Hallo Zusammen!
Hatte gestern zufällig jemanden vom BSI über Opal 2 sprechen gehört.
Opal 2 sei eine hardwareseitige Verschlüsselung innerhalb der SSD (die natürlich Opal 2 unterstützen muss).
Das Bios würde beim Rechnerstart das abgefragte Passwort an die SSD übergeben, und erst dann rückt die mit den Daten heraus.
Grundsätzlich seien die Daten einer SSD immer verschlüsselt, nur ohne gesetztem Passwort erscheinen die Daten unverschlüsselt.
Man müsse nur im Bios das HDD Passwort setzen . . .
Nun, ich habe meine W11-Systemlplatte mit einem Truecrypt-Derivat (Ciphershed) vollverschlüsselt.
Hat den Nachteil, dass ich vor einer Inplace immer erst entschlüsseln muss, sonst gibt’s Datensalat.
Die Nutzung von Opal 2 wäre demnach optimal (meine 870 EVO soll Opal 2 unterstützen laut Datenblatt).
Kennt sich da jemand mit aus?
Müsste ich einfach nur im Bios ein HDD-Passwort setzen und alles ist erledigt ???
Schöne Grüße,
Uwe
Festplatten die Opal 2 unterstützten, insbesondere solche von Samsung, sind leider dadurch aufgefallen, dass sie immer den gleichen Schlüssel generieren. Leider kenne ich keine Berichte, ob das in neueren Versionen korrigiert wurde (und dabei keine neuen Probleme eingebaut wurden).
Das ist also nur „optimal“ für Angreifer die die entsprechenden Publikationen gelesen haben. Bitlocker bietet seitdem eine Gruppenrichtlinie, mit der man Opal 2 & Co verbieten kann…
Jo, mittlerweile fand ich auch weitere Hinweise auf Lücken.
Eine Lücke ist beispielsweise, dass die Platte nur beim Start bzw. Einschalten das Passwort abfragt, nicht jedoch beim Neustart.
Also - Neustart (geht ohne Kenntnis der Bildschirmsperre), USB-Platte wählen und … verloren 
Samsung selber hatte zu den entdeckten Lücken in der 840- u. 850-er EVO geschrieben: „Nehmt Softwareverschlüsselung …“, und diese Aussage nie korrigiert.
Zu meiner Frage oben: es ist tatsächlich so, dass im Bios „DriveLock“ oder „HDD Passwort“ nur aktiviert werden muss - that’s all.
Deaktivieren genau so: einfach Passwort raus nehmen - that’s all.
Hab’ nun Veracrypt mit UEFI genommen (Cypershed unterstützt nur BIOS/MBR).