Encrypted System auf kleinere SSD klonen?

[mc-mike]

Hallo zusammen,

wenn ich eine sicher verschlüsseltes System (z.B. mittels Veracrypt) auf einer SSD haben will, gibt es ja zwei Möglichkeiten:
1. Ich kaufe mir eine leer SSD, verschlüssele diese und setze dann das System komplett neu auf (eher ungünstig)
2. Ich klone mein altes, bereits verschlüsseltes System auf die SSD

Problem bei 2. ist, dass meines Wissens nach die neue SSD immer mindestens gleich groß oder minimal größer sein muss. Gibts da eine Lösung das bei einer kleineren hinzubekommen?

Danke!

 

[wupi]

Entschlüsseln, clonen, verschlüsseln.

 

[Madman1209]

Hi,

System entschlüsseln, auf die neue klonen, danach wieder verschlüsseln?!

VG,
Mad

 

[mc-mike]

Die Antworten sind nicht zielführend, wenn man die Arbeitsweise einer SSD verstanden hat. Unverschlüsselte Daten auf einer SSD bekommt man nicht mehr sicher überschrieben.

Da Sektor-by-Sektor Copy auch noch nicht funktioniert hat, hat ja vlt. noch jemand eine Idee. Aktuelle Lösungsideen von mir sind noch partitionsweise kopieren sowie Quell und Ziellaufwerk mittels eines LiveSystems mounten. Die kritischen Punkte sind meines aktuellen Wissens nach der MBR sowie die Sektorallokation auf der Platte.

 

[BlubbsDE]

Die Antworten sind nicht zielführend, wenn man die Arbeitsweise einer SSD verstanden hat. Unverschlüsselte Daten auf einer SSD bekommt man nicht mehr sicher überschrieben.

Sagt wer? Ist Unfug. Sicher kann man SSDs zu 100% sicher löschen. Ist im Grunde deutlich einfacher als bei HDDs.

 

[mc-mike]

Ja, mit dem Secure Erase Befehl die ganze Platte, womit man dann wieder eine leere Platte hat. Teilweises physikalisches Überschreiben funktioniert wegen unzugänglicher Speicherbereiche nicht.

 

[Evil E-Lex]

Das spielt in der Praxis keine Rolle, da es keine Möglichkeit gibt, die Speicherbausteine direkt auszulesen. Also: Sind die Daten nicht über den SSD-Controller erreichbar, sind sie vor neugierigen Blicken sicher.

 

[mc-mike]

Das sehen aber die Leute von CT anders https://www.heise.de/ct/artikel/Sic...latten-SSDs-und-Handys-entfernen-3891831.html
Der Controller scheint ja die reservierten Bereiche wieder freizugeben, wodurch man sie auch auslesen kann.

Man kann das inherente Overprovisioning auch nicht aushebeln, da es einfach softwareseitig nicht zugänglich ist: https://www.seagate.com/de/de/tech-insights/ssd-over-provisioning-benefits-master-ti/

 

[BlubbsDE]

Hast Du den Artikel auch gelesen? Wenn man nicht gerade ein Billig Schrott SSD hat, dann ist das sichere löschen Bestandteil der Firmware. Und das ist sicher. Auch in Deinem verlinkten Heise Artikel.

Glücklicherweise bietet die ATA-Spezifikation ein spezielles Löschkommando: ATA Secure Erase weist den Laufwerkscontroller an, sämtliche Bereiche des Laufwerks zu überschreiben, auch die Reserve. Das Kommando sollte mit allen Laufwerken ab dem Baujahr 2001 funktionieren, auch mit Festplatten.

 

[mc-mike]

Ich bin gespannt auf eine Erläuterung wie mich der Secure Erase Befehl weiterbringen soll.
Ich kopiere das unverschlüsselte System auf die Platte und führe dann den Befehl aus um danach wieder eine leere Platte zu haben

 

[Mr. Robot]

Dann hol dir einfach eine größere SSD als Ziellaufwerk, Problem gelöst.

Was erwartest du denn jetzt von uns?

Edit: evtl. könnte man die Quell-Partitionen trotz Verschlüsselung verkleinern bis es passt, notfalls unter Linux. Hab das aber noch nicht ausprobiert. Ein Backup wäre ratsam...

 

[Evil E-Lex]

Der Controller scheint ja die reservierten Bereiche wieder freizugeben, wodurch man sie auch auslesen kann.

Die reservierten Bereiche sind aber zuvor leer. Die werden ja erst verwendet, wenn der Flash-Controller erkennt, dass eine Speicherzelle kurz davor ist, zu versagen. Dann werden die Daten intern umkopiert und die ursprüngliche Speicherzelle als defekt markiert. Die wird nie wieder verwendet.
Der c't-Artikel ansich ist korrekt. Dort geht es allerdings in erster Linie um sicheres Löschen und nicht darum, bereits geschriebene Daten wieder sichtbar zu machen. Der Artikel impliziert, das dies theoretisch möglich ist, nennt aber keine konkreten Vorgehensweisen dafür. Aus der Praxis kann ich dir sagen, dass dies eben nur eine theoretische Möglichkeit ist. Allenfalls wäre es bei direktem Auslesen der Flashbausteine (wofür es spezielles Equipment und Kenntnis über die Wear-Leveling-Algorithmen der SSDs braucht) möglich, dass man einzelne 4 KB Speicherblöcke wiederherstellen kann. Mir ist kein Fall bekannt, indem es jemals gelungen wäre, vollständige Dateien aus den einzelnen Flash-Zellen zu extrahieren. Man erhält, wenn überhaupt, nur Dateifragmente.

Ich bleibe dabei: Man kann diese theoretischen Szenarien getrost ignorieren.