Intel SSD X25-M G2 mit Win7 im Laptop + TrueCrypt?

[DUNnet]

Hallo Gemeinde,

die nächsten Tage darf ich meine erste SSD in benutzung nehmen und deswegen bereite ich mich schon mal etwas darauf vor.
Trotz super Tuts auf CB und HWLuxx und Googlen hab ich aber noch ein paar Fragen.

Also:
Ich werde das System vom Laptop frisch mit Win7 Ulti bespielen und anschließend ein paar CFG vornehmen, und schauen ob Windows die Einstellungen wie Defrag, Prefetch, Trim etc. übernommen hat.
Dann natürlich noch nach aktuellen Firmwares ausschau halten und all so ein Pi Pa Po!

Nun zu den Fragen:
Ich möchte die Festplatte, da sie wie gesagt im Laptop schlummert, komplett mit TrueCrypt verschlüsseln.
Nun habe ich daheim an meinem Desktop eine 3x 256Bit Verschlüsselung (AES Twofisch und Serpant mit Whirlpool) welche wunderbar und eigtl. ohne Geschwindigkeitseinbusse arbeitet.

Am Laptop hab ich natürlich (trotz T9900) nicht so eine brachiale Leistung wie am Desktop 4 Kerner, und will aus Akkulaufzeit Gründen auch nicht so eine riesige Verschlüsselung.
Deshalb 1 Frage:

Reicht eine 256Bit AES Verschlüsselung mit ca. 30 stelligem Passwort aus, und "für was" reicht Sie?
Gegen den Hobbydieb wahrscheinlich, aber Worst Case: Welche Rechenleistung und Dauer braucht ein PC um sie zu Brutforcen?

Meine nächste Frage ist:
Inwiefern kann es zu Problemen mit TC, SSDs und Win7 kommen?
Ist etwas zu beachten an TC Einstellungen?
Wie sieht es mit der Leistung der SSD gerade auf die Lebensdauer gesehen aus (theo. doch unverändert oder?)?

Außerdem:
Stimmt die Aussage, dass man 10% (also in dem Fall 8GB was echt viel sind) freien Speicher lassen soll? Muss man sowas bei einer "guten" Intel Platte welche doch wohl zu erwarten einen ordentlichen Controller haben müsste und wohl technische Standards unterstützen dürfte?

Gibt es Erfahrungen im Bereich Mobilen Einsatz mit SSD + TC die mir jemand posten könnte?
Oder gibt es Alternativvorschläge die jemand machen würde (mehrere Partitionen und nur einzelne Verschlüsseln, oder gar nur Containerfiles?)

Ein EDIT:
Wie sicher ist der TrueCrypt Bootloader für die Passwordeingabe?
Ist es "unmöglich" den Bootloader zu verändern sodass ein Software Keylogger intigriert wäre, oder das man ihn gar umgehen kann (ich denke mal sicher, wills aber lieber noch mal lesen )

Wäre super wenn sich jemand findet der mir mal ein bisschen Anfängerangst nehmen kann, will die Platte ja nicht gleich in den ersten 2 Monaten durchnutzen


Gruß und danke!

 

[Xenotime]

bloß nicht. Gibt einen Artikel zu dem Thema mit Verschlüsselungsprogrammen und den Containern zerschießt du dir recht flott die SSD. Ich such mal den Artikel raus. Es gibt SSDs die einen Verschlüsselungschip haben und bei denen der Controller darauf abgestimmt ist. Wenn du deine Platte mit TrueCrypt verschlüsselst kommt es zu einer massiven Belastung durch schreibzugriffe, es fuktioniert wear leveling und trim nicht mehr richtig.

 

[DUNnet]

Okay.

Wäre super wenn dazu noch ein Thread o.ä. mit erklärung kommt, weil auf eine Verschlüsselung will ich nicht verzichten bzw. irgendeine Sicherheitsfunktion brauch ich beim mobilen Gerät.


Gruß und danke!

 

[kaigue]

Es gibt auch SSDs mit Hardwareverschlüsselung von Samsung u.a.
Auch die Sandforce SSDs bieten das alle!

Ansonsten würde ich mal auf die neuen G3 Intel SSDS warten.

 

[Xenotime]

http://www.zack-zack.com/html/detail/zackzackArchive.html?itemId=5590

da steht einiges in den Kommentaren.

Die mit Verschlüsselungen kosten auch mal locker das doppelte.

 

[kingcopy]

Wir haben alle möglichen SSD im Einsatz und alle mit Truecrypt verschlüsselt und DESSWEGEN noch nie ein Problem gehabt, für die SSD sind die Daten gleich, ob verschlüsselt oder nicht in dem moment wo du Bootest bei Komplettverschlüsselung ist für die SSD die Verschlüsselung quasi nicht vorhanden.

Bei TC verschlüsselst Du nur den ersten Bereich nicht der für Raidkonfigs benötigt wird etc.

der Container zwingend vorher mit Zufallszahlen formatiert,

das kann man bei TC überspringen.

so dramatisch wie bei dem Post im Kommentarbereich angegeben ist es nicht. Immer dieses GIFT für SSD Festplatten Geschwafel.

Wir hatten hier 2 defekte SSD Festplatten die einfach so verreckt sind aufgrund von Bluescreens oder Energiesparmodi die damit nicht richtig funktionieren und die waren nicht verschlüsselt noch hatten die TC drauf.

genrell sind die SSDs noch lange nicht ausgereift und die Controller also bekommt man gewisse Probleme ob mit oder ohne Verschlüsselung.

 

[supaman]

zitat des kommar als spoiler:

Spoiler

Mal ein paar Anmerkungen zur Hardware- contra Software-Verschlüsselung wie Bitlocker/TrueCrypt u.Ä. Nur weil hier weiter unten ein paar Poster meinen das würde auf einer SSD auch ausreichen - dass ihr da mal nicht auf ein falsches Pferd setzt!

Software-Verschlüsselung ist nicht gerade das Klügste was man auf einer SSD so machen kann, sofern man nicht gerade nur einzelne Dateien separat verschlüsselt.

Legt man eine verschlüsselte Partition oder ein encrypted Container-File an (wie normalerweise üblich), so wird die Partition bzw. der Container zwingend vorher mit Zufallszahlen formatiert, um die später enthaltenen Files nicht von unbenutzten Bereichen unterscheiden zu können.

1.)
Software-Verschlüsselung ist Gift für die SSD, da sie in großen Teilen mit Zufallszahlen zwangsbeschrieben werden muss.

2.)
Durch die Formatierung mit Zufallszahlen wird eine hohe Anzahl von MLCs blockiert die der SSD-Controller nicht mehr für das Wear-Leveling nutzen kann, da er nämlich nicht weiß, ob sie gültige/ungültige Daten enthalten oder nur beabsichtigtes Hintergrundrauschen. Für den Controller ist das ein "einziges" großes belegtes File.

3.)
Das TRIM Kommando des Betriebssystems funktioniert "bestenfalls" auf einer verschlüsselten Systempartition (lt. Angabe von TrueCrypt-Entwicklern), nicht aber in Container Files.

4.)
Auf einer mit z.B. Truecrypt verschlüsselten SSD muss man einen erheblichen Teil der SSD unpartitioniert lassen (Minimum 20%), damit vom SSD-Controller ausreichend freie Blöcke für das Wear-Leveling genutzt werden können, denn der komplette Bereich eines Container Files ist ja dafür blockiert, auch wenn NICHTS im Container abgelegt ist! Wenn aber kaum freier Bereich mehr verfügbar ist bricht die Gesamtleistung der SSD dramatisch ein.

5.)
Verschlüsselung bedingt eine deutlich schnellere Abnutzung "bestimmter" MLCs, da nicht mehr aus allen freien MLCs per Wear-Leveling geschöpft werden kann, sondern nur noch aus wenigen datenfreien MLCs, die entweder in nicht partitionierten Bereichen liegen oder in nicht verschlüsselten Bereichen. Diese MLCs werden dafür umso häufiger/heftiger bemüht, das kann im schlimmsten Fall dazu führen, dass solche MLCs bereits defekt sind während ungenutzte MLCs, die aber durch ein Container-File belegt sind, noch fabrikneu sind.

6.)
Innerhalb von Container-Files bricht die Geschwindigkeit der SSD dramatisch ein, da für den SSD-Controller innerhalb dieses Files ALLE MLCs immer mit Daten gefüllt und keine freien Bereiche vorhanden sind. Noch schlimmer ist der Einbruch bei bestimmten Controllern – siehe Punkt 8.

7.)
Man darf, wenn man sensible Daten verschlüsseln will, die Daten nicht bereits auf der SSD haben und nachträglich verschlüsseln. Es ist nicht gewährleistet ist, dass diese bei der Verschlüsselung auch überschrieben werden und nicht in irgendwelchen MLCs weiterhin vor sich hinlauern, während die verschlüsselten Daten in anderen MLCs abgelegt wurden.

8.)
Und zuletzt ist es eine ganz blöde Idee eine Verschlüsselung auf SSDs einzurichten, die bereits intern mit Hardware-Komprimierung arbeitet, wie z.B. alle SSDs mit Sandforce-Controller. Denn die Verschlüsselung komprimiert ebenfalls und Sandforce Controller versuchen das dann zeitaufwändig zusätzlich nochmals.

ZITAT c't:
"…füllt TrueCrypt alle freien Bereiche einer Partition mit Zufallszahlen. Für den Flash-Disk-Controller ist die SSD dann anscheinend voll. Wie bei einer „auf natürlichem Wege“ vollständig befüllten SSD können dann Geschwindigkeitseinbußen die Folge sein. Wie stark sie ausfallen, hängt unter anderem von der Funktionsweise des jeweiligen Controllers ab. Besonders stark brechen die Transferraten bei aktuellen Flash-Disks ein, die mit einem Controller der Firma Sandforce arbeiten, denn dieser erreicht seine normalerweise sehr hohen Transferraten durch Datenkompression".

Also Alles nochmals auf einen Punkt gebracht:

Software-Verschlüsselung auf einer SSD macht SSDs deutlich schneller kaputt und hebelt teilweise die TRIM-Funktion aus. Unter Software-Verschlüsselung funktioniert deshalb auch das Garbage-Collection nicht korrekt. Software-Verschlüsselung macht SSDs LAAAAAAAANGSAAAAAAAAAM.

Hardware-Verschlüsselung hat kein einziges dieser Probleme, da der Encryption-Chip eng mit dem SSD-Controller zusammenarbeitet und jeder der Beiden genau weiß was der Andere gerade macht. Zusätzlich verschlüsselt der Encryption-Chip die Daten erst nachdem sie an die Platte geliefert wurden und nicht vorher, wie bei Software-Encryption. Deshalb gibt es keinerlei Auswirkung auf die Lebensdauer der SSD oder die Geschwindigkeit, da hier TRIM und Garbage-Collection weiterhin 100% funktionieren. Die Geschwindigkeit der SSD kann dadurch theoretisch sogar steigen, da der Encryption Chip (sofern er schnell genug ist) auch komprimiert. Wegen der Probleme mit doppelter Datenkompression werden bei hardwareverschlüsselten SSDs keine Sandforce-Controller eingesetzt, so wie z.B. bei dieser SSD hier oben im Angebot, die hat nämlich einen Toshiba Controller mit 128 MB Cache.

ist zwar ein langer artikel in dem kommentar bei zack-zack, aber einige wesentliche dinge hat der verfasser nicht richtig verstanden.

bei einer kompletten verschlüsselung einer partition werden alle datenblöcke mit unterschiddlichem inhalt beschrieben, das ist bei einer verschlüsselung bestandteil des algorythmus. es werden erst alle blöcke mit einem zufalls key verschlüsselt, dann der random key mit dem benutzer passwort. warum ist das so? weil sonst beim ändern des user-passworts alle blöcke mit dem neuem passwort verschlüsselt werden müssten.

wenn ich eine partition komplett mit daten vollschreibe, ist das erstmal nichts anderes.

nach erstmaligen verschlüsselung und beschreiben aller datenblöcke werden auch weiterhin nur die datenblöcke beschrieben, die geändert werden. in dem zusammenhang sollte man allerdings die automatische defragmentierung abschalten, ist bei SSDs sowiso irrelevant.

 

[hrafnagaldr]

Reicht eine 256Bit AES Verschlüsselung mit ca. 30 stelligem Passwort aus, und "für was" reicht Sie?
Gegen den Hobbydieb wahrscheinlich, aber Worst Case: Welche Rechenleistung und Dauer braucht ein PC um sie zu Brutforcen?

Rein mit Bruteforce bei entsprechend komplexem Passwort und bei einer Million Versuche pro Sekunde dürfte das Knacken des Passwortes garantiert nicht mehr zu deinen Lebzeiten möglich sein Eher verdampft die Sonne vorher die Erde.

http://www.unwrongest.com/projects/password-strength/

Da kannst mir Passwörtern rumprobieren.

 

[kingcopy]

Ich habe eben TESTWEISE eine NEUE-SSD mit TC vollverschlüsselt das einzige was er gemacht hat ist einmal den gesamten Space überschrieben

bei einer 256 GB SSD hat er jetzt insgesamt: 496 GB geschrieben (gemessen mit SSDlife)

wenn jede Speicherzelle 10.000 mal beschrieben werden kann dann habe ich quasi 2 von 10.000 Schreibvorgängen verbraucht (1 beim installieren des BS und Kopientest und eine bei der Verschlüsselung) also bleiben mir nach Verschlüsselung noch 9998 komplette Schreibzyklen übrig. Rechnet das mal auf Jahre hoch. das reicht ewig und wer behält schon seine SSD mehr als 3 jahre.

 

[DUNnet]

Scheidene Geister:
Was nun?
Unschädlich - etwas langsamer aber Akzeptabel?
Oder total zerstörende Wirkung?

Links zu Dauertests und Webseiten mit Statements wären super.


Gruß

Ergänzung (28. Dezember 2010)

Keine Statements mehr?
Hab den Rechner jetzt nämlich soweit fertig das ich nur noch SSD FW, BIOS Update und dann Verschlüsselung bräuchte?


Gruß