image

Ernstige lekken in zelfversleutelende ssd-schijven ontdekt

maandag 5 november 2018, 12:06 door Redactie, 50 reacties

Onderzoekers van de Radboud Universiteit hebben ernstige kwetsbaarheden in zelfversleutelende ssd-schijven van Samsung en Crucial ontdekt waardoor een aanvaller met fysieke toegang zonder kennis van het wachtwoord toegang tot gegevens op de schijven kan krijgen (pdf).

De kwetsbaarheden bevinden zich specifiek in implementaties van de TCG Opal-standaard. Dit is een standaard voor zelfversleutelende schijven waar verschillende implementaties van bestaan. De eerste kwetsbaarheid is dat er geen cryptografische link is tussen het gegeven wachtwoord van de eindgebruiker en de sleutel die gebruikt wordt voor de encryptie van gebruikersdata.

"Het wachtwoord zou verplicht moeten zijn om de schijfencryptiesleutel te bemachtigen en deze vereiste zou cryptografisch moeten worden afgedwongen. Het ontbreken van deze eigenschap is catastrofaal. De bescherming van de gebruikersgegevens is dan niet langer afhankelijk van geheimen. Alle informatie die nodig is om de data van de gebruiker te achterhalen bevindt zich op de schijf en is te achterhalen. Helaas is het niet geheel triviaal om dit juist te implementeren", zo schrijven de onderzoekers.

Het tweede probleem is dat sleutel-informatie op een 'wear-leveled storage chip' wordt opgeslagen. Om de levensduur van ssd-schijven te verlengen wordt van wear leveling gebruikgemaakt. Hierbij wordt de data zo gerangschikt dat het verwijderen en herschrijven van data gelijk over de schijf wordt verdeeld. Dit voorkomt dat een bepaald deel van de ssd-schijf meer wordt gebruikt dan andere delen en eerder kapot gaat. Oudere kopieën van een sector blijven echter bewaard totdat die wordt overschreven.

De onderzoekers schetsen een scenario waarbij een schijfencryptiesleutel onbeveiligd is opgeslagen, waarna de gebruiker een wachtwoord instelt en de onbeveiligde sleutel met een versleutelde versie wordt vervangen. Door wear leveling kan de nieuwe variant op een ander deel van de opslagchip worden opgeslagen en wordt de oude locatie als ongebruikt aangegeven. Wanneer deze locatie niet wordt overschreven, kan de onbeveiligde variant van de schijfencryptiesleutel nog steeds worden achterhaald.

Verder blijkt dat Microsoft BitLocker dat met Windows wordt geleverd, kwetsbaar is wanneer het met de kwetsbare ssd-schijven wordt gebruikt. De encryptieoplossing van Microsoft vertrouwt namelijk op de hardwarematige encryptie van een harde schijf als die aangeeft dit te ondersteunen.

Kwetsbare schijven

De kwetsbaarheden zijn aangetoond de Crucial (Micron) MX100, MX200 en MX300 shijven, de Samsung T3 en T5 externe usb-stations en de Samsung 840 EVO en 850 EVO schijven. De onderzoekers merken op dat niet alle beschikbare schijven op de markt zijn getest. Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid werd door de onderzoekers benaderd en is het afgelopen jaar met zowel de onderzoekers als fabrikanten in contact geweest om de kwetsbaarheden te verhelpen. Samsung heeft updates voor de T5 en T3 beschikbaar gemaakt. Eigenaren van een T1 moeten met hun leverancier contact opnemen. Daarnaast adviseert Samsung softwarematige versleuteling. Crucial (Micron) zegt aan updates te werken, maar die zijn nog niet beschikbaar.

Het NCSC wijst erop dat het aanpassen van de standaardinstelling voor BitLocker-gebruikers niet voldoende is om het risico te vermijden. Bij het aanpassen worden de reeds opgeslagen gegevens namelijk niet opnieuw versleuteld. "Alleen een volledig nieuwe installatie, inclusief verwijderen en herformateren van gegevens, zorgt voor encryptie via BitLocker", aldus het NCSC. Om misbruik te voorkomen zullen de onderzoekers van de Radboud Universiteit geen exploits of aanvalstools beschikbaar maken.

Image

Reacties (50)
05-11-2018, 12:09 door Anoniem
Dit bewijst dat het voor de gemiddelde burger, onmogelijk zal zijn om gegevens prive te hebben!
05-11-2018, 12:44 door Anoniem
Daarnaast adviseert Samsung softwarematige versleuteling.
Hetgeen dus meer gedoe is, en een tragere machine oplevert...
Om dat te verbeteren hadden we nou juist encryptie aan boord van het mass storage device.

Ik vind het ook knullig. Hoe moeilijk kan het tegenwoordig nog zijn voor 1 of 2 euro meer?
05-11-2018, 12:51 door Anoniem
Is al bekend hoe de updates gedistribueerd gaan worden? Gaat dat ook middels micro-code updates onder Linux?
05-11-2018, 13:02 door Anoniem
Dit bewijst dat het voor de gemiddelde burger, onmogelijk zal zijn om gegevens prive te hebben!

Want de enige wijze waarop je als burger gegevens prive kunt opslaan is op deze (lekke) zelfversleutelende SSD-schijven ? Dit artikel bewijst op geen enkele wijze jouw stelling, al is het maar omdat full disk encryption niet de enige beveiligingsmethode is.
05-11-2018, 13:07 door Anoniem
Ik hoef al die "veiligheidsoplossingen" van fabrikanten niet. Sterker nog: ik hoef geen versleutelde schijven. Ik had er ooit één, maar toen mijn Windows 10 een keer brak, en ik via een Linux live-USB (Parted Magic) probeerde mijn data te redden op die partitie, kwam ik er niet meer bij. De versleuteling op die schijf had mij buitengesloten van mijn eigen data. Ik kon dus ook niks meer redden, en was genoodzaakt om de hele partitie te vernietigen met de data er nog op.

Sindsdien gebruik ik geen versleutelde schijven meer, en ook geen versleutelde partities. Ik installeer gewoon alles "normaal", maar.... en nu komt het: ik maak een versleutelde map aan (VeraCrypt, beter is er niet!), en die blijft voor mij dan gewoon toegankelijk, mocht Windows weer eens omver getrokken zijn. En ja, ik maak daar standaard 2 backups van.

Dus versleuteling op je schijf of BitLocker.... leuk hoor, maar wacht maar tot Windows 10 ermee stopt, kijken hoe ver je dan nog komt.
05-11-2018, 13:10 door Anoniem
Hoe moeilijk kan het tegenwoordig nog zijn voor 1 of 2 euro meer?
Goede crypto is extreem moeilijk, ook voor grote en gevestigde merken. Heeft niks met geld te maken.
05-11-2018, 13:16 door Briolet
Door Anoniem:
Daarnaast adviseert Samsung softwarematige versleuteling.
Hetgeen dus meer gedoe is, en een tragere machine oplevert...
Om dat te verbeteren hadden we nou juist encryptie aan boord van het mass storage device.…

Dit advies is er alleen vanwege deze bug. Het is geen algemeen advies voor SSD.
05-11-2018, 13:22 door Anoniem
Door Anoniem:
Daarnaast adviseert Samsung softwarematige versleuteling.
Hetgeen dus meer gedoe is, en een tragere machine oplevert...
Om dat te verbeteren hadden we nou juist encryptie aan boord van het mass storage device.
Heeft iemand enig idee in hoeverre dit nog waar is? Sinds AES_NI is er voor encryptie door de CPU ook nauwelijks overhead. De CPU kan waarschijnlijk sneller data versleutelen dan schrijven naar een SSD. XTS is ook niet een hele dure mode of operation. Heeft iemand gemeten wat de netto kosten zijn van full-disk encryptie in software voor dit soort SSD's?
05-11-2018, 13:45 door Anoniem
T'is net onveilige IoT, zo'n harde schijf.

Brakke implementatie en niet goed testen en je waant je veilig. Als ik schijfversleuteling wil dan laat ik het zeker niet door de schijf oplossen. Je geeft toch ook je voordeur sleutels niet aan een ander.
05-11-2018, 13:48 door Mr.Robot
Door Anoniem: Dit bewijst dat het voor de gemiddelde burger, onmogelijk zal zijn om gegevens prive te hebben!
Gewoon nooit je disk uit handen geven, dan raakt deze finding jou niet.
Kan je je daarna druk maken over de encryptie op al je verbindingen en je cloud data (gmail, outlook, etc).
05-11-2018, 14:16 door Anoniem
Door Anoniem: Is al bekend hoe de updates gedistribueerd gaan worden? Gaat dat ook middels micro-code updates onder Linux?
Ik vermoed dat je gewoon firmware updates met de hand mag gaan doen, via de tooling van de fabrikant.
05-11-2018, 14:30 door Tha Cleaner
Door Anoniem: Dit bewijst dat het voor de gemiddelde burger, onmogelijk zal zijn om gegevens prive te hebben!
De gemiddelde gebruikers geeft ook niet de SED actief. Dus je statement slaat nergens op.
Daarnaast is zelfs met dit issue, je data voor de gemiddelde consument veilig genoeg. 90% van de diefstallen gaat om de hardware en vooral snelle verkoop. Data is niet Interessant, dus geen interesse.

Ik gebruik wel gewoon de standaard Bitlocker maar zonder de e-drive / opal configuratie, dan regelt Windows icm de TPM de encryptie wel. Iets minder performance, maar wel veiliger.
05-11-2018, 14:43 door Anoniem
Ik hoef al die "veiligheidsoplossingen" van fabrikanten niet. Sterker nog: ik hoef geen versleutelde schijven. Ik had er ooit één, maar toen mijn Windows 10 een keer brak, en ik via een Linux live-USB (Parted Magic) probeerde mijn data te redden op die partitie, kwam ik er niet meer bij. De versleuteling op die schijf had mij buitengesloten van mijn eigen data. Ik kon dus ook niks meer redden, en was genoodzaakt om de hele partitie te vernietigen met de data er nog op.

Sindsdien gebruik ik geen versleutelde schijven meer, en ook geen versleutelde partities. Ik installeer gewoon alles "normaal", maar.... en nu komt het: ik maak een versleutelde map aan (VeraCrypt, beter is er niet!), en die blijft voor mij dan gewoon toegankelijk, mocht Windows weer eens omver getrokken zijn. En ja, ik maak daar standaard 2 backups van.

Dus versleuteling op je schijf of BitLocker.... leuk hoor, maar wacht maar tot Windows 10 ermee stopt, kijken hoe ver je dan nog komt.
Als je op de HDD moet gaan spitten, dan ben je al verkeerd bezig. Data moet je op een backup gaan zoeken, niet op de HDD zelf. Immers, mocht de HDD/SD ooit fysiek stuk gaan, dan ben je alsnog al je data kwijt, ongeacht of deze versleuteld is of niet. Een Veracrypt container is leuk, maar ik zet er een nieuwe HDD in en binnen een uur staat mijn hele OS, incl alle tools, settings en bookmarks, weer werkend voor mijn neus. En netjes met Full-Disk encryptie, altijd handig bij o.a. diefstal.
05-11-2018, 15:15 door Anoniem
Door Briolet:
Door Anoniem:
Daarnaast adviseert Samsung softwarematige versleuteling.
Hetgeen dus meer gedoe is, en een tragere machine oplevert...
Om dat te verbeteren hadden we nou juist encryptie aan boord van het mass storage device.…

Dit advies is er alleen vanwege deze bug. Het is geen algemeen advies voor SSD.
Dat zeg ik ook niet en daar gaat het niet om. Maar de drives van Samsung en ook Crucial waren al aardig populair.
Nu doet Samsung als het ware alsof hun auto's een probleem hebben, en zegt vervolgens: "Joh neem lekker de fiets".
Maar dat is niet voor alle mensen en situaties een redelijke oplossing, en daarbij vind ik de kwetsbaarheid knullig.
Had niet hoeven gebeuren.
05-11-2018, 15:41 door Anoniem
Door Anoniem:
Als je op de HDD moet gaan spitten, dan ben je al verkeerd bezig. Data moet je op een backup gaan zoeken, niet op de HDD zelf.
Dat schrijf ik toch ook? Ik maak er backups van. En laten we dit meteen even recht zetten: je moet een backup niet gebruiken om van daaruit je data uit te lezen en te gebruiken, want dan heet het geen "backup" meer. Het is pas "een backup" als je de bestanden die je normaliter gewoon kunt benaderen opslaat als kopie op een ander medium. Je bestanden alleen maar archiveren (dat is de juiste term zoals jij het beschrijft) en deze vervolgens steeds benaderen is géén veilige manier om iets te bewaren voor de toekomst. Backups zit je alleen aan als je je verloren data wilt vervangen voor een opgeslagen kopie.

Door Anoniem:
Immers, mocht de HDD/SD ooit fysiek stuk gaan, dan ben je alsnog al je data kwijt, ongeacht of deze versleuteld is of niet.
Eens! Daar zeggen we feitelijk hetzelfde over.

Door Anoniem:
Een Veracrypt container is leuk, maar ik zet er een nieuwe HDD in en binnen een uur staat mijn hele OS, incl alle tools, settings en bookmarks, weer werkend voor mijn neus. En netjes met Full-Disk encryptie, altijd handig bij o.a. diefstal.
En als je harde schijf niet stuk is (zoals bij mij), maar je probeert je data te redden? Ga je dan ook je HD vervangen? En hoe doe je zoiets met bijvoorbeeld een compleet verlijmde Surface Pro? Daar zet je niet in een paar minuten een nieuwe HD in. Sterker nog: Open proberen te maken van het apparaat is onherroepelijk het einde van de machine in kwestie. Dus jouw werkwijze gaat niet overal even makkelijk op, laat staan dat het een vanzelfsprekendheid is. Bovendien heeft niet iedereen een voorraadje harde schijven liggen.

Nee hoor, ik houd het lekker zó. Werkt voor mij het beste: een benaderbare, onversleutelde harde schijf met daarop een VeraCrypt container geplaatst voor je belangrijke data. Backuppen van zo'n container is hartstikke makkelijk, want je kopieert gewoon die hele container als bestand naar een andere harde schijf. En dat doe ik periodiek (geautomatiseerd), zodat mijn gegevens én veilig zijn, maar dat ik de boel via een omweg nog wèl kan benaderen. En als de laptop gejat wordt, dan kunnen ze wel het systeem kraken, maar om in die VeraCrypt container te komen wordt een helse klus (zo niet bijna onmogelijk met de huidige technieken).
05-11-2018, 22:41 door ph-cofi
Door Anoniem: Is al bekend hoe de updates gedistribueerd gaan worden? Gaat dat ook middels micro-code updates onder Linux?
Ik probeer te achterhalen, wat onderstaand artikel beweert:

Bewering:
Most modern operating systems provide software encryption that allows a user to perform whole disk encryption. While software decryption offered by Linux, macOS, Android, and iOS offer strong software encryption, BitLocker on Windows falls prey to the SSD flaw by defaulting to hardware encryption when available.

Dit suggereert dat bijvoorbeeld LUKS partities het hele probleem niet hebben. Hoezo microcode nodig...

Bron van bewering: https://www.bleepingcomputer.com/news/security/flaws-in-popular-ssd-drives-bypass-hardware-disk-encryption/

Helaas vind ik in de bronnen achter de bron geen bevestiging omtrent LUKS, alleen dus dat de hardwarematige SSD encryptie niet reageert op de gekozen sleutel (handig, backdoor) en datWindows omgevingen een group policy nodig hebben + reinstall om versleuteld te zijn.

Dan toch maar een eigen encryptielaag erbovenop.
05-11-2018, 23:09 door Tha Cleaner
Door Anoniem:
Ik hoef al die "veiligheidsoplossingen" van fabrikanten niet. Sterker nog: ik hoef geen versleutelde schijven. Ik had er ooit één, maar toen mijn Windows 10 een keer brak, en ik via een Linux live-USB (Parted Magic) probeerde mijn data te redden op die partitie, kwam ik er niet meer bij. De versleuteling op die schijf had mij buitengesloten van mijn eigen data. Ik kon dus ook niks meer redden, en was genoodzaakt om de hele partitie te vernietigen met de data er nog op.

Sindsdien gebruik ik geen versleutelde schijven meer, en ook geen versleutelde partities. Ik installeer gewoon alles "normaal", maar.... en nu komt het: ik maak een versleutelde map aan (VeraCrypt, beter is er niet!), en die blijft voor mij dan gewoon toegankelijk, mocht Windows weer eens omver getrokken zijn. En ja, ik maak daar standaard 2 backups van.

Dus versleuteling op je schijf of BitLocker.... leuk hoor, maar wacht maar tot Windows 10 ermee stopt, kijken hoe ver je dan nog komt.
Als je op de HDD moet gaan spitten, dan ben je al verkeerd bezig. Data moet je op een backup gaan zoeken, niet op de HDD zelf. Immers, mocht de HDD/SD ooit fysiek stuk gaan, dan ben je alsnog al je data kwijt, ongeacht of deze versleuteld is of niet.
Valt best nog wel mee. Ik heb heel wat data terug kunnen halen van defecte harddisken. Met de juiste tools is het voor een amateur zelfs nog wel mogelijk. Voor een professional zelfs nog meer kans.

Is het de juiste methode, zeker niet. Backup is tegenwoordig zo belangrijk. MAAR.... Heel veel doen dit niet, of niet goed. Waarna bij "problemen" ze nog steeds eigenlijk de actuele data alleen maar op de defecte harddisk hebben staan.
Maar met Encryptie is data recovery eigenlijk null geworden. Kans op enige data recovery is gewoon niet mogelijk.
Men zal eventueel ook niet de eerste zijn die recovery keys niet meer heeft, wanneer men deze nodig heeft om wat voor een redenen ook.. Ook een lullige, alle data in 1 keer weg......

Persoonlijk vind ik dit een groter risico dan diefstal. Ik zou dus niet snel encryptie toepassen of adviseren bij familie of vrienden.
06-11-2018, 06:36 door -karma4 - Bijgewerkt: 06-11-2018, 06:46
Door ph-cofi: Dit suggereert dat bijvoorbeeld LUKS partities het hele probleem niet hebben. Hoezo microcode nodig...

Windows 7 ook niet. Het is een Windows 10 dingetje:

Door https://www.howtogeek.com/fyi/you-cant-trust-bitlocker-to-encrypt-your-ssd-on-windows-10/amp/:

BitLocker on Windows 7 does not support “offloading encryption to encrypted hard drives,” as Microsoft’s documentation puts it. In other words, this is a new feature in Windows 10, so Windows 7 systems won’t have the same problem.

Microsoft bedankt...
06-11-2018, 07:12 door karma4 - Bijgewerkt: 06-11-2018, 07:24
Door The FOSS:
Door ph-cofi: Dit suggereert dat bijvoorbeeld LUKS partities het hele probleem niet hebben. Hoezo microcode nodig...

Windows 7 ook niet. Het is een Windows 10 dingetje:

Door https://www.howtogeek.com/fyi/you-cant-trust-bitlocker-to-encrypt-your-ssd-on-windows-10/amp/:

BitLocker on Windows 7 does not support “offloading encryption to encrypted hard drives,” as Microsoft’s documentation puts it. In other words, this is a new feature in Windows 10, so Windows 7 systems won’t have the same problem.

Microsoft bedankt...
Ik zou zeggen de open source van Samsung faalt net zoals de minitix van Intel in de ime. Je hebt het zelfde op wifi Bluetooth.

Dacht je dat ze bij het uitbestede desktopbeheer gaan voor de specifieke hardware opties of voor ds standaard massale "one size fits all" aanpak. Daarbij op endpoints wil je geen gevoelige data dat minimaliseer je al. Toch?
06-11-2018, 07:21 door karma4
Wat is nu het probleem?
-Voor thuisgebruikers de pc's hebben we natuurlijk open en boot met de zeer geheime vakantiekiekjes klaar liggen voor de gasten die wat bijklussen.
- organisaties met een San / Nas zetten de schijven in raid met striping, liefst meer dan 10 bijvoorbeeld 5. Probeer maar eens data van een enkele schijf te halen.
- de publieke openstelling van de zwaar beveiligde datacenters is een ander iets. Aangezien fysieke toegang nodig is is dat de eerste vraag.
De risico impact vraag is niet gesteld.
Jammer dat die basis weer mist.
06-11-2018, 07:22 door -karma4 - Bijgewerkt: 06-11-2018, 07:24
Door karma4:
Door The FOSS: Windows 7 ook niet. Het is een Windows 10 dingetje:

Door https://www.howtogeek.com/fyi/you-cant-trust-bitlocker-to-encrypt-your-ssd-on-windows-10/amp/:

BitLocker on Windows 7 does not support “offloading encryption to encrypted hard drives,” as Microsoft’s documentation puts it. In other words, this is a new feature in Windows 10, so Windows 7 systems won’t have the same problem.

Microsoft bedankt...
Ik zou zeggen de open source van Samsung faalt net zoals de minitix van Intel in de ime. Je hebt het zelfde op wifi Bluetooth.

Welke 'open source van Samsung'? Want de onderzoekers schrijven: "We have analyzed the hardware full-disk encryption
of several SSDs by reverse engineering their firmware." Niks open source. Zorg dat je je feiten correct hebt voordat je reageert. En als je dat niet kan, reageer dan beter helemaal niet!

Microsoft moet niet ongevraagd voor haar klanten besluiten om geen keus te kunnen maken hierin.
06-11-2018, 07:33 door karma4
Door The FOSS:
Welke 'open source van Samsung'? Want de onderzoekers schrijven: "We have analyzed the hardware full-disk encryption
of several SSDs by reverse engineering their firmware." Niks open source. Zorg dat je je feiten correct hebt voordat je reageert. En als je dat niet kan, reageer dan beter helemaal niet!

Microsoft moet niet ongevraagd voor haar klanten besluiten om geen keus te kunnen maken hierin.
Mijitix voor Intels ime is een feit open source voor iets wat uitgebouwd is naar security by obscurity.

Ook open source eindproducten gaan vaak genoeg in de reverse engineering voor onderzoek naar de beveiliging.
Samsung heeft zeer waarschijnlijk wat code open source bij elkaar geplukt en daar een optie van gemaakt. Zo'n beetje als het iot gebeuren.

Inderdaad zorg dat je de feiten goed hebt. Open source gebruiken betekent niet dat het nieuwe eindproduct ook open source is. Het is wel snel en goedkoop samen te stellen.

Het hele verhaal van dit onderzoek lijkt op de vw autosleutel verhaal. Daar was de impact veel duidelijker. Ook daar was de besparing het argument bij vw. De verouderde chips was 0.10 eurocent goedkoper.
06-11-2018, 07:39 door karma4 - Bijgewerkt: 06-11-2018, 08:14
Door The FOSS:
Microsoft moet niet ongevraagd voor haar klanten besluiten om geen keus te kunnen maken hierin.
Microsoft heeft gewoon de keus bij de klanten gelaten.
Gebruik bitlocker met universele hardware dan wel gebruik de opties van een ander zoals Samsung.
Voorkom problemen door onduidelijke stapeling door een die twee te kiezen en niet beide.
Gezien je reactie kan ik me niet voorstellen dat je beseft wat stapeling gaat betekenen.

Stop die schijf met password eens in je nas met raid 5.

Niets nieuws dut gebeuren:
https://security.stackexchange.com/questions/134564/how-secure-is-hardware-full-disk-encryption-fde-for-ssds
dat is er nog maar een van dit zich herhalend gebeuren.
06-11-2018, 07:40 door -karma4
Door karma4: Samsung heeft zeer waarschijnlijk wat code open source bij elkaar geplukt en daar een optie van gemaakt. Zo'n beetje als het iot gebeuren.

Zoals gewoonlijk weer pure speculatie. Onderbouw deze bewering maar eens met feiten (bronvermelding).
06-11-2018, 07:42 door -karma4 - Bijgewerkt: 06-11-2018, 07:47
Door karma4:
Door The FOSS:
Door https://www.howtogeek.com/fyi/you-cant-trust-bitlocker-to-encrypt-your-ssd-on-windows-10/amp/:

BitLocker on Windows 7 does not support “offloading encryption to encrypted hard drives,” as Microsoft’s documentation puts it. In other words, this is a new feature in Windows 10, so Windows 7 systems won’t have the same problem.
...
Microsoft moet niet ongevraagd voor haar klanten besluiten om geen keus te kunnen maken hierin.
Microsoft heeft gewoon de keus bij de klanten gelaten.

Zoals het gequote artikel noemt: Windows 7 wel, Windows 10 niet meer. Kan je eigenlijk wel lezen?
06-11-2018, 08:15 door karma4
Door The FOSS:
Zoals het gequote artikel noemt: Windows 7 wel, Windows 10 niet meer. Kan je eigenlijk wel lezen?
Ik lees heel duidelijk of Samsung encryptie instellen of bitlocker gebruiken dat echt een keus. Dus leesvaardigheid...
06-11-2018, 08:30 door -karma4 - Bijgewerkt: 06-11-2018, 08:31
Door karma4:
Door The FOSS:
Zoals het gequote artikel noemt: Windows 7 wel, Windows 10 niet meer. Kan je eigenlijk wel lezen?
Ik lees heel duidelijk of Samsung encryptie instellen of bitlocker gebruiken dat echt een keus. Dus leesvaardigheid...

Lees:

Door https://www.howtogeek.com/fyi/you-cant-trust-bitlocker-to-encrypt-your-ssd-on-windows-10/amp/:

BitLocker on Windows 7 does not support “offloading encryption to encrypted hard drives,” as Microsoft’s documentation puts it. In other words, this is a new feature in Windows 10, so Windows 7 systems won’t have the same problem.
06-11-2018, 10:41 door Anoniem
Ingebouwde disk-encryptie is verdraaid handig voor vooral SSD's, en je behoudt de snelheid.
Waar ingebouwde disk-encryptie vooral ook handig voor is, is als je SSD versleten is en je je er veilig van wilt ontdoen.
De standaard wisprocedures werken namelijk vaak niet 100% en dus blijft er vaak nog plain data achter op een SSD.
(verder moet dus het wachtwoord of de encryptiesleutel van de SSD natuurlijk niet op een klunzige manier toegankelijk zijn, zoals met de in topic genoemde drives!)

Hoe maak je alle data op een SSD normaalgesproken volstrekt ontoegankelijk?
Antwoord: door meteen disk-encryptie (hardware FDE) in te stellen als je het al niet gebruikte.
(maakt de hele drive onleesbaar voor wie het wachtwoord niet weten!)
Zie: https://www.backblaze.com/blog/how-to-securely-recycle-or-dispose-of-your-ssd/

Een nadeel kan zijn dat niet alle systemen standaard klaar zijn voor directe implementatie van hardware FDE,
en dan kan het wel eens een gedoe zijn om het aan de praat te krijgen of het lukt niet.
(Bitlocker zou volgens mij ook in staat moeten zijn om hardware FDE aan te spreken)
06-11-2018, 11:09 door SPer
Door Anoniem:
Daarnaast adviseert Samsung softwarematige versleuteling.
Hetgeen dus meer gedoe is, en een tragere machine oplevert...
Om dat te verbeteren hadden we nou juist encryptie aan boord van het mass storage device.

Ik vind het ook knullig. Hoe moeilijk kan het tegenwoordig nog zijn voor 1 of 2 euro meer?

Ik werkte vroeger met mainframe systemen.Hier heb ik eens een test gedaan met compressie software (IDRC voor data cartridges) . Het was mogelijk om de compressie via de ingebouwde module op de cartridge unit te doen (in gebruik voor backups) of via de software die op de de mainframe server draaide.

Hieruit bleek dat tijdens de backup (systeem verder idle) de software matige compressie via de server sneller was dan de IDRC module in de cartridge . Hiemee bestrijd ik dat software matig data verwerking altijd trager is dan hetgeen in de firmware (uiteindelijk ook gewoon software) is ingebakken.
06-11-2018, 11:28 door -karma4 - Bijgewerkt: 06-11-2018, 11:30
Door SPer:
Door Anoniem:
Daarnaast adviseert Samsung softwarematige versleuteling.
Hetgeen dus meer gedoe is, en een tragere machine oplevert...
Om dat te verbeteren hadden we nou juist encryptie aan boord van het mass storage device.

Ik vind het ook knullig. Hoe moeilijk kan het tegenwoordig nog zijn voor 1 of 2 euro meer?

Ik werkte vroeger met mainframe systemen.Hier heb ik eens een test gedaan met compressie software (IDRC voor data cartridges) . Het was mogelijk om de compressie via de ingebouwde module op de cartridge unit te doen (in gebruik voor backups) of via de software die op de de mainframe server draaide.

Hieruit bleek dat tijdens de backup (systeem verder idle) de software matige compressie via de server sneller was dan de IDRC module in de cartridge . Hiemee bestrijd ik dat software matig data verwerking altijd trager is dan hetgeen in de firmware (uiteindelijk ook gewoon software) is ingebakken.

Huidige processors hebben ondersteuning voor versleuteling aan boord. Dat vertekent het beeld (mogelijk).

https://en.m.wikipedia.org/wiki/AES_instruction_set

Want hiermee gaan 'software-only' oplossingen serieus de concurrentie aan met dedicated not-on-cpu hardware oplossingen.
06-11-2018, 11:41 door Anoniem
Let op:

Bitlocker kan standaard gebruik maken van Hardware disk encryptie, dus als je daarbij zo'n "lekke" SSD hebt...

Hoe controleren?
Het commando om te kijken of Windows de encryptie uitbesteedt aan de interne encryptie van een SSD of evt. HDD is 'manage-bde -status' in de Command Prompt of PowerShell.
Als er 'Hardware Encryption' achter 'Encryption Method' staat, wordt de encryptie uitbesteed aan de ssd's.
(er is dan dus geen sprake van software encryptie)

(Dus als je toevallige zo'n kwetsbare drive hebt, wil je het misschien liever omzetten naar software encryptie, maar deze is hoe dan ook langzamer)
06-11-2018, 13:13 door ph-cofi
In een kantoor-omgeving met een 2 jaar oude laptop, merk ik geen performanceverlies door softwarematige encryptie op de lokale (Intel) SSD.
06-11-2018, 13:24 door karma4 - Bijgewerkt: 06-11-2018, 13:24
Door The FOSS:....

Lees:

Door https://www.howtogeek.com/fyi/you-cant-trust-bitlocker-to-encrypt-your-ssd-on-windows-10/amp/:

BitLocker on Windows 7 does not support “offloading encryption to encrypted hard drives,” as Microsoft’s documentation puts it. In other words, this is a new feature in Windows 10, so Windows 7 systems won’t have the same problem.
l
Doe het eens zonder bashing bron te gebruiken
https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-device-encryption-overview-windows-10#encrypted-hard-drive-support
Staat er letterlijk dat de beheerder de keus heeft gekregen waar het eerder niet zo was. Artikel is uit 2017 oud genoeg.
06-11-2018, 13:28 door [Account Verwijderd]

Zegt degene die niks anders doet dan "partijdige" links posten. Je maakt me echt aan het lachen soms, Karmaatje!
06-11-2018, 13:40 door -karma4 - Bijgewerkt: 06-11-2018, 13:41
Door karma4:
Door The FOSS:....

Lees:

Door https://www.howtogeek.com/fyi/you-cant-trust-bitlocker-to-encrypt-your-ssd-on-windows-10/amp/:

BitLocker on Windows 7 does not support “offloading encryption to encrypted hard drives,” as Microsoft’s documentation puts it. In other words, this is a new feature in Windows 10, so Windows 7 systems won’t have the same problem.
l
Doe het eens zonder bashing bron te gebruiken
https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-device-encryption-overview-windows-10#encrypted-hard-drive-support
Staat er letterlijk dat de beheerder de keus heeft gekregen waar het eerder niet zo was. Artikel is uit 2017 oud genoeg.

In jouw verhaal staat de bevestiging van mijn verhaal! Namelijk:

Encrypted hard drives provide onboard cryptographic capabilities to encrypt data on drives, which improves both drive and system performance by offloading cryptographic calculations from the PC’s processor to the drive itself and rapidly encrypting the drive by using dedicated, purpose-built hardware. If you plan to use whole-drive encryption with Windows 10, Microsoft recommends that you investigate hard drive manufacturers and models to determine whether any of their encrypted hard drives meet your security and budget requirements.

Windows 10 'offloads' de versleuteling naar de SSD, waardoor je niet de keus hebt om dat niet te doen. Conclusie is dat je zelfs de informatie die je zelf aandraagt niet kan lezen en daardoor verkeerd begrijpt!
06-11-2018, 17:50 door Anoniem
Door Anoniem: Ik hoef al die "veiligheidsoplossingen" van fabrikanten niet. Sterker nog: ik hoef geen versleutelde schijven. Ik had er ooit één, maar toen mijn Windows 10 een keer brak, en ik via een Linux live-USB (Parted Magic) probeerde mijn data te redden op die partitie, kwam ik er niet meer bij. De versleuteling op die schijf had mij buitengesloten van mijn eigen data. Ik kon dus ook niks meer redden, en was genoodzaakt om de hele partitie te vernietigen met de data er nog op.

Sindsdien gebruik ik geen versleutelde schijven meer, en ook geen versleutelde partities. Ik installeer gewoon alles "normaal", maar.... en nu komt het: ik maak een versleutelde map aan (VeraCrypt, beter is er niet!), en die blijft voor mij dan gewoon toegankelijk, mocht Windows weer eens omver getrokken zijn. En ja, ik maak daar standaard 2 backups van.

Dus versleuteling op je schijf of BitLocker.... leuk hoor, maar wacht maar tot Windows 10 ermee stopt, kijken hoe ver je dan nog komt.

Kijk eens naar https://packages.debian.org/stretch/dislocker

Hoop ik alleen dat je je bitlocker recovery code ergens anders hebt opgeslagen dan op de versleutelde schijf zelf ;)
06-11-2018, 18:13 door karma4 - Bijgewerkt: 06-11-2018, 18:15
Door The FOSS:
Windows 10 'offloads' de versleuteling naar de SSD, waardoor je niet de keus hebt om dat niet te doen. Conclusie is dat je zelfs de informatie die je zelf aandraagt niet kan lezen en daardoor verkeerd begrijpt!
Er staat duidelijk dat
1 de beheerder een en ander moet nagaan
2 de beheerder met w10 een keuze moet maken uit de mogelijkheden
3 overal waar ik kijk zie ik dat de beheerder de keus heeft
Je moet wel alles londerzoeken en niet zo maar negatief willen bashen

Hierboven staat in het artikel via het ncsc advies vrijwel het zelfde als keus.
https://www.google.nl/amp/s/www.techadvisor.co.uk/how-to/windows/how-use-bitlocker-encryption-in-windows-10-3683638/%3famp wel moet je en pro versie hebben. Ik geloof nooit dat je daar privé geld voor uitgegeven hebt en ik geloof niet dat je wat met endpoints beheer td maken hebt.

Ooit met dit soort vervelende zaken met foute firmware op netwerkadapters te maken gehad. Na het aangeleverde bewijs konden ze het (beheer) ineens wel softwarematig omzeilen
06-11-2018, 18:47 door -karma4
Door karma4:
Door The FOSS:
Windows 10 'offloads' de versleuteling naar de SSD, waardoor je niet de keus hebt om dat niet te doen. Conclusie is dat je zelfs de informatie die je zelf aandraagt niet kan lezen en daardoor verkeerd begrijpt!

...

De feiten spreken voor zich.
06-11-2018, 20:27 door Tha Cleaner
Door The FOSS:
Door ph-cofi: Dit suggereert dat bijvoorbeeld LUKS partities het hele probleem niet hebben. Hoezo microcode nodig...

Windows 7 ook niet. Het is een Windows 10 dingetje:

Door https://www.howtogeek.com/fyi/you-cant-trust-bitlocker-to-encrypt-your-ssd-on-windows-10/amp/:

BitLocker on Windows 7 does not support “offloading encryption to encrypted hard drives,” as Microsoft’s documentation puts it. In other words, this is a new feature in Windows 10, so Windows 7 systems won’t have the same problem.

Microsoft bedankt...
Windows 10 heeft de mogelijkheid, dat wil niet zeggen dat dit ook werkelijk gebruikt wordt. Bij heel veel SSD's wordt dit namelijk standaard niet geactiveerd, en doet de CPU gewoon de encryptie. Daarnaast is het een goede feature, omdat het energie bespaard, en zeker op een laptop dit de nodige battery kan schelen. Er zit dus een hele goede redenen achter.

Door The FOSS:
Door karma4:
Door The FOSS:
Windows 10 'offloads' de versleuteling naar de SSD, waardoor je niet de keus hebt om dat niet te doen. Conclusie is dat je zelfs de informatie die je zelf aandraagt niet kan lezen en daardoor verkeerd begrijpt!

...

De feiten spreken voor zich.
Dan moet je je toch even echt verdiepen in de techniek en niet lezen wat je wilt lezen of je conclusie gebruiken als feit. Dat scheelt namelijk een hoop.

Het is namelijk niet zo dat bitlocker dit gebruikt bij iedere SSD. Er zijn best een hoop afhankelijkheden voordat de SED gebruikt wordt. Maar het is wel een feit dat Windows 10 dit mogelijk maakt en dus SED kan gebruiken. dat wil dus niet zeggen, dat dit ALTIJD gebruikt wordt. Vaak is het namelijk niet het geval, en zal dus de CPU gebruikt worden voor de encryptie.

Het ook een feit dat alleen Windows 7 dit niet ondersteund, icm met Bitlocker.

Samsung is een drama om SED te gebruiken. Crucial werkt redelijk, en kan out of the box werken zonder te veel poespas, maar is erg afhankelijk wel type SSD.
Opal ondersteuning maakt het mogelijk. E-Drive vereenvoudigd de configuratie of het proces om het te activeren.

Om even wat feiten te gebruiken, en is nog veel mee te vinden.
https://helgeklein.com/blog/2015/01/how-to-enable-bitlocker-hardware-encryption-with-ssd/
https://www.micron.com/~/media/documents/products/technical-note/solid-state-storage/tnfd28_installing_micron_seds_in_windows8_and_10.pdf


Dus Nee, Windows 10 offload zeker niet altijd alles naar de SED. Indien de SED gebruikt kan worden, zal dit wel zo gebruikt worden, echter om het te gebruiken, moeten er diverse requirements zijn.

Ervaringen leren dat de meeste gewoon de CPU gebruiken voor de Encryptie

En de belangrijkste FEIT.. je kan het gewoon configureren: https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings#a-href-idbkmk-hdefxdaconfigure-use-of-hardware-based-encryption-for-fixed-data-drives.

Dus je hebt gelijk.... De feiten spreken voor zich. Je gebruikt alleen verkeerde informatie als feit.
06-11-2018, 21:26 door karma4
https://www.ncsc.nl/dienstverlening/response-op-dreigingen-en-incidenten/beveiligingsadviezen/NCSC-2018-0984+1.00+Meerdere+kwetsbaarheden+ontdekt+in+implementaties+Self-Encrypting+Drives.html

"De encryptie met BitLocker is afhankelijk van de instelling van de Group Policy. Meer informatie over deze Group Policy is te vinden via de volgende locatie. Het wijzigen van de standaard instelling is niet afdoende om het risico te mitigeren omdat het wijzigen niet zorgt voor (her)encryptie van reeds opgeslagen gegevens. Alleen een volledig nieuwe installatie, inclusief verwijderen en herformateren van gegevens, zorgt voor encryptie via BitLocker.

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/jj679890(v=ws.11)#configure-use-of-hardware-based-encryption-for-fixed-data-drives"

Lijkt me nogal logisch dat het enkel wijzigen van een aanduiding niet zomaar van alles gaat triggeren.
Beterft de standaard (open standaard) https://trustedcomputinggroup.org/resource/storage-work-group-storage-security-subsystem-class-opal/
https://www.samsung.com/semiconductor/minisite/ssd/product/consumer/magician/ open source announcement …?
"The software included in this product contains copyrighted software that is licensed under the GNU Lesser General License (LGPL), BSD and GNU GENERAL PUBLIC LICENSE (GPL).
Below is the list of components covered under LGPL, GPL. You may obtain the complete Corresponding Source code from us for a period of three years after our last shipment "
06-11-2018, 23:50 door Anoniem
Hoe zit het dan met Apple FileVault, ik ga ervan uit dat dit softwarematige encryptie betreft. Wat als ik mijn macbook wil verkopen en de schijf wis, gebeurt dit softwarematig?(een nieuwe encryptie sleutel wordt aangemaakt en de schijf inclusief oude data is niet meer toegankelijk.) Of is dit onderdeel een hardwarematig proces en dus kwetsbaar zoals beschreven in dit artikel.
07-11-2018, 07:38 door Anoniem
Door karma4: https://www.samsung.com/semiconductor/minisite/ssd/product/consumer/magician/ open source announcement …?
"The software included in this product contains copyrighted software that is licensed under the GNU Lesser General License (LGPL), BSD and GNU GENERAL PUBLIC LICENSE (GPL).
Below is the list of components covered under LGPL, GPL. You may obtain the complete Corresponding Source code from us for a period of three years after our last shipment "
Ik dacht dat de ruzie (een discussie zou ik dit niet noemen[*]) over wel of geen open source hierboven over de firmware van de SSD gaat. Je linkt naar Magician, wat beheersoftware voor SSDs van Samsung is die onder Windows draait. Dat zegt niets over de de vraag of de firmware open source-componenten bevat, en trouwens ook niet over de vraag of de fout in die open source-componenten zit.

[*] Ik zie twee mensen die over en weer roepen dat de ander zich op feiten moet baseren terwijl ze er allebei zelf slordig in zijn en allebei meer gericht zijn in wat zwak is aan de argumenten van de ander dan aan de vraag of hun eigen argumenten wel deugen en de vraag hoe het nou echt zit. Een discussie is constructief, dient om allebei wijzer te worden. Dat zie ik jullie allebei niet doen. Dan lijkt het voor mij meer op een ordinaire ruzie.
07-11-2018, 08:35 door -karma4
Lees:

Door https://www.howtogeek.com/fyi/you-cant-trust-bitlocker-to-encrypt-your-ssd-on-windows-10/amp/:

BitLocker on Windows 7 does not support “offloading encryption to encrypted hard drives,” as Microsoft’s documentation puts it. In other words, this is a new feature in Windows 10, so Windows 7 systems won’t have the same problem.
07-11-2018, 09:43 door Anoniem
Door The FOSS: Lees:

Door https://www.howtogeek.com/fyi/you-cant-trust-bitlocker-to-encrypt-your-ssd-on-windows-10/amp/:

BitLocker on Windows 7 does not support “offloading encryption to encrypted hard drives,” as Microsoft’s documentation puts it. In other words, this is a new feature in Windows 10, so Windows 7 systems won’t have the same problem.
Ja en? Wat moet ik daar uit lezen?
Windows 7 heeft er geen last van icm met bitlocker.
Windows 10 is dit een feature, maar spreekt niet of dit wel if niet gebruikt wordt.
07-11-2018, 15:26 door -karma4
Door Anoniem:
Door The FOSS: Lees:

Door https://www.howtogeek.com/fyi/you-cant-trust-bitlocker-to-encrypt-your-ssd-on-windows-10/amp/:

BitLocker on Windows 7 does not support “offloading encryption to encrypted hard drives,” as Microsoft’s documentation puts it. In other words, this is a new feature in Windows 10, so Windows 7 systems won’t have the same problem.
Ja en? Wat moet ik daar uit lezen?
Windows 7 heeft er geen last van icm met bitlocker.
Windows 10 is dit een feature, maar spreekt niet of dit wel if niet gebruikt wordt.

https://www.fluentu.com/blog/english/academic-english-course/
07-11-2018, 17:13 door Tha Cleaner
Door The FOSS:
Door Anoniem:
Door The FOSS: Lees:

Door https://www.howtogeek.com/fyi/you-cant-trust-bitlocker-to-encrypt-your-ssd-on-windows-10/amp/:

BitLocker on Windows 7 does not support “offloading encryption to encrypted hard drives,” as Microsoft’s documentation puts it. In other words, this is a new feature in Windows 10, so Windows 7 systems won’t have the same problem.
Ja en? Wat moet ik daar uit lezen?
Windows 7 heeft er geen last van icm met bitlocker.
Windows 10 is dit een feature, maar spreekt niet of dit wel if niet gebruikt wordt.

https://www.fluentu.com/blog/english/academic-english-course/

Alternatief: https://translate.google.com/Maar die constatering is wel juist. Feature hoeft niet aan te staan, en zal waarschijnlijk ook standaard niet aan staan. Zelfs out of the box zal dit niet waarschijnlijk niet aan staan.
08-11-2018, 07:36 door -karma4 - Bijgewerkt: 08-11-2018, 07:37
Door Tha Cleaner: ...
Maar die constatering is wel juist. Feature hoeft niet aan te staan, en zal waarschijnlijk ook standaard niet aan staan. Zelfs out of the box zal dit niet waarschijnlijk niet aan staan.

Nee, je hoeft die versleuteling niet aan te zetten... Maar dan heb je helemaal geen versleuteling en dat lijkt me toch niet echt de bedoeling als je Bitlocker wil gebruiken. Het gaat er juist om dat je versleuteling wil, dat Microsoft in Windows 10 deze uitbesteed aan de SSD-drive en dat je daarin geen keuze hebt.
08-11-2018, 09:01 door Tha Cleaner
Door The FOSS:
Door Tha Cleaner: ...
Maar die constatering is wel juist. Feature hoeft niet aan te staan, en zal waarschijnlijk ook standaard niet aan staan. Zelfs out of the box zal dit niet waarschijnlijk niet aan staan.

Nee, je hoeft die versleuteling niet aan te zetten... Maar dan heb je helemaal geen versleuteling en dat lijkt me toch niet echt de bedoeling als je Bitlocker wil gebruiken. Het gaat er juist om dat je versleuteling wil, dat Microsoft in Windows 10 deze uitbesteed aan de SSD-drive en dat je daarin geen keuze hebt.
Je moet wel goed lezen, en dat is lastig voor je, dat weten we al.....
Er is een feature die inderdaad de encryptie kan uitbesteden aan de SSD. Echter deze feature wordt heel vaak niet gebruikt ivm de afhankelijkheden die hiervoor nodig zijn en daar niet aan voldaan wordt. En hij is door de systeembeheerder zeer gemakkelijk uit te zetten.

De Feature SED wordt dus heel vaak gewoon niet gebruikt in Windows en dan wordt de bitlocker encryptie CPU gewoon gebruikt en is het issue niet aanwezig.
08-11-2018, 09:41 door Anoniem
Door Anoniem: Hoe zit het dan met Apple FileVault, ik ga ervan uit dat dit softwarematige encryptie betreft. Wat als ik mijn macbook wil verkopen en de schijf wis, gebeurt dit softwarematig?(een nieuwe encryptie sleutel wordt aangemaakt en de schijf inclusief oude data is niet meer toegankelijk.) Of is dit onderdeel een hardwarematig proces en dus kwetsbaar zoals beschreven in dit artikel.
Met Apple Filevault 2 is het ook mogelijk om gebruik te maken van de zelfencryptie van een Opal TCG supported drive.
08-11-2018, 20:38 door -karma4
Door https://www.howtogeek.com/fyi/you-cant-trust-bitlocker-to-encrypt-your-ssd-on-windows-10/amp/:

BitLocker on Windows 7 does not support “offloading encryption to encrypted hard drives,” as Microsoft’s documentation puts it. In other words, this is a new feature in Windows 10, so Windows 7 systems won’t have the same problem.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.