Kein TRIM bei Veracrypt?

Snoopy69

Captain
Registriert
März 2004
Beiträge
3.176
Geht TRIM bei Veracrypt nur bei Systemlaufwerken?
Hab mal testweise eine Datenpartition eingerichtet und da geht TRIM definitiv nicht :(
 
Wie soll das auch generell funktionieren? Leere/gelöschte Daten sind verschlüsselt auch Daten! (0 ist verschlüsselt nicht 0)
 
Vestehe grad nicht, was du meinst...
Aber bei Bitlocker geht es
 
Bitlocker verschlüsselt je nach Laufwerk auf Laufwerksebene. Dann weiß das Laufwerk auch, wo Daten liegen und wo nicht und kann dementsprechend TRIM ausführen. Veracrypt verschlüsselt aber Softwareseitig, dann kann das Laufwerk das nicht ohne weiteres wissen.
 
Ich kann dir leider nicht sagen, ob es daran liegt, aber nach der mir bekannten Funktionsweise:
VeraCrypt erstellt eine Partition und belegt darauf 100% Speicherplatz, egal ob tatsächlich belegt. Dadurch kann der SSD-Controller nicht wissen, ob ein Speicherbereich freigegeben ist, oder nicht. Darauf bezieht sich auch die Aussage von @Darklanmaster Wenn VeraCrypt eine Partition verschlüsselt, dann blockweise komplett mit iterierendem blockweise geändertem Schlüssel. Dadurch ist selbst ein Bereich der SSD, der eigentlich "keine" Information enthält trotzdem mit 0 und 1 beschrieben (statt nur 0), da dieser Bereich ja nicht von anderen Bereichen (die tatsächlich Daten enthalten) unterscheidbar sein soll. Auch nach TRIM enthält ein Bereich 0 und 1, der Controller merkt sich jedoch, dass ein Bereich leer ist und neu genutzt werden kann. Liest eine Software von dem als gelöscht markierten Bereich, so wird dieser gar nicht ausgelesen sondern pauschal alle Bereiche mit 0 ausgegeben.

Bitlocker arbeitet hier scheinbar anders, es lässt leere Bereiche vom Controller löschen. möglicherweise auf Dateiebene und nicht auf Volumenebene. Das würde bedeuten, dass Bitlocker eben nicht "alles" verschlüsselt sondern eben nur die "Nutzdaten" und Verwaltungsinformationen (Dateigröße und physischer Speicherort/Partitionstabelle) aber unverschlüsselt lässt. Was jetzt "besser" ist, hängt vom Szenario ab. Wenn du TRIM mit VeraCrypt nutzen können willst, dann darfst du keine Partition anlegen sondern musst dich auf einen verschlüsselten Container beschränken. Der ist für das Dateisystem und die SSD eben nur eine normale Datei und auf der Partition/dem Laufwerk kann TRIM ohne Einschränkungen genutzt werden.

Vorteil von VeraCrypts Methode: Solange niemand den key/Passwort kennt, kann man nicht mal beweisen und sogar glaubhaft abstreiten, dass überhaupt Daten gespeichert sind. Bei einem verschlüsselten Container bzw. bei BitLocker (auslesen des Controllers) kann man dich ggf. zwingen (Beugehaft, Geldstrafe,...), das Passwort heraus zu rücken.

Ergänzung ()

https://de.wikipedia.org/wiki/TRIM schrieb:
Der Befehl wird vom Computer (normalerweise dem Dateisystem-Treiber innerhalb des Betriebssystems) an den Controller des Mediums gesendet.
Ich war fast richtig. Der Bitlocker Dateisystemtreiber hat TRIM wohl einfach implementiert. VeraCrypt - möglicherweise absichtlich - nicht.
Ergänzung ()

https://www.veracrypt.fr/en/Trim Operation.html
 
Zuletzt bearbeitet: (Fehler korrigiert)
Also bei einem VC-Container würde TRIM gehen? Sicher?
Wenn ich auf einem unverschlüsselten Laufwerk was schreibe und danach TRIM ausgeführt wird, stehen da nur Nullen.

Wenn ich nun was in einem VC-Container schreiben würde und TRIM ausgeführt wird, was steht dann in den Zellen?

Bei Bitlocker sind es keine Nullen. Aber die Zellen sind trotzdem verschlüsselt.
Wie kann ich sicher gehen, dass bei einem VC-Container TRIM ausgeführt wird? Mit "TRIMcheck" geht das nicht
 
Wovon reden wir? Redest du von dem "normalen" Laufwerk oder von dem VC-Container. "Innerhalb" des Containers kannst du (unter Windows) niemals TRIM ausführen. Der VC-Container emuliert ein Laufwerk, welches durch VC in die echte Datei auf dem Laufwerk geleitet wird. Du kannst aber dann ganz normal auf dem physischen Laufwerk selbst TRIM anwenden. Nur der nicht genutzte Platz im VC-Container wird nicht "bereinigt", schließlich ist der ganze Container aus Sicht von Windows ja einfach nur eine Datei. Hier kann Windows nicht erkennen, was frei ist und was nicht, ist ja nur eine Datei und außerdem verschlüsselt.
 
  • Gefällt mir
Reaktionen: Ctrl
Vielleicht macht es bei VC einen Unterschied ob du die nackte Partition verschlüsselst oder eine formatierte Partition? Mal ausprobieren.
 
scooter010 schrieb:
Vorteil von VeraCrypts Methode: Solange niemand den key/Passwort kennt, kann man nicht mal beweisen und sogar glaubhaft abstreiten, dass überhaupt Daten gespeichert sind. Bei einem verschlüsselten Container bzw. bei BitLocker (auslesen des Controllers) kann man dich ggf. zwingen (Beugehaft, Geldstrafe,...), das Passwort heraus zu rücken.

Kannst Du das bitte mal naeher erlaeutern?
Das per TrueCrypt/Veracrypt verschluesselte Laufwerke/Container sehr schnell als solches erkannt werden ist doch nun bekannt. Und Du widersprichst Dir selbst. Password/Key/Wasimmer ist fuer beides (VC/TC und BL) noetig, also was macht nun den (besseren) Unterschied? Ausser das Bitlocker zusaetzliche Hardware-Unterstuetzung durch vorhandenes TPM hat.

BFF
 
Man kann doch in Veracrypt einen Container mit einem "hidden" container anlegen, oder gibt es das nicht mehr? Habe ewig nicht damit gearbeitet. Passwort A öffnet Container A, Passwort B Container B.
Welche Quelle hast du für deine Behauptung, man kann verstecke VC-Container schnell aufspüren und diese eindeutig als VC identifizieren?
 
Einfach gleich schreiben was gemeint ist. ;)

Du hast in Post #6 nicht von dem versteckten Container innerhalb eines TC/VC-Laufwerkes geredet.
Und ich rede von VC/TC-Laufwerken und Containern. Die sind sehr schnell erkennbar. ;)

BFF
 
scooter010 schrieb:
Wovon reden wir? Redest du von dem "normalen" Laufwerk oder von dem VC-Container. "Innerhalb" des Containers kannst du (unter Windows) niemals TRIM ausführen. Der VC-Container emuliert ein Laufwerk, welches durch VC in die echte Datei auf dem Laufwerk geleitet wird. Du kannst aber dann ganz normal auf dem physischen Laufwerk selbst TRIM anwenden. Nur der nicht genutzte Platz im VC-Container wird nicht "bereinigt", schließlich ist der ganze Container aus Sicht von Windows ja einfach nur eine Datei. Hier kann Windows nicht erkennen, was frei ist und was nicht, ist ja nur eine Datei und außerdem verschlüsselt.
Von einem mit VC verschlüsselten Laufwerk...
TRIM funktioniert da nicht. Und wie du schreibst, auch nicht innerhalb eines Containers.


btw:
Wie sieht es eigentlich mit Wearleveling bei VC-verschlüsselten Laufwerken/Containern aus? Das sollte ja funktionieren, oder?
 
Ja, natürlich, wear leveling zählt ja nur die Schreibvorgänge auf eine Zelle und da ist es egal, ob 0 oder 1 bzw. verschlüsselt oder nicht.
 
Angeblich soll eine Verschlüsselung unsicherer sein, wenn Wearleveling aktiv ist.
Verstehe aber nicht warum, wenn der Inhalt einer alten Zelle 1:1 in einer neue Zelle verschoben wird
Oder was übersehe ich da?
 
Keine Ahnung. Hast du eine Quelle für deine Theorie? Ich kann es mir nicht erklären und ohne wear leveling kann man aktuelle TLC und qlc SSD knicken
 
Zuletzt bearbeitet:
Ah. Jetzt verstehe ich.
Problem ist, dass auf Datenträgern mit Wear Leveling Dateien niemals gelöscht werden, bis sie tatsächlich überschrieben werden. Deswegen ist ein Verschieben in Windows auf ein verschlüsselten Teil des Speichers auf Hardware-Niveau nur ein Kopieren. Die ursprünglichen Daten bleiben erhalten, selbst mit TRIM und können wiederhergestellt werden mit Spezialmethoden. Kopiert man hingegen Daten von einem anderen Laufwerk auf das verschlüsselte Laufwerk, ist es egal.
 
Abschließend kann man also sagen, dass eine mit TC/VC-verschlüsselte SSD nur an Performance verliert, da hier kein TRIM funktioniert.

Aber Wearleveling bleibt davon unbeeinflusst (die Zellen werden gleichmäßig abgenutzt)
Ist das so richtig?

Wie kann ich eigentlich überprüfen, ob Wearleveling funktioniert?
 
Nach meinem Verständnis kann ich das bestätigen.
Kann man nicht prüfen, da es eine interne Eigenschaft eines Laufwerkes ist, proprietär und abhängig vom jeweiliges Controller und darauf von außerhalb kein Zugriff besteht.
 
Zurück
Oben