SSD Disk Encryption (Truecrypt vs Bitlocker vs DiskCryptor)

[Holt]

Aber bei einer anderen Platte (1,5 TB WD Green) quält er sich mit um die 5 MB/s. Was soll das? Die Platte ist allgemein schneller als die andere

Allegmein schneller ist ein weiter Begriff, bei so einer Verschlüsselung kommt es nicht nur auf die maximalen sequentiellen Transferraten an, sondern auch auf Zugriffezeite und da ist die Green nicht so toll. Prüfe das Allignment der Partition, am einfachsten geht das eben mit AS-SSD und wenn das stimmt, also hinter der Angabe des Offsets OK steht, dann ist das eben die Leistungsgrenze dieser HDD.

Die Partitionierung kann man durch Formatieren nicht korrigieren, dazu muss man die Partition(en) löschen, neu anlegen und dann formatieren. Dabei kann und sollte man die Standardeinstellungen lassen, also auch die normalen 4k Clustergröße, das ist für NTFS schon ein optimaler Wert.

 

[amag]

Ja, Holt da hast du natürlich recht, genau war die Angabe nicht gerade.
Ich lasse es jetzt einfach laufen, erst 617 GB nach 8 Stunden sind natürlich nicht so toll. Wenigstens ist eine meiner 2 TB Platten mit 15 MB/s ganz gut dabei, hoffentlich sind die anderen meiner Platten nicht auch so langsam. Während des Verschlüsselns sind die Platten ja nicht wirklich benutzbar, da voll ausgelastet.

Die SMART-Werte meiner Platten habe ich immer halbwegs im Blick, sie sind im Grunde in Ordnung, die langsame Platte aber wirklich vollkommen fehlerfrei.

Grüße

 

[pcjunker]

Viele der neueren SSDs sind als SED (SelfEncryptingDisk) konzipiert, die über einen Chip auf der SSD hardwareseitig verschlüsseln (z.B. Samsung 840pro/850pro u.a.).

Performancemäßig hat man mit den Tools DiskCryptor oder TrueCrypt einen kleinen Einbruch, deshalb die Frage:

Hat schon mal jemand mit ATA-Security gearbeitet, bei der im Bios ein Passwort HDD-Master und HDD-User gesetzt wird, um die Platten zu verschlüsseln? Nennt sich bei Samsung CLASS-0-Security...

Wie sieht das aus, wenn man zwei Platten mit dem gleichen Passwort (!) ATA-Security-verschlüsselt hat? Zweimalige Passworteingabe beim Booten?
Konfig:
SSD1: System, C:\windows
SSD2: D:\Daten

Gruß, pcj

 

[Boy2006]

Also man muss schon unterscheiden zwischen einer SED und wo du nur ein PW eingibst.
Weil das sind 2 verschiedene Dinge!
1) Eine SED (HDD in meinen fall) ist default immer verschlüsselt wenn man sie kauft. Zuerst muss man sie initialisieren und im Raid Controller/ Bios des PC/... einen Key hinterlegen der das SED entschlüsselt. Hier für muss man keine PW oder was auch immer irgend wo eingeben!!!
2) Nur ein PW ohne das die Daten auf den Datenträger verschlüsselt sind Zb Windows PW da sind die Daten auf der HDD auch nicht verschlüsselt.

 

[pcjunker]

Ja, das ist klar, deshalb schrieb ich ja SED: Die genannten Samsungs sind immer AES-256-verschlüsselt, es ist lediglich seitens des Herstellers ein Key implementiert, der die Teile lesbar macht. Und diesen Key kann man, simpel ausgedrückt, durch Setzen eines HDD-Master-/User-Passwortes via ATA-Security ändern, was die Teile ohne dieses neue Passwort unlesbar macht...

Deshalb die obigen Frage...

 

[musschrott]

Prinzipiell ist die AES Verschlüsselung mit ATA Passwort schon relativ lange auf SSDs auf dem Markt, der recht weit verbreitete Sandforce 2281 Chipsatz hatte das zum Beispiel. Das Problem ist halt einerseits, dass man nicht weiss was die Hersteller da wirklich in den SSDs treiben, das andere Problem, dass man von der Implementierung im BIOS abhängig ist. Bei meinem Versuch damals konnte man nicht mehr als 8 Zeichen für das Passwort eingeben und eines Tages lief die Platte auf einmal auch ohne Passworteingabe... Wahrscheinlich wurde es nie an SSD durchgereicht? Ich halte es eher für eine unzuverlässige Lösung.

 

[pcjunker]

Hmmm, wirklich stören tut mich bei ATA-Security die Hardwareabhängigkeit, insbesondere, falls TPM zu Einsatz kommt.

Gibt es eigentlich schon Erfahrungen mit VeraCrypt, letzte Version stammt vom 15.9.14!? Als aufgebohrter TrueCrypt-Nachfolger wäre die Performance im Vergleich zum DiskCryptor interessant, habe derzeit leider keine freie SSD-Partition ...

EDIT:
Und wie kann man mit AS SSD-Benschmark überhaupt VeraCrypt- / TrueCrypt-Container bzw. Partitionen benchen? Der "virtuelle" Laufwerksbuchstabe des gemounteten verschlüsselten Laufwerks wird nicht angezeigt, im Urspungspost steht bei AS SSD "Dummy Model":

 

[BRAINs]

Hat schon mal einer die hardwarebasierte Bitlocker Verschlüsselung zum Laufen gebracht? Ich probiere das jetzt schon ein paar Tage, aber hab nun verzweifelt aufgegeben. Die Voraussetzungen sind da, aber es klappt nicht.

Bei der SSD handelt es sich um eine Samsung 840 Evo, welche ich mit dem Tool Samsung Magician auf "Encrypted Drive" vorbereitet habe. Danach führte ich ein Secure Erase aus, welcher das eDrive aktivierte. Im BIOS meines Gigabyte Z77X-UD3H (laut Gigabyte unterstützt dieses auch eDrive) hab ich dann wie es sein muss UEFI aktiviert und CSM deaktiviert, Secure Boot aktiviert, TPM aktiviert und Windows 8.1 von einem USB Stick sauber auf die SSD installiert. Normalerweise sollte dann Bitlocker bereits automatisch aktiv sein, aber leider war gar nichts aktiviert. Also startete ich die Bitlocker Verschlüsselung manuell, aber es wurde nur die softwarebasierte Verschlüsselung gestartet. Über die Powershell kann man die hardwarebasierte Verschlüsselung erzwingen, aber diese bricht mit der Fehlermeldung ab, dass die SSD angeblich kein eDrive unterstützt. Ich bin echt ratlos, ich habe alles so gemacht wie vorgeschrieben, aber nichts klappt. Windows läuft definitiv im UEFI Modus und eDrive der SSD ist aktiv. Der Hardwareverschlüsselung sollte also absolut nichts im Wege stehen....

Irgendwelche Ideen und/oder Tipps?

 

[Gelöschtes Mitglied 172838]

Wenn du's schaffst sag' Bescheid. Ich habe schon lange aufgegeben

 

[pcjunker]

Und wie kann man mit AS SSD-Benschmark überhaupt VeraCrypt- / TrueCrypt-Container bzw. Partitionen benchen? Der "virtuelle" Laufwerksbuchstabe des gemounteten verschlüsselten Laufwerks wird nicht angezeigt, im Urspungspost steht bei AS SSD "Dummy Model":
Anhang anzeigen 295297

Die verschlüsselte Systempartition geht immer.

Naja, jeweils die Systempartition zu verschlüsseln, kommt nur zum Testen versch. Verschlüsselungstools und deren Performabce eher weniger in Frage...

Wie kann man andere Partitionen testen?

Thx...

 

[Techland]

Eventuell hängt das Auftauchen von TC in AS SSD an der Option 'Mount volumes as removable media'. Das ist bei mir (absichtlich) aktiv und ich sehe TC nicht in AS SSD.

 

[pcjunker]

Nein, an der Option 'Mount volumes as removable media' liegt es nicht, die ist deaktiviert.
Wie kann ich mit TC-verschlüsselte Nicht-Systempartitionen testen?

 

[pcjunker]

SSD-Testreihe Truecrypt / Veracrypt / DiskCryptor

Sodele, nachdem AS SSD so gar nicht messen wollte, hier mal eine Samsung-SSD-830-Testreihe mit CystalDiskMark-x64 für:
Unverschlüsselt / Truecrypt7.1a / Veracrypt1.0e / DiskCryptor1.1.846.118
mit hochinteressanten Ergebnissen zur gefällige Diskussion...

System: MSI X79A-GD65 8D (MS-7760) mit i7-3930K, 3500 MHz (35 x 100), 64 Gb Ram, kein O/C - die gemessene Samsung SSD-830-256Gb hängt am ASmedia-Chip mit Treiber v1.3.8.0, da die Intel-Ports des X79 mit SSD-850 belegt sind. (Mit einem neueren ASmedia-Treiber (2.0.8.0) zickt AS SSD noch mehr rum...)

 

[pcjunker]

Samsung Over Provisioning - Data recovery trotz DC möglich?

Hallo allerseits,

folgende Konfiguration ist gegeben:
Samsung-SSD-850pro mit:
100 Mb System
ca.429 Gb C: Windows, verschlüsselt mit DiskCryptor.
ca. 48 Gb via Magician für Over-Provisioning zugeteilt, unverschlüsselt.

Den für Over-Provisioning zugeteilten Plattenplatz nutzt die SSD nach meinem Verständnis wohl, um Schreibzugriffe zu verteilen und damit performanter zu werden.

Können vom Over-Provisioning zugeteilten Plattenplatz Dateien wiederhergestellt werden, obwohl die eigentliche "Windowspartition C:" mit DC verschlüsselt ist?
Kann man den Over-Provisioning-Plattenplatz irgendwie gezielt auslesen oder löschen?

Danke + Gruß, pcj

 

[BRAINs]

Wenn du's schaffst sag' Bescheid. Ich habe schon lange aufgegeben

Bescheid! Also ich bau mir gerade einen neuen PC und hab dort diesmal kein Gigabyte sondern ein Asus Board verbaut. Da hat die hardwarebasierte Bitlocker Verschlüsselung sofort funktioniert.

 

[GrafikTreiber]

OP ist im Grunde genommen gar nicht nötig, da DC TRIM unterstützt. Alles was nach der Verschlüsselung auf c geschrieben wurde ist ohnehin verschlüsselt. Du könntest das OP also deaktivieren, dann dort eine Partition erstellen und diese trimmen oder komplett voll schreiben, dann wieder löschen und OP wieder einrichten. Ist aber nur was für Paranoide.

Das ist so nicht richtig.
Trotz TRIM macht OP besonders bei SSDs mit wenig Spare-NAND einen großen Unterschied in der Performancekonsistenz.
AnandTech | Exploring the Relationship Between Spare Area and Performance Consistency in Modern SSDs

 

[imPurpleHaze]

Mein Thread


hier jemand vielleicht einen tipp für mich?

 

[Retrocloud]

Wie siehts hier eigentlich aus verschlüsselt ihr eure SSDs noch per extra Software? VeraCrypt oder ähnliches?

 

[Boy2006]

Hat wer erfahrung mit Encryptet SSDs die vom Notebook "Hersteller" kommen?

 

[Retrocloud]

Mit was hast du da verschlüsselt auf diesen Bildern?

Achja BitLocker jetzt erst gesehen.

 

[GreenStorm]

@Nimhs - Sicher, wieso sollte man damit aufhören? TrueCrypt / VeraCrypt.

 

[maglite]

Nicht unbedingt nur per Software: ohne und mit Verschlüsselung

Waow, das ist ja klasse, sprich keine Performance Einbußen oder?
Der Standard heißt "Microsoft’s eDrive" oder wie?

The M500 is the first drive that I’m aware of to support Microsoft’s eDrive standard.

 

[GreenStorm]

Also mit TrueCrypt eine AES-Encryption nutzend (mit CPU-Acceleration) ohne extra Windows-Zeugs habe ich auch keine Performanceeinbußen

 

[IchBinsWirklich]

Hi, ist DiskCryptor für 4K optimiert ? Konnte dazu nichts finden.
Da ich im Moment derzeit nur Win 7 Home Premium habe ist Bitlocker keine Alternative.
Hab eine Samsung 840 Evo

 

[Boy2006]

Und deswegen sage ich immer nix geht über eine HW Verschlüsselung die Zertifiziert ist.

 

[BRAINs]

Hab hier einen hässlichen Bug mit Windows 10 und meiner SSD verschlüsselt mit BitLocker als eDrive. Win10 hat vergessen, dass das Drive verschlüsselt ist. Später in Windows ist keine Verschlüsselung mehr erkennbar, entsprechend kann ich BitLocker auch nicht mehr konfigurieren, z.b. die Verschlüsselung mit Bordmitteln deaktivieren.
Anhang anzeigen 332218

Hast du den Intel Rapid Storage Treiber installiert? Bis Version 13.6 hat das bei mir zusammen mit eDrive immer funktioniert, aber nach einem Update auf Version 14.5 funktionierte Bitlocker nicht mehr. Ich vermute, dass das dein Problem ist und nicht Windows 10.

 

[amag]

Hallo.

Auch ich wollte nun eDrive nutzen, habe es also in Magician (840 Evo) aktiviert und Windows neu installiert. Ein SecureErase habe ich nicht gemacht, Magician sagt mir jetzt aber auch, eDrive sei aktiv. Wenn ich aber den Testlauf von Bitlocker, bleibt alles hängen, nachdem ich das Passwort eingetippt habe.

Eine Neuinstallation brachte nichts.
Kann mir jemand einen Tipp geben?
Ich habe kein TPM, CSM ist im UEFI deaktiviert.

Sas Ereignislog sagt: Beim Neustart war ein Schlüssel aus den erforderlichen Quellen nicht verfügbar (24609).

 

[Gelöschtes Mitglied 172838]

Selbst wenn du den RST deinstallierst bringt das nichts. Einmal installiert wars das mit eDrive.

 

[BRAINs]

Das ist so nicht ganz richtig, du kannst den RST deinstallieren und musst dann aber Win 10 im abgesicherten Modus hochfahren, dort kannst du dann die Standard Microsoft Treiber oder einen älteren Intel RST installieren. Der 13.6.1.1001 funktioniert bei mir problemlos mit eDrive/Bitlocker, höhere Versionen nicht mehr. Beim Treiberwechsel ist zumindest bei mir unbedingt ein Neustart in den abgesicherten Modus nötig gewesen, danach funktionierte alles wieder.

 

[JohnnyBGoode]

Frage zu DC und TRIM bei RAID1 (Win 8.1 x64, MBR-Datenträger).

Bei einem Mainboard mit C612-Chipsatz, zwei MX100 256 im Intel-PCH-RAID1 funktioniert TRIM laut Trimcheck mit den RSTe-Treibern 4.3.0.1542 - nach DC-Verschlüsselung nicht mehr. Bei einzelnen SSDs am gleichen SATA-Controller samt identischen Treiber klappt's auch mit DC.

Kann jemand sagen, wo hier der Haken ist?