SSD Disk Encryption (Truecrypt vs Bitlocker vs DiskCryptor)

[JohnnyBGoode]

Auf der offiziellen Seite. Allerdings funktioniert die Systemverschlüsselung nur bis Windows 7/Server 2008 R2 auf MBR-Partitionen problemlos.

https://diskcryptor.net/wiki/Main_Page/de

[...]
- - - Updated - - -

Übrigens konnte ich auf meinem physischen PC ohne Probleme neu starten, als die Verschlüsselung bei ca. 80% war.
Erst als es fertig war, ging nichts mehr.
Kann mal jemand testen, ob es geht, wenn man die Erzwingung signierter Treiber deaktiviert? Das ging bei mir damals nicht mehr, da es ja das F8 nicht mehr einfach gibt (sorry, aber das ist so arm (meinetwegen ein paar Millisekunden)) und die Wiederherstellungsmedien nichts brachten.

Könntest du beschreiben, wie man das bei 8.1 vor der Verschlüsselung bewerkstelligt? Habe keinerlei Zugriff auf 8.x-Systeme, dann würde ich aber nochmals eins aufsetzen und es testen.
Ist es das hier?
http://www.heise.de/ct/hotline/Erzw...tur-unter-Windows-8-deaktivieren-2056421.html

Hätte jemand eine Idee, wie man das permanent und nicht nur für den nächsten Neustart einrichten kann?

 

[Wolf7]

Ich spiele mit dem Gedanken, meine Notebook Intel 330 SSD mit AES und Truecrypt zu verschlüsseln. Meine CPU unterstützt hardwaremäßig bereits AES. Preisfrage: wird trotzdem ein Geschwindigkeitseinbruch bemerkbar sein?

 

[JohnnyBGoode]

Sofern du ein Windows installierst (nicht 8.x oder Server 2012 (R2)) würde ich dringend von TrueCrypt abraten und stattdessen DiskCryptor empfehlen.

- Windows auf eine MBR-Partition (nicht GPT) installieren.

- Geschmackssache: Ich mag es nicht, wenn Windows separate Boot-Partitionen anlegt, daher die Setup-Partition vor dem eigentlichen Windows-Setup erstellen. Bei DiskCryptor gibt es die Besonderheit, dass es lediglich einzelne Partitionen verschlüsselt (nicht den gesamten Datenträger wie optional bei True Crypt), wenn man beim ersten Verschlüsselungsvorgang in Windows dann nicht alle Partitionen mit dem gleichen Passwort verschlüsselt, kann es zu Problemen beim nächsten Neustart kommen. Diese Fehlerquelle kann man ausschließen, wenn man wie beschrieben Windows auf eine einzelne, bereits zuvor erstellte Partition installiert.

- Etwa 10 % des Speicherplatzes würde ich zusätzlich unpartitioniert lassen.

Mit Hardware-AES-Beschleunigung und einer einzelnen SSD ist der Geschwindigkeitsverlust dann, besonders auf einem Notebook, im Alltag nicht wahrnehmbar.

 

[iamunknown]

Sofern du ein Windows installierst (nicht 8.x oder Server 2012 (R2)) würde ich dringend von TrueCrypt abraten und stattdessen DiskCryptor empfehlen.

Ein nicht Windows-System würde ich nicht mit TrueCrypt verschlüsseln!

- Geschmackssache: Ich mag es nicht, wenn Windows separate Boot-Partitionen anlegt, daher die Setup-Partition vor dem eigentlichen Windows-Setup erstellen. Bei DiskCryptor gibt es die Besonderheit, dass es lediglich einzelne Partitionen verschlüsselt (nicht den gesamten Datenträger wie optional bei True Crypt), wenn man beim ersten Verschlüsselungsvorgang in Windows dann nicht alle Partitionen mit dem gleichen Passwort verschlüsselt, kann es zu Problemen beim nächsten Neustart kommen. Diese Fehlerquelle kann man ausschließen, wenn man wie beschrieben Windows auf eine einzelne, bereits zuvor erstellte Partition installiert.

Wer eine Systemverschlüsselung durchführt sollte das identische Passwort für zwei (oder mehr) Partitionen fehlerfrei eintippen können .

- Etwa 10 % des Speicherplatzes würde ich zusätzlich unpartitioniert lassen.

Sowohl DC als auch TC leiten die Trim-Informationen an den SSD-Controller weiter. Daher ist es nicht erforderlich Speicherplatz unpartitioniert zu belassen!

Mit Hardware-AES-Beschleunigung und einer einzelnen SSD ist der Geschwindigkeitsverlust dann, besonders auf einem Notebook, im Alltag nicht wahrnehmbar.

Kann ich mit TC auf meinem Desktop-Rechner auch nicht feststellen (Benchmarks interessieren mich nicht). TC-Partitionen / Laufwerke kann man im Gegensatz zu DC auch mit nicht Windows-Systemen verwenden. Zusätzlich kann man auch für Cloudspeicher Container anlegen (und mittels des Bootpassworts automatisch mounten).

 

[iamunknown]

Danach hat niemand gefragt.

Das steht im Post den ich zitiert hatte...

Hier geht es speziell um DC, das ist etwas anspruchsvoller.

DC verändert wegen des Anspruchs selbstständig die identischen Passwörter in verschiedene? DC ist nicht "anspruchsvoller" als andere Verschlüsselungssoftware.

Korrekt, aber freien Platz sollte man wie auch immer schon lassen.

Warum? Die Controller der Laufwerke können das auch ohne sehr gut.

Andere können das aber.

Glaube ich auch gerne - sollte aber jeder für sich abwägen ob ein nur unter Windows verwendbares Format die Vorteile einer (anscheinend)* besser getesteten Software mit Multi-OS-Unterstützung etwas mehr Geschwindigkeit wert sind.

*TC läuft auch ohne Update unter Windows 8.x...

 

[Wolf7]

wie muss ich das jetzt verstehen?

heißt die meisten können keinen Geschwindigkeitsunterschied feststellen und ich kann problemlos meine Systempartition verschlüsseln? was passiert denn eig dann mit der 100MB Partition von Windows 7? wird die mitverschlüsselt oder nicht? Mit einem anderen Programm fang ich gar nicht erst an. Ich verwende Truecrypt bereits bei zu vielen HDDs (auch wenn bisher nicht zur Verschlüsselung der Systempartition)

 

[neuling33]

2x 840 Pro 512 GB RAID 0 @ DC @ MatrixRAID (X79)

 

[neuling33]

4K könnte höher sein, wird TRIM unterstützt?

Geht in CDM bis auf 27MB/s - höher aber leider nicht. Wird unterstützt.

 

[neuling33]

Bei mir das Gleiche bei 8.1 (Pro x64) auf einer vor dem Windows-Setup erstellten MBR-Partition (damit Windows keine separaten Partitionen anlegt). Was mich sehr irritiert: In einer VM (VMware Worstation 10 Tial) konnte Disk Cryptor ohne Probleme beim Booten nach Passworteingabe eine MBR-8.1-Installation verschlüsseln :-/
Hardware ist ein Z77-Intel RAID mit aktuellster Firmware und Treibern.

Bei mir (Windows 7, BIOS Legacy, Matrix RAID) war auch ein Trick nötig:
Nach dem Verschlüsseln direkt im DC Menü bei der Bootloder Config die genaue Partition auswählen, worauf sich das OS befindet! Dann sollte der Bluescreen fernbleiben!

 

[Doktor]

Ohne den ganzen Thread zu lesen: Kann ich ohne Bedenken TC auf einer SSD für ein Fullenrypten auf ein Windows 8.1 System einsetzen?
Falls ja: Muss man noch immer die 10% Platz unformatiert lassen für eine bessere Performance?

 

[amag]

Du kannst mit TC 8.1 verschlüsseln, da gibt es keine Probleme.

Gibt es wieder jemanden, der DC bei 8.1 getestet hat?
@JohnnyBGoode: Sorry für die späte Antwort.
Du musst Shift drücken, wenn du Neu starten anklickst und dann die Startoptionen anwählen (ist selbsterklärend).
Dann sollte wohl das klassische Menü kommen und du kannst das Erzwingen abschalten.

 

[JohnnyBGoode]

Zur allgemeinen Diskussion:
Meinte mit DC-Verschlüsselung und "Windows", dass man DC verwenden sollte, wenn man ein kompatibles Windows (alles vor 8/Server 2012) nutzt. Weshalb? Vergleiche diesen Thread. Kurzversion: Ich finde es dumm, Leistung verpuffen zu lassen, wenn es auch bessere Wege gibt. Gut, bei DC muss man ein paar Punkte mehr als bei TC beachten, das wurde hier aber alles schon x-mal hochgekocht.

@ amag: An den nicht zertifizierten Treibern liegt es leider nicht.
Habe DC ein Test-8.1 vollständig verschlüsseln lassen und den Neustart mit den erweiterten Starteinstellungen ausgelöst. Beim Booten nach der Passworteingabe kommt noch der Windows-Starteinstellungsbildschirm mit Optionen 1-7, nach dem Wählen einer Option kommt dann wieder für einen Sekundenbruchteil der nichtssagende allgemeine Bluescreen mit "Es sind Probleme aufgetreten " (o. ä.) und das System startet sofort selbst neu.

Ich entschlüssele die Partition gerade mit einem anderen System. Wenn sie dann wieder starten sollte, wo kann man bei 8.1 die Protokolle einsehen, damit man mal auf die tatsächliche Ursache kommt?

 

[JohnnyBGoode]

Vielleicht hast du mehr Glück.

Nach dem Entschlüsseln mit einem anderen System lässt sich 8.1 mit DC-Bootloader wieder booten (Passworteingabe leerlassen und Enter drücken). Dann gleiches Spiel, wieder verschlüsselt und mit erweiterten Starteinstellungen und Startprotokollierung neugestartet. Es kommt wieder der nutzlose Smiley Face-Bluescreen, nach wiederum erfolgter Entschlüsselung lässt sich allerdings keine "Ntbtlog.txt"-Datei in "X:\Windows" (oder sonst wo, habe den gesamten Datenträger durchsuchen lassen) finden. Der Startvorgang scheint also sehr früh zu crashen.

Noch jemand eine Idee? Werden die Bluescreen separat protokolliert?

Es will mich nicht loslassen, dass es in einer VM funktioniert...

 

[iamunknown]

Der Startvorgang scheint also sehr früh zu crashen.

Noch jemand eine Idee? Werden die Bluescreen separat protokolliert?

Ich würde davon ausgehen, dass der DC-Treiber das Problem verursacht (alles andere ergibt keinen Sinn bzw. ein User-Mode-Programm kann keinen Bluescreen erzeugen). Damit kann vom Dateisystem des Systemlaufwerks weder etwas gelesen noch geschrieben werden.

Es will mich nicht loslassen, dass es in einer VM funktioniert...

In Virtualbox nicht. Kann natürlich auch eine Kombination aus Laufwerkscontroller(treiber) und DC-Treiber sein.

Läuft ohne Probleme. Habe eigentlich auch nichts spezielles gemacht.

Das wäre dann aktuell für mich das absolute Killerargument gegen DC => es gibt nachvollziehbare Parameter, bei denen es zu massiven Problemen kommt. So kann niemand für die Datenintegrität der verschlüsselten Dateisysteme garantieren!

 

[Wolf7]

kann ich eig auch Disk Cryptor und TrueCrypt parallel laufen lassen? weil wenn ich mir die Benchmarkergebnisse von der aktuellen version mit denen von truecrypt vergleiche, liegen da schon Welten dazwischen. Weiß zwar net, was genau DC bei dem Benchmark macht, aber trotzdem. Würde dann halt meine Systemplatte mit DC verschlüsseln und die bereits verschlüsselten weiterhin mit truecrypt entschlüsseln. (konvertieren wird ja wohl kaum gehen oder?)

 

[neuling33]

kann ich eig auch Disk Cryptor und TrueCrypt parallel laufen lassen? weil wenn ich mir die Benchmarkergebnisse von der aktuellen version mit denen von truecrypt vergleiche, liegen da schon Welten dazwischen. Weiß zwar net, was genau DC bei dem Benchmark macht, aber trotzdem. Würde dann halt meine Systemplatte mit DC verschlüsseln und die bereits verschlüsselten weiterhin mit truecrypt entschlüsseln. (konvertieren wird ja wohl kaum gehen oder?)

Die kann man problemlos parallel laufen lassen

 

[iamunknown]

Würde dann halt meine Systemplatte mit DC verschlüsseln und die bereits verschlüsselten weiterhin mit truecrypt entschlüsseln. (konvertieren wird ja wohl kaum gehen oder?)

Das geht, allerdings muss man jeweils für DC und TC das Passwort eintippen. Auch wenn die Passwörter aller verschlüsselten Container, Partitionen bzw. Festplatten identisch sein sollten.

 

[Doktor]

Du kannst mit TC 8.1 verschlüsseln, da gibt es keine Probleme.

Danke für die Info. Ist es aber noch immer so, dass es zu (erheblichen) Performanceeinbrücken kommt (im vgl. zu DC)?

 

[neuling33]

Ist es aber noch immer so, dass es zu (erheblichen) Performanceeinbrücken kommt (im vgl. zu DC)?

Ja

 

[simpleuser]

Hallo Experten,

ich verfolge den Thread mit Interesse, kann aber leider nicht mehr folgen.

Ich möchte neue Hardware anschaffen und habe jetzt noch absolut freie Auswahl.
Könnt Ihr mir ein paar Tipps geben für eine sinnvolle Auswahl zum einfachen Verschlüsseln?

Derzeit:
Dualcore Intel
1 HDD mit TC komplett verschlüsselt.


Geplant:
Desktop-PC - auch komplett verschlüsselt für Office - viele Tabellen und Browserfenster offen
Intel oder AMD Prozessor (AES)?
Board/Chipsatz - wichtig?
SSD - hier ist wohl der Controller wichtig?
1 TB HDD - ist hier auch etwas zu beachten?
W7 x64 oder W8 x64?
TC oder DC?
Gibt es einen Link zu einer Anleitung, wie vorzugehen ist bei der Installation?

Oder besser nur eine Hybrid einbauen?

Für ein paar Tipps wäre ich dankbar.

Vielen Dank schon mal.

Jens

 

[neuling33]

https://diskcryptor.net/forum/index.php?topic=4255.0
Falls sich noch jemand fragt wie man ein DC-Volume sichern/klonen kann

- - - Updated - - -


Anderes Thema:

Anhang anzeigen 262640
Anhang anzeigen 262641

2x 840 Pro 512 GB RAID 0 @ DC @ MatrixRAID (X79)

4K könnte höher sein, wird TRIM unterstützt?

Habe jetzt (unfreiwillig) nochmal ohne Crypt gebencht, hier sind die 4k dann bei ca. 33-35MB/s....liegt also an der Verschlüsselung

 

[an01523]

In einem anderen Beitrag wird auch die Sicherheit der Hardwareverschlüsselung bei SED Festplatten diskutiert (also ohne TrueCrypt / DiskCryptor).
http://debianforum.de/forum/viewtopic.php?f=13&t=143116 (vor allem ab Seite 2)

Mit Tools wie HDAT2 (DOS), WinAAM (Windows), hdparm (Linux) kann man überprüfen ob das im BIOS gesetzte HDD User-Passwort wirklich auf Level "Maximum" und nicht etwa auf "High" gesetzt wurde. Auf Level "High" könnte man nämlich unter Umständen mit einem Hersteller Master-Passwort das User-Passwort wieder deaktivieren und so Zugriff auf den Inhalt der HDD erhalten.

Der Anwender kann beim Setzen des User-Passworts zwischen den beiden Sicherheitsstufen „High“ und „Maximum“ wählen. In der Einstellung „High“ akzeptiert die Platte zum Entsperren und zum Abschalten des Passwortschutzes wahlweise User- oder Master-Passwort. Bei „Maximum“ kommt man nur noch mit dem User-Passwort an die Daten heran. Wenn es verloren geht, kann der Administrator mit dem Master-Passwort die Platte nur noch unter Verlust aller Daten entsperren. Dazu dient das Kommando Security Erase: Es überschreibt alle Sektoren mit Nullen und gibt erst dann die Platte frei.

Ist das User-Passwort auf Level "Maximum", dann ist die Festplatte sicher, wenn man darauf vertraut dass die Hersteller (Notebook, Festplatte) keine Fehler gemacht haben und das User-Passwort nicht irgendwo abspeichern. Auch muss man darauf vertrauen, dass der MEK (Media Encryption Key) seinerseits gut verschlüsselt und nicht abgreifbar ist:

Each SED has a unique encryption key which is generated from entropy sources inside the drive, and therefore not known to the manufacturer. This key is called the media encryption key (MEK), or sometimes data encryption key (DEK), and is used to encrypt the actual user data. The MEK in turn is encrypted by means of the key encryption key (KEK), which is derived from the user password. A drive powers up locked until the correct password is entered. Re-encryption is avoided because only the MEK must be encrypted newly with the KEK when changing passwords. Interestingly, if no user password is set, the drive is unlocked and can freely be accessed, but encrypts data by means of the MEK anyway. Hence, setting a new password, or unsetting a password completely, does not involve lengthy encryption or decryption procedures either.
Encryption works out-of-the-box for SEDs, but to activate any degree of protection, a drive password must be set. This password can be set via ATA commands, as described above, from any compatible BIOS or extensible firmware interface (EFI). Most laptops have built-in support for ATA security commands for years, but desktop systems oftentimes have not. On those systems, users cannot benet conveniently from drive-level security because additional software is required to set the password. Tools like hdparm can send ATA commands to unlock a disk but need to boot into Linux rst. On the other hand, third party BIOS extensions like ATASX [4] are not up-to-date and hard to install for ordinary users.

 

[Taker]

Zusammenfassend ist also zu sagen, dass Diskcrytpor bei der Systemverschlüsselung aktuell performanter als Truecrypt ist?

Habe aktuell mit DC verschlüsselt und kann mich performancetechnisch eigentlich nicht beschweren, betrifft allerdings nur das Business Notebook und nicht den Privatrechner, der soll dann demnächst folgen!

 

[Chibichen]

Hallo,

kann mir jemand erklären, wie es bei den beiden Tools, die im Endeffekt das Gleiche machen, so unterschiedliche Werte bei einer SSD herauskommen?







In den Zusammenhang:

- Wie ist es mit der Sicherheit bei DC?

- Wie kann DC so viel schneller sein?

- Aus welchem Grund sollte man noch TC benutzen, wenn DC deutlich performanter ist?

Das komische ist auch, dass der Benchmark bei DC mir einen sehr hohen Wert bei Serpent ausgibt. AES ist nur auf Platz drei mit ~3xx MB/s. Bei TC ist das gleich. Bei Serpent unter DC bekomme ich 550Mb +

Ergo: Deutlich besserer Schutz (Serpent > AES) bei weit höherer Performance.

Liegt es bei TC daran, dass das letzte Update solange her ist?

 

[Chibichen]

Wie sieht es mit der Sicherheit der beiden aus? Gibt es da Vergleiche?

 

[DonGeilo]

Kurze Frage um performance Einbrüche minimal zu halten kann ich doch in TC einfach nur die systempartition auf der SSD verschlüsseln und den Rest in partitioniert lassen oder?

Und wenn wir gerade dabei sind, lieber TrueCrypt oder DiskCryptor? Habe für HDD´s immer TC genommen und nie Probleme gehabt, wenn ich jetzt aber die letzte Seite überfliege schein DC ja schneller zu sein.

Gesendet von meinem Nexus 5 mit der Hardwareluxx App

 

[DonGeilo]

Da sowohl TC als auch DC TRIM beherrschen ist das gar nicht notwendig.

Ach, das wusste ich gar nicht...

Trotzdem ehr TC oder DC? Hab nur ein "i7" mit 2x1,9GHz im Ultrabook....

 

[iamunknown]

[...]
In den Zusammenhang:

- Wie ist es mit der Sicherheit bei DC?

- Wie kann DC so viel schneller sein?

- Aus welchem Grund sollte man noch TC benutzen, wenn DC deutlich performanter ist?

Das komische ist auch, dass der Benchmark bei DC mir einen sehr hohen Wert bei Serpent ausgibt. AES ist nur auf Platz drei mit ~3xx MB/s. Bei TC ist das gleich. Bei Serpent unter DC bekomme ich 550Mb +

Ergo: Deutlich besserer Schutz (Serpent > AES) bei weit höherer Performance.

Liegt es bei TC daran, dass das letzte Update solange her ist?

- Von TC gibt es zumindest eine aufschlussreichen Vergleich zwischen Quellcode und den Binaries: Verschlüsselungssoftware TrueCrypt: Ein Zweifel weniger | heise Security ==> Inhaltlich identisch und damit zumindest keine versteckte Hintertüren im bereitgestellten Download enthalten. Die Sicherheit der Verschlüsselung ist bei beiden, wenn die Implementierung der Algorithmen korrekt umgesetzt wurde, auf dem selben Niveau. Aus dem Speicher wird man bei beiden über DMA-Attacken den Key aus einem laufenden Rechner auslesen können.

- DC nutzt die SATA-NCQ-Technik besser durch Multithreading beim lesen / schreiben der Blöcke sowie der Ent- und Verschlüsselung derselben.

- TC funktioniert auch unter Windows 8.1 und ist durch die deutlich höhere Verbreitung besser getestet in Bezug auf schwere Programmfehler. TrueCrypt-Container kann man auch unter einem Nicht-Windows-OS mounten (Datenrettung von einem defekten Dateisystem oder einfach Multi-OS-Umgebungen)

DC verwendet mehr Assembler-Code für die rechenintensiven Algorithmen als TC. Daher können natürlich deutliche Unterschiede zur TC-Umsetzung in Sachen Geschwindigkeit (und natürlich auch Sicherheit) auftreten!

DC wird oder wurde halt weiterentwickelt, TC nicht.

Ich gehe davon aus, dass auch von TC weiterhin Updates erscheinen werden. Dort wird eine Verschlüsselung von GPT-Systemen aber wohl als wichtiger wie eine bessere Performance auf SSDs angesehen.

Da sowohl TC als auch DC TRIM beherrschen ist das gar nicht notwendig.

Auf der vorherigen Seite sprichst du noch eine andere Empfehlung aus...

Trotzdem ehr TC oder DC? Hab nur ein "i7" mit 2x1,9GHz im Ultrabook....

Dank AES-NI-Befehlssatz der CPU wird diese bei keinem der beiden Programme groß belastet. Die Benchmarkergebnisse werden unter DC besser sein.

Bei ner SSD immer DC, gerade die besseren 4 K Werte merkt man eigentlich immer.

Nur in Bezug auf die Geschwindigkeit ist DC die bessere Wahl. Bei allen anderen Kriterien muss man selbst abwägen was das wichtigere Feature ist.

 

[Chibichen]

Ich verstehe halt nicht, wie ein so verbreitetes Tool so viel langsamer beim encrypten ist als ein einigermaßen "unbekanntes".

Wieso nutzt TC dann nicht diesen "Assembler-Code"?

 

[iamunknown]

Weil der Entwickler von DC maßgeblich genau dieses Problem angegangen ist. DC ist übrigens ein Fork einer älteren TC-Version, hat inzwischen aber ein inkompatibles Containerformat (kann dafür aber auch nicht Systemlaufwerke wieder entschlüsseln).

Zu der zweiten Frage: Vermutlich ist die TC-Lizenz nicht mit der GPL v3 kompatibel und daher können sie die Verbesserungen im Code von ntfs aus dem DC-Projekt nicht einfach übernehmen. Evt. kommt noch hinzu, dass dafür zusätzlich eine Anpassung am TC-Containerformat durchgeführt werden muss.