Platte vorbereiten für Veracrypt/Truecrypt

Hi,

vor etlichen Jahren zum Einstieg ins SSD Zeitalter, musste man SSDs vor dem verschlüsseln entsprechen vorbehandeln.
Damit ist füllen mit Nullen der Platte (zB mit DD) gemeint.
Nun suche in nach der genauen Begründung warum das notwendig war, bzw. muss das immer noch bei NVMe SSDs sein?
Was ist das der technische Hintergrund dafür?
Ich bekomm es gerade nicht mehr zusammen und Google spuckt nicht wirklich brauchbares aus... kann mich wer aufklären?
Wo sind nur meine Aufzeichnungen hin...

Grüße
Mac

Hi,

vor etlichen Jahren zum Einstieg ins SSD Zeitalter, musste man SSDs vor dem verschlüsseln entsprechen vorbehandeln.

Zum Vergrößern anklicken....

musste man? Habe ich nie gemacht, wüsste auch nicht wozu. Wie kommst du darauf? Ich habe einige der ersten in Deutschland verkauften SSDs besessen und diese direkt aus der Verpackung raus genommen und verschlüsselt - und die laufen heute noch! Ich sehe absolut keinen Grund dafür, die irgendwie vorzubereiten.

VG,
Mad

Den Grund wüsste ich auch gerne ... vielleicht wurde das im Sat1 Frühstücksfernsehen vom einem "Experten" erzählt?
Hab ich noch nie gehört, weder bei HDDs noch bei SSDs.

Der Hintergrund:

Während eine Festplatte beliebig oft überschreibbar ist, sind es SSDs nicht. Und wenn man einer Festplatte sagt "schreibe dort hin" bzw. "Überschreibe diese Datei" dann macht sie auch genau das. Eine SSD nicht zwangsläufig - sie nutzt Wear Leveling, und schreibt die neuen Informationen gerne erst mal irgendwo anders hin.

Wenn du also eine Datei überschreibst etc. pp., dann ist ihr Inhalt (anders als bei Festplatten) nicht zwangsläufig verloren. Sondern nur irgendwo eine neue Datei angelegt, die alte wird aber beibehalten (nur als gelöscht markiert). Damit wäre es also beim Plain-Auslesen der Platine möglich, die Inhalte wiederherzustellen (zumindest in jeweiliger Block-Größe - was für wichtige Passwörter etc. aber reichen würde).

Daher überschreibt man eine SSD vollständig, bevor man darauf ein (ebenfalls vollständiges) True-Crypt-Volume anlegt. Also nicht mit TrueCrypt-Dateien auf einer normalen SSD-Partition arbeiten, dann kann man es auch seien lassen

Bezieht sich zwar auf Linux als OS, aber gilt im übertragenen Sinne natürlich auch für Windows: https://wiki.ubuntuusers.de/SSD/Verschlüsselung/

Wear-Leveling ist das Zauberwort, speziell bei SSDs und CO

Also unterm Strich versteh ich es so:

Lebenszeitverbesserung durch das spätere Löschen der großen Datei (TRIM wird an die SSD durchgereicht und damit freie Sektoren markiert)
https://veracrypt.codeplex.com/wikipage?title=Trim Operation
Sicherheitsverbesserung da durch Wear-Leveling maskierte Sektoren auch überschrieben werden https://veracrypt.codeplex.com/wikipage?title=Wear-Leveling

edit: jetzt erst AndrewPoisons Post gelesen

Hi,

das ist aber nur für InPlace Encryption relevant, sprich wenn schon Daten drauf sind und ich diese behalten will. Wenn die SSD / Platte sowieso mit TrueCrypt / VeraCrypt formatiert wird oder noch nichts drauf ist braucht man definitiv nichts vorbereiten!

Klar, wenn ich eine Platte habe und diese "so wie sie ist" verschlüssle ist das etwas anderes. Darum geht es hier aber doch nicht, oder doch?

Daher überschreibt man eine SSD vollständig, bevor man darauf ein (ebenfalls vollständiges) True-Crypt-Volume anlegt.

Zum Vergrößern anklicken....

nö, den ersten Schreibvorgang kann ich mir sparen, wenn ich die Platte bei der TC Erstellung eh mit TC formatieren lasse. TC macht nichts anderes.

VG,
Mad

Sofern man eine Vollverschlüsselung macht, dürfte das Vorbehandeln trotzdem nicht notwendig gewesen sein. Der Anwender kann bei Vollverschlüsselung mittels TrueCrypt/VeraCrypt den Speicher auch überschreiben lassen. Daher ist kein Einsatz externer Tools notwendig. Dies dürfte nur der Fall sein, sofern man einen neuen Container anlegt und wie hier bereits geschrieben vorher die sensiblen Daten auf der SSD/HDD vorhanden waren.

Ich habe bei einer neuen SSD immer das System installiert und dann direkt verschlüsselt. Sensible Daten waren vorher keine drauf, sodass ein Nullen der Festplatte/SSD unnötig ist bzw. das eifnache Überschreiben durch VeraCrypt reicht.

ED/T
MADMAN war schneller. Stimme seiner Aussage zu.

Mit dem "ich überschreibe mal die komplette SSD damit alle Zellen gelöscht werden" wäre ich aber vorsichtig. Meines Wissens nach kann es auch bei einem vollständigen überschreiben sein, dass ein paar Zellen nicht überschrieben werden, dafür gibt ja es extra den ATA Secure Erase Befehl, der der SSD sagt sie soll wirklich alle Zellen einmal überschreiben/löschen

AndrewPoison schrieb:

Daher überschreibt man eine SSD vollständig, bevor man darauf ein (ebenfalls vollständiges) True-Crypt-Volume anlegt. [/URL]

Zum Vergrößern anklicken....

Beim Anlegen des TC-Volumes werden die Daten ohnehin überschrieben, man muss also nichts weiter machen.

Es mag dann trotzdem sein, dass im Speicher noch alte Daten auslesbar sind. In der Regel haben SSDs intern ein paar Prozent mehr Speicher als angegeben und zugreifbar, für das wear leveling und als Reserve. Einige mögen die Reserve erst nutzen, wenn im "normalen" Speicher Bereiche fehlerhaft sind, andere könnten ständig beim Schreiben intern den gesamten Speicher (minus defekte Bereiche) nutzen, um die Abnutzung im Durchschnitt niedriger zu halten. Die schlechte Nachricht: Das hängt ausschließlich von der Firmware ab und da lassen sich die Hersteller ungern in die Karten schauen. Die gute Nachricht: Wenn, dann kommt man nur mit einem gewissen Aufwand an die "Datenleichen", entweder mit einer modifizierten Firmware oder indem man die Speicherchips selber direkt ausliest.

Solange man nicht ganz oben auf der Liste irgendeiner three letter agency steht, sollten die Daten sicher sein, wenn man mit Truecrypt oder Veracrypt das gesamte Volume verschlüsselt.