SSD mit Full Disk Encryption - sinnvoll?

I

icebeer

Semiprofi
Thread Starter
Mitglied seit
25.03.2005
Beiträge
3.663
Ort
127.0.0.1
Hallo Leute,

ich nutze in einem meiner vielen Laptops seit Anfang des Jahres eine SSD und bin von der Performance sehr angetan. Voraussichtlich Ende nächsten Monats soll ich nun ein neues Laptop als Arbeitsgerät bekommen und überlege, dort auch gleich eine SSD rein zu setzen. Jetzt aber das Problem: Die Festplatte dort muss komplett verschlüsselt werden (mittels McAfee Endpoint Encrytion, ein anderes Produkt geht nicht). Das heißt konkret: keine freien Sektoren auf der SSD, kein TRIM, keine Garbage Collection, nix.

Jetzt die Frage: Lohnt es sich unter einem solchen Szenario überhaupt auf eine SSD zu setzen oder ist wegen des permanenten "Worst-Case-Szenarios" beim Schreiben eine herkömmliche Notebookfestplatte kaum langsamer oder gar flotter? Gibt es vielleicht Produkte, die mit einer Komplettverschlüsselung besser zurechtkommen als andere? SLC-Produkte wie die Intel X25-E kommen aufgrund des Preises leider nicht in Frage...

Ich bin für jeden Input dankbar. :)
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Schneller als die Notebookplatte wird es sicherlich immernoch sein.
Es gibt auch Verschlüsselungen die TRIM können (Bitlocker, DiskCryptor). Was aber dir jetzt nicht weiterhilft...

Ich empfehle dir totzdem mal diesen Thread als Lektüre:
SSD Disk Encryption (Truecrypt vs Bitlocker vs DiskCryptor)

Es gibt übrigens auch günstigere brauchbare SLC SSDs
Solidata K5 16-128GB Indilinx Barefoot
oder
Solidata K5me 64GB JMicron JMF612
 
Zuletzt bearbeitet:
Danke für den Tip mit der Solidata. Die ist wirklich noch "einigermaßen" bezahlbar und sicherlich eine Überlegung wert.

Was mir gerade in den Sinn kommt: Es gibt nicht zufällig bei den Consumer-SSDs die Möglichkeit die maximal verfügbare Kapazität zu gunsten der Leistung zu verringern, oder? Also dass z.B. statt der 128 nur 100 GB angezeigt und die übrigen GByte für Wear-Leveling genutzt werden? Ich kenne sowas noch von einer Enterprise-SSD...
 
Einfach einen Bereich unpartitioniert lassen.

Dann wird der freie Platz für das Wear-Leveling genutzt.
 
icebeer schrieb:
Es gibt nicht zufällig bei den Consumer-SSDs die Möglichkeit die maximal verfügbare Kapazität zu gunsten der Leistung zu verringern, oder? Also dass z.B. statt der 128 nur 100 GB angezeigt und die übrigen GByte für Wear-Leveling genutzt werden? Ich kenne sowas noch von einer Enterprise-SSD...
Zum Vergrößern anklicken....

Die SSD mit Sandforce Controller arbeiten meist so.
z.B. (m)eine OCZ Vertex 2 100GB hat intern 128GB
Das könnte helfen bei Vollverschlüsselung.
 
Klappt das denn? Hat schon jemand versucht was passiert, wenn man eine solche SSD zu 100% füllt und vor allem auch dauerhaft gefüllt lässt?
 
Bist du sicher, dass TRIM nicht funktioniert? Nichts gegen Mc Monkey, aber nicht mal RAID-Controllerhersteller kennen sich mit TRIM noch so richtig aus und ob der Verschlüsselungstreiber ATA-Commands rausfiltert...?!
 
Genauso handelt TrueCrypt auch, dennoch wird dort nicht aktiv der TRIM Befehl gestoppt - daher kannst du bei einem Intel-SSD mit der Toolbox und bei einem Indilinx SSD mit dem TRIM-Tool vermutlich trimmen, was dann zwar einige Zellen als mit Nullen statt Zufallszahlen gefüllt erscheinen lässt aber da das kaum Risiken/Angriffsfläche bietet sollte das kein größeres Problem sein.

Auch ohne TRIM haben die Intel SSDs der ersten Generation auch schon recht sauber performt, ich persönlich würde daher dennoch ein SSD einbauen - selbst "eingebrochen" wird meist noch sehr schnell gelesen, und wenn eine Installation dann 40 statt 20 Sekunden dauert... so what?
 
Das wäre natürlich schon nicht schlecht. :)

Die Performance ist auch nicht der absolute Faktor No. 1 bei mir. Durch die Verschlüsselung sinkt die Datenrate ohnehin erheblich ab. Ich möchte nur von den deutlich schnelleren Zugriffszeiten einer SSD profitieren. Beispiel: Suche ich in meinen Outlook-Foldern nach einer bestimmten Mail, braucht die SSD in meinem derzeitigen Notebook ohne Verschlüsselung dafür ca. 5 Sekunden. Als ich noch eine HDD hatte waren es locker 3-4 Minuten, in denen man den PC am besten auch nicht anderweitig anfasste. Das finde ich dann nicht sooo prall. ;)

Ich denke ich werde es einfach mal mit einer SSD versuchen. Wenn die Performance unterirdisch ist, kann ich mir immer noch etwas überlegen und wenn sie nach ein paar Monaten durchhängt wegen der mangelnden GarbageCollection / TRIM, ist schließlich Garantie drauf...
 
Ich nutze auch die TrueCrypt Variante. TRIM bei Win 7 wird ordnungsgemäß als aktiviert gemeldet (Intel Rapid Treiber), jedoch habe ich bei meiner OCZ Agility 60 GB (64 GB) nichts unpartitioniert gelassen. Der Unterschied zwischen unverschlüsselt und verschlüsselt ist schon erheblich, jedoch kompensiert das die SSD sehr schön ggü. einer normalen HDD. Einmal dran gewöhnt kann man eine normale HDD mit Systemencryption (gerade bei Notebooks) nicht mehr sehen. Da bekommt man geradezu Anfälle :drool: ! Habe dann letztlich die Ü-Rate deutlich steigern können mit dem Austausch meiner alten T8100 gegen einen schnellere T9300 CPU. Meine OCZ ist nun etwas über ein Jahr alt, wird täglich genutzt und hat laut CrystalDiskInfo noch 85% "Lebensdauer". Von Anfang an Systemencryption mit TrueCrypt mit AES 256er.
 
Die Sandforce SSDs bieten doch schon eine Hardwareverschlüsselung. Es gibt nur noch keine Möglichkeite in PW zu setzen.

Ansonsten würde ich dir eine SSD empfehlen, die Hardwareverschlüsselung besitzt. Gewisse Samsung SSDs können das (das Mainboard muss es jedoch unterstützen!). Die Sandforce SSDs verschlüsseln auch.
 
Danke für Deinen Erfahrungsbericht @Alfamat. :)

Ich denke ich werde mir einfach eine SSD holen, wenn es soweit ist und das ganze dann selbst ausprobieren. Langsamer als mit einer HDD scheint es ja nie zu sein und wenn die SSD nach ein paar Monaten die Kurve kratzt, kann ich ja immer noch zur klassischen HDD zurückkehren und die nagelneue SSD aus RMA wieder verkaufen.

Müsste ich mir Stichtag heute eine SSD leisten, wäre es entweder eine mit SandForce-Controller oder ein Modell von Intel. Die bieten aus meiner Sicht derzeit das beste Preis-/Leistungsverhältnis.

SSDs mit Hardwareverschlüsselung sind für den Heimgebrauch oder entsprechend ausgelegte Umgebungen sicherlich interessant. Leider gibt es in meiner Firma aber Richtlinien, die eine bestimmte Verschlüsselungssoftware vorschreiben. Es bleibt sonst für die IT schlichtweg nicht nachvollziehbar, wer eine Verschlüsselung nutzt, wie dessen Status ist, wer sich versucht zu drücken, was im Fall X zu tun ist etc. pp..
 
kaigue schrieb:
Die Sandforce SSDs bieten doch schon eine Hardwareverschlüsselung. Es gibt nur noch keine Möglichkeite in PW zu setzen.
Zum Vergrößern anklicken....

Dann bringt das ja auch nix wenn der Laptop mal geklaut wird. Sowas kann man sich dann auch sparen. Wenn man ein PW setzen könnte, würde ich das auch einer SW-Lösung vorziehen, klar. Vorrausgesetzt das Verschlüsselungsverfahren ist nicht nur so ein 08/15 Ding. AES 256 wäre schon genial.
 
Es wird soweit ich weiß AES-128bit genutzt (Siehe dazu Datasheets von SF). OCZ und Mushkin arbeiten daran, das Tool auf den Markt zu bringen, mit dem es dann möglich sein wird, ein PW zu setzen. Es ist nur noch nicht freigegeben worden.
 
Das wäre bei gegebener Funktionalität sicher eine Überlegung wert. Entlastet die CPU ungemein und die volle Geschwindigkeit kann so genutzt werden. Bei meinem Laptop bricht die Ü-Rate (seq. Read) fast auf die Hälfte ein im Vergleich zur unverschlüsselten Systempartition. Ist dann aber immer noch 2-3 Mal schneler als eine normale 2,5" HDD ohne Verschlüsselung.

Mit T9300:
ca. 230 MB/s lesen (ohne)
ca. 160 MB/s lesen (mit TC Systemencryption)

Mit T8100:
ca. 230 MB/s lesen (ohne)
ca. 130 MB/s lesen (mit TC)

Also CPU macht da schon was aus.
 
Zuletzt bearbeitet:
icebeer,

dürfte man erfahren was daraus geworden ist?
Bei mir verhälts' sich ähnlich. Neuer Firmenlaptop samt Intel 320 SSD geordert (Thinkpad X220). Noch bevor er da ist fällt mir auf, die verschlüsseln jeden Laptop bei uns mit Safebook (aka McAfee Endpoint Encryption). Auf eine Anfrage hin, ob man zum "Erhalt" der SSD und wegen der Performance nicht auf Safeboot verzichten könne und statt dessen einfach die SSD-interne 128bit AES Hardwareverschlüsselung nutzen könne gabs noch keine Antwort - ich befürchte das wird nix.

Also, was hat sich da (bei dir) ergeben, weiß sonst noch einer was dazu? Selbst wenn TRIM und Garbace Collection damit funktionieren sollten (was ich kaum glaube), so leidet die Performance doch trotzdem bestimmt sehr unter der Software-Verschlüsselung?!
 
bei Safeboot und McAfee EE geht´s um die zentrale Verwaltung und Überprüfung der Verschlüsselung - da wird sich Eure IT mit Sicherheit nicht auf reine SSD-interne Verschlüsselung einlassen.
 
verstehe ich nicht... die sehen den Laptop nie wieder, wenn die den mal rausgegeben haben. Was soll da "zentral verwaltet" werden? Wenn die die Rechner nur verschlüsselt einrichten ist doch wurscht, ob jetzt SSD per Hardware-AES oder proprietäre Softwarelösung obendrauf?!
Meinst sowas wie remote-delete?
Kurzer Hinweis: Die Safeboot-Passwörter sind auf allen Laptops gleich... super zentral verwaltet!


Weißt du denn, wie es sich performance-mäßig mit McAfee-Endpoint Encryption und SSDs verhält? Wenn man ne Intel AES-NI CPU (SandyBridge) hat und das dann auch in Safeboot nutzt könnte es ja noch halbwegs flott sein, auch wenn ich mir fast sicher bin, dass das nicht an die Hardware-Verschlüsselung direkt über Firmware rankommen kann.... und ist halt nicht FIPS-zertifiziert. Ich rieche förmlich, dass man da bei uns nur die langsamst-mögliche Einstellung laufen lässt... phantastisch!

... überdies muss ich immer noch danach fragen, ob diese full disk encryption Softwares die SSDs nicht sowieso grundlegen ruinieren, da sie diese 100% mit random-Daten vollhauen und die "arme" SSD keine Chance mehr hat aufzuräumen.
 
Vergleich einer SSD nach der Verschlüsselung ohne TRIM - diesen Zustand hatte ich über ein Jahr bis ich das erste mal auf meine verschlüsselte SSD TRIM per Intel Toolbox angewendet habe! - und nach der Anwendung von TRIM (hier limitiert mein Prozessor stark - maximaler AES-Durchsatz: 129MB/s -, wie sich in anderen Threads gezeigt hat, ist die maximale Leistung der verschlüsselten SSDs nahezu die gleiche wie die einer unverschlüsselten).
Vollgeschriebene SSDs haben einen spürbaren Performanceeinbruch, AES-NI bringt dir hierbei gar nichts, da hier dann die SSD selbst limitiert - das erste Bild würde mit AES-NI genauso aussehen!
Das Unpartitioniertlassen eines gewissen Bereichs der SSD bringt dir auch nur eine gewisse Zeit lang etwas, dann ist auch dieser Bereich der SSD von der Garbage-Collection vollgeschrieben worden.
 

Anhänge

  • as-ssd-bench INTEL SSDSA2M080 2010-06-26 (verschlüsselt).png
    as-ssd-bench INTEL SSDSA2M080 2010-06-26 (verschlüsselt).png
    17,8 KB · Aufrufe: 57
  • as-ssd-bench INTEL SSDSA2M080 2011-07-13 (verschlüsselt, nach ToolBox-TRIM).png
    as-ssd-bench INTEL SSDSA2M080 2011-07-13 (verschlüsselt, nach ToolBox-TRIM).png
    12,2 KB · Aufrufe: 66
  • as-ssd-bench INTEL SSDSA2M080 2011-02-21 (unverschlüsselt, nach HDDErase).png
    as-ssd-bench INTEL SSDSA2M080 2011-02-21 (unverschlüsselt, nach HDDErase).png
    16,9 KB · Aufrufe: 65
Zuletzt bearbeitet:
ps: Zu der Behauptung, dass vollgeschriebene "neue" SSDs nicht einbrechen: gerade dieses "Einbrechen" der Leistung wird in jedem Test dafür verwendet um zu gucken, ob die jeweilige SSD diesen Zustand eingebrochener Leistung mit TRIM wieder rückgängig machen kann!
Alle SSDs brechen leistungsmäßig ein, wenn alle Flashzellen vollgeschrieben sind - je nach SSD unterschiedlich stark. Der Unterschied meiner G2 zwischen nativ und eingebrochen ist in meinen Augen enorm, denn man sieht es nicht nur im Benchmark sondern merkt es auch in der normalen Anwendung deutlich.
 
aber bei einer per Software vollverschlüsselten SSD bringt das doch alles nichts, da ständig alle Daten random sind... bzw. wo verstehe ich den Zusammenhang jetzt nicht?
 
Vollverschlüsselung -> Die ganze SSD wird vollgeschrieben. Damit ist jedes weitere Beschreiben ein Schreiben von Zufallsdaten (Dateidaten -> Verschlüsselung -> Zufallsdaten). Ein Forensiker wird jetzt ohne Masterkey feststellen, dass die SSD mit Zufallsdaten beschrieben ist.
Ist die SSD vollgeschrieben, ist das Schreiben weiterer Daten sehr viel langsamer, da die beschriebenen Zellen erst vom Controller gelöscht werden müssen bevor sie neu beschrieben werden -> Zustand "SSD eingebrochen"
Anwendung von TRIM -> Controller entfernt all die Zufallsdaten, die laut OS freien Speicherplatz symbolisieren -> SSD-Controller hat genügend freien Speicherplatz, um wieder wunderbar agieren zu können. Jetzt kann ein Forensiker feststellen, wieviel Speicherplatz der SSD mit Zufallsdaten beschrieben ist.
@randfee: Hab ich den wunden Part getroffen, oder welchen Zusammenhang meintest du?
 
Zuletzt bearbeitet:
Hi

aus erfahrung lässt sich dei Mcaffe ee sagen, die platte wird nach laufwerken/partitionen verschlüsselt freie unpartitionierte bereiche werden ignoriert.
wenn man die enterprise version einsetzt dann hat man ein inventory wo jeder acount geprüft wird sobald was ist gehen automatisierte meldungen los .... ergo man kommt nicht drumherum.
aber du kannst gefahrlos die ssd einsetzen haben wir auch schon gemacht.

lg
 
merci...Los,
eine ordentliche TRIM Implementierung seitens Windows UND MacAfee EE sollte also dann zumindest nicht mehr durch ständige lesen-löschen Zyklen führen?! Mir war nicht klar, dass das OS den quasi freien Platz meldet selbst wenn überall durch die FDE schrott steht.

@ Mafle21..
SSDs mit McAfee EE eingesetzt... ok, mit spürbaren Einschränkungen?
So oder so werde ich es wohl ausprobieren, wenn die SSDs dadurch aber in der Performance verkrüppelt werden dann werde ich den Mitarbeitern die Empfehlung geben keine Laptops mit SSD zu ordern, wenn vom erhofften und ohne Software FDE bekannten Performancevorteil nicht viel übrig bleibt.
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh