Veracrypt benötigt für externe 2TB-HDD minimum 1-2 Tage. Alternative Schnell-Formatierung sicher?

[rd1808]

Habe gerade fabrikneue 3,5 HDD/ 2TB per usb an den Laptop angeschlossen und wollte diese mal mit Vercrypt verschlüsseln. Benötigt aber mit Standardeinstellungen wohl mindestens 24h. (schwenkt manchmal im zähflüssigen Verschlüsselungsvorgang sogar in Richtung 2d!) Klingt das nach einem Normalwert? Jedenfalls will ich das meiner nicht für Dauerbetrieb ausgelegten im ungekühlten USB-Gehäuse FP nicht antun. Sooo top-secret sind die Dateien gemessen am begrenzten Geduldsfaden zudem auch wieder nicht.

Jetzt habe ich in Veracrypt aber auch die Option "Schnell-Formatierung" entdeckt. Das ging dagegen flux wie der Wind, erstaunlicherweise nur wenige Minuten.

Nur frag ich mich jetzt natürlich trotzdem: mit der ersparten Zeit nimmt man höchstwahrscheinlich - welche? - Einbußen in der Sicherheitsstufe in Kauf?

Was mich irgendwie auch verwundert: Letzte Woche habe auf eine 120GB SSD Linux Debian installiert und diese dabei mit sog. LUKS verschlüsseln lassen. Das hat höchsten eine halbe Stunde gedauert. Auf 2TB hochgerechnet wäre das doch immer noch deutlich schneller.

Zusatzfrage: Würde die externe Platte gern für Dateien auch >4GB sowohl unter Windows wie Linux als Datengrab einsetzen: NTSC oder exFAT, was wäre schneller/ besser?

Thx!

 

[madmax2010]

2d? nvm
Welcher Algorithmus?
Welche CPU?
Klingt nach linux, daher: welcher Kernel?


Denk mal an plausible deniability. Wenn du eine neue Platte hast, und da verhluesselte Daten drauf legst, kann man sehen, ob und wie viele daten drauf sind. Wenn alles einmal mit ordentlichem Zufall überschrieben wurde, kannst du weder bestaetigen, noch verneinen, dass da überhaupt Daten drauf sind

Zusatzfrage: Würde die externe Platte gern für Dateien auch >4GB sowohl unter Windows wie Linux einsetzen: NTSC oder exFAT, was wäre schneller/ besser?

exfat.
NTFS ist unter anderen betriebssystemen ein graus.

Was mich irgendwie auch verwundert: Letzte Woche habe auf eine 120GB SSD Linux Debian installiert und diese dabei mit sog. LUKS verschlüsseln lassen. Das hat höchsten eine halbe Stunde gedauert. Auf 2TB hochgerechnet wäre das doch immer noch deutlich schneller.

da wurde auch nicht die komplette plattte einmal vorverschlüsselt

 

[Q-6600]

Da du schreibst "fabrikneu", und du keine daraufbefindlichen Daten mitverschlüsseln willst, reicht auch ne Schnellformatierung. Langwierig überschreiben brauchst du da nix.
Da Windows nicht mit ext4 umgehen kann und NTFS unter Linux auch nicht perfekt funktioniert, würde ich dir ebenso zu exfat raten.

 

[rd1808]

Windows 10, Laptop zugegeben nicht der neuste (Intel Dual Core, 1,66 GHz, 4GB RAM), Algo AES.

Ob und wieviele drauf sind darf man von mir aus gern sehen. Eine pragmatisch angemessene Verschlüsselung, so dass der Inhalt verwehrt bleibt, kein KGB overkill.

Ergänzung (29. August 2022)

Da du schreibst "fabrikneu", und du keine daraufbefindlichen Daten mitverschlüsseln willst, reicht auch ne Schnellformatierung. Langwierig überschreiben brauchst du da nix.
Da Windows nicht mit ext4 umgehen kann und NTFS unter Linux auch nicht perfekt funktioniert, würde ich dir ebenso zu exfat raten.

Super, das war eigentlich auch genau das, was ich gern bestätigt haben wollte :-)
Dann ist eswohl tatsächlich nur der mehrfache Überschreibungsvorgang, wie man ihn von Datei-Erasern mit bis zu 35 Sicherheits-Überschreibungsvorgängen kennt, der da offenbar soviel mehr Zeit in Anspruch nimmt. Auf einer fabrikneuen Platte gibt es jedenfalls wirklich nichts zu überschreiben und nützt zweimal nichts, wenn die HDD den Überlastungstod stirbt.


Vielen Dank für die Rückversicherung!

 

[madmax2010]

Intel Dual Core, 1,66 GHz

welcher intel dual core mit 1.66 ghz? Kann er AES?

 

[h2f]

Mit Veracrypt ohne Schnellformatierung eine Partition oder Dateicontainer erstellen heisst
das Teil komplett vollschreiben. Wenn man dazu dann noch über sowas wie nen langsamen USB-Port geht
(USB 2 ?) kann man sich anhand der Schreibrate ganz einfach ausrechnen wie lang das dauert.
Dabei bitte nicht MBit/sec mit MByte/sec verwechseln.
Da erscheinen mir die genannten Zeiten durchaus normal.
Bei intern Platten oder gar SSDs kommt da GANZ was andres raus.
Und bei Schnellformatierung wird nur ein leerer Container erstellt, in den später die verschlüsselten Dateien abgelegt werden. Nachteil: man kann von aussen ohne Entschlüsseln feststellen, wieviele verschüsselte Daten sich in dem Container befinden. (Aber nicht was.)

 

[foofoobar]

Schätzungsweise ist es dann der mehrfache Überschreibungsvorgang, wie man ihn von Datei-Erasern mit bis zu 35 Sicherheits-Überschreibungsvorgängen kennt, der da offenbar soviel mehr Zeit kostet. Auf einer fabrikneuen Platte gibt es da für mich nichts zu überschreiben.

Der Punkt ist das man bei einer Plattenverschlüsselung wenn man nicht alles am Anfang verschlüsselt beschreibt Rückschlüsse über die Belegung der Platte ziehen kann.

Entscheiden ob das für dich relevant ist musst du selbst.

 

[rd1808]

welcher intel dual core mit 1.66 ghz? Kann er AES?

Processor Description : Intel(R) Core(TM)2 CPU T5500 @ 1.66GHz

Der Prozessor muss das können? Wenn ja, wie finde ich das heraus? Veracrypt kann AES, du scheinst mir andeuten zu wollen, das reiche nicht?

Ergänzung (29. August 2022)

Und bei Schnellformatierung wird nur ein leerer Container erstellt, in den später die verschlüsselten Dateien abgelegt werden. Nachteil: man kann von aussen ohne Entschlüsseln feststellen, wieviele verschüsselte Daten sich in dem Container befinden. (Aber nicht was.)

Wie gesagt, für den angedachten Zweck sollte das allemal ausreichen. Vielen Dank.

Der Punkt ist das man bei einer Plattenverschlüsselung wenn man nicht alles am Anfang verschlüsselt beschreibt Rückschlüsse über die Belegung der Platte ziehen kann.

Habe ich glaub ich immer noch richtig verstanden. Die Platte ist fabrikneu, was gäbe es da "alles" am Anfang zu verschlüssen und welche Rückschlüssen sollten sich aus einer Nochnie-Belegung ergeben.

Wenn, wie angesprochen, eine Schnellformatierung wohl im Gegensatz zur Langsamformatierung zur Folge hätte, dass man dann irgendwie Rückschlüsse auf die Belegung der Platte ziehen kann (vermutlich sowas wie: wieviele Dateien mit welcher Größe liegen wo auf der Platte?) wäre das für mich hinnehmbar. Hauptsache, das Auslesen, Einsehen oder gar Öffnen der Dateien bleibt dem Unberechtigten verhindert.

Angesichts der immensen Zeitaufwands, den ich nicht betreiben möchte, wäre die Schnellformatierung also doch ein gangbarer Kompromiss.

Mit bereits beschriebenen externen Platten via USB würde ich dann tendenziell vielleicht auch so verfahren, dass ich sie erstmal mit einem "Daten-Eraser" vielleicht zur Sicherheit dreimal überschreibe und dann mit Vera-Crypt schnellformatiere. Das dauert unterm Strich dann vielleicht 2h vs. 24h+ mit Veracrypt-Langsamformatierung.

Ist Bitlocker unter Windows (habe leider nur die Home-Version) eigentlich schneller?

 

[madmax2010]

das reiche nicht?

Subjektiv
Weisst du was NVENC ist?
Chips bestehen schon seit jeher aus mehreren Bereichen, die ihre eigene Aufgabe haben. Vor ca 20 Jahren hat VIA angefangen x86 CPUs mit AES-Hardwarebeschleunigung zu bauen. Auf einmal war eine auf 300 MHz CPU in dem Bereich schneller, als eine Intel CPU mit dem 10 Fachen Takt.
So seit 10 Jahren gibts das auch bei Intel (Jahreszahlen aus dem bauch, duerften grob passen, nicht verifiziert)


Deine CPU kann das nicht: https://ark.intel.com/content/www/u...ssor-t5500-2m-cache-1-66-ghz-667-mhz-fsb.html

hier siehst du was das grob bringt:
https://datacenteroverlords.com/2011/09/07/aes-ni-pimp-your-aes/

 

[Nureinnickname!]

Sagt einem aber auch der Integrierte Benchmark

 

[Bob.Dig]

Sagt einem aber auch der Integrierte Benchmark

Hat jemand Benchmark gesagt. 😉

Veracrypt versucht gerne dennoch mindestens einmal zu überschreiben, wenn ich es recht in Erinnerung habe, daher genau darauf achten und abwählen, wenn es nicht benötigt wird.

 

[rd1808]

Ehm...

Also dann hatte @madmax2010 mal wieder den richtigen Riecher(*). Meine Benchmark, ich glaube jetzt wird mir auch einiges klarer.
Brauch ich jetzt auch noch einen neuen Rechner? Weil ändern kann ich an diesen im Vergleich zum Vorposter doch etwas arg limitiert erscheinenden Grundvoraussetzungen eher nichts, oder?




(*) Lieben Dank @madmax2010 auch nochmal: besagte FP läuft jetzt im von dir empfohlenen Logitech-Gehäuse, heute mittag aus der Packstation geholt: gefällt und läuft!

 

[Bob.Dig]

110 MB/s mit AES sind fast genau Gigabit Geschwindigkeit. Du kannst doch einfach eine größere Datei draufkopieren, die Zeit messen und das ganze dann noch mal ohne Verschlüsselung durchführen, dann weißt Du, was Du "bezahlst".

2TB HDD, über USB und uralt Laptop mit 2 Kernen, wo soll man da anfangen...

 

[rd1808]

Weisst du was NVENC ist?

Will ich gar nicht wissen, habe ich sowieso wieder nicht.

Ergänzung (29. August 2022)

110 MB/s mit AES sind fast genau Gigabit Geschwindigkeit.

Hmm. Du meinst, so schlecht ist das gar nicht?

 

[Bob.Dig]

Hmm. Du meinst, so schlecht ist das gar nicht?

In einem einfachen Netzwerk zumindest, aber das ist ja nur Brutto, kopiere einfach mal ne größere Datei drauf, dann siehst Du ja im Kopierstatus die effektive Geschwindigkeit.

 

[rd1808]

110 MB/s mit AES sind fast genau Gigabit Geschwindigkeit.

Hmm. Du meinst, so schlecht ist das gar nicht?

2TB HDD, über USB und uralt Laptop mit 2 Kernen, wo soll man da anfangen...

Ich wollt doch nur meine Festplatte verschlüsseln. Aber wahrscheinlich hast du recht.

 

[el.com]

Die Frage ist vorallem welche USB-Generation dein uralt-Laptop hat. Wenn der z.B. nur USB 2.0 kann, wird der im deinem Benchmark ermittelte Wert für AES ausreichen. Laut Spezifikation schafft USB 2.0 nur 480 MBit/s (60 MB/s). Demnach wäre die alte CPU im Ver- und Entschlüsseln immer noch schneller als das, was die Schnittstelle überhaupt leisten kann.

 

[foofoobar]

Mit bereits beschriebenen externen Platten via USB würde ich dann tendenziell vielleicht auch so verfahren, dass ich sie erstmal mit einem "Daten-Eraser" vielleicht zur Sicherheit dreimal überschreibe und dann mit Vera-Crypt schnellformatiere. Das dauert unterm Strich dann vielleicht 2h vs. 24h+ mit Veracrypt-Langsamformatierung.

Willst du die Daten schützen die vorher auf der Platte waren oder willst du die Daten schützen die du neu auf die Platte schreibst ?

 

[el.com]

Es wird in der Performance keinen großen Unterschied machen, ob du vorher einen Eraser drüber laufen lässt, oder das "erasen" VeraCrypt überlässt. Wenn du beim Anlegen des Volumes auf die Schnellformatierung verzichtest, passiert letztlich auch nichts anderes, als genau das, was der Eraser macht: Das Volume wird mit Zufallsdaten vollgeschrieben.

 

[rd1808]

Die Frage ist vorallem welche USB-Generation dein uralt-Laptop hat. Wenn der z.B. nur USB 2.0 kann, wird der im deinem Benchmark ermittelte Wert für AES ausreichen. Laut Spezifikation schafft USB 2.0 nur 480 MBit/s (60 MB/s). Demnach wäre die alte CPU im Ver- und Entschlüsseln immer noch schneller als das, was die Schnittstelle überhaupt leisten kann.

Das leuchtet wiederum ebenfalls ein. Laptop Dell XPS M1210 ist glaube Jahrgang 2008 und USB 3.0 würde man glaube schon u.a. an blauen Farbe erkennen, da gehe ich einfach mal ignorant von 2.0 aus.

Willst du die Daten schützen die vorher auf der Platte waren oder willst du die Daten schützen die du neu auf die Platte schreibst ?

1. Bei der farbrikneuen Platte wie gesagt ersteres, weil es dararauf natürlich sowieso noch nichts zudem Schützenswertes gibt.

2. bei bereits bespielten Platten, gute Frage.

a) Ich dachte so: Backup machen, dann plattmachen (1-3 x überschreiben sollte reichen), anschließend einfach wie mit einer fabrikneuen Platte verfahren, also mit Veracrpyt schnell-verschlüsseln und dann Daten wieder aufspielen.

b) Oder kann ich mir das Backup sparen und die bereits bespielte Platte einfach direkt verschlüsseln. Ich hatte das so verstanden, dass Veracrypt die Daten vor der Verschlüsselung der Platte immer löscht.

Es wird in der Performance keinen großen Unterschied machen, ob du vorher einen Eraser drüber laufen lässt, oder das "erasen" VeraCrypt überlässt. Wenn du beim Anlegen des Volumes auf die Schnellformatierung verzichtest, passiert letztlich auch nichts anderes, als genau das, was der Eraser macht: Das Volume wird mit Zufallsdaten vollgeschrieben.

Wie oben bereits ausgeführt. das ist die Frage.

Eine 2TB-Platte bekomme ich mit dem Eraser bei sagen wir mal allermaximal drei Überschreibungsdurchgängen erfahrungsgemäß noch vergleichsweise zügig gelöscht. Lese hier Forum zumindest häufig, dass eigentlich schon ein einfaches Überschreiben relativ gut vor Wiederherstellung absichert. Das würde mir doch schon reichen. Die Schnell-Formatierung danach mit Veracrypt scheint dann wie gesagt nur wenigen Minuten erledigt. Unterm Strich dann gefühlt/ intuitiv geschätzt vielleicht 3-4 Stunden, müsste ich allerdings nochmal verifzieren.

Ganz sicher ginge das jedenfalls - wie mir mit Veracrypt ohne Schnellformatierung angezeigt - in die Tage.

Kann man denn irgendo einsehen, wieviele Überschreibungsvorgänge Veracrypt standardmäßig durchführt und gibt es eine Option das ggf. nach unten anzupassen? Wenn Eraser und Veracrypt dann bei gleichvielen Überschreibungen gleich schnell überschreiben, wäre der Eraser natürlich überflüssig.


Die vorliegenden Hardware-Voraussetzungen sind suboptimal, weil in die Jahre gekommen. Darüber sind wir uns einig. Da momentan leider auch keine Neuanschaffung drin ist, sehe ich mich eben in der Verantwortung für das anvisierte Vorhaben einen halbwegs vernünftigen Kompromiss auszuloten. ;-)