Spare Area (Over-Provisioning) bzw. unpartitionierter Bereich von TrueCrypt erfasst?

[chris-22]

Hallo,

ich habe eine SSD Verständnisfrage zur notwendigen Spare Area bei Verwendung von TrueCrypt.

Diese Spare Area wird durch das Over-Provisioning automatisch oder manuell festgelegt. Den gleichen Effekt erreicht man auch, wenn man einen kleinen Teil der SSD unpartitioniert lässt. Dieser Bereich taucht in der Windows Datenträgerverwaltung als nicht zugeordnet mit schwarzen Balken auf, soweit ok.

Wird dieser unpartitionierte Bereich überhaupt von TrueCrypt erkannt bzw. mitverschlüsselt?

Wenn nicht, würde doch die Verschlüsselung ausgehebelt? Das würde doch bedeuten, dass TRIM und Garbage Collection ständig Daten auf der Spare Area unverschlüsselt auslagern und selbst nach dem TrueCrypt Dismounten dort unverschlüsselt liegen bleiben?

MfG
Chris

 

[Holt]

Wird dieser unpartitionierte Bereich überhaupt von TrueCrypt erkannt bzw. mitverschlüsselt?

Da ich TrueCrypt nicht verwende, kann ich das nicht sagen, aber wenn man nur die Partition verschlüsselt, dann kann es ja eigentlich nicht sein.

Wenn nicht, würde doch die Verschlüsselung ausgehebelt? Das würde doch bedeuten, dass TRIM und Garbage Collection ständig Daten auf der Spare Area unverschlüsselt auslagern und selbst nach dem TrueCrypt Dismounten dort unverschlüsselt liegen bleiben?

Nein, denn einmal sind ja alle Daten verschlüsselt und somit liegen keine unverschlüsselten Daten im Flasch. Außerdem kann man auf diese Daten auch nicht über den Controller, also über die LBAs des nicht partitionierten Bereiches nicht zugreifen. Zuletzt ist es kein Risiko, weil ja genau dieses Speicher dazu da ist vom Controller gelöscht zu werden um gelöschte Blöcke vorzuhalten in die schnell geschrieben werden kann. Da sind also i.d.R. keine Daten drin.

Jetzt aber einen guten Rutsch!

 

[Bogeyman]

Wenn du die gesamte SSD verschlüsselst wird dieser Bereich "mitverschlüsselt". Wenn du lediglich die erstellte Partition verschlüsselst dann bleibt er unangetastet, zumindest auf der logischen Ebene. Physikalisch schreibt die SSD die Daten letztendlich in die Flashzellen wo es ihr passt.

Ausgehebelt wird da nichts. Die einzigen unverschlüsselten Daten liegen im Ram, die Daten auf der HDD/SSD sind zu jeder Zeit verschlüsselt. Ein Risiko entsteht nur dadurch wenn du anfängst Daten auf die SSD zu schreiben BEVOR du sie verschlüsselt hast. Diese können sich dann im Flash-Speicher befinden solange bis der Controller der SSD diese überschreibt, worauf man allerdings direkt keinen Zugriff hat

 

[Holt]

Ein Risiko entsteht nur dadurch wenn du anfängst Daten auf die SSD zu schreiben BEVOR du sie verschlüsselt hast. Diese können sich dann im Flash-Speicher befinden solange bis der Controller der SSD diese überschreibt, worauf man allerdings direkt keinen Zugriff hat

Eben, da müsste man entweder die Flashchips auslöten und auslesen oder man bräuchte eine speziell manipulierte FW um auch Flash auslesen zu können, dem keine LBA zugewiesen ist. Daten denen kein LBA zugeordnet ist, sind aber aus Sicht des Controllers ungültige Daten und werden daher bei nächster Gelegenheit gelöscht. Da ist also das Risiko recht gering, vor allem wenn danach recht viel geschrieben wird.

 

[etheReal]

Ein Risiko entsteht nur dadurch wenn du anfängst Daten auf die SSD zu schreiben BEVOR du sie verschlüsselt hast. Diese können sich dann im Flash-Speicher befinden solange bis der Controller der SSD diese überschreibt, worauf man allerdings direkt keinen Zugriff hat

Genau das beschreibt ja auch die TC Website, die vor diesem Risiko bei Verwendung von Laufwerken mit Wear-Levelling warnt: man darf keine wichtigen Daten auf dem Laufwerk ablegen, bevor es verschlüsselt wurde, da die unverschlüsselten Daten sonst noch irgendwo rumliegen könnten (die der Profi mit Lötkolben und Spezialgerät dann auslesen könnte)

Sobald allerdings einmal verschlüsselt ist, wird auf das Laufwerk gar nichts mehr unverschlüsselt geschrieben - d.h. auf der Spare Area oder sonstwo landen nur verschlüsselte Daten, da die SSD einfach gar nichts anderes zum Schreiben bekommt!

 

[Holt]

Wear-Leveling hat jede SSD, sonst würden die ja auch nicht lange halten. Auch kein anderer halbwegs brauchbarer Flashcontroller wird ohne Wear-Leveling auskommen, da man eben nicht einfach mal so ein paar Bytes im Flash überschreiben sondern immer nur gelöschte Pages beschreiben und nur ganze Blöcke (also z.B. 256 Pages) löschen kann. Das ist aber wirklich nur ein akademisches Problem, denn man kommt eben an Daten praktisch nicht mehr heran, die LBAs zugeordnet werden die überschrieben wurden und der Controller wird diese auch recht bald löschen, spätestens wenn er wieder Platz braucht oder durch die Idle-GC.

 

[chris-22]

Hallo,

ich habe jetzt eine SSD partitioniert und wollte verschlüsseln, siehe TC Screenshot. Eigentlich wollte ich die 35GB Win-Partition als Preboot und dann die 75GB als Daten-Partition getrennt verschlüsseln.

Nun sehe ich aber, dass TC zwar die SSD mit ihren gesammten 119GB erkennt, bei den einzelnen Laufwerken aber nur die partitionierten mit 35GB und 75GB, in Summe also 110GB. Die restlichen unpartitionierten 9GB ist die für TC nicht sichtbare Spare-Area.

Wenn ich aber die gesammte SSD mit 119GB verschlüssele, warum erkennt denn dann TC auch diese nicht sichtbare Spare-Area?



Zur Ursprungsfrage:
Wenn ich nur die Partitionen 35GB und 75GB verschlüssele, bleibt doch die 9GB Sparearea unverschlüsselt.
Als Vergleichsbeispiel: Ich mounte ein Laufwerk mit TC, schiebe eine Datei auf einen USB-Stick. Dann dismounte ich das Laufwerk, die Daten auf dem Laufwerk sind alle verschlüsselt. Die eine Datei auf dem USB-Stick hingegen ist ja noch immer darauf vorhanden, und zwar unverschlüsselt.

Wäre das nicht vergleichbar mit der unverschlüsselten Spare-Area einer SSD? Wo TRIM während des TC mounten etwas unverschlüsselt ablegt, was nach dem dismounten dort unverschlüsselt liegen bleibt?

Wo ist der Denkfehler?


MfG
Chris

 

[Holt]

Wäre das nicht vergleichbar mit der unverschlüsselten Spare-Area einer SSD? Wo TRIM während des TC mounten etwas unverschlüsselt ablegt, was nach dem dismounten dort unverschlüsselt liegen bleibt?

TRIM legt nichts auf der SSD ab, es ist ein SATA Kommando welches dem Controller der SSD mitteilt, dass bestimmte Daten die den in dem Befehl übermittelten LBAs zugeordnet sind, gelöscht werden sollen / können.

Wenn die Platte verschlüsselt wird, so dürften sich die LBAs der Dateien wohl nicht ändern, sonder es dürfte wohl gelesen, verschlüsselt und wieder geschrieben werden und damit werden die LBAs der unverschlüsselten Dateien überschrieben und die zugehörigen, noch unverschlüsselten Daten im NAND werden einmal ungültig, also bei Gelegenheit gelöscht und sind zu anderen nicht mehr von außen ansprechbar.