch keine Performance-Wunder sein soll

 

[elephant]

Theoretisch sollte beide gleich sicher sein, sofern keine Hintertüren eingebaut sind. Es gab da einige Hersteller, die Hardware-Verschlüsselung bei externen Laufwerken angepriesen haben, es stellte sich jedoch heraus, dass das Passwort nur den Controller im externen Gehäuse sperrte und man die nackte Festplatte problemlos direkt angeschlossen auslesen konnte.

kannst du/kann wer das bestätigen dass das nicht der fall ist und auch beim anschließen der nackten platte alles verschlüsselt ist?

 

[das_micha]

Puh, da fragst du Sachen

theoretisch sollte es keinen Unterschied machen solange die Schlüssellänge identisch ist in diesem Fall 256Bit, was schon recht manierlich ist. Internetseiten mit Verschlüsselter Übertragung verwenden eine 128Bit verschlüsselung.
Eigentlich sollten alle Verschlüsselungen dem AES entsprechen, also "gleichwertig" vom Algorithmus sein. Die Bit-Angabe bestimmt die Anzahl der Zeichen die so ein Schlüssel hat. Bei der hier verwendeten 256-Bit Verschlüsselung sind das 2^256 Zeichen was schon verdammt viele Möglichkeiten ergibt.

 

[JohnnyBGoode]

kannst du/kann wer das bestätigen dass das nicht der fall ist und auch beim anschließen der nackten platte alles verschlüsselt ist?

Wenn du mir ein Ding kostenlos schickst und dich nicht daran störst, dass es beim Öffnen eventuell ganz zerstört wird (bin eher grobmotorisch veranlagt), die Garantie sowieso flöten geht, dann kann ich das gerne nachschauen
Da hilft leider nur nach konkreten "richtigen" Reviews zu Produkt xy googlen. Anandtech.com ist da oft recht gründlich und deckte schon die ein oder andere Schlamperei auf.

@ das_micha: Wenn die Daten wirklich verschlüsselt auf die Platte geschrieben werden ist es wie gesagt in Ordnung, AES generell wurde noch nicht geknackt, wenn es auch die schlechteste" der Methoden ist...

 

[das_micha]

so, ich bin jetzt selber grade gespannt was wd hier gemacht hat! ich muss mal eben meine beiden externen sichern und werde dann mal eine verschlüsseln und an den controller von der anderen unverschlüsselten hängen. meld mich wenn ich alles kaputt habe

 

[das_micha]

ok, da bin ich wieder mit einer, zumindest das vorhaben betreffend, ernüchtenden erkenntnis. Es geht nicht...
Durch die kompakte Bauweise haben die den Controller mit auf die Platine gesetzt. also keine einzeln zu entnehmende Platte wie man es aus größeren Gehäusen kennt. Kann also nicht testen ob der controller nur den zugriff auf die daten verwehrt oder die einzelnen daten tatsächlich verschlüsselt sind.
Was allerdings ein anderes Fazit zulässt: Auch wenn der Controller tatsächlich die Daten schützt ohne die datein einzeln zu verschlüsseln, dann ist es dennoch durch die bauweise nur sehr schwer diesen von der platte zu trennen um daran zu kommen. also ist die sache schon ziemlich sicher. zumindest so sicher das mit großer wahrscheinlichkeit kaum einer von "uns" so wichtige daten hat das es den aufwand rechtfertigen würde.

zu der frage mit der auslastung: ich kann keine gestiegene CPU-auslastung während des Transfers erkennen


(je 3 durchläufe)
Datei 1,6GB 1:34 verschlüsselt
Datei 1,6GB 1:31 unverschlüsselt

Xbench score: 34 Ø unverschlüsselt
Xbench score: 33 Ø verschlüsselt

möchte anhand dieser sehr knappen werte keine prognose für die verschlüsselungstechnik abgeben

 

[harden]

Ich würde annehmen, das die WD Platten sowieso alles Verschlüsseln, was auf die Festplatte geschrieben wird. Sonst müsste ja die gesamte Platte entschlüsselt werden, wenn man das gesetzte Passwort entfernt bzw. die Platte nachträglich verschlüsselt werden, wenn man später mal ein Passwort setzt.

Und dies ist bei mir nicht der Fall. Wenn ich das Passwort entferne, dann sind die Daten sofort verfügbar. Das setzen eines Passwortes verhindert also nur die automatische Entschlüsselung.

Daher ist ein Vergleich unverschlüsselter mit verschlüsseltem Transfer bei den WD USB Festplatten imho unmöglich.

 

[das_micha]

über den aspekt habe ich noch garnicht nachgedacht. das würde aber wieder darauf hin weisen das die daten unverschlüsselt auf der platte liegen und nur der controller entscheidet ob es verschlüsselt ist oder nicht. also keine korrekte verschlüsselung der daten. denn ein dauerhaft verschlüsseltes schreiben und lesen ohne notwendigen key würde die performance nur unnötig reduzieren.

 

[harden]

Ich sehe es eher so, dass grundsätzlich alles verschlüsselt ist und das Setzen eines Passwortes verhindert, dass bei Zugriff auf die Daten diese automatisch entschlüsselt werden.

Um das genau zu klären, müsste man eine WD zerlegen und die eigentliche Festplatte mal in ein normales Gehäuse einbauen.

 

[JohnnyBGoode]

Wie sollen denn ohne Passwort verschlüsselt geschriebene Daten "automatisch entschlüsselt" werden. Das wäre ziemlich gegen den Sinn der Sache
Es gibt keine Allzweck-Waffe, die einfach so alles z. B. mit AES Verschlüsseltes automatisch entschlüsseln kann. Wenn so etwas geschieht, gibt es entweder Hintertüren in der verschlüsselnden Hard-/Software (für mich eine Disqualifikation, daher bevorzuge ich auch Open Source-Anwendungen auf dem Gebiet) oder das Passwort wurde benutzt - eine andere Möglichkeit gibt es nicht.

 

[harden]

Wie sollen denn ohne Passwort verschlüsselt geschriebene Daten "automatisch entschlüsselt" werden. Das wäre ziemlich gegen den Sinn der Sache .

Da ich das Passwort beliebig setzten, löschen und ändern kann, hat es offensichtlich keinerlei Einfluss die Verschlüsselung. Hätte das Passwort einen Einfluss, müsste bei jeder Änderung des Passwortes eine aufwendige Entschlüsselung mit dem alten Passwort und eine Verschlüsselung mit dem neuen Passwort erfolgen. Das ist aber nicht der Fall.

Daher die Annahme, dass die Daten grundsätzlich verschlüsselt auf der Festplatte sind. Ohne Passwort hat der Nutzer freien Zugang, die Daten werden ver- und entschlüsselt ohne dass der Nutzer es merkt. Hat der Nutzer ein Passwort gesetzt, so erfolgt der Zugriff nur nach Angabe des Passwortes.

 

[JohnnyBGoode]

Da ich das Passwort beliebig setzten, löschen und ändern kann, hat es offensichtlich keinerlei Einfluss die Verschlüsselung. Hätte das Passwort einen Einfluss, müsste bei jeder Änderung des Passwortes eine aufwendige Entschlüsselung mit dem alten Passwort und eine Verschlüsselung mit dem neuen Passwort erfolgen. Das ist aber nicht der Fall.

Daher die Annahme, dass die Daten grundsätzlich verschlüsselt auf der Festplatte sind. Ohne Passwort hat der Nutzer freien Zugang, die Daten werden ver- und entschlüsselt ohne dass der Nutzer es merkt. Hat der Nutzer ein Passwort gesetzt, so erfolgt der Zugriff nur nach Angabe des Passwortes.

Da hast du ein kleines Verständnis-Problem. Sollte das Verhalten der Passwortvergabe etc. wirklich so sein, wie du beschreibst, liegen die Daten unverschlüsselt auf der Platte, was ein massives Sicherheitsrisiko darstellt und das Ganze eigentlich für'n Popo ist.
Wollte man bei verschlüsselt gespeicherten Daten das Passwort ändern, dauert das recht lange, da die Daten neu mit dem neuen Passwort auf die Platte geschrieben werden müssen.

 

[das_micha]

Da hast du ein kleines Verständnis-Problem. Sollte das Verhalten der Passwortvergabe etc. wirklich so sein, wie du beschreibst, liegen die Daten unverschlüsselt auf der Platte, was ein massives Sicherheitsrisiko darstellt und das Ganze eigentlich für'n Popo ist.
Wollte man bei verschlüsselt gespeicherten Daten das Passwort ändern, dauert das recht lange, da die Daten neu mit dem neuen Passwort auf die Platte geschrieben werden müssen.

Deswegen ja auch meine annahme das die daten unverschlüssel auf der platte liegen und wie du es mal beschrieben hast, einige hersteller nur durch den controller die daten abkapseln bzw den zugriff controllerseitig verweigern wenn das passwort falsch ist.
In diesem speziellen Fall, also die passport betreffend finde ich es nicht weiter besorgniserregend da es keine normale festplatte mit aufgestecktem controller ist, sondern dieser fest auf der hauptplatine der platte sitzt. bedeutet, wenn jemand an die daten will müsste er technisch versierter sein um die plate auslesen zu können. zumindest bei meinen daten wäre mir das egal. mir geht es um einezugriffsverweigerung die nicht einfach umgangen werden kann.
"top-Secret"-datein habe ich nicht. bei denen würde ich wahrscheinlich besser auf meine platten aufpassen bzw die nicht so mit mir rumschleppen und ausserdem ein anderes verfahren wählen.
bin bis dato davon ausgegangen das es wie beschrieben tatsächlich eine kompletverschlüsselung ist, aber das erste argument von harden, was ich so bestätigen kann, besagt nach meiner logik was anderes. und jbg hat sie nochmal bestätigt. Anderenfalls hätte ich nicht binnen einer stunde 12x meien platte komplett entschlüssel und verschlüssen können. Grade nicht bei knapp 200GB gesamt und davon sehr viele sehr kleine datein.

 

[harden]

Da hast du ein kleines Verständnis-Problem.

Das liegt eher bei dir. Wer sagt denn, dass die Verschlüsselung der Daten mit dem Passwort des Benutzers geschehen muss?

Bei Truecrypt Volumes wird bei Änderung des Passwortes übrigens auch keine neue Verschlüsselung vorgenommen.

Sollte bei WD Festplatten keine Verschlüsselung vorgenommen werden, dann ist ein wesentlicher Bestandteil von WDs Produktpallete sozusagen erlogen. Das dürfte mittlerweile irgendjemandem aufgefallen sein.