ComputerBase Menü
Aktuelles

Systemverschlüsselung und SSDs

B

Bob34

Newbie
Registriert
Juli 2013
Beiträge
2
Hallo,

ich bin gerade dabei mir zu überlegen, ob ich mir eine SSD oder besser eine HDD zulegen soll.

Da SSDs schneller sind und die HDD immer mehr ablösen, tendiere ich ja eher zur SSD.
Aber wenn ich lese, dass das Wear-Leveling von SSDs bei der Verschlüsselung eine Sicherheitslücke bedeuten kann, bin ich mir nicht mehr so sicher.
Die Leute von TrueCrypt raten beispielsweise davon ab, das Betriebssystem zu verschlüsseln, wenn man eine SSD einsetzt.

Muss man also mit diesen Kompromissen leben oder gibt es irgendwie Abhilfe?

Danke für Antworten!
 
Hi,

Die Leute von TrueCrypt raten beispielsweise davon ab, das Betriebssystem zu verschlüsseln, wenn man eine SSD einsetzt.
Zum Vergrößern anklicken....

da verstehst du aber was gehörig falsch:

TrueCrypt cannot reliably perform secure in-place encryption of existing data on such a drive; however, after the partition/drive has been fully encrypted, any new data that will be saved to it will be reliably encrypted on the fly
Zum Vergrößern anklicken....

Bedeutet: wenn du "In-Place" verschlüsselst ist es nicht sicher - sobald aber vollverschlüsselt ist ist es genauso sicher wie alles andere auch.

VG,
Mad
 
Danke für die Antwort!

Nun, ich beziehe mich auf den Satz davor: "Due to security reasons, we recommend that TrueCrypt volumes are not created/stored on devices (or in file systems) that utilize a wear-leveling mechanism (and that TrueCrypt is not used to encrypt any portions of such devices or filesystems). " Das klingt für mich so, als wäre eine Verschlüsselung auf einer SSD grundsätzlich kritisch zu sehen. Aber vielleicht habe ich es ja wirklich falsch verstanden.
 
Hi,

ich hab mir die Frage auch schonmal gestellt und würde als Lösung vorschlagen, eine SSD mit Hardwareverschlüsselung zu nutzen. Dieser kann man wohl nicht wirklich trauen, aber um die möglichen Schwächen in der Verschlüsselung durch Wear Leveling auszugleichen sollte das wohl reichen. Performance sollte dann immernoch dieselbe sein, nur man muss halt beim Boot zwei Passwörter eingeben (dafür wäre aber dann ein Keyfile ne elegante Lösung, sodass man nur noch das Passwort für die Hardwareverschlüsselung eingeben muss).
 
Ich habe mich vor einiger Zeit mit dem Thema beschäftigt.

Folgendes hat sich dabei ergeben:

1. Eine softwareseitige Komplettverschlüsselung ist nicht zu empfehlen
http://de.wikipedia.org/wiki/TrueCrypt#Funktionalit.C3.A4t_mit_Solid_State_Drives_.28SSD.29
http://www.heise.de/ct/hotline/SSD-verschluesseln-1063382.html

2. von den hardwareverschlüsselden SSD's sind eigentlich nur die Sandforce basierenden oder die Samsung Pro Serie zu empfehlen
http://vxlabs.com/2012/12/22/ssds-with-usable-built-in-hardware-based-full-disk-encryption/

Ich habe also eine Winkom SSD für das Notebook geholt und dort das ATA Passwort gesetzt.
 
Zuletzt bearbeitet: (Links hinzugefügt)
Das Problem ist das es bei SSDs (bzw. allgemein Speicherchip basierten Lösungen also auch USB-Sticks) Bereiche gibt, die bei einem defekt "eingeblendet" und den defekten Teil ersetzen.
Das ist auch der Grund wieso z.B. bei SSDs nicht der tatsächliche maximal verfügbare Bereich zur Verfügung steht sondern etwas weniger: SSD 120 GB (von 128 GB) bzw. 240 GB (von 256 GB)

Dies ist ein Sicherheitsrisiko. Selbst wenn man vermutet alles gelöscht zu haben gibt es Speicherbereiche die nach wie vor Daten enthalten, die man bei einem direkten Zugriff auf die Speicherbausteine wieder lesen kann.
Für eine vollständige Löschung ist daher der entsprechende Datenträger physikalisch zu "zerstören".

Das ist jetzt aber eher theoretischer Natur. Wenn man den Datenträger vollständig hat liegen Sie auch in den Speicherelementen "verschlüsselt" vor.

Die andere Annahme wäre, dass die Konsistenz der Daten durch das Verhalten von SSDs gefährdet sind, wenn z.B. Speicherbereiche aufgrund von defekten ausgetauscht werden. Meiner Meinung nach würde dies aber analog für unverschlüsselte Partitionen gelten und dann dürfte man überhaupt keine speicherbasierten Lösungen verwenden. Damit erscheint eher die erste Variante diejenige zu sein, die von den TrueCrypt Entwicklern gemeint ist.
 
Geht Problemlos. Persönliche Dinge sollte man aber erst dann auf die SSD schreiben NACHDEM sie verschlüsselt wurde. Dann ist alles sicher.
 
Bob34 schrieb:
Muss man also mit diesen Kompromissen leben oder gibt es irgendwie Abhilfe?
Zum Vergrößern anklicken....
Ich kann dir zwar bei deinem Problem nicht helfen, hätte jedoch einen Alternativvorschlag anzubieten:
Einen billigen Zweitrechner dazu kaufen oder diesen weiterverwenden mit einer größeren HDD falls mehr Speicher gebraucht wird und den übernommenen bzw. neuen Leistungs-Rechner entsprechend mit einer SSD ausstatten. Prinzipiell wäre das meiner Meinung nach die sicherere Lösung, wenn wirklich relevante Daten abgeschirmt auf einen separaten PC ohne Internetzugang mit USB Stick Sperre liegen würde, bei dem man ein virtuelles Linux oder Mac OS benutzt.
Ansonsten wäre vielleicht eine Mini SSD als Cachinglösung oder eine Solid State Hybrid Drive denkbar, ich kann jedoch keine Angaben zur Verschlüsselung machen.
Übrigens nur mal so als Frage: Handelt es sich um einen Laptop oder um einen Computer?
Bei ersterem könnte trotz der geringeren Leistungsaufnahme und besseren Stoßfestigkeit sich eine HDD eher rentieren, wenn nur ein Steckplatz vorhanden ist und/oder der Speicher gebraucht wird, wenn man viel unterwegs ist und keine(n) externe(n) Datenträger mitschleppen möchte.

xmarsx schrieb:
Für eine vollständige Löschung ist daher der entsprechende Datenträger physikalisch zu "zerstören".
Zum Vergrößern anklicken....
Gilt dies nicht auch für normale HDDs? Kann mir nur sehr schwer vorstellen, dass es keine Mittel und Wege gibt, die Verschlüsselung zu umgehen, wenn jemand wirklich an den Daten interessiert sein sollte.
 
Hi,

ich hoffe ja, dass sich Holt noch in die Diskussion einschaltet - bei der SSD Technik ist der Gute nach wie vor ungeschlagen was das Fachwissen angeht in meinen Augen :)

VG,
Mad
 
Lies dir das Ganze auf Truecrypt.org nochmal durch: die raten nicht davon ab, das System zu verschlüsseln, wenn man eine SSD benutzt, sondern sie raten für die optimale Sicherheitsstufe davon ab, überhaupt eine SSD zu benutzen!

Wenn man allerdings das System komplett verschlüsselt, und zwar auf einer vorher "sauberen" SSD (die noch keine wichtigen Daten enthielt, bzw. per Secure Erase gelöscht wurde), dann ist die Sicherheit wirklich nur theoretisch ein bisschen reduziert.

Theoretisch bietet Wear Levelling oder auch TRIM einen Ansatzpunkt für einen Angriff - ein solcher Angriff ist aber wirklich nur theoretisch, wurde bisher noch nicht durchgeführt, und es gibt auch kein Konzept dazu.

Wenn also nicht gerade der CIA mit allen seinen Spezialisten hinter dir her ist, dann ist eine Truecrypt verschlüsselte SSD immer noch sicher wie Fort Knox, wenn man die Hinweise beachtet (wie gesagt, vor dem Verschlüsseln keine wichtigen Daten darauf ablegen wäre das Wichtigste)
 
Theoretisch bietet Wear Levelling oder auch TRIM einen Ansatzpunkt für einen Angriff - ein solcher Angriff ist aber wirklich nur theoretisch, wurde bisher noch nicht durchgeführt, und es gibt auch kein Konzept dazu.
Zum Vergrößern anklicken....
Wo soll sich da ein Ansatzpunkt befinden?
 
@Bogeyman

Es ist zu erkennen, welcher Teil der SSD belegt ist und somit reduziert sich die Menge an Daten die zu untersuchen ist.

(Reduktion der Komplexität des Problems.)
 
Und? Bei ner normalen Festplatte haste dann auch noch die "gelöschten" Dateien auf der Festplatte. Von denen geht ja auch noch eine Gefahr aus sofern man sie entschlüsseln könnte.

Außerdem haben alle Daten das selbe Passwort und die selbe Verschlüsselung. Sobald der Schlüssel geknackt ist ist es eh egal wieviele Daten nun auf der Platte sind.

Ja man sieht bei der SSD dass sie vielleicht nur zu 50% befüllt ist was man bei einer HDD nicht sagen kann. Aber ich sehe da kein konkretes Sicherheitsrisiko.

Truecrypt arbeitet ja auch blockbasiert. Sprich jeder Block wird für sich ver- und entschlüsselt. Inwiefern sollen jetzt weniger Daten leichter zu entschlüsseln sein als viele Daten? Ich würde sogar eher sagen je mehr Daten man hat desto mehr hat man auch zum analysieren.
Das Knacken der Verschlüsselung wird jedenfalls nicht schwerer nur weil 200Gb statt 100Gb auf der Platte sind.
 
Zuletzt bearbeitet:
Dir ist aber nicht bekannt, wo die 100Gb mit gültigen Daten auf der HDD liegen. Diese musst du erst in den 200Gb finden und das bevor du einen gültigen Schlüssel zum entschlüsseln hast.
 
Wer sagt das? Was ist an den Daten ungültig? Sie sind noch genauso da wie vor dem löschen, einzig und allein der Platz ist als frei markiert. Sprich ich kann diese genauso auslesen, und kann wenn ich die Verschlüsselung geknackt habe sogar noch sichtbar machen was gelöscht wurde (sofern nicht überschrieben).

Also wieso soll es mit gelöschten Daten nicht klappen und wo behindert mich das Ganze?

Soweit ich weiß sind auch gelöschte Daten immer noch Daten. Einziger Unterschied wäre wenn der freie Platz gezielt mit Zufallsdaten gefüllt ist, macht TC aber soweit ich weiß nur am Anfang. Beim Löschen werden jedenfalls keine Daten mit Zufallszahlen überschrieben. Außerdem werden Festplatten von außen nach innen beschrieben. Am Anfang wird man also mit sehr sehr hoher Warscheinlichkeit "echte" verschlüsselte Daten abgreifen können auch wenn die Festplatte relativ leer ist.

Und auch so denke ich dass man mit diesen Informationen nicht wirklich was anfangen kann da AES bislang noch nicht geknackt wurde.

Dir ist aber nicht bekannt, wo die 100Gb mit gültigen Daten auf der HDD liegen.
Zum Vergrößern anklicken....
Wie gesagt wo die 100GB liegen komplett weiß ich nicht. Der "Anfang" der HDD ist aber mit Daten so oder so befüllt.
 
Zuletzt bearbeitet:
Ich sehe hier auch kein Sicherheitsproblem. etheReal schreibt es auch. Sofern man eine neue SSD direkt vollverschlüsselt, oder auch 5% des Speicherplatzes unformatiert lässt, wo soll das eine Lücke sein? Kein bisschen, die Daten sind immer noch alle verschlüsselt. Probleme gäbe es, wenn vorher Daten ins Wear Leveling kamen und nun noch auslesbar sind. Wieviel davon aber auslesbar ist ist fraglich. Daher ist das gesamte fraglich. Ich bezweifel ob man damit auch nur eine MP3 rekonstruieren kann.

Das was halt als "kritisch" angesehen wird, wird nicht die Sicherheit von Truecrypt sein, ich denke eher die Geschwindigkeit mit Truecrypt da Wear Leveling ja durch das Nutzen des gesamten Speicherplattes bei einer Vollverschlüsselung ausgeschaltet wäre. Somit würde eine SSD so eine Art von: "Alle Zellen sind beschrieben" darstellen, und das bricht bei SSD die Leistung ein. Wie wir ja wissen reagieren beschriebene Zellen anders als leere.

Ich bin mir aber nicht sicher auf welcher Ebene Truecrypt entschlüsselt, soweit mir bekannt ist aber On-the-fly im Ram, weil man ja schonmal gesagt hatte, man könnte wenn man den Ram einfriert mit nem Kältespray ein Passwort mit Schockgefrieren, sodass man es auslesen kann. Da kann man aber Festplatte oder SSD nutzen wie man ulkig ist. Die Frage ist, wie wahrscheinlich es ist, wenn die eigene Festplatte/SSD mit richterlichem Beschluss mitgenommen wird, dass genau dieses Verfahren durchgeführt wird. ;) Ich halte es für so gering, dass es kaum erwähnenswert ist.

Daher würde ich behaupten: Truecrypt mit ner SSD: Kein Problem, wird aber langsamer, wie bei ner Festplatte eben auch.
 
Onkelhitman schrieb:
...Kein Problem, wird aber langsamer, wie bei ner Festplatte eben auch...
Zum Vergrößern anklicken....

Habe auch schon darüber nachgedacht mein System demnächst zu verschlüsseln, wegen Notebook Diebstahl o. dergleichen.
Inwieweit ist der Geschwindigkeitsverlust spürbar, bzw. bei welchen Anwendungen? ^^Habe schon bereits etwas gegoogelt, allerdings nichts brauchbares/aussagekräftiges gefunden.

Benchmark für AES unter Truecrypt sind im Netzbetrieb bei 3,0 GB/s u. im Akkubetrieb bei 2,6 GB/s.
 
Das was halt als "kritisch" angesehen wird, wird nicht die Sicherheit von Truecrypt sein, ich denke eher die Geschwindigkeit mit Truecrypt da Wear Leveling ja durch das Nutzen des gesamten Speicherplattes bei einer Vollverschlüsselung ausgeschaltet wäre.
Zum Vergrößern anklicken....

Nein Wear Leveling ist soweit immer aktiv. Manche SSDs haben sogar etwas mehr Speicher als man unter Windows sieht. 240GB SSDs sind idr auch 256GB SSD nur dass man die 16GB von außen nicht "sieht"

Dann gibt es ja noch den Trim befehl, welcher dafür sorgt dass unbenutzte Zellen gelöscht werden. Diesen soll TC ja angeblich durchreichen. Dadurch würden gelöschte Dateien im Explorer auf der SSD, genauer gesagt in den Flashzellen, nach einem Trim Befehl leer sein. (Auch wenn du die komplette SSD verschlüsselt hast und sie komplett vollgeschrieben hast mit TC mit Zufallszahlen da wo keine Daten liegen, würde sie mit der Zeit leere Flashzellen haben sofern man Trim benutzt, da du durchaus irgendwann mal was löschen wirst und dann schlägt Trim zu)

Will man dass man nicht sehen kann ob und wieviele Daten auf der SSD sind müsste man den Trim Befehl daher deaktivieren, wodurch die Performance einbrechen würde.

Wobei wir dann wieder beim Thema oben wären: Wie schlimm ist es wirklich dass man sehen kann wo Daten gespeichert sind und wo nicht? In meinen Augen ist das kein Sicherheitsrisiko,sondern geht höchstens um ein bisschen mehr Verschleierung die man bei einer HDD hat, bei einer SSD wegen Trim aber nicht.

Man sollte eher ne ausreichend schnelle CPU haben um das "SSD Gefühl" zu behalten.
 
Zuletzt bearbeitet:
@Helibob
Kann ich dir leider nicht sagen. Ich benutze kein AES einzeln. Beim Notebook hast du wohl dennoch das Problem, dass schon die Anbindung etwas hinterherhecheln kann. Wie viel? KA.

@Bogeyman
Ok, richtig, die Verschleierung ist aber natürlich wurst, weil die Daten wurden ja ebenfalls verschlüsselt. Also ist es ansich ziemlich egal, ob man sehen kann, dass dort, Beispielhaft: 0010 0011 steht. Denn das sind zwar Daten, aber eben verschlüsselt. Ohne Schlüssel: Keine Daten.

Wo wir wieder bei generell: Ohne Schlüssel, keine Daten wären.

@Helibob
Bei was genau hast du denn Angst? Nehmen wir an, du speicherst keine Passwörter im Firefox und hast deine Daten auf einer zweiten, verschlüsselten Partition. Du kannst zwar dein Notebook einschalten und in Windows rein, und auch Programme nutzen bzw. jemand könnte sie ggf. stehlen oder nutzen. Aber deine Daten wären auf der verschlüsselten Partition, die du per Truecrypt nur mounten musst. Hast du doch dieselbe Sicherheit. Oder meinst du, wenn jemand dein Notebook klaut, ist dein größtes Problem, dass jemand dein Windows nutzt? Was hindert ihn daran, Windows wie auch dein Notebook zu stehlen? ;) Und löschen kann er die SSD auch ganz leicht.

Von daher sehe ich jetzt keinen wirklichen Nutzen einer Totalverschlüsselung gegenüber einer Partitionsverschlüsselung.
 
Von daher sehe ich jetzt keinen wirklichen Nutzen einer Totalverschlüsselung gegenüber einer Partitionsverschlüsselung.
Zum Vergrößern anklicken....

Würde dennoch das komplette OS Verschlüsseln. Zumindest unter Windows. Es werden ja auch Cookies und all son Kram gespeichert ständig, der Verlauf und und und. Oder man speichert mal die Daten an der falschen Stelle ab.

Bei vielen fertig Rechnern ist ja Standardmäßig immer noch eine Wiederherstellungsparition eingerichtet um den Auslieferungszustand wiederherzustellen, und paar Treiber sind da auch oft drauf.

Wer das behalten will verschlüsselt halt einfach nur C und nicht den gesamten Datenträger. Für die Sicherheit der Daten macht das keinen Unterschied.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

G
Fragen zu Sicherer Start und BitLocker Systemverschlüsselung
Antworten
11
Aufrufe
1.604
NinjakeksLive
N
M
Zusammenstellung neuer Gaming und Office PC mit 4 SSDs
5 6 7
Antworten
134
Aufrufe
4.553
maku
M
P
Frage zu Systemverschlüsselung unter Manjaro
Antworten
15
Aufrufe
4.748
Schneee
S
J
VeraCrypt: Systemverschlüsselung PW inkorrekt + Tastatur tot
Antworten
6
Aufrufe
3.883
[ACE].:SHARK:.
[ACE].:SHARK:.
Mr.joker
Veracrypt (keine Systemverschlüsselung) unter Linux - Erfahrungen?
2
Antworten
26
Aufrufe
5.661
iWaver
iWaver

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz