SSD Disk Encryption (Truecrypt vs Bitlocker vs DiskCryptor)

[DoubleJ]

Es ist aktiviert, immer. Transparent, wie die Komprimierung. Wie gesagt, man kann den Flash nicht direkt auslesen um so ein evtl. gesetztes Passwort umgehen. Wie groß der Sicherheitsgewinn dadurch ist, sei mal dahingestellt, irgendwo muss der Schlüssel ja gespeichert sein, also wird man den wohl auch irgendwie auslesen können.

Der SF-1500 soll erweiterte Verschlüsselungsfeatures bieten...

 

[kaigue]

Ja, aber irgendwo musst du ein Passwort setzen. Ohne Passwort bringt dir die Verschlüsselung nichts. Und wie und wo das geht - nobody knows.

 

[Cippoli]

Was grundsätzliches. AES ist selber nicht knackbar. Es ist aber angreifbar vor allem mit Watermarking-Angriffe wenn man ältere Chiffrier-Moduse verwendet wie CBC. Und dies ist wiederum bei Truecrypt standard.
Besser ist aber LRW bzw das noch bessere XTS.

Truecrypt nutzt aber XTS als Operationsmodus.

 

[RipJaws]

Was grundsätzliches. AES ist selber nicht knackbar. Es ist aber angreifbar vor allem mit Watermarking-Angriffe wenn man ältere Chiffrier-Moduse verwendet wie CBC. Und dies ist wiederum bei Truecrypt standard.
Besser ist aber LRW bzw das noch bessere XTS.

Truecrypt benutzt doch XTS !

---------- Beitrag hinzugefügt um 13:00 ---------- Vorheriger Beitrag war um 12:59 ----------

Super, eine Minute zu spät, hammer ;-)

 

[DoubleJ]

Ja, aber irgendwo musst du ein Passwort setzen. Ohne Passwort bringt dir die Verschlüsselung nichts. Und wie und wo das geht - nobody knows.

Der Schlüssel ist wohl, zumindest beim SF-1200, fest in den Controller "eingebrannt". Nochmal: Es geht nur darum, dass man die Chips nicht direkt auslesen kann. Um die Daten zu entschlüsseln, brauchst du den Schlüssel aus dem Controller, dieser gibt ihn aber nur frei, wenn man das korrekte HDD Passwort eingibt (welches man über das BIOS setzen kann). Setzt man kein Passwort, sind die Daten trotzdem verschlüsselt, eben mit dem im Controller hinterlegten Key. In diesem Fall bringt die Verschlüsselung natürlich keinen Sicherheitsgewinn, da man die Daten auch direkt auslesen kann und sich nicht die Mühe machen muss, die Chips auszulöten...

 

[kaigue]

Ja und eben das ist nicht sicher! Ob das nun mit dem Bios HDD PW geht oder nicht. Das ist bei den FDE Platten der Fall. Muss aber vom Bios unterstütz werden (einfaches SATA PW reicht nicht - die Thinkpads bieten u.a. die Unterstützung für FDE HDDs). Daher kannst du auch keine FDE Platte in deinen Desktop schrauben. Versuchs mal - trotz SATA PW kannst du die Platte extern noch auslesen.

Lt. OCZ soll es ein Tool geben, womit man in Windows das PW setzen kann. Das ist aber noch weder freigegeben noch konnten sie sagen, was es genau macht.

Das ist mein Wissensstand.

 

[Truecrypt]

Ja, laut Benchmark war AES am schnellsten.

Es kommt u.a. auf die CPU an, viele unterstützen die AES Verschlüsselung.

 

[TheCritter]

Truecrypt nutzt aber XTS als Operationsmodus.

Aha ok. Hatte das mir lange nicht mehr angeschaut.

Zu der CPU und AES Verschlüsselung. Das sind aber eher die langsamen VIA CPUs die das unterstützten. Bei AMD&Intel habe ich diesbezüglich noch nichts gehört.

 

[Truecrypt]

Xeon X5670 und X5680 unterstützen definitv den AES Befehlssatz.

---------- Beitrag hinzugefügt um 18:00 ---------- Vorheriger Beitrag war um 17:57 ----------

Ja, laut Benchmark war AES am schnellsten.

Hier ein guter Bericht:
Core i5: Clarkdale AES-Verschlüsselung analysiert : AES-Unterstützung erstmals auf Intels 32-nm-Westmere

Intel Clarkdale kann AES, Lynfield nicht.

 

[kaigue]

Den Benchmark habe ich mit meinem C2D E8400 durchgeführt. Auch auf meinem Notebook (SL9600) ist AES am schnellsten.

 

[DoubleJ]

Es kommt u.a. auf die CPU an, viele unterstützen die AES Verschlüsselung.

He? Jede CPU kann jede Verschlüsselung, ist ja letztendlich nur ein Algorithmus wie jeder andere auch...

(Die neuen Gulftowns haben zusätzlich noch eine feste Verdrahtung für AES, sind da also deutlich schneller)

 

[Truecrypt]

DoubleJ, wir sprechen hier über die speziellen AES Befehle der CPU`s, siehe #69

Natürlich ünterstützt jede normale CPU Verschlüssung

 

[DoubleJ]

Naja, du hast geschrieben "Intel Clarkdale kann AES, Lynfield nicht." - das könnte jemand falsch verstehen und denken mit seiner CPU kann er AES nicht nutzen...

 

[Truecrypt]

Das Minimum an Grundwissen setzte ich mal voraus ;-)

 

[TheCritter]

Lange Weile, oder?
Die CPU kann nur AES wenn dieser implementiert ist. Ansonsten kann das nicht die CPU, sondern das Programm (Ent-/Verschlüsselungsroutine) und die CPU macht weiter ihr ADD, MUL usw.

 

[KeinNameFrei]

Ich möchte mich nochmal bei Ausweiser für diesen schönen Thread bedanken, hier wurden im Verlauf der drei Seiten und der verschiedenen externen Links alle meine Fragen zum Thema Festplattenverschlüsselung beantwortet

 

[Doktor]

Kann ich bestätigen: Sehr informativer Thread!

 

[sombra]

Hallo Ausweiser,

nach so lange Zeit würde ich gerne wissen, ob du eine neue gemod. Version von DiskCryptor rausgebracht hast oder die Aktuellste die hier im Thread genannte ist. Mit der arbeite ich noch, wenn allerdings eine neuere Version mit Optimierungen insbesondere für SSD raus wäre, so würde ich die ausprobieren.

Ansonsten habe ich gelesen, dass der Herausgeber wohl in seinen neuen Versionen Optimierungen für SSD´s implementiert hat.

Würde mich über ein Feedback freuen.

 

[Ausweiser]

Die hier verfügbare ist die neuste Version und das wird mit hoher Wahrscheinlichkeit auch erstmal so bleiben. Die ernsthafte Weiterentwicklung von DC überlasse ich doch lieber ntldr.

Und der scheint ja auch Fortschritte zu machen, was die SSD Optimierungen in der offiziellen Version anbelangt. Der Changelog der 1.0 Beta, die im offiziellen Forum verfügbar ist, hört sich schon sehr interessant an. Leider bin ich bisher nicht zum Testen gekommen und ich denke das werde ich auch erst wenn diese fortgeschrittener oder gar final ist. Wenn dann auch der Source verfügbar ist, wird sich zeigen, ob es sich lohnt zielgerichtetere Modifikationen einzubauen oder ob die Unterschiede zur normalen (kompatibelsten) Version zu gering sind.

 

[sombra]

Danke für Infos Ausweiser. Eine Frage noch: wie kann ich am besten einen Update durchführen?

-Muss ich die Software deinstallieren und die neue installieren?
-Oder reicht es aus bestimmte Dateien auszutauschen? Wenn ja, welche Dateien genau?
-Sollte vorher eine Entschlüsselung und anschließend neue Verschlüsselung erfolgen insbesondere in Anbetracht von Geschwindigkeitszuwachs aufgrund von neueren Versionen?

Ich habe sowohl meine Systemfestplatte als auch die anderen Festplatten (3x) alle DiskCryptor verschlüsselt und die werden beim Booten alle mit einmal Passworteingabe freigegeben.

Hoffe ich gehe dir damit nicht auf den Keks

Grüße,
sombra

 

[Ausweiser]

Die DC 1.0 Beta gibt es meines wissens nur als Setup, d.h. dir bleibt so oder so nicht viel anderes übrig als es damit zu installieren. Solange dein System verschlüsselt ist, ist eine Deinstallation übrigens nicht zu Empfehlen .

Eine Neuverschlüsselung der ganzen Platte halte ich für wenig sinvoll, es seidenn du willst sie sowieso komplett formatieren, dann kannst du dir das Entschlüsseln aber auch Sparen.

 

[phenx]

Vielen dank für den informativen Thread.

Ich möchte auch noch ein wenig beitragen und aktuelle Benchmark Ergebnisse der aktuellsten DC Version beisteuern. Ich wollte herausfinden ob 1.0 bessere SSD Performance bringt.

Mein System: P45 Chipsatz / Q8400 / 8GB RAM / Intel X25-M 80GB
Genaueres unter: sysProfile: ID: 135335

Verglichen habe ich:
DC 0.9.593.106 sowie
DC 1.0.709.107

Beide Versionen nicht gemoddet. Von Ausweiser's Version gibt es hier ja schon genug Benchmarks.

Jeweils mit AES / Twofish / Serpent (nur bei 1.0)

Hier die Ergebnisse:

Disk Config: Imageshack - sizes.png

Benchmark DC 0.9: Imageshack - dc09benchmark.png
Benchmark DC 1.0: Imageshack - dc10benchmark.png

Unencrypted: Imageshack - unencrypted.png

DC 0.9 AES: Imageshack - dc09aes.png
DC 0.9 Twofish: Imageshack - dc09twofish.png

DC 1.0 AES: Imageshack - dc10aes.png
DC 1.0 Twofish: Imageshack - dc10twofish.png
DC 1.0 Serpent: Imageshack - dc10serpent.png

Wie zu sehen ist, bringt 1.0 deutliche Performancegewinne. Es gibt kaum noch einen Einbruch durch die Verschlüsselung

Die modifizierte Version von Ausweiser (danke für die Arbeit nochmal!) dürfte daher nicht mehr nötig sein, die aktuelle DC 1.0 beta ist wohl genauso schnell, mit Serpent sogar ein wenig schneller als mit AES oder Twofish.

 

[HLmurphy]

Danke für den ausführlichen Bericht, wobei mir das Fazit sogar schon genügt

 

[sombra]

Meine Ergebnisse

Hi,

ich habe auch ein Benchmark gemacht, einmal mit der mod. Version von Ausweiser (0.9.580.105) und einmal mit der aktuellste Beta (1.0.709.107).

So sieht es aus:

Mit Version von Ausweiser (0.9.580.105):

Mit der orig. Beta (1.0.709.107):

In den Bereich "Seq" gibt es bei mir mit der Beta Version ein Leistungseinbruch, ist klar zu sehen. Hier müssen die Jungs noch etwas nachlegen. Allerdings punktet die Beta bei "4K-64Thr", was gemäß meine Informationen und Recherchen im Internet im Alltag sehr relevant bei der tägliche Arbeit ist. Insgesamt erreiche ich also mit der Beta einen bessere Score.

Folgendes sollte allerdings beachtet werden: auf keinen Fall die Beta-Version 1.0.708.107 nehmen. Die macht sehr große Probleme. Habe ein Upgrade gemacht (von der Version 0.9.580.105) und danach konnte ich meine verschlüsselten Partitionen mounten aber den Inhalt nicht sehen. Auch eine Wiederherstellung der System-Partition brachte nichts, da die Beta irgendwas an den restlichen Partitionen verändert hat (wahrscheinlich Header). Und dazu brachte die Version 1.0.708.108 beim Einlegen eines CD mein System zum Absturz. Also musste ich alle Partitionen neu formatieren und mit Version 1.709.107 (bereinigte Version) verschlüsseln und dann meine Backups zurück spielen. Wem es interessiert hier nachzulesen: After insert CD DC I become BSOD (Beta 1.0.708.107)

Dazu muss ich sagen, dass der Programmieren einfach klasse ist, er kümmert sich ja wirklich um jeden und alles. Ein dickes Lob

 

[HLmurphy]

Hast du vor den ganzen Wiederherstellungsversuchen auch einfach mal ein Downgrade von 1.0.708.107 auf 0.9.580.105 versucht?!

Vielleicht wäre damit der Urzustand mit Zugriff auf alle Daten schon wieder hergestellt gewesen ...

 

[sombra]

Hast du vor den ganzen Wiederherstellungsversuchen auch einfach mal ein Downgrade von 1.0.708.107 auf 0.9.580.105 versucht?!

Vielleicht wäre damit der Urzustand mit Zugriff auf alle Daten schon wieder hergestellt gewesen ...

Ja, habe ich. Ging allerdings nicht

Das war ja auch noch der Hammer (hatte ich vergessen euch mitzuteilen). Ein Downgrade war nach Einspielung der Version 1.0.708.107 nicht mehr möglich, egal auf welche Version. Nur noch Upgrades. Das hatte ich auch in dem Forum geschrieben. Also Vorsicht. Auf jeden Fall Version 1.0.709.107 nehmen, die ist OK.

 

[HLmurphy]

Ein Downgrade war nach Einspielung der Version 1.0.708.107 nicht mehr möglich, egal auf welche Version. Nur noch Upgrades.

Erinnert an die nette AVM-Firmware-Politik

Das hatte ich auch in dem Forum geschrieben.

Muss wohl an anderer Stelle gewesen sein

 

[sombra]

Erinnert an die nette AVM-Firmware-Politik


Muss wohl an anderer Stelle gewesen sein

After insert CD DC I become BSOD (Beta 1.0.708.107)

 

[SBUser]

Hi Zusammen,
habe gestern ein Update meiner SSD-FW gemacht, da die vorversion bei vielen Probleme gemacht hat. Leider ist dabei ein bekannter Bug aufgetreten, den ich jetzt mit einem Destruktiven FW downgrad und einen anschließenden Upgrade auf die neue FW beheben kann/sollte/muss.

Lange Rede kurzer Sinn: Ich habe meine Sytemfestplatte, welche oben genannte SSD ist, mit Diskcrypter verschlüsselt. Vor dem FW natürlich mit Windos (nutze 7 in 64bit) ein Backup gemacht.
Nun würde mich interessieren, ob jemand Erfahrungen damit hat, wie das mit dem wieder einspielen läuft? Konkreter:

1. Da die Festplatte ja wärend Windows läuft entschlüsselt ist, ist das Backup wahrscheinlich auch entschlüsselt, oder?
2. Kann ich das Backup nach dem Update, wodurch alle Daten verloren gehen einfach wieder einspielen und die Platte erneut verschlüsseln? Oder gibt es hier Probleme, da Diskcrypter ja installiert ist und eigentlich denkt, das das System verschlüsselt ist.
3. Ist es vielleicht Sinnvoller bevor ich das Down und das erneute Update mache die Festplatte zu entschlüsseln, dann ein Backup zu machen und nach der Aktion die Festplatte erneut zu verschlüsseln (Was ich ja wahrscheinlich eh machen muss).

Hat mir den obigen Punkten vielleicht bereits jemand Erfahrungen gemacht und kann kurz etwas dazu sagen. Das würde mir sehr weiterhelfen.

Gruß

 

[sombra]

Hi Zusammen,
Lange Rede kurzer Sinn: Ich habe meine Sytemfestplatte, welche oben genannte SSD ist

Welche SSD ist das denn?

, mit Diskcrypter verschlüsselt. Vor dem FW natürlich mit Windos (nutze 7 in 64bit) ein Backup gemacht.
Nun würde mich interessieren, ob jemand Erfahrungen damit hat, wie das mit dem wieder einspielen läuft? Konkreter:

1. Da die Festplatte ja wärend Windows läuft entschlüsselt ist, ist das Backup wahrscheinlich auch entschlüsselt, oder?

Ja

2. Kann ich das Backup nach dem Update, wodurch alle Daten verloren gehen einfach wieder einspielen und die Platte erneut verschlüsseln? Oder gibt es hier Probleme, da Diskcrypter ja installiert ist und eigentlich denkt, das das System verschlüsselt ist.

Verstehe nicht ganz. Wenn die Platte ja nicht verschlüsselt ist kannst du die Backups wieder einspielen. Allerdings natürlich nichts des ganzen Systems. Dafür würde ich eher Programme wie Acronis empfehlen.

3. Ist es vielleicht Sinnvoller bevor ich das Down und das erneute Update mache die Festplatte zu entschlüsseln, dann ein Backup zu machen und nach der Aktion die Festplatte erneut zu verschlüsseln (Was ich ja wahrscheinlich eh machen muss).

Ja. So habe ich es auch gemacht. Platte komplett entschlüsseln, dann ein Image machen (z. B. Acronis TrueImage), dann Update von DiskCryptor und Platte wieder verschlüsseln. Wenn etwas schief läuft, Image wieder einspielen.

Viel Glück.