Hallo Liste, der von mir geplanten Laptop wird mit einer 1TB SSD M.2 PCIe-NVMe (OPAL 2.0) ausgestattet sein. Opal 2.0 scheint, so vermute ich als in dieser Beziehung völliger Laie, als eine Technik zum verschlüsseln auf der Hardware, also der SSD selbst, gedacht zu sein? Als OS wird Windows 10 Home - 64bit installiert sein. Damit dürfte diese Technik wohl problemlos funktionieren? Ich habe aber nicht vor dieses Windows überhaupt jemals zu starten. Meine Frage also: Was passiert, wenn ich auf diese SSD gleich von Anfang an Linux/openSUSE installieren will? Gibt es da etwas zu beachten? Danke für alles an Hinweisen, die ich bekommen kann. -- S. Glaser -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Stefan,
Ich habe aber nicht vor dieses Windows überhaupt jemals zu starten.
Nur eine Anmerkung: Es gibt mehrere Anbieter, die explizit Linux, auch OpenSUSE, direkt auf Laptops installieren (z.B. xsoft, tuxedo). Da sparst Du die Kosten für die Windows-Version, die Du sowieso nicht nutzen willst. Schau doch einmal, ob da nicht auch Dein Rechner dabei ist. Gruß Robert -- Homepage: http://robert.familiegrosskopf.de LibreOffice Community: http://robert.familiegrosskopf.de/map_3
Hallo Robert, keines der dortigen Angebote erreicht die Qualität eines Thinkpad Carbon. Tuxedo eh nicht mehr, das Infinity Book (Schenker 306) war eine einzige Enttäuschung. Sowohl was den Laptop an sich betraf. Und noch mehr der Service. -- S. Glaser -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 30.04.2019 um 17:57 schrieb Stefan Glaser:
Hallo Liste,
der von mir geplanten Laptop wird mit einer 1TB SSD M.2 PCIe-NVMe (OPAL 2.0) ausgestattet sein. Opal 2.0 scheint, so vermute ich als in dieser Beziehung völliger Laie, als eine Technik zum verschlüsseln auf der Hardware, also der SSD selbst, gedacht zu sein? Als OS wird Windows 10 Home - 64bit installiert sein. Damit dürfte diese Technik wohl problemlos funktionieren? Ich habe aber nicht vor dieses Windows überhaupt jemals zu starten. Meine Frage also: Was passiert, wenn ich auf diese SSD gleich von Anfang an Linux/openSUSE installieren will? Gibt es da etwas zu beachten?
https://en.opensuse.org/SDB:Self_Encrypting_Drive So wie ich das verstehe, geht da OOTB rein gar nix Manfred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Manfred, verstehe ich zwar nur einen kleinen Teil. Danke trotzdem. -- S. Glaser -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
On Tue, 30 Apr 2019 17:57:47 +0200 "Stefan Glaser" <stefanglaser@mail.de> wrote:
ausgestattet sein. Opal 2.0 scheint, so vermute ich als in dieser Beziehung völliger Laie, als eine Technik zum verschlüsseln auf der Hardware, also der SSD selbst, gedacht zu sein? [..] Was passiert, wenn ich auf diese SSD gleich von Anfang an Linux/openSUSE installieren will? Gibt es da etwas zu beachten?
Wenn die Festplattenverschlüsselung bereits aktiviert wurde, wird der Installer ohne passenden Key nichts auf die Platte schreiben können, d.h. bereits ein Re-Partitionierung wird fehlschlagen. Habe das schon mal mit einem Thinkpad (vergeblich) probiert, bei dem die Verschlüsselung über eine zentrale Software aktiviert und verwaltet wurde. Diese Form von Hardware-Verschlüsselung bedeutet nicht nur, dass der auf der Platte / SSD integrierte Controller selbst die Verschlüsselung übernimmt, sondern auch das darauf die Zugangsverwaltung passiert. Ich stelle mir das vor wie ein Secure Element ("SIM-Karte"), auf die man ja auch ohne den passenden Schlüssel nichts schreiben, also auch nichts löschen kann. Schlüssel und Zugriff müssen wohl vom BIOS oder von entsprechenden Tools verwaltet werden. Der Schlüssel muss demzufolge entweder eingegeben werden oder auf einem sicheren Speicherplatz auf dem Mainboard liegen. Gruß, Tobias. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Tobias, ja, es geht um ein Lenovo Thinkpad Carbon. Du meinst also, dass die Frage ist, ob die Opal-Technik schon bei der Herstellung eingerichtet wurde? Das kann ich vielleicht vom Händler erfahren. Was wäre nun, wenn ich da gleich eine andere SSD einbaue? -- S. Glaser -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
On Wed, 1 May 2019 09:21:40 +0200 "Stefan Glaser" <stefanglaser@mail.de> wrote:
Was wäre nun, wenn ich da gleich eine andere SSD einbaue?
Das geht auf jeden Fall. Haben wir auch bei einigen älteren Thinkpads so gemacht, weil uns die mitgelieferte SSD zu klein war. Ich bin mir nicht mal sicher, dass die Austausch-SSD original von Lenovo waren. Bei unseren Thinkpads war es so, dass wir auf die "jungfräulichen" Geräte problemlos Linux installieren konnten. Wobei auf diesen durchaus ein Win10 mit ausgeliefert wurde. Das war wohl in so einem halbfertig-vorinstallierten Status. Erst wenn dem Gerät unter Windows10 über eine "Security-Suite" (McAffee?) die Festplattenverschlüsselung aktiviert worden war, konnte man per Linux nicht mehr auf die SSD zugreifen. Ganz allgemein sollte man bedenken, dass die Hardware-Verschlüsselung (OPAL) sicherer ist als die Software-Verschlüsselung über LUKS. Aber trivial ist die Einrichtung nicht. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Mittwoch, 1. Mai 2019, 20:13:26 CEST schrieb Tobias Crefeld:
[...] Ganz allgemein sollte man bedenken, dass die Hardware-Verschlüsselung (OPAL) sicherer ist als die Software-Verschlüsselung über LUKS. Aber trivial ist die Einrichtung nicht.
Äh, so ganz allgemein nein: | Most of OPAL hardware securities weakness relies in firmware implementation. | Radboud University researchers[1] proved in November 2018, how it was easy | to hack some SSD devices (Samsung EVO 840 & 850, Crucial MX100 MX200 & | MX300) with US$100 of computer & electronics parts. https://en.wikipedia.org/wiki/Opal_Storage_Specification#Security Gruß Jan -- Ignorance is Bliss! - George Orwell -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 01.05.2019 um 20:13 schrieb Tobias Crefeld:
On Wed, 1 May 2019 09:21:40 +0200 "Stefan Glaser" <stefanglaser@mail.de> wrote:
Was wäre nun, wenn ich da gleich eine andere SSD einbaue?
Das geht auf jeden Fall. Haben wir auch bei einigen älteren Thinkpads so gemacht, weil uns die mitgelieferte SSD zu klein war. Ich bin mir nicht mal sicher, dass die Austausch-SSD original von Lenovo waren.
Bei unseren Thinkpads war es so, dass wir auf die "jungfräulichen" Geräte problemlos Linux installieren konnten. Wobei auf diesen durchaus ein Win10 mit ausgeliefert wurde. Das war wohl in so einem halbfertig-vorinstallierten Status. Erst wenn dem Gerät unter Windows10 Ist das nicht immer so? Früher war das wenigstens idR der Fall.
über eine "Security-Suite" (McAffee?) die Festplattenverschlüsselung aktiviert worden war, konnte man per Linux nicht mehr auf die SSD zugreifen. Würde IMO ja auch keinen Sinn machen, wenn die Verschlüsselung bereits ab Werk aktiv wäre. Da könnte ja das Werk den Schlüssel irgendwie abgreifen, was dann in meinen Augen schon wieder ein Sicherheitsrisiko wäre.
Ganz allgemein sollte man bedenken, dass die Hardware-Verschlüsselung (OPAL) sicherer ist als die Software-Verschlüsselung über LUKS. Aber
^^^^ Woher hast Du denn diese Weisheit ??? Aus irgendwelchen Werbeprospekten für hardware-verschlüsselnde Laufwerke?
trivial ist die Einrichtung nicht. Sagte ich ja schon
Irgendwann geht das bestimmt auch bequem unter Linux, aber momentan bestimmt nicht Manfred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Liste, der Händler hat mir bestätigt, dass die Festplattenverschlüsselung nicht eingerichtet ist. Ein Austausch der SSD-Festplatte durch mich ist ebenfalls möglich und hat keine Auswirkung auf die Gewährleistung/Garantie durch Lenovo bzw. den Händler. Danke allen die sich mit dieser Sache beschäftigt haben. -- S. Glaser -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (5)
-
Jan Ritzerfeld -
Manfred Kreisl -
Robert Großkopf -
Stefan Glaser -
Tobias Crefeld