SSD vollständig mit Truecrypt verschlüsseln

imPurpleHaze

Enthusiast
Thread Starter
Mitglied seit
25.02.2008
Beiträge
1.518
Ort
>_
moin moin,



ich bin für einige zeit im ausland und werde mein notebook mit windows 7 mitnehmen.
da ich auf diesem notebook sensible daten gespeichert habe, die ich unbedingt vollständig verschlüsselt haben möchte,
für den fall, dass mir das Laptop geklaut wird, etc, habe ich vor das teil vollständig zu verschlüsseln.
ich werde heute noch neue SSD bestellen, da bisher nur eine HDD verbaut ist.
worauf sollte ich beim kauf achten? die größe wird bei 60GB liegen, mehr brauche ich nicht.
was ist bezüglich des controllers oder der trim-funktion zu beachten?
habt ihr eine empfehlung für mich?


greets

impurplehaze
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Bei einer Software ist es eh egal was du für eine SSD nimmst nur bei einer gescheiten Hardware Verschlüsselung gibt es unterschiede.
 
nein ist ein älteres ding, kam noch nicht dazu mir ein neues gerät zu besorgen:

hp 6730s mit intel centrino


ich habe vor die hdd gegen die ssd zu ersetzen, nicht beide gleichzeitig zu betreiben!
was ist bezüglich des controllers oder der trim-funktion zu beachten?
 
nicht dass ich wüsste,
aber:

was ist bezüglich des controllers der ssd oder der trim-funktion bei einer vollverschlüsselung mit truecrypt zu beachten?
 
Zuletzt bearbeitet:
theoretisch egal ob du verschlüsselte oder unverschlüsseltes schreibst.
 
das ist mir schon klar, aber funktioniert beispielsweise die trimfunktion weiterhin vollständig? der ssd wird dann doch vorgegaukelt, dass sie "voll" ist oder nicht?
und welche controller haben besondere performanceeinbußen, wenn ich vollständig mit truecrypt verschlüssle?
 
Die Probleme hast du bei der CPU und den Akkuverbrauch weil sie mehr rechnen muss.
 
erstmal danke für deine bisherige hilfe, aber ich glaube du hast die frage noch nicht ganz verstanden!

ich gehe davon aus, dass die ssd probleme mit der trim-funktion bekommen wird, da ihr vorgegaukelt wird, dass sie 100% voll ist, da ich eine partition erstellen werden und diese vollständig, inkl. des OS, verschlüsseln möchte.
ist dadurch die trim-funktion in ihrer arbeitsweise gestört? muss ich diese funktion manuell per software betreiben oder kann ich weiterhin windows die trim-funktion verwalten lassen?


zudem habe ich einige artikel im netz gefunden, die davon berichten, dass die performance einiger controller nach der vollständigen verschlüsslung aufgrund des selben problems einbrechen kann!
hat hier schon jemand erfahrungen gemacht und kann mir eventuell einen bestimmten controller empfehlen, der weniger große performance einbrüche haben wird?
 
Ich habe keine konkrete Kaufempfehlung, du solltest dir aber über folgendes im Klaren sein:

Wovor willst du dich schützen? SSD & FDE widerspricht sich.

Wenn du 100% sicher sein willst darfst du kein Flash-Speichermedium verwenden. Flashspeicher und FDE schließt sich aus. Der Hintergrund:
Wenn der Controller entscheidet eine phy. Zelle jetzt pausieren zu lassen (OP) nimmt er diese heraus sobald die dort gelagerten log. Sektoren in anderen Zellen untergebracht worden sind. Er verschiebt hier nichts aktiv sondern notiert sich nur "Diese Zelle habe ich jetzt X mal beschrieben..." und wenn das nächste Mal diese Zelle verändert werden soll, rotiert der Controller sie halt heraus und nutzt eine andere. Das geschieht aber völlig transparent, d.h. Software bekommt davon nichts mit, folglich kann darauf auch nichts reagieren.

Was kann passieren? Du hast jetzt auf dem Desktop eine "geheim.txt" liegen. Das OS speichert diese in einem logischen Sektor ("virtuell"). Der Controller packt diesen Inhalt dann in einen physischen Sektor (vereinfacht: in Zelle), die er sich aussucht. Wenn du jetzt entscheidest die Datei besser zu löschen oder zu verschlüsseln, dann kann dein Betriebssystem lediglich die Festplatte anweisen besagten Sektor zu überschreiben. Bei Festplatten konnte man bis das AF Format und damit die Emulation einzog auch davon ausgehen, dass genau das passiert. Aber seit es Emulation gibt muss der vermeintliche physische Sektor aus Betriebssystemsicht nicht mehr dem physischen Sektor der Platte entsprechen. Und bei SSDs läuft es ja eh ganz anders ab: Lesen kostet nichts - keine Abnutzung. Aber jeder Schreibvorgang hat Auswirkungen auf die Lebenszeit. Somit versucht der Controller das Löschen von Zellen also zu vermeiden. Wie macht er das? Indem er diese Löschanweisung nicht wirklich umsetzt sonder sich denkt "Das ist doch jetzt ein prima Zeitpunkt um diese Zelle mal "pausieren" zu lassen..." und schiebt die bei sich im Verzeichnis (Verwaltung) in den "OP" Bereich. Leider ist der Status (Bits) der Zelle unverändert, anders formuliert: Die Daten sind noch in ihr gespeichert.

Die gleiche Problematik löst der TRIM-Befehl aus, der letztendlich ja auch nur sagt "Sektor X brauche ich nicht mehr".

Wer das weiß wird sich bei Angriffen auf Flashmedien (SSDs, USB Sticks...) eben speziell auf den OP-Bereich stürzen. Denn die Chance ist groß das hier zumindest Teile von ungeschützten Informationen lagern.

Daher Anfangs die Frage, vor wem willst du deine Daten schützen? Wenn du jetzt nicht zufällig der nächste Edward S. wirst und von den Daten keine Leben abhängen, ist eine Software-basierte FDE wohl auch bei Flashmedien akzeptabel. Gegen den gemeinen Dieb schützt es. Wenn du es mit Angreifern zu tun hast die Zellen auslesen können, nicht. Dann darfst du keinen Flashspeicher verwenden.

Ausnahmen:
Heute kommen eigentlich alle SSDs mit eingebauter Verschlüsselung. Was bedeutet das? Die Controller selber speichern schon alle Daten verschlüsselt, also nicht im Klartext. Das hat den Vorteil, man kann ein SSD in Sekunden komplett löschen ohne die Zellen abzunutzen: Man weist das SSD einfach per ATA-Befehl an den Schlüssel weg zuwerfen (einen neuen zu generieren). Die Zellen sind zwar nun weiterhin belegt, aber in der Theorie hat niemand den Schlüssel um sie zu lesen.
Es gibt aber ein Problem: In der Regel sind Festplatten wie auch SSD offen. D.h. trotz Verschlüsselung sind die Keys zugänglich. IBM (Lenovo) realisiert seine FDE heute so, dass deren Laufwerke standardmäßig im geschützten Modus laufen. Das BIOS schaltet mit dem Festplattenkennwort das Speichermedium eben frei. Das geht theor. mit jedem Medium was diesen ATA-Standards beherrscht. Oftmals fehlt es nur an der Pre-Boot-Authentication (also bspw. einem BIOS was ein Kennwort entgegen nimmt und dann freischaltet).

...auch muss man sich die Frage stellen, inwieweit man einem Controller eines Speichermediums trauen möchte. Wir alle wissen heute, wie kritisch echte Zufallszahlen bei der Verschlüsselung sind. Jede SSL-Implementierung hatte in den letzten Jahren hier Fehler vorzuweisen. Wieso sollte das bei den Firmwares anders sein? Und dann stellt sich natürlich noch die Frage wieso wir nicht annehmen sollten, dass hier ab Werk Mastercodes integriert sind... :)


Wenn du also noch immer dein Notebook mitnehmen willst dann weißt du nun worauf du achten solltest/was deine Schwachpunkte sind. Sofern eben kein Menschenleben davon abhängt und du dich selbst als Top-Target siehst... ;)

PS: Wenn es nach Ländern wie UK geht solltest du definitiv ein OS im OS haben. Dort gibt es Gesetze die es erlauben dich in Haft zu nehmen, bis du denen das Kennwort verrätst. Früher habe ich von diesem plausible deniability Kram nichts gehalten. Heute sehe ich das anders...
 
Dort gibt es Gesetze die es erlauben dich in Haft zu nehmen, bis du denen das Kennwort verrätst.
Nennt sich schlicht und einfach untersuchungshaft.
Geht auch in DACH ohne Probleme...
 
Mich hätten sie fast am Flughafen festgenommen weil jemand meinte ich sei ein terrorist....
 
In der heutigen Zeit ist das natürlich die Karte die Behörden spielen können um so einiges erst einmal machen zu können was eigentlich unvorstellbar ist. Noch hoffe ich darauf, dass das nur den anderen passiert bzw. Leuten die auch viel dafür tun um auffällig zu sein oder das sich dass, zumindest an deutschen Flughäfen, schnell klärt.

Bei längeren Auslandsaufenthalten kann man auch überlegen am besten ohne Computer zu reisen und sich vor Ort ein neues Gerät zu kaufen und seine Daten verschlüsselt aus der Cloud zu laden...
 
Daher Anfangs die Frage, vor wem willst du deine Daten schützen? Wenn du jetzt nicht zufällig der nächste Edward S. wirst und von den Daten keine Leben abhängen, ist eine Software-basierte FDE wohl auch bei Flashmedien akzeptabel. Gegen den gemeinen Dieb schützt es. Wenn du es mit Angreifern zu tun hast die Zellen auslesen können, nicht. Dann darfst du keinen Flashspeicher verwenden.
Bei einer softwarebasierten Vollverschlüsselung erreichen die Festplatte/SSD/wasauchimmer ausschliesslich verschlüsselte Daten, es ist völlig egal ob der Flashspeicher sie nun tatsächlich löscht oder nicht, sie bleiben nicht lesbar.

- - - Updated - - -

Truecrypt unterstützt mW Trim, Controller die komprimieren (Sandforce z.B.) können bei verschlüsselten Daten nichts heraus holen (und werden dann immer deutlich langsamer als die Marketingdaten sein). Es gibt keine zeitgemäßen 60GB Laufwerke mehr und auch 120er Laufwerke werden nicht gerade zur Leistungselite gehören, tut die restliche Hardware bei dir aber auch nicht. Als zuverlässige Laufwerke lassen sich http://geizhals.de/crucial-m500-120gb-ct120m500ssd1-a889880.html?hloc=de und http://geizhals.de/crucial-mx100-128gb-ct128mx100ssd1-a1122680.html?hloc=de empfehlen.
 
Wenn du in einer vertrauenswürdigen Umgebung bspw. einen TC-Container erstellst und deiner Passphrase vertraust kannst du diese Datei in meinen Augen überall ablegen. Das ist das einzig tolle an Cloud-Diensten... man kann Dateien "irgendwo" lagern.

Bei einer softwarebasierten Vollverschlüsselung erreichen die Festplatte/SSD/wasauchimmer ausschliesslich verschlüsselte Daten, es ist völlig egal ob der Flashspeicher sie nun tatsächlich löscht oder nicht, sie bleiben nicht lesbar.
Nein. Du gehst davon aus von Sekunde 0 an ein verschlüsseltes System zu haben, aber gerade bei TC musst du das System ja erst installieren um es dann im Betrieb verschlüsseln zu können.

Ansonsten würde ich dir zustimmen: Sobald voll verschlüsselt ist wird vom OS nichts mehr im Klartext kommen...
 
Nein. Du gehst davon aus von Sekunde 0 an ein verschlüsseltes System zu haben, aber gerade bei TC musst du das System ja erst installieren um es dann im Betrieb verschlüsseln zu können.
Klar du nimmst ein sauberes System ohne deine Daten drauf nur mit Treiber die du brauchst. Dann aktivierst du Bitlocker oder TC und schon sieht man nix mehr.
 
hey leute vielen dank für die ganzen kommentare!!!
also ich bin ganz sicher kein edward snowden, ich habe einfach nur ein altes fuckin notebook, das ich mit nach hongkong/macau nehmen möchte und darauf, für ein projekt, einige dokumente, die für den fall eines diebstahls, einem normalen menschen nicht zugänglich sein sollen!! ich bin student, keine person von interesse! wenn behörden möchten, dass ich das passwort eingebe um checken zu können, ob ich illegale dokumente dabei habe, ist mir das ehrlich gesagt scheiß egal! mir gehts allgemein einfach nur um das abhandenkommen meines notebooks.

ich bin es von meinem rechner zuhause gewohnt mit einer ssd zu arbeiten, deswegen hätte ich auch gerne eine im notebook, die die alte langsame hdd (5400rpm, zugriffszeit >1min) ersetzen soll.
und weil ich wie gesagt nur für den fall des falles keine lust habe mir sorgen um meine daten machen zu müssen, habe ich überlegt, das ganze via truecrypt zu verschlüsseln.
solange die ssd mit verschlüsselung schneller ist als die alte hdd und mir wenigstens ein halbes jahr hält, ohne abzurauchen, ist mir der rest vollkommen egal:)
mich hatte es nur allgmein interessiert ob ihr besondere empfehlungen für mich habt!
ich dachte der fall wäre schon mal im forum durchgekaut worden und ich war nur zu dumm die suche zu benutzen!
welchen controller / ssd sollte ich nun bevorzugt behandeln oder ist das wirklich egal in diesem fall?



1000 merci & greets


kurz noch OT:


Mich hätten sie fast am Flughafen festgenommen weil jemand meinte ich sei ein terrorist....

warum war es mir nur klar, dass dir schon sowas passiert ist...
 
Zuletzt bearbeitet:
Moin imPurpleHaze,

falls es eine mit der eingangs genannten geringen Kapazität sein soll, schau dir vielleicht auch diese an:

TeamGroup Dark L3 SSD 60GB, SATA 6Gb/s (T253L3060GMC101)
https://geizhals.de/teamgroup-dark-l3-ssd-60gb-t253l3060gmc101-a1031712.html?hloc=at&hloc=de

Fast alle Modelle, die es heute noch unter 120GB gibt, sind bereits seit zwei Jahren oder länger erhältlich.

Wenn du etwa 25 € mehr ausgeben kannst, würde ich wie ******* zur Crucial BX100 120GB raten:

Crucial BX100 120GB CT120BX100SSD1 Preise | Hardwareluxx Deutschland

Rund 10 € weniger kostet dagegen die SanDisk Ultra Plus Notebook 128GB, SATA 6Gb/s (SDSSDHP-128G-G25), mit geringer Leistungsaufnahme:

https://geizhals.de/sandisk-ultra-plus-notebook-128gb-sdssdhp-128g-g25-a890677.html?hloc=at&hloc=de
 
meine Sandforce (Extrememory XLR8 Express 240GB) im Notebook ist seit Ende 2011 im Einsatz mit Bitlocker.

Die Panikmache mit "die Sandforce kann da nix mehr komprimieren und ist so langsam" konnte ich noch nie so recht nachvollziehen ;)
 
Die ganzen Probleme stellen sich auch nicht. Manche sülzen ihn hier mit Belanglosigkeiten zu.

Student, mit einem Reisenotebook (zuhause ist er Läppi/SSD schon gewohnt, das nimmt er aber nicht mit), einen alten Notebook, sucht eine SSD, mit minimalen Anforderungen. Klingelts?

Da ist die mit der allergeringsten Stromaufnahme die richtigste. Kingston also.

p.s.:
Ich würde aber trotzdem DiskCryptor dafür nehmen :)
 
Zuletzt bearbeitet:
Es gibt aber ein Problem: In der Regel sind Festplatten wie auch SSD offen. D.h. trotz Verschlüsselung sind die Keys zugänglich. IBM (Lenovo) realisiert seine FDE heute so, dass deren Laufwerke standardmäßig im geschützten Modus laufen. Das BIOS schaltet mit dem Festplattenkennwort das Speichermedium eben frei. Das geht theor. mit jedem Medium was diesen ATA-Standards beherrscht. Oftmals fehlt es nur an der Pre-Boot-Authentication (also bspw. einem BIOS was ein Kennwort entgegen nimmt und dann freischaltet).
Hallo, ich habe meine 840 EVO mit einem BIOS Passwort geschützt, heißt dass das die Daten nun Geschützt sind ? Da ich nur Windows 7 Home Edition habe ist Drive Cryptor leider nicht verfügbar. Oder brauch ich noch eine Verschlüsselung ?
 
Und das ATA Passwort hilft wenig weil die Daten darauf auch nicht verschlüsselt ist sondern "nur" der Zugriff.
Lötet man die Chips aus kommt man drauf....

Wennst eine gescheite willst brauchst du eine SED SSD zb:
"G1K24AA HP 128GB SATA SED Opal2 SSD"

Natürlich mit den passenden Controller.
 
So sieht das aus, heißt ja eigentlich, das die Samsung Verschlüsselung aktiviert ist ?
 

Anhänge

  • full.png
    full.png
    50,2 KB · Aufrufe: 104
  • class0.png
    class0.png
    8,6 KB · Aufrufe: 91
Ach die, ja. Die soll aber nur ein Performance Schub bringen... allerdings gibt es mittlerweile Berichte darüber das nach einiger Zeit die Probleme wieder auftreten. Deshalb hab ich mir das noch nicht angetan.
Werde das auf meinem Desktop mal testen und dann schauen. Danke aber für den Hinweis.
Btw. Im Tool selber wird mir der Download nicht angeboten.
 

Ähnliche Themen

Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh