Hardware Raid 5 mit Verschlüsselung Truecrypt ?

Ranger_84

Ranger_84

Enthusiast
Thread Starter
Mitglied seit
10.06.2011
Beiträge
569
Hallo Leute

Ich habe einen Adaptec 6805 Raid Controller an dem hängen 4x2TB WD RE4 Platten. Kann mann die Complette Partition vom Raid5 mit dem Programm truecrypt/Drivecrypt verschlüsseln oder sollte mann sowas bei einem Raid lassen ?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Warum willst du die Platten verschlüsseln? oO
Des schlcukt ewig Ressourcen.
Verschlüsseln solltest du es auf jedenfall können.
Eine Platte ist ja verschlüsselt, auf die andere wird ja bei RAID5 nur gespielgelt. Daher ist das ja automatisch auch verschlüsselt.
 
Zuletzt bearbeitet:
Ill_Nino schrieb:
Warum willst du die Platten verschlüsseln? oO
Des schlcukt ewig Ressourcen.
Verschlüsseln solltest du es auf jedenfall können.
Eine Platte ist ja verschlüsselt, auf die andere wird ja bei RAID5 nur gespielgelt. Daher ist das ja automatisch auch verschlüsselt.
Zum Vergrößern anklicken....


Weil ich Paranoide wahnvorstellungen habe :)
Hat jemand schon damit Erfahrung gemacht bei einem Raid ?
 
Hab drei Platten an einem 2008R2 im Raid5 (Software, dynamische Datenträger) mit Truecrypt verschlüsselt.
Keine Probleme, außer dass ich das Ding jedesmal manuell mounten muss. Ist bei mir ned so wichtig weil das nur das Backup-NAS ist.

Produktiv setze ich eher auf Bitlocker und USB-Stick bzw TPM-Modul. Da wird das Hardware-Raid5 (LSI 0750-8i) automatisch mit dem im TPM-Modul gespeicherten Schlüssel entsperrt, an die Daten kommt man nur per Windows-PW.
HDDs einfach ausbauen geht auch nicht, weil der Schlüssel weiterhin im TPM-Modul liegt.
Maximaler Komfort, Leistungsverlust maximal 10% und sicher ist der Spaß auch.
Wenn du also TPM zur Verfügung hast, nimm Bitlocker.

Btw, bei Raid5 wird gar nix gespiegelt. Das ist Raid1...
 
Weiterhin ist es auch ein Mythos, dass die Verschlüsselung "ewig viel Ressourcen" schluckt, besonders bei aktuellen Prozessoren mit AES-NI-Erweiterung. Bei bis zu mehreren tausend MB/s-Datendurchsatz bei AES-256bit-Verschlüsselung wird man dort wahrscheinlich gar nicht merken, dass die Verschlüsselung überhaupt aktiv ist.
Selbst bei aktuellen Quad-Core-Prozessoren ohne AES-NI bewegt sich der Leistungsverlust im spürbaren aber erträglichen Rahmen, solange man von der Verarbeitung großer Datenmengen absieht (Videoencoding o. Ä.).
 
Ill_Nino schrieb:
Warum willst du die Platten verschlüsseln? oO
Des schlcukt ewig Ressourcen.
Verschlüsseln solltest du es auf jedenfall können.
Eine Platte ist ja verschlüsselt, auf die andere wird ja bei RAID5 nur gespielgelt. Daher ist das ja automatisch auch verschlüsselt.
Zum Vergrößern anklicken....

Welche Platte ist verschlüsselt?
Seit wann spiegelt RAID5?

@Topic

Klar kann man verschlüsseln und Verschlüsselung ist auch Hardwarefressend, und das nicht zu knapp.

Dass ganz aktuelle CPUs einen µCode dafür(AES) haben ändert nichts an der Tatsache, denn sonst bräuchte man diesen µCode nicht.

Wenn man sich mal auf einer CPU die anderen Verfahren anschaut, dann sieht man, dass da ganz schnell der Speed in den Keller wandert.

Ein 8core OpteronSystem kommt mit AES und 2fish auf "nur" 300MB/s, unter Vollast aller Kerne, sprich, da ist ne Menge an Berechnungen zu tun.
 
Markus1984 schrieb:
Weil ich Paranoide wahnvorstellungen habe :)
Hat jemand schon damit Erfahrung gemacht bei einem Raid ?
Zum Vergrößern anklicken....

Hallo Markus 1984

Habe hier ein HW RAID5 mit 4x3TB welches auch verschlüsselt ist.
Ich würde dir jedoch Diskcryptor ans Herz legen. Grund: Bei Truecrypt können nur System Partitionen wieder entschlüsselt werden, bei DiskCryptor kannst Du jede beliebige Partition wieder entschlüsseln...
Wenn Du das RAID und somit evtl. auch das Filesystem erweitern möchtest, denke ich, kommst Du nicht drum herum das RAID vorgängig zu entschlüsseln... Aber das mit dem erweitern habe ich selber noch nie getestet mit verschlüsselung...

Ansonsten spricht meiner Meinung nach nichts gegen die verschlüsselung eines RAIDs, für den Kontroller sind das sovieso nur 1 und 0.

Gruss Mete
 
Zuletzt bearbeitet:
Ui das mit dem entschlüsseln ist natürlich schlecht. Da muss ich mir was anderes überlegen. DriveCrypt soll auch nicht schlecht sein oder ?
 
DriveCrypt ist Shareware -> nicht Open-Source -> für Sicherheitsanwendungen nicht zu gebrauchen!
TC ist "fertig entwickelt", während sich DiskCryptor noch bei einigen Sachen im Entwicklungsstadium befindet. Außerdem ist mir eine Software, deren Changelog in Russisch verfasst ist, irgendwie suspekt...
 
Zuletzt bearbeitet:
Also glaubst du bei Drivecrypt gibt es eventuell ne Hintertür ? Obwohl sie ja sagen das es nicht so ist aber das heißt ja nichts
 
Hab 5+1,5tb im RAID5 mit TrueCrypt verschlüsselt und geht ohne Probs.
Hab mir nen I5 mit der AES beschleunigung geholt. Funktioniert gut und ohne Probs.
 
Habe zwar kein Raid, aber ein nagelneues Notebook, dass morgen per Post bei mir eintreffen wird :) Nun frage ich mich, ob ich es direkt von anfang an komplett verschlüsseln sollte um so ungebetenen Leuten nicht direkt die Möglichkeit zu geben an die Daten zu kommen.
Das gekaufte Notebook ist nen X220 mit Fingerabdruckscanner und TPM Modul... Gibt es ne Möglichkeit, dass das System anhand des Fingerabdruckes automatisch die verschlüsselte Festplatte mounted? Das hat mich bei Truecrypt immer gestört, dass man jedes Mal manuell den Container mounten musste um an die Daten zu kommen. Geht das auch bisschen "eleganter"? :)
 
Klar geht das, mit Bitlocker. Nutze ich in der Konstellation auf meinem X200s und am W500 :)
 
Hat schon einer mit Truecrypt ein Raid5 erweitert ? also ne platte mehr eingebaut z.b. ?
 
Die Frage solltest du unabhängig von RAID stellen: Nein, grundsätzlich kannst kein TC-Volumen vergrößern.

Es gibt jedoch ein Community-Projekt, welches dies ermöglicht:
extcv | Download extcv software for free at SourceForge.net

Ziel des Projekts ist u.a. genau den Anwendungsfall des RAID-Ausbaus zu berücksichtigen. Funktioniert prinzipiell auch. Was bleibt ist die Sorge ;-)


@ PhreakShow:
Du wirst ganz sicher nicht BitLocker per Fingerabdruck authentifizieren. Ich bin mir sehr sicher, dass du beim Startvorgang ein Kennwort o.ä. während BitLockers PBA eingeben musst.

Normaler Ablauf ist:
Thinkpad einschalten (manuell oder per Fingerprint).
Wenn manuell, dann PowerOn Kennwort via Fingerprint.
Dann kommt die PBA von BitLocker und da geht kein Fingerprint-Support was gut ist!
Danach startet Windows... hier kann dann die vorherige Fingerprint-Auth weitergereicht werden, so dass kein Windows-Kennwort eingegeben werden muss.
 
Zuletzt bearbeitet:
Und geht das den mit anderen Programm wie Drive Crypt ?
 
Darüber ist mir jetzt nichts bekannt. Bei BitLocker kann das Volumen im Zweifelsfalle wenigstens vollständig entschlüsselt werden. Da hier alles "Standard" ist, kann das normale Volumen anschließend wie gewohnt erweitert und danach erneut verschlüsselt werden.

Wäre also höchstens zeitaufwändiger.
 
Whistl0r schrieb:
@ PhreakShow:
Du wirst ganz sicher nicht BitLocker per Fingerabdruck authentifizieren. Ich bin mir sehr sicher, dass du beim Startvorgang ein Kennwort o.ä. während BitLockers PBA eingeben musst.
Zum Vergrößern anklicken....

Dann liegst du leider falsch. Mit dem zweiten Satz jedenfalls.
Man schaltet das Thinkpad ein, Bitlocker entsperrt die Festplatte mit dem Schlüssel aus dem TPM.
Das Notebook bootet ohne Zutun des Benutzers, bis zur Windows-Passworteingabe. Man gibt entweder sein PW ein oder zieht den Finger über den Scanner.
 
Ah ok. Diese Option hatte ich außen vorgelassen. BitLocker kennt ja 3 Modi:
  • TPM only
  • TPM + Pin (Passhphrase)
  • TPM + Pin + Token
Der "TPM only"-Modus ist für meinen Geschmack zu unsicher. Für mich kommt nur "TPM + Pin" in Frage...

Aber ja, dann ist es so wie du gesagt hast. Dann reicht ein Fingerprint um das System durchzustarten...
 
Zuletzt bearbeitet:
Also ganz ehrlich - wer Fingerprint für sicherheitsspezifische Aspekte nutzt, der kann die jeweiligen Aspekte auch gleich bleiben lassen. Nen Fingerabdruck von nem Notebook zu bekommen ist eins der geringsten Hindernisse...
Will man eine Verschlüsselung, dann muss man damit leben, sich ein PW mit mehr als 10 Zeichen merken zu können!
 
Bitte beim Thema bleiben. Ich suche nur Leute die schonmal mit Truecrypt ein Raid 1 oder höher erstellt haben und z.b. auch mal ne Kapazitäts Erweiterung (Raid 5 erweitert von 4 auf 5 Platten) oder eine Platte wegen defekt ausgetauscht haben.
 
Hallo!
Ich besitze 2x RAID6 mit je 8x2TB Samsung F4 die an einem Areca-Raidcontroller hängen und jeweils vollverschlüsselt (gesamte Partition) mit TrueCrypt sind.
Leistungstechnisch verwende ich einen kleinen Core i3 (ohne native AES Unterstützung) und für mich reicht die Leistung bei weitem aus. Ich finde den Einbruch nicht schlimm zumal Gigabit-LAN bei mir sowieso limitiert, aber das muss jeder für sich wissen wieviel Performance man braucht und welches Anwendungs-Szenario abgedeckt werden soll. Allerdings denke ich nicht, dass in der heutigen Zeit dieser "Leistungsabfall" im privaten Bereich noch eine Rolle spielt da sogar die billigsten CPUs genügend Leistung zur Verfügung stellen. Einzige Ausnahme vielleicht für irgendwelche Performance-Benchmarks, aber die macht man einmal und dann wars das.
Zum Thema RAID-Erweiterung unter TC wurde glaub ich schon alles gesagt, IMHO sieht es schlecht aus, ohne das RAID vorher zu sichern bzw. zu entschlüsseln. Kann dir dazu aber auch nicht genaueres sagen, da ich mit meinem Controller an den Port-Grenzen angelangt bin und sowieso das komplette RAID erneuern müsste.

Bevor ich mein RAID in Betrieb genommen habe, habe ich ein paar Test-Dateien draufgespielt, eine HDD während des Betriebes vom Controller getrennt, formatiert und somit einen Platten-Ausfall simuliert. Danach die HDD wieder an den Controller angeschlossen, worauf der RAID-Rebuild begann.
Nachdem der Controller fertig war, konnte der TrueCrypt-Container problemlos geöffnet werden und die daraufliegenden Daten waren wieder zugänglich (Hash-Check).
Vor Inbetriebnahme des Servers habe ich damals ein paar dieser Tests gemacht um die Funktionalität sicherzustellen.

P.S.:
Das ist nur meine Meinung, aber wer sich die Mühe macht ein derartiges System zu verschlüsseln und dann kommerzielle Software wie Bitlocker verwendet, der kann sich die Mühe auch sparen.
Wenn man Wert auf hohe Sicherheit legt, dann nur Open-Source (TrueCrypt, LUKS, ...) mit einem ausreichend langem Passwort (absolutes Minimum 20 Stellen mit Groß-, Kleinbuchstaben, Zahlen und Sonderzeichen).
 
Macer89 schrieb:
Wenn man Wert auf hohe Sicherheit legt, dann nur Open-Source (TrueCrypt, LUKS, ...) mit einem ausreichend langem Passwort (absolutes Minimum 20 Stellen mit Groß-, Kleinbuchstaben, Zahlen und Sonderzeichen).
Zum Vergrößern anklicken....
Was bringt dir OpenSource, wenn du dir den Quellcode nicht anschauen kannst, weil du ihn nicht verstehst? Und was bringt es, wenn eine Anwendung zwar angeblich als OpenSource vorliegt, du den Quellcode auch überprüft hast, dann aber doch auf ein fertiges Binary zurück greifst? ;)

Auch ist es absolut nicht notwendig, ein Kennwort dieser Größe zu nutzen. Wer ein sicheres 8-12 stelliges Kennwort wählt, kann ruhig schlafen.
Auch ist es besser, wenn man sich das Kennwort wirklich merken kann. Wenn es so lang ist, dass man es sich besser notiert, ist die Chance größer, dass irgendjemand diese Notizen findet...


@ Markus1984:
Zwischen einer RAID-Erweiterung und der Vergrößerung einer normalen Festplattenpartition gibt es keinen Unterschied. Soll heißen: Nimm eine normale Festplatte und erzeugte eine einzige 10GB große Primär Partition. Verschlüssle diese nun. Jetzt probiere diese 10GB Partition zu vergrößern... wenn du das Problem zu deiner Zufriedenheit gelöst hast, hast du deine Antwort für's RAID.

Und deine Frage wie sich TC im RAID verhält, wenn eine Festplatte ausfällt, überrascht mich schon. Dachte, dass du doch nun schon etwas mehr über RAID wüsstest: Weswegen sollte TC sich daran in irgendeiner Form stören? Das RAID ist völlig transparent. TC weiß nicht, dass das Volumen eigentlich ein RAID x ist.. solange das Volumen intakt bleibt, bleibt auch der TC-Container intakt.

Einzig wenn dein RAID Volumen Schaden nimmt, musst du dir Sorgen machen. Auf Grund der Verteilung über mehrere Laufwerke und der Verschlüsselung wird eine Rettung dann eigentlich unmöglich. Allerdings wenn dich tröstet: Wenn dir ein RAID5/6 Volumen kaputt geht, auch unverschlüsselt, wirst du mindestens 3x 6 richtige im Lotto + Zusatzzahl haben, bevor du in der Lage sein wirst davon noch irgendetwas zu retten ;)
 
Whistl0r schrieb:
Was bringt dir OpenSource, wenn du dir den Quellcode nicht anschauen kannst, weil du ihn nicht verstehst? Und was bringt es, wenn eine Anwendung zwar angeblich als OpenSource vorliegt, du den Quellcode auch überprüft hast, dann aber doch auf ein fertiges Binary zurück greifst? ;)

Auch ist es absolut nicht notwendig, ein Kennwort dieser Größe zu nutzen. Wer ein sicheres 8-12 stelliges Kennwort wählt, kann ruhig schlafen.
Auch ist es besser, wenn man sich das Kennwort wirklich merken kann. Wenn es so lang ist, dass man es sich besser notiert, ist die Chance größer, dass irgendjemand diese Notizen findet...
Zum Vergrößern anklicken....

Das mag schon sein, dass es Leute geben soll die den Quellcode nicht lesen können und auch Anwender die auf fertige Binaries zugreifen, jedem das seine. Es gibt aber auch welche die den Quellcode verstehen und sich die Binaries selbst kompilieren ;)

Klar kannst man auch kurze Passwörter verwenden, aber egal wie stark ein Algorithmus auch sein mag, die größte Schwäche liegt immer im Passwort.
Sicherheit hat ihren Preis, wenn man Wert auf hohe Sicherheit der Daten legt muss man sich das "lange" Passwort zwingend merken, ohne Notiz, denn nur im Kopf ist es sicher :)
Ich wollte damit auch niemanden angreifen oder so, das ist halt mein Aspekt bei dem Thema.
Klingt paranoid, ist auch so, für mich selbst käme ein Passwort mit nur 20 Stellen sowieso nie in Frage, das wär viel zu kurz.

@ Markus1984
Momentan tu ich mich schlecht das mit der TC-Partitionserweiterung zu testen, ich konnte es zum damaligen Zeitpunkt auch nicht bewerkstelligen.
Meines Wissenstands zufolge gibt es bis dato keine Möglichkeit eine unter TC verschlüsselte Partition ohne entschlüsseln zu vergrößern.
Wenn du oder irgendjemand hier im Forum jedoch weis wie das "on the fly" funktioniert, dann wär eine kurze Anleitung dazu ziemlich cool.
 
Denkst du nicht dass es längt findige Wahnsinnige geschafft hätten eine Hintertür aufzudecken, in closed source?
Und vor allem, was meinst du was für Schadensersatzklagen auf MS zukommen würden. Grad in den USA...

Was Komfort in Verbindung mit Sicherheit angeht, ist BL das überlegenere Mittel der Wahl. Sofern ein TPM-Modul an Board ist.
Oder kann TC das mittlerweile auch?
 
Nein, TC beherrscht leider nicht die Nutzung von TPM. Aber TPM bringt dir auch nur etwas für ein internes Laufwerk, alle externen Laufwerke, die auf mehreren Systemen genutzt werden sollen, haben hiervon nüchts.
Und TC beherrscht auch nicht die Vergrößerung von verschlüsselten Partitionen, wobei ich nicht verstehen kann, warum die Jungs das noch nicht implementiert haben, sicherheitstechnisch kann es wohl kaum schwierig sein.
Um mal mit dem Mythen bezüglich der Passwortlänge aufzuräumen ->der erste Treffer diesbezüglich bei google (Anmerkung zu dem Link: Die Rechnung auf der Seite ist zu konservativ - 1. kann man zu den 62 Groß- und Kleinbuchstaben und Zahlen noch Sonderzeichen dazunehmen und zweitens sind mehr Kombinationen möglich - bei 2 Zeichen müssten es z.B. 3844+62 und bei 3 Zeichen 238328+3844+62 Kombinationen sein). Auch wenn man noch die Zufallswahrscheinlichkeit beachtet, dass ein in einer gewissen Zeit errechneter Schlüssel der richtige ist und diese mit jedem generierten Schlüssel zunimmt, ist man mit 15 Zeichen doch deutlich auf der sicheren Seite.
 
Zuletzt bearbeitet:
PhreakShow schrieb:
Denkst du nicht dass es längt findige Wahnsinnige geschafft hätten eine Hintertür aufzudecken, in closed source?
Und vor allem, was meinst du was für Schadensersatzklagen auf MS zukommen würden. Grad in den USA...
Zum Vergrößern anklicken....

Keine Ahnung ob Hersteller solcher Tools Master-Keys oder Hintertüren eingebaut haben, vermutlich hast du auch recht und alles ist in Ordnung, aber das Risiko ist es mir nicht wert.

@ Los
Die Seite zeigt zwar gut auf wie sich der Rechenaufwand im Vergleich zur Passwortlänge verhält, um ein ungefähres Gefühl für ein sicheres Passwort zu bekommen, aber leider ist es nicht ganz aktuell.
Denn immerhin werden nur die Berechnungsdauern mittels CPU dargestellt, jene mit (Multi-)GPUs oder wie immer häufiger Berechnungen mittels Cloud werden dort außer Acht gelassen und diese sind weitaus effizienter.

Vielleicht kommt ja in nächster Zeit mal wieder eine neue TC-Version heraus, die dann auch die Skalierung der Container/Partitionen beherrscht, wäre auf jeden Fall ein nützliches Feature.
 
Anmelden, um zu antworten.

Ähnliche Themen

smoothwater
Wiederherstellung aus Image auf Raid-Controller
Antworten
2
Aufrufe
388
smoothwater
smoothwater
Amaya
[Kaufberatung] Günstige Stromsparende Server, (Backup & Media) welche Konfigurationen (Software und Hardware)
Antworten
6
Aufrufe
653
Haldi
Haldi
S
Frage zu Backup-Strategie - SSD für "echtes Backup" oder BTRFS Raid-1 nutzen?
Antworten
7
Aufrufe
1K
craxity
craxity
Chakka89
[User-Review] Lesertest - Synology DiskStation DS224+
Antworten
1
Aufrufe
3K
Rommel
Rommel
N
[Kaufberatung] halber Gaming PC nach Möglichkeit mit "weiternutz"Funktion
2
Antworten
47
Aufrufe
2K
2k5lexi
2k5lexi
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh