Füllt VeraCrypt beim Verschlüsseln der System Partition mit Zufallszahlen auf?

[Walka]

Hallo,

füllt VeraCrypt beim Verschlüsseln der Windows System Partition (System --> Encrypt System Partition/Drive) den restlichen freien Speicherplatz ebenfalls mit Zufallszahlen aus? Falls ja, kann man dies deaktivieren?

Bei "normalen" Containern ist dies laut Dokumentation der Fall, für das Verschlüsseln der System Partition habe ich bisher keine Informationen gefunden. Bei "normalen" Containern kann man mittels "Quick Format" das Überschreiben des freien Speicherplatzes mit Zufallszahlen deaktivieren, beim Verschlüsseln der System Partition habe ich diese Option jetzt nicht gesehen.

Hintergrund:
Meinen Informationen zufolge ist das vollständige Beschreiben einer SSD (im Gegensatz zu einer HDD) mit Zufallszahlen nicht ratsam, sofern man keine glaubwürdige Abstreitbarkeit benötigt. Bei einer reinen Daten-SSD könnte man dies mit "Quick Format" also wohl verhindern. Aber wie sieht das bei dem Verschlüsseln der System Partition aus? Bei einem Laptop mit HDD dauert das Verschlüsseln einer frischen Windows 10 Installation mit 1 TB Festplatte 8 Stunden. Das sieht für mich jetzt fast so aus, als ob der restliche freie Speicherplatz hier mit Zufallszahlen gefüllt wird. Oder? (Der 2. PC mit SSD soll noch verschlüsselt werden.)

Liebe Grüße

 

[Bob.Dig]

Selbst wenn das einmalig passiert, bringt das keine SSD um, lange nicht. Von daher kann das getrost ignoriert werden.

 

[Madman1209]

Hi,

das einzige, was ich nicht empfehlen kann, ist die SSD komplett voll zu schreiben. Verkleinere ggf. die Partition um ein paar GB (bei mir immer so um die 10 GB), dann ist das kein Problem. Die Schreibzugriffe sind für eine aktuelle SSD sicher kein Stress. Eher das komplett "vollgeschrieben sein".

VG,
Mad

 

[Snowi]

Soweit ich es im Kopf habe, versucht Veracrypt das bzw. fragt dich und empfielt es, aber man kann es ablehnen/abbrechen, und der macht direkt weiter mit Verschlüsseln. Im Zweifel kannst du ja sowieso abbrechen. Kaputt geht da nix, musst nur ggf. die Partitionstabelle neu schreiben.

Sehe das aber wie Madman1209: Am besten machst du die verschlüsselte Partition so groß dass sie ca 80-90% der SSD einnimmt, die restlichen 10-20% lässt du frei, damit die SSD nicht ständig am Limit kratzt. Dann ist auch das überschreiben vorher kein Thema.
Und die paar GB die du auf die SSD schreibst stören auch keinen.

 

[Walka]

Es geht mir nicht um die "verlorenen" TBW, sondern wie von euch schon erwähnt, um das komplette vollschreiben. Zum einen soll wear leveling etc. hier nicht mehr so gut funktionieren (trotz dieser nicht sichtbaren "Extrapartition" dafür), aber vor allem soll die Performance stark darunter leiden, da viele SSDs (und auch meine) einen zusätzlichen dynamischen Speicher oder Cache hat. Da ich keine glaubwürdige Abstreitbarkeit brauche, ist mir Performance hier wichtiger.

Soweit ich es im Kopf habe, versucht Veracrypt das bzw. fragt dich und empfielt es, aber man kann es ablehnen/abbrechen, und der macht direkt weiter mit Verschlüsseln.

Eine derartige Option habe ich beim Verschlüsseln des Laptops (ohne SSD) nicht gesehen. Das ist dort wie hier beschrieben abgelaufen. Man kann an einem Punkt den "Wipe Mode" auswählen. Das soll aber nur das Überschreiben der schon existierenden und bisher unverschlüsselten Daten mit Zufallszahlen sein. Da es gerade einmal eine frische Windows Installation ist, brauche ich das nicht.

Kann man das evtl. woanders abstellen, das VeraCrypt mit Zufallszahlen auffüllt?

Sehe das aber wie Madman1209: Am besten machst du die verschlüsselte Partition so groß dass sie ca 80-90% der SSD einnimmt, die restlichen 10-20% lässt du frei, damit die SSD nicht ständig am Limit kratzt.

Puh, das wären bei 1 TB dann 100-200 GB, die nicht genutzt werden könnten.


Der Laptop ist mittlerweile fertig verschlüsselt. Kann ich an dem irgendwo nachschauen, ob VeraCrypt den Rest mit Zufallszahlen aufgefüllt hat? Er hat ca. 8 h für ca. 30 GB Daten gebraucht. Das klingt jetzt erstmal sehr lange, auch für so ein altes Gerät

 

[Snowi]

Kann man das evtl. woanders abstellen, das VeraCrypt mit Zufallszahlen auffüllt?

Mir wäre dann leider nichts bekannt

Puh, das wären bei 1 TB dann 100-200 GB, die nicht genutzt werden könnten.

Jap, ist leider richtig. Ich würde da auch eher richtung 10% gehen als 20%, aber die letzten % der SSD haben in der Regel größere Performanceeinbußen die sie mitbringen.

Der Laptop ist mittlerweile fertig verschlüsselt. Kann ich an dem irgendwo nachschauen, ob VeraCrypt den Rest mit Zufallszahlen aufgefüllt hat? Er hat ca. 8 h für ca. 30 GB Daten gebraucht. Das klingt jetzt erstmal sehr lange, auch für so ein altes Gerät

Bei 8h würde ich spontan sagen - hat er, musst du nicht prüfen.
Du kannst aber zB mit Recuva oder anderen Tools das Dateisystem scannen und versuchen, alte Dateien usw wiederherzustellen. Der sollte da nur Müll finden statt tatsächlichen Dateien. Also das Programm wird dir was anzeigen, aber das sollte nur Buchstabensalat sein, ohne dass da erkennbare Daten/Dateien wären.

 

[Madman1209]

Hi,

Puh, das wären bei 1 TB dann 100-200 GB, die nicht genutzt werden könnten.

vergiss 10%, mach einfach 10-15GB, das reicht locker.

VG,
Mad

 

[Bob.Dig]

Einfach TRIM anstoßen, z.B. mit dem Windows Defrag, dann wird der freie Platz komplett gelöscht. Extra freien Platz braucht man mit TRIM nicht mehr.

 

[Madman1209]

Hi,

das ist so nicht ganz korrekt, zumindest nach meinem Wissensstand. TRIM kann nur bei den Zellen verwendet werden, die der Controller als "leer" sieht. Nachdem aber die Sektoren durch VeraCrypt beschrieben sind werden die da nicht dazugezählt - sönst wäre der leere Speicherplatz ja plötzlich unverschlüsselt.

Wenn die SSD komplett voll geschrieben wird kann es ziemliche Performance Probleme geben - hatte ich auch schon mehrfach, auch mit aktuellen SSDs (Samsung und Crucial).

TRIM brint dir etwas, wenn deine Speicherzellen tatsächlich leer und / oder zum löschen markiert sind. Bei einer vollverschlüsselten Platte tritt der Fall aber nicht ein. Daher: Platz frei lassen.

VG,
Mad

 

[Bob.Dig]

@Madman1209 Hier geht es um eine Systemverschlüsselung, geht so zumindest aus dem ersten Beitrag hervor, also kein Container.

 

[Madman1209]

Hi,

ich spreche auch nicht von Containern...

VG,
Mad

 

[Bob.Dig]

@Madman1209 Nur da hätte das aber gezählt, was Du gesagt hast.

Veracrypt überschreibt ggf. den leeren Platz mit Zufallsdaten, damit zuvor gelöschte Daten nicht nachträglich wiederhergestellt werden können. Für Windows aber ist der Bereich leer und wird somit getrimmt, spätestens dann, wenn man TRIM über die Optimierung/Defrag manuell auslöst. Damit werden die Zellen/Pages dann wieder endgültig gelöscht, auch von den Zufallsdaten.

 

[Madman1209]

Hi,

sehe ich anders. Wenn das stimmen würde müsste ich auf der Systempartition ja den kompletten freien Speicher auch als solchen erkennen können, selbst wenn mit VC verschlüsselt wurde. Das kann so nicht stimmen.

Für Windows mag der Bereich leer sein, aber nachdem VC ja die Zwischenschicht zwischen Windows und SSD bildet kann das so nicht stimmen meines Erachtens.

Und es würde auch absolut nicht erklären, wieso eine komplett volle System SSD verschlüsselt massive Performance Einbußen hat und ggf. auch bei 100% Last hängt.

Halte ich für nicht korrekt.

VG,
Mad

 

[Walka]

Bei 8h würde ich spontan sagen - hat er, musst du nicht prüfen.
Du kannst aber zB mit Recuva oder anderen Tools das Dateisystem scannen und versuchen, alte Dateien usw wiederherzustellen. Der sollte da nur Müll finden statt tatsächlichen Dateien. Also das Programm wird dir was anzeigen, aber das sollte nur Buchstabensalat sein, ohne dass da erkennbare Daten/Dateien wären.

Der Laptop ist sehr alt und langsam. Laut Benchmark schafft er gerade mal 170 MB/s bei AES. Wobei da 30 GB schon schneller fertig sein müssten.
Ich hatte die Festplatte (in dem Fall ja eine HDD) im Vorfeld mit einem anderen Programm mit Zufallszahlen vollgeschrieben, um alte unverschlüsselte Daten zu löschen.


Wie TRIM genau funktioniert, da kann ich jetzt nicht mitreden. Defragmentieren wollte ich nicht, TRIM aber schon. Da muss ich nachher googlen, wie das gehen soll. Geht das evtl. auch mit den Samsung Magician? Es handelt sich übrigens um eine Samsung 870 EVO mit 1 TB.
Ich muss auch mal schauen, wie oft TRIM ausgeführt wird im Betrieb dann später...

Ich hätte aber gedacht, dass die Systemverschlüsselung auch nur 1 Container ist.

Laut dem Test auf computerbase ist der dynamische Cache 36 GB groß bei der Samsung. Damit bräuchte ich also eine 36 GB (oder aufgerundet 40 oder 50 GB) große freie Partition und wäre auf der sicheren Seite, oder? Das wäre jedoch für mich immer noch ein Workaround. Bevorzugen würde ich, wenn er die Platte nicht vollschreibt.

 

[Bob.Dig]

Der Laptop ist sehr alt und langsam. Laut Benchmark schafft er gerade mal 170 MB/s bei AES.

Das ist wirklich schwach. Je nach dem, wie leidensfähig Du bist, könntest Du ggf. die eingebaute Verschlüsselung der SSD zusammen mit BitLocker nutzen. Eine ausführliche Anleitung dazu findest Du in meiner Signatur. Aber Du musst schon ganz schön "fit" sein, dass das am Ende auch funktioniert. Es ist alles andere als trivial und ob bei Dir alle Voraussetzungen erfüllt sind, kann dir leider niemand im Vorhinein sagen.

 

[Walka]

Oh, Entschuldigung! Da war ich etwas unklar. Die SSD ist in einem besseren Rechner, da hoffe ich stark, dass das keinen großen Unterschied macht. Der Laptop mit der HDD ist der, der so langsam. Den hatte ich nur zuerst eingerichtet und daher erste Vergleichswerte. Aufgrund der Erfahrung mit dem ist dann auch dieser Threat entstanden, da ich die SSD ungern vollschreiben wollen würde.