SSD für Verschlüsselung

[gorni]

Ich bin momentan auf der Suche nach einer System-SSD (Windows7) die allerdings auf jeden Fall verschlüsselt werden muss.
Bisher verwende ich dafür auf einer normalen HDD Truecrypt, welches jedoch laut diversen Tests die Leistung einer SSD massiv beschränken soll und zudem Probleme mit Trim und Wear Leveling hervorruft.

Beim weiteren Suchen bin ich auf die Information gestoßen, dass Sandforce-SSDs grundsätzlich über eine Hardware-Verschlüsselung verfügen welche aber scheinbar noch nicht sinnvoll genutzt werden kann.

Daher wär ich für Erfahrungswerte und sonstige Information bezüglich der SSD-Verschlüsselung dankbar, vielleicht kennt jemand ja eine Möglichkeit die SSD ohne all zu großen Einbußen per Software zu verschlüsseln bzw. ein SSD-Modell mit funktionierender Hardware-Verschlüsselung.
Gesucht wär eine SSD mit 90-128 GB, am besten unter 300€.

 

[termi666]

Gibt es nicht unter 300 Euro.

 

[blablub1212]

die geschwindigkeit bricht dir bei jeder verschlüsselung ein. die neuen core iX könnten zumindest etwas unterstüzend wirken da sie hardwareseitig aes ver- und entschlüsseln können.
und solange die ssd gabage collection hat wäre es nicht so schlimm wenns kein trim mehr geben würde. hab ich in macosx ja auch nicht und die ssd rennt noch 1a.
also ich würde bei truecrypt bleiben. und als ssd empfehlund die intel postville.

 

[gorni]

@termi666:

was würde denn eine SSD mit funktionierender Hardware-Verschlüsselung kosten?
(finde eigentlich nur Nachrichten von Samsung-SSDs die das können, aber nicht im Preisvergleich gelistet sind)


Gibt es keine Möglichkeit, die Verschlüsselung (FDE) vom Sandforce zu nutzen ?

 

[Simpson474]

Es geht hier nicht darum, dass die Verschlüsselung CPU-Leistung braucht. Das Hauptproblem ist, dass eine TrueCrypt-Verschlüsselte SSD stets zu 100% belegt ist, was Garbage Collection und TRIM nutzlos macht. Ein bisschen kann es helfen, den Speicherplatz der SSD nur zu ca. 80% zu nutzen und zu verschlüsseln. Würde dir eine Passwort-Abfrage im BIOS ausreichen? Ich bin mir nicht sicher, aber eigentlich sollten die SSDs auch ein ATA Passwort unterstützen. Dabei handelt es sich zwar auch um keine echte Verschlüsselung, aber denkst du wirklich, dass jemand die Speicherchips auslöten und daraus die Daten auslesen wird?

EDIT: Wenn die Sandforce FDE unterstützt so sollte das möglich sein. Hauptproblem ist dabei das BIOS, welches ebenfalls FDE/BDE unterstützen muss - ist leider meist nur bei Business Notebooks der Fall.

EDIT: Angeblich verwendet FDE/BDE die gleiche API wie das ATA Passwort - daher sollte das mit so gut wie jedem BIOS funktionieren. Wirklich sicher bin ich mir da aber nicht.

 

[auweia]

Also ich meine die Sandforce Controller verschlüsseln automatisch mit AES 128 (->http://www.sandforce.com/index.php?id=19&parentId=2&top=1). Müsste man dann nur eine ATA Passwort setzten.

 

[Simpson474]

Eigentlich kann man FDE/BDE ganz einfach testen (Achtung, wenn es funktioniert gehen alle Daten verloren). ATA-Passwort setzen, die HDD sollte anschließend leer sein. Daten auf die SSD schreiben und im BIOS das ATA-Passwort ändern bzw. entfernen. Die SSD sollte anschließend wieder leer sein.

 

[blablub1212]

Das Hauptproblem ist, dass eine TrueCrypt-Verschlüsselte SSD stets zu 100% belegt ist, was Garbage Collection und TRIM nutzlos macht

das ist nicht so in meinem alten laptop hatte ich 2 partitionen c: und d: auf einer hdd die system partition war mit der truecrypt fde verschlüsselt d: war als ganze partition mit einem anderen passwort verschlüsselt. man könnte die ssd ja auch in 2 partitionen aufteilen und eine davon einfach nicht verschlüsseln und frei lassen, damit eben nur max 80% von der ssd belegt sind.

 

[gorni]

Wie funktioniert das ATA-Passwort genau, muss man da bei jedem Booten das Passwort eingeben oder soll das mehr verhindern, dass die Platte wo anders genutzt werden kann?

Wenn das Passwort immer nötig ist um das System zu starten wäre das durchaus eine Idee, allerdings müsste ich noch rausfinden, ob mein Board (ga-ma770t-ud3p) dies anbietet bzw. was ein neues damit kosten würde.

Was passiert denn, wenn irgendwann das Mainboard getauscht werden muss und ich die SSD an ein anderes anschliesse (aber das PW natürlich noch weiss)? Lässt sich dann noch auf die Daten zugreifen oder funktioniert das nur mit dem jeweiligen Mainboard, auf dem es verschlüsselt wurde?

 

[Simpson474]

Wie funktioniert das ATA-Passwort genau, muss man da bei jedem Booten das Passwort eingeben oder soll das mehr verhindern, dass die Platte wo anders genutzt werden kann?

Ja, das Passwort muss bei jedem Systemstart eingegeben werden.

Wenn das Passwort immer nötig ist um das System zu starten wäre das durchaus eine Idee, allerdings müsste ich noch rausfinden, ob mein Board (ga-ma770t-ud3p) dies anbietet bzw. was ein neues damit kosten würde.

Das ATA-Passwort ist uralt (über 10 Jahre) und sollte eigentlich von so gut wie jedem Mainboard heute unterstützt werden.

Was passiert denn, wenn irgendwann das Mainboard getauscht werden muss und ich die SSD an ein anderes anschliesse (aber das PW natürlich noch weiss)?

Solange du ein Passwort verwendest und die Passwortabfrage im Mainboard richtig implementiert ist, kannst du die SSD an ein anderes Mainboard anschließen. Sicherheitshalber solltest du die SSD aber bevor diese die wichtigen Daten enthält in einen anderen Rechner einbauen und testen, ob das wirklich so ist.

 

[gorni]

Ich habe mich nun ein wenig mit dem ATA-Passwort beschäftigt und konnte leider keine entsprechende Option im BIOS finden, dafür allerdings ein Tool, dass das ganze wohl manuell über den ROM einer Netzwerkkarte ermöglichen soll.

Hat zufällig jemand Erfahrungen damit bzw. kennt wer ein aktuelles AM3-Board / eine BIOS-Version, die das von sich aus unterstützt?