SSD Disk Encryption (Truecrypt vs Bitlocker vs DiskCryptor)

Das hängt von der Menge der Daten ab, ob sie gelöscht werden. Wird nur eine Page getrimmt, weil es eben eine kleine Datei war, so spielt der Performancevorteil doch sowieso keine Rolle, denn 4k oder 8k machen den Kohl nicht fett. Wenn ein paar Tausend solche Dateien gelöscht, so kann es eben durchaus sein, dass dadurch in einigen Blöcken so viele Pages betroffen sind, dass es sich für den Controller lohnt diese nun zu löschen und wenn man gar wirklich große Dateien löscht und die LBAs die diese belegt hatten werden getrimmt, dann dürfte es mit Sicherheit so sein.

Es geht nur darum, dass man die Tatsache das 00 für einen LBA zurückgeliefert wird, nicht automatisch mit der Tatsache gleichsetzen sollte, dass die Daten wirklich garantiert physikalisch gelöscht sind, denn dass muss nicht so sein. Beim Sandforce ist es sogar praktisch nie der Fall, denn er löscht ja immer erst beim Schreiben, weshalb da die Schreibrate ja im Normalzustand immer geringer als im Neuzustand ist, denn im Neuzustand sind die Blöcke ja noch leer und im Normalzustand kommt da immer noch die Zeit fürs das Löschen hinzu. Deshalb macht bei dem TRIM ja auch keinen so großen Unterschied wie bei den anderen Controllern und es ist zuerst nicht einmal aufgefallen, dass die frühen 5.er FW Versionen das nicht einmal gemacht haben.
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
@iamunknown:

Sollte man das nicht gegen testen können ob man logisch oder physisch auf das Laufwerk zugreift? Bei letzterem müsste man an den Stellen ja dann 00 sehen. :hmm:

Mit HxD geht nämlich beides.
 
Da bleibt nur die Frage, ob TC physische Zugriffe auf das Laufwerk nicht unterbindet. Damit könnte man ja die Verschlüsselung recht einfach knacken, weil man dann ja sowohl die verschlüsselten als auch die entschlüsselten Daten in der Hand hätte. Steckt man die Platte an einen anderen Rechner oder bootet ein Windows ohne TC drauf, so wäre das natürlich kein Thema.
 
Da bleibt nur die Frage, ob TC physische Zugriffe auf das Laufwerk nicht unterbindet.
TC kann nur vernünftig und vor allem transparent funktionieren, wenn alle Anfragen via TC laufen. Da auch Windows selbst verschlüsselt ist, nehme ich an es bedarf schon einiger Anstrengungen um TC zu umgehen, falls das überhaupt möglich ist.

Damit könnte man ja die Verschlüsselung recht einfach knacken, weil man dann ja sowohl die verschlüsselten als auch die entschlüsselten Daten in der Hand hätte.
Ich weiss zwar nicht ganz genau worauf du hinaus willst, aber das dürfte Unsinn sein. Grundsätzliche sind vernünftige Verschlüsselungsalgorithmen (z.B. AES) nicht anfällig gegen "known-plaintext" Angriffe und wer den Rechner übernimmt während TC läuft kann sowieso alles auslesen.
 
Eine Sache dazu nur noch: Die Tatsache das der Controller nur 00 zurückliefert sollte nicht aus Beweise dafür gesehen werden, dass die Daten wirklich gelöscht werden! Das würde die Write Amplification auch gewaltig in die Höhe treiben, denn dann müsst ja im schlimmsten Fall ein ganzer Block mit noch 255 oder 511 Pages voller gültiger Daten gelöscht werden, wenn eine Page darin vom TRIM betroffen war. Dazu müssten die Daten der anderen Pages natürlich vorher umkopiert werden. Deshalb macht das (hoffentlich!!!) keine FW Programmierer sondern hebt nur die Verknüpfung der LBAs mit der NAND Page auf und markiert die Daten also ungültig. Werden LBAs gelesen denen keine Flashadresse zugewiesen ist, so geben die Controller ja auch einfach 00 zurück und i.d.R. geht das recht schnell und ist genau das, was passiert wenn man z.B. mit HD Tune die Lesegeschwindigkeit einer (weitgehend) leeren SSD bencht.
Ok, jetzt ist mir klar was du damit meinst. Dachte du beziehst dich auf die HW-Verschlüsselung der SF-Controller...

Allerdings sollte ein 0x00 als Rückgabewert für die generelle Funktionsfähigkeit von Trim betrachtet werden. Wie der Controller das dann handhabt ist sowieso immer dessen Angelegenheit.

@iamunknown:

Sollte man das nicht gegen testen können ob man logisch oder physisch auf das Laufwerk zugreift? Bei letzterem müsste man an den Stellen ja dann 00 sehen. :hmm:

Mit HxD geht nämlich beides.
Ich würde auch wie hier bereits geschrieben wurde vermuten, dass TrueCrypt so eingebunden ist, dass alle Abfragen über TC laufen (wo genau der TC-Treiber hängt weiß ich nicht und bin zu faul zum Suchen, deshalb ja auch die Aussage ohne Anspruch auf Vollständigkeit bei der Übersicht, wo er eingebunden ist...). Zumindest bei der Systempartition.
 
Da bleibt nur die Frage, ob TC physische Zugriffe auf das Laufwerk nicht unterbindet. Damit könnte man ja die Verschlüsselung recht einfach knacken, weil man dann ja sowohl die verschlüsselten als auch die entschlüsselten Daten in der Hand hätte. Steckt man die Platte an einen anderen Rechner oder bootet ein Windows ohne TC drauf, so wäre das natürlich kein Thema.
Ich kann deinem Gedankengang nicht folgen. :confused:

@iamunknown:

Ich teste es einfach mal die Tage mit HxD. :) Sehe logisch wie physisch nur Kauderwelsch. Wobei ja auch der "Sektor" anders sein sollte, immerhin sehe ich physisch auch Bootloader und co. was logisch ausgeblendet wird weil er bei der Partitionstabelle anfängt. :hmm:

Weiß also nicht die Stelle wo ich beim physischen Zugriff schauen müsste. :-/
 
Zuletzt bearbeitet:
Ich kann deinem Gedankengang nicht folgen. :confused:
Wenn Du auf das physikalische Laufwerk zugreifen kannst, dann ist ja alles in Ordnung, aber nicht auf jedem System ist das möglich. Das ist dann eine Sache der (Sicherheits-)Software und man sieht es z.B. bei AS-SSD, wenn dort keine Zugriffszeit Lesend ermittelt werden konnte, weil das die einzige Messung ist, die AS-SSD auf dem physikalischen Device und nicht auf Filesystemebene durchführt.

Weiß also nicht die Stelle wo ich beim physischen Zugriff schauen müsste. :-/
Das kann man herausfinden, ist aber unter Windows nicht ganz so banal und muss programmiert werden wie unter Linux, wo man es sich von einem Kommando anzeigen lassen kann.
 
Ich will mir eine neue Samsung Pro SSD holen. Nun bin ich am überlegen, wie ich diese Verschlüssel. Diverse Charts mit TC und DC habe ich schon hier gesehen. Wie verhält es sich denn mit Bitlocker? Bitlocker sollte doch TRIM etc. untersützten. Kann jemand sagen, ob das eine gescheite Alternative ist?
 
Hallo,

ich würde wenn es um Windows geht immer zu BitLocker greifen, aber nur dann, wenn TPM vorhanden ist. Grund: Nur mit TPM erlaubt BL den Key mit einer Passphrase zu schützen - ohne TPM liegt der Key ungeschützt auf einem USB-Stick (=wer den Stick hat, kommt an die Daten). Ich mag es beim Start ein Kennwort eingeben zu müssen. Dann ist BL aber die beste Lösung für Windows-only Systeme.

TPM ist übrigens auch eine Voraussetzung für das "self encrypting device" unter Windows 8. Dann muss man natürlich noch der Blackbox aka dem Controller der das leistet vertrauen. Das muss man natürlich auch bei geschossener Software wie BL, aber da kann man sich zumindest das Ergebnis anschauen. Weiß man, ob der Controller nicht angewiesen werden kann die Daten in Klartext rauszugeben oder den Key irgendwo zwischen zuspeichern? :)

P.s: Ich selber verwende oft MSI Mainboards. Dafür kann man für ~20 EUR eine TPM Steckkarte kaufen (sofern das Board TPM-ready ist). Das war auch mal bei ASUS der Fall, IMHO die ersten die das angeboten haben, aber irgendwann haben sie es eingestellt. Keine Ahnung wie hier der Stand ist. Bei GB gab es das auch einmal, doch netter Weise haben sie dann irgendwann den TPM-Support im BIOS entfernt :/

Ansonsten bleiben halt noch Business-Notebooks und Workstations die TPM bieten.

...oder man schlägt sich eben mit anderen Lösungen wie TC, DC ect. herum.
 
Bei TrueCrypt hat man den Vorteil auch unter nicht Windows-Systemen auf die Daten zugreifen zu können...
 
Ich will mir das Board holen: GA-H77-D3H

In der Beschreibung steht: 1 x Trusted Platform Module (TPM) header ... ist das dann das Bitlocker - TPM fähig oder fehlt dann noch was?
 
Die Module sind ja fast nicht zu bekommen *wunder*

Ich habe gesehen, dass die Samsung 840 Pro auch schon HDD Encryption beherrscht. Aber ich habe kein Board gefunden, dass es im BIOS erlaubt, ein HDD Password zu setzen. Kennt Ihr ein Board?
 
Das ist das Problem, sowas bieten vor allem Notebooks und eben Boards mit Chipsätzen für den professionellen Einsatz, kaum aber Boards für Heimanwender. Man sollte aber bei aller Verschlüsselung nicht vergessen, dass diese nur bei physikalischem Verlust der Platten vor unberechtigtem Zugriff schützt und oft auch bei einem Problem den rechtmäßigen Besitzer hindert seine Daten wieder herstellen (lassen) zu können. Gegen das Ausspioniert werden hilft das nichts, denn das passiert fast immer mit Schadsoftware und für die sind die Daten ja lesbar, wie für alle anderen Programme mit denen man arbeitet auch.

Man sollte sich also immer gut überlegen ob es wirklich einen Sinn hat die Daten zu verschlüsseln und es nicht nur aus Spaß an der Freude machen.
 
Eijo...schon klar.

Frage ist nun: Was ist denn unter Windows jetzt der Favorit?
1) HDD Encryption
2) Bitlocker
3) DC
4) TC

Kann man das anhand von Benchmarks so sagen? (Wobei für 1) es noch keinen Benchmark geben wird)
 
Nur leider besteht mit Truecrypt und Diskcryptor bei allen meinen Rechnern das Problem, dass ein Aufwachen vom Ruhezustand relativ lange dauert.
Da kannst du dein Teil auch gleich unverschlüsselt lassen. Nur bei einen echten Shutdown bist du sicher das niemand reinpfuscht.

Hier mal was: https://www.youtube.com/watch?v=IzE2SKVP-MQ
Aber ich habe kein Board gefunden, dass es im BIOS erlaubt, ein HDD Password zu setzen. Kennt Ihr ein Board?
Mein Tipp ist immer einen Server Raid Controller zu verwenden. WICHTIG das wird hald arsch teuer weil man braucht (bei meinen zb):
1) Controller -> 260€ exkl
2) Lizenz -> 50€ exkl
3) Kabel -> 20€ ~exkl
4) Backup Batterie -> 150€ exkl
5) Und die HDDs -> 100€ für 1TB

1) HDD Encryption
Wenn du SED Platten meinst jop die sind einfach nur Geil.
 
Aber wie kann man diese SED Platten nutzen? Ich denke man benötigt dafür im BIOS Zugriff zum setzen des HDD Passwords? ...und Raid Controller kann nicht die Lösung sein (Preis)...
 
und Raid Controller kann nicht die Lösung sein (Preis)...
Da ich mir neues Board kaufen mag ist das schon ne gute idee.
Ich denke man benötigt dafür im BIOS Zugriff zum setzen des HDD Passwords?
Man braucht ein Mobo das es unterstützt und ich würde das sowieso nie am Mobo machen weil das zu unsicher ist.
Abgesehen davon braucht man SED HDDs die kosten auch mehr als normale und da kann man gleich auf SAS Setzen hat mich nur ~5€ mehr gekostet pro Platte.
 
Wie willst Du sonst das Passwort setzen, wenn nicht im BIOS?
 
Eure Probleme wollt ich haben, ich verschlüssel nichtmal meine Dolly B. Partition. :)
 
Wieso sollte das dann sicherer sein? :hmm:

Da kannst du dein Teil auch gleich unverschlüsselt lassen. Nur bei einen echten Shutdown bist du sicher das niemand reinpfuscht.
Standby nicht gleich Ruhezustand. ;)
 
Falls ihr nicht scheut am BIOS herumzuspielen oder BOOTROMs zu flashen:
Mit ATA Security eXtension BIOS lassen sich ATA Passwörter verwalten. Am einfachsten ist es das BOOTROM der onBoard Netzwerkkarte damit zu ersetzen.
 
Zuletzt bearbeitet:
Wenn das Passwort da fest drin steht, dann muss man neben den Platten auch nur noch den RAID Controller in die Hand bekommen, was für Diebe oder die Trachtengruppe wohl kein Problem ist. Sinn macht es also nur, wenn dessen BIOS das Passwort beim Booten abfragt.

emerald, genau da scheint mir auch das Problem von dieser BIOS Erweiterung zu liegen, denn wie aussieht, wird das Passwort da nicht beim Booten abgefragt sondern hinterlegt. Das eigentlich in diesem ct Artikel "Bärendienst" beschriebene Problem adressieren die aktuellen BIOS heute alle, denn praktisch alle Platte sind heute "Frozen", es kann also kein Passwort gesetzt werden und damit auch kein Secure Erease ausgelöst werden, ohne dass man die Platte erst einmal kurz von der Stromversorgung trennt.
 
Zuletzt bearbeitet:
Wenn das Passwort da fest drin steht, dann muss man neben den Platten auch nur noch den RAID Controller in die Hand bekommen, was für Diebe oder die Trachtengruppe wohl kein Problem ist. Sinn macht es also nur, wenn dessen BIOS das Passwort beim Booten abfragt.
Wieso denn? So gesehen ist es ja egal wenn der Pc mitgenommen wird.
Hast du dir das Video angeschaut das ich mal hier gepostet habe? Da steckst es einfach um beim Mobo und gut ist es beim Raidcontroller ist es schwieriger.
denn praktisch alle Platte sind heute "Frozen", es kann also kein Passwort gesetzt werden und damit auch kein Secure Erease ausgelöst werden
Eben bei SED Drives kannst du sehr wohl ein Secure Erease durchführen!
http://www.seagate.com/files/www-co...t/de/docs/ise-deployment-tp-627-1-1203-de.pdf
http://www.seagate.com/files/www-co...cs/how-to-ise-your-drive-tp-644-1-1211-de.pdf
 
Wenn das Passwort da fest drin steht, dann muss man neben den Platten auch nur noch den RAID Controller in die Hand bekommen, was für Diebe oder die Trachtengruppe wohl kein Problem ist. Sinn macht es also nur, wenn dessen BIOS das Passwort beim Booten abfragt.

emerald, genau da scheint mir auch das Problem von dieser BIOS Erweiterung zu liegen, denn wie aussieht, wird das Passwort da nicht beim Booten abgefragt sondern hinterlegt. Das eigentlich in diesem ct Artikel "Bärendienst" beschriebene Problem adressieren die aktuellen BIOS heute alle, denn praktisch alle Platte sind heute "Frozen", es kann also kein Passwort gesetzt werden und damit auch kein Secure Erease ausgelöst werden, ohne dass man die Platte erst einmal kurz von der Stromversorgung trennt.

Aus praktischer Erfahrung kann ich Dir sagen, dass das Passwort beim booten durch diese BIOS Erweiterung abgefragt wird. Ich hatte das auf zwei Systemen im Einsatz.
Nachdem eine Festplatte beim boot per Passwort entriegelt wurde oder falls sie kein Passwort hat erfolgt im nächsten Schritt das ATA Security Freeze Lock.
Das ATA Passwort ist immer auf der Festplatte selbst hinterlegt. Die Erweiterung ist zum Entriegeln, Passwort setzen/entfernen und "freezen".
Darüber hinaus bietet es auch die Security Erase Funktion aber das ist hier eher nebensächlich.

Auch wenn heute eigentlich alle Platten "Frozen" sein müssten, wie Du schreibst, hängt es vom BIOS/EFI ab ob das tatsächlich geschieht.
Das 2011 veröffentlichte ASRock E350M1 z. B. führt kein ATA Security Freeze Lock aus.
 
Zuletzt bearbeitet:
angenommen das PW von der Verschlüsselte Festplatte befindet sich im BIOS und das Mainboard geht mir Kaput, wie kann ich auf die verschlüsselte Platte dann noch zu greifen???
 
angenommen das PW von der Verschlüsselte Festplatte befindet sich im BIOS und das Mainboard geht mir Kaput, wie kann ich auf die verschlüsselte Platte dann noch zu greifen???
Also bei den SED Drives gibt es 2 PWs:
1) Ein HDD interner Key der nur den Controller kennt. Die SED HDDs verschlüsseln immer (!) auch wenn kein PW gesetzt worden ist.
2) Das HDD externer Key den der Controller gespeichert hat. Wenn der Key weg ist (als HDD von den Controller getrennt worden ist) kann man nicht mehr zugreifen auf die HDD.
Wenn man den Key hat und ihm (theoretisch) bei einen anderen Controller eingibt erlangt man natürlich zugriff auf die Daten
3) Dann gibt es noch das PW das der Controller drinnen hat damit man sich nicht "anmelden" kann am Controller.
 

Ähnliche Themen

Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh