Geht TRIM bei Veracrypt nicht?

D

Dwayne_Johnson

Legende
Thread Starter
Mitglied seit
24.12.2009
Beiträge
15.167
Geht TRIM bei Veracrypt nur bei Systemlaufwerken?
Hab mal testweise eine Datenpartition eingerichtet und da geht TRIM definitiv nicht :shake:
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Was gibt denn TrimCheck aus? Das wegen der Verschlüsselung nicht "TRIM appears to be WORKING" erscheinen wird, sollte klar sein, denn dies wird nur ausgegeben wenn danach nur Nullen ausgelesen werden, aber was eben wegen der Verschlüsselung nicht so an das Tool weitergegeben wird, vielmehr werden die Nullen eben "entschlüsselt" und damit sieht TrimCheck dann keine Nullen mehr.
 
Kennt sich jemand mit VeraCrypt von der Projekt-/Entwicklungsseite her aus?

Finde es sehr schade, dass der VeraCrypt-Treiber insbesondere die 4K-Werte von aktuellereren SSDs so erheblich negativ beeinflusst und selbst das viel kleinere Projekt DiskCryptor hier wesentlich performanter ist bzw. war, da es ja leider nicht mehr weiterentwickelt wird.
 
Holt schrieb:
Was gibt denn TrimCheck aus? Das wegen der Verschlüsselung nicht "TRIM appears to be WORKING" erscheinen wird, sollte klar sein, denn dies wird nur ausgegeben wenn danach nur Nullen ausgelesen werden, aber was eben wegen der Verschlüsselung nicht so an das Tool weitergegeben wird, vielmehr werden die Nullen eben "entschlüsselt" und damit sieht TrimCheck dann keine Nullen mehr.
Zum Vergrößern anklicken....

Naja, normalerweise sollten bei TRIM nur Nullen oder etwas anderes (bei Bitlocker) drin stehen. Aber die Inhalte der Zellen sind immer gleich. Funktioniert also nicht.

Jetzt frage ich nicht, ob das auch nicht funktioniert, wenn ich das Laufwerk normal belasse, aber darauf einen VC-Container erstelle.
Aber wenn Windows nicht mitbekommt, dass sich was im Container geändert hat, würde TRIM an der Stelle der Änderung auch nicht funktionieren, richtig?

Angenommen TRIM innerhalb des Containers funktioniert doch, wären die Daten des Containers überhaupt sicher wegen Wearleveling?
 
Zuletzt bearbeitet:
TRIM kann nach meiner Logik nicht funktionieren, für die SSD ist der Container komplett mit Daten gefüllt, das ist ja das System von Veracrypt das man die Mülldaten nicht von den Nutzdaten unterscheiden kann.
 
Wie sieht es eigentlich mit Wearleveling in Verbindung mit VC-Verschlüsselung aus? Das sollte doch gehen, oder?
Wenn Wearleveling da funktioniert, ist es aus Sicherheitsgründen leider nicht zu empfehlen. Schade...

Aber irgendwie verstehe ich nicht ganz, warum das unsicherer sein soll, wenn der Inhalt einer verschlüsselten Zelle 1:1 in eine neue Zelle geschrieben wird
 
Zuletzt bearbeitet:
Wearleveling wird funktionieren, für die SSD ist der Container einfach eine große Datei, die wird der Controller der SDD schon hin u. her schieben um die Zellen zu schonen,

u. zu dem Thema TRIM bei Systemlauferkern, da kann Win den TRIM Befehl gerne an das geöffnete Laufwerk geben, nur kommt das nicht beim Container an.
 
Dwayne_Johnson schrieb:
Naja, normalerweise sollten bei TRIM nur Nullen oder etwas anderes (bei Bitlocker) drin stehen. Aber die Inhalte der Zellen sind immer gleich. Funktioniert also nicht.
Zum Vergrößern anklicken....
Ja, wenn der Inhalt unverändert ist, dann wurde die SSD nicht getrimmt. Wobei ich auch noch mal nach einem Reboot testen würde, nicht das da irgendwas cacht und beim zweiten Lauf gar nicht der Inhalt neu ausgelesen wurde.

Dwayne_Johnson schrieb:
Aber wenn Windows nicht mitbekommt, dass sich was im Container geändert hat, würde TRIM an der Stelle der Änderung auch nicht funktionieren, richtig?
Zum Vergrößern anklicken....
Was soll sich denn ändern, ohne das Windows etwas mitbekommt, außer bei der initialen Verschlüsselung des Containers? Alle Änderungen danach sind doch die Folge von Schreib- oder Löschvorgängen die auch Windows bekannt sind.

Dwayne_Johnson schrieb:
Angenommen TRIM innerhalb des Containers funktioniert doch, wären die Daten des Containers überhaupt sicher wegen Wearleveling?
Zum Vergrößern anklicken....
Das Wearleveling der SSDs passiert intern, von außen bleiben die Daten selbstverständlich an den gleichen Adressen abrufbar, auch wenn der Controller sie intern auf andere NAND Adressen verschoben hat. Wäre es anders, wären die Filesysteme ja dauernd korrupt, denn das Filesystem wird vom OS des Rechners verwaltet, nicht von der SSD. Die SSDs und HDDs stellen immer nur einen linearen Adressraum zur Verfügung und wissen weder von Partitionen noch von den Filesystemen, Verzeichnissen oder Dateien etwas, denn sie werten die Datenstrukturen auf ihnen nicht selbst aus, dies ist die Aufgabe des Betriebssystems.

- - - Updated - - -

Andi 669 schrieb:
Wearleveling wird funktionieren, für die SSD ist der Container einfach eine große Datei, die wird der Controller der SDD schon hin u. her schieben um die Zellen zu schonen
Zum Vergrößern anklicken....
Eben, aber Wearleveling funktioniert natürlich nicht auf Dateiebene, da die SSD Controller ja nicht wissen was eine Datei ist. Bei einer großen Datei wie einem Container, wird dann mal ein Teil davon durch das Wearleveling auf andere NAND Adressen verschoben, aber davon merken weder VC noch das Betriebssystem etwas, denn da ist ja noch die Mappingtabelle dazwischen, die weiß an welcher NAND Adresse die Daten für welchen LBA stehen und wenn nach dem Verschieben dieser LBA wieder gelesen wird, dann werden die Daten aus der neuen NAND Adresse gelesen, davon merkt aber eben der Host nichts, da dies alles intern in der SSD passiert.
 
In einem anderen Forum hab ich einen wichtigen Hinweis bekommen...
Man muss einen Haken bei VC setzen, dann funktioniert TRIM (System- und Datenlaufwerk)

Wie erwartet, geht es nicht mit Containern. Aber das wurde ja weiter oben schon geschrieben


btw:
Jetzt brauche ich nur noch die richtigen Einstellungen, um die Performance der SSD nutzen zu können.
Mit Bitlocker ist die Performance 1:1, wie ohne Verschlüsselung.

Mit VC bricht die Perf. um ca. 50% ein. Dabei hab ich nur AES und SHA256-Algo. genommen
 
Zuletzt bearbeitet:
Mit Bitlocker ist die Performance nur dann 1:1 wie ohne Verschlüsselung, wenn die SSD Opal2 unterstützt, da dann der SSD Controller die Ver- und Entschüsselung ausführt. Andernfalls kostet auch bei Bitlocker die Verschlüsselung Performance, weil sie dann eben auch von der CPU des Rechner ausgeführt werden muss. Wie viel hängt also neben der gewählten Art der Verschlüsselung, vor allem von der Performance der CPU bei der Ausführung ab, wobei CPUs mit AES-NI Befehlserweiterung klar im Vorteil sind.
 
Ok, gut zu wissen. Das ist auch der Fall...
Aber warum kann VC opal nicht nutzen?

CPU ist ein 9900K (oc)


btw:
Wo genau legt WIN10 die Daten zum automatischen Entschlüsseln Datenlaufwerken ab?
 
Zuletzt bearbeitet:
Dwayne_Johnson schrieb:
Ok, gut zu wissen. Das ist auch der Fall...
Aber warum kann VC opal nicht nutzen?
Zum Vergrößern anklicken....

Weil Veracrypt aus gutem Grund der Hardware Verschlüsselung nicht vertraut. In der Vergangenheit hat sich zu häufig gezeigt das die Hersteller das verkacken und man teilweise ohne oder nur mit Pseudo Verschlüsselung da stand. Das ist nun mal nicht vereinbar mit einer Lösung die jetzt mehrfach bereits auditiert wurde und nachgewiesen sicher Verschlüsselt.
 
Eben, es passt nicht zur Philosophie von Veracrypt.
 
TheBigG schrieb:
Weil Veracrypt aus gutem Grund der Hardware Verschlüsselung nicht vertraut. In der Vergangenheit hat sich zu häufig gezeigt das die Hersteller das verkacken und man teilweise ohne oder nur mit Pseudo Verschlüsselung da stand. Das ist nun mal nicht vereinbar mit einer Lösung die jetzt mehrfach bereits auditiert wurde und nachgewiesen sicher Verschlüsselt.
Zum Vergrößern anklicken....

Ich weiss, was du meinst...
Da gibt es Anleitungen zum Rumlöten auf manchen SSDs, um Daten abzugreifen

Kann man Opal bei Samsung-M.2-SSDs abschalten?
 
Zuletzt bearbeitet:
Trim Operation
Some storage devices (e.g., some solid-state drives, including USB flash drives) use so-called 'trim' operation to mark drive sectors as free e.g. when a file is deleted. Consequently, such sectors may contain unencrypted zeroes or other undefined data (unencrypted) even if they are located within a part of the drive that is encrypted by VeraCrypt. VeraCrypt does not block the trim operation on partitions that are within the key scope of system encryption (unless a hidden operating system is running) and under Linux on all volumes that use the Linux native kernel cryptographic services. In those cases, the adversary will be able to tell which sectors contain free space (and may be able to use this information for further analysis and attacks) and plausible deniability may be negatively affected. If you want to avoid those issues, do not use system encryption on drives that use the trim operation and, under Linux, either configure VeraCrypt not to use the Linux native kernel cryptographic services or make sure VeraCrypt volumes are not located on drives that use the trim operation.

To find out whether a device uses the trim operation, please refer to documentation supplied with the device or contact the vendor/manufacturer.

Trim Funktionert bei mir auf allen SSD´s die ich nutze unter W10 auf 4 Computern. Zu Windows 7 zeiten war das nicht der Fall. Systemencrypted die Systemlaufwerk und sämtliche Anhängigen SSD´s sind vollvercryptet, keine Container.
 
Zuletzt bearbeitet:
Heißt aber im Umkehrschluss das man damit einen Teil der Sicherheit gegen das Knacken der Nutzdaten verliert, denn dann sind nur noch Datenblöcke belegt wo sich auch wirklich was befindet. :hmm:
 
Wer so geheime Sache da drauf hat das er sich darum Gedanken machen muss, dessen Rechner sollte nie mit dem Internet verbunden sein.
 
Andi 669 schrieb:
Heißt aber im Umkehrschluss das man damit einen Teil der Sicherheit gegen das Knacken der Nutzdaten verliert, denn dann sind nur noch Datenblöcke belegt wo sich auch wirklich was befindet. :hmm:
Zum Vergrößern anklicken....

Dann aktiviert man TRIM erst garnicht. Ist ja standardmäßig deaktiviert...
Ich hab damit kein Problem. Das PW muss erstmal geknackt werden. Selbst, wenn das jemand schaffen würde, sind da noch verschlüsselte 7zip-Files, die erstmal gefunden werden müssen
 
Das muss aber schon einige Jahre so sein (auch unter WIN 7), da der Status bei mir nie "Hardware..." angezeigt hat (immer nur XTS-AES 256 bit)
 
Bei der relativ neuen 970 EVO Plus muss "TCG Opal" wohl standardmäßig deaktiviert sein. Hab da noch immer die FW ab Werk drauf
Bei meinen 840 EVO und 850 EVO weiss ich gerade nicht, welche FW gerade darauf ist, aber die 850er war jahrelange unter WIN 7 mit Bitlocker in betrieb und ich musste wegen der Verschlüsselungsart nie was in den Richtlinien ändern.

Was ich aber komisch finde, dass die 970 EVO Plus in Benchmarks exakt das leistet, wie komplett ohne Verschlüsselung.
Müsste die nicht bei Softwareverschlüsselung langsamer sein?
 
Kommt drauf an was du wie getest hast. Eine mit AES vercryptet SSD mit ein 3700X der 2AES Einheiten je Kern zugeordent hat habe ich theo. max 3,6 GB Durchsatz laut Veracyrpt (Schreibgeschwindkeit bei 1TB Kapazität SSD). In der Praxis ist bei 2,5 GB sowieso Schluss (Schreiben). Also keine Einschränkung. Nutzt du z.B. Serpent oder Kaskatierungen sieht das anners aus.
 
Zuletzt bearbeitet:
Bitlocker ist für mich keine Alternative bzw Derivat zu VeraCrypt da keine andere Möglichkeit als AES 128/256 und Windows, keine Einsicht in Funktionsweise und Hashalgorithmen. Keine Anpassungen an Neuerungen wie Headerverschlüsslung wie PBKDF2-RIPEMD160 mit 327661 anstatt 1000 Iterationen und bei den Containern 655331 Iterationen anstatt 2000. Logisch wird Bitlocker schneller sein wenn es schlechter verschlüsselt.

edit: Aktuelle neu Version von Gestern Veracyrpt 1.24. Mit RAMencryten.
 
Zuletzt bearbeitet:
Stop, wir reden gerade von zwei verschiedenen Sachen. Ich meine NICHT schnell entschlüsseln beim Mounten, sondern schneller lesen und schreiben


Was mir bei VC nicht gefällt, dass man keine Volumes mit Testcrypt wiederherstellen kann, das geht mom. leider nicht unter TC.
Aber es gibt einen Trick
 
Zuletzt bearbeitet:
Ich hab dank neuer Prozzis die alle AES in haben keine Einschränkungen bei Lesen und Schreiben auf meinen C Laufwerken (Samsung) weil dort AES aktiv ist. Einschränken Sehe ich nur bei mein anderen Laufwerken wo ich halt kein AES nutze, wo ich Serpant mit Kyshnik Kaskadiere da brichst die Leistung dann schon unter 1 GB Schreibleistung ein weil dann der Prozzi alleinig dafür ackern muss. Aber ich merke das im normalen Nutzbereich garnicht. Ich bin vor 2 Jahren von Sandybridge 2700k mit normeln 7200 Festplatten auf Ryzen gewechselt. Das sind Welten unterschiede in Sachen Kryptik.
 
Zuletzt bearbeitet:
Aktuelle werte aus 1.24 mit 3700X
ver124.jpg
Da wurde bissel optimiert was den Durchsatz bei AES angeht.
 
Ich finde diese Benchmarks absolut nichtssagend...
AES bringt zb im Mittel 7,6GB/s., aber wieso kann eine SSD gerade mal 50% seiner Schreibleistung erreichen?
Wenn im RAM entschlüsselt wird, sollte sie doch ohne Einbrüche schreiben können, oder nicht?
 
Die Entschlüsselung erfolgt ja erst, nachdem die Daten oder zumindest ein gewisser Teil davon, gelesen wurden. Das ist dann ggf. das nächste Problem, denn wenn die Verschlüsselungssoftware auf langen Zugriffen viele kürzere macht um schnell die ersten Daten zum Entschlüssel vorliegen zu haben, dann erreichen SSDs einfach keine so hohen Transferraten wie bei langen Zugriffen. Daher ist ein gewisser Performanceverlust bei SW Verschlüsselung nie zu vermeiden und je nachdem wie die die Zugriffe beeinflusst, kann dies bei SSD oder schreibend auch bei HDDs mit SMR sogar empfindlich ausfallen.
 
Anmelden, um zu antworten.

Ähnliche Themen

O
TRIM an USB (Win10)?
Antworten
1
Aufrufe
383
Holt
Holt
_Artemis_
WD-Dashboard-Software und automatisches Trim
Antworten
2
Aufrufe
415
_Artemis_
_Artemis_
D
Nach Wechsel auf Sata SSD, kopieren langsam.
Antworten
5
Aufrufe
472
Dave20202
D
M
Nacon GC 400ES mit GTA 5 nutzen
Antworten
2
Aufrufe
212
Kail
K
FreedomOfSpeech
PC (HDMI) -> LG TV (Toslink) -> Reciever 5.1 geht nicht
Antworten
0
Aufrufe
81
FreedomOfSpeech
FreedomOfSpeech
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh