verschlüsseltes System auf SSD migrieren

[mithraldur]

Huhu,

endlich habe ich mich auch dazu aufgerafft, für meinen lahmenden Laptop eine SSD anzuschaffen, genauer eine Samsung EVO 840 250 GB Platte.

Ich will das Betriebssystem nicht neu aufsetzen, sondern habe mich für eine Migration der Daten auf die SSD entschieden, werde dazu die bei den Samsung SSDs mitgelieferte migration software benutzen.

Jetzt zur Frage: Meine derzeitige Systemfestplatte ist mit Truecrypt verschlüsselt, muss ich diese bevor ich das obige Programm zum migrieren verwende, entschlüsseln? Das SSDs kein Truecrypt mögen, ist mir klar. Geht bloß darum, eventuell den Entschlüsslungsprozess zu sparen, habe gehört, der dauere recht lange. (Platte ist zwar mit 500 GB ziemlich klein, aber dafür langsam)

 

[Madman1209]

Hi,

Das SSDs kein Truecrypt mögen, ist mir klar.

Wieso sollte das bitte so sein?

Eine SSD kannst du genauso behandeln wie jede andere Festplatte. Ich habe für die Migration immer erst entschlüsselt. Kann man aber mit Cloning-Tools evtl. auch komplett 1:1 umziehen. Bei mir ging es sehr flott mit dem Entschlüsseln und wieder verschlüsseln, ich würde es so machen.

VG,
Mad

 

[antreiber]

Hallo,

Als erstes würde ich alles entschlüsseln und die Daten auf einer externen FP sicher.
Nur für den Fall der Fälle.
Dann die FP clonen.

MfG

 

[derChemnitzer]

lahmes System mit Verschlüsselung bleibt langsam selbst auf einer SSD

Ergänzung (19. September 2014)

unterstützt deine CPU überhaupt AES

 

[mithraldur]

Ja, ich habe derzeit AES Verschlüsselung.

Muss wohl wirklich entschlüsseln, macht auch andersrum gar keinen Sinn: Auf der SSD sollen die Daten ja nicht mehr verschlüsselt sein, derzeit liegen sie physisch auf der zu clonenden HDD aber noch mit AES Verschlüsselung vor.

Danke für die Antworten.

 

[highks]

Das SSDs kein Truecrypt mögen, ist mir klar.

Mit Truecrypt geht sogar TRIM, das funktioniert bestens auf SSDs.

Allerdings gab es immer die Warnung, dass bei Laufwerken mit Wear Levelling und TRIM ein theoretischer Angriffspunkt entsteht, der von einem Angreifer genutzt werden könnte: er sieht nämlich, wo genau die Daten liegen, und wo freier Platz ist. Warum es dann allerdings einfacher sein soll, AES zu knacken, das leuchtet mir nicht ganz ein - und es hat in der Realität auch noch nie jemand geschafft, ob mit oder ohne TRIM!

Man sollte auch nicht einfach so das Passwort ändern auf Laufwerken mit Wear Levelling, weil dann u.U. ein alter Header noch auf dem Laufwerk rumschwirrt, mit dem die Daten mittels des alten Passworts entschlüsselt werden könnten. Bei Änderung des Passworts auf TC verschlüsselten SSDs sollte man das Ganze also sicherheitshalber neu anlegen, und zwischendrin ein Secure Erase der SSD machen, wenn das alte Passwort inzwischen als unsicher angesehen wird.

Also eigentlich kein Problem mit Truecrypt und SSDs, weil das erste Problem ein rein theoretisches ist, und das zweite Problem entsteht gar nicht erst, wenn man sein Passwort sicher verwahrt (also nur im Kopf)

 

[Madman1209]

Hi,

Auf der SSD sollen die Daten ja nicht mehr verschlüsselt sein

Wieso denn nicht wenn man fragen darf?

VG,
Mad

 

[mithraldur]

Ich fühle mich ein bisschen im falschen Film, ich hatte bisher immer gelesen, encrypten per Truecrypt oder Bitlocker wäre bei SSDs sogar absolut schädlich, von wegen Performanceeinbußen und schnellerem Verschleiß.

Bisher dachte ich, hardwareseitige Encryption (per Bios und HDD password) der SSDs muss reichen (also die eingebaute AES Verschlüsselung der SSD). Dem ist nicht so?

Noch ein Zusatz: Hab bisschen rumgegoogelt und entweder hatte ich vorher alte oder falsche Links -- keiner scheint Alarmstimmung zu machen bei Truecrypt+SSD.
Meine CPU (i5-m450) müsste ja auch AES Verschlüsselung können, also keine theoretischen Performanceeinbußen wenn ich Truecrypt verwende (muss TRIMM dazu an sein? ist das eine Bioseinstellung?).
Würde die Fragen selber recherchieren, habe aber gerade nur sehr langsames Internet und keinen Nerv mich in Schleichgeschwindigkeit durch Links zu quälen.

Ansonsten würde ich erstmal gucken, ob die hardwareseitige Verschlüsselung funktioniert und mich dann eventuell noch nach Software umgucken.

 

[strex]

Meine CPU (i5-m450)

Nein, der unterstützt kein AES-NI -> http://ark.intel.com/de/products/49022/Intel-Core-i5-450M-Processor-3M-cache-2_40-GHz

 

[highks]

Meine CPU (i5-m450) müsste ja auch AES Verschlüsselung können, also keine theoretischen Performanceeinbußen wenn ich Truecrypt verwende (muss TRIMM dazu an sein? ist das eine Bioseinstellung?)

Naja, also Performanceeinbußen hast du mit Verschlüsselung immer, auch auf HDD.
Man hat sogar immer noch leichte Performanceeinbußen, wenn der Prozessor AES-NI unterstützt - die Verschlüsselung muss ja bei jedem Zugriff berechnet werden, das kommt nicht aus dem Nichts. Ohne AES-NI mit Verschlüsselung braucht dann eben so ein Festplattenzugriff mal 20-30% CPU Last (grob geschätzt), der ohne Verschlüsselung eben nur 5% CPU Last braucht. Mit AES-NI bleibt die CPU Last bei 5%, aber die Zugriffszeit bei einer SSD steigt trotzdem etwas an.

Die "Horror Nachrichten" über SSD mit Verschlüsselung haben folgende Gründe:

Wenn man die SSD komplett verschlüsselt, und kein TRIM genutzt wird, dann ist die komplette SSD bis zum Rand vollgeschrieben ("leere" Stellen gibt es dann nicht, alles ist mit Zufallsdaten beschrieben). Dadurch wird eine SSD langsamer, und auch das Wear Levelling kann nicht mehr so toll funktionieren.
Deshalb sollte man bei Nutzung einer SSD mit Verschlüsselung aber ohne TRIM ganz einfach ca. 10-20% der SSD unpartitioniert lassen, damit dieser Bereich nicht vollgeschrieben ist. Dadurch bleibt die Leistung in Ordnung, und auch das Wear Levelling funktioniert noch gut. Damit ist dieses Problem gelöst.

TRIM ist im Übrigen bei SSDs unter Windows 7/8 mit Truecrypt Systemverschlüsselung automatisch aktiv, also braucht man all das gar nicht zu beachten - durch TRIM wird sowieso der freie Speicherplatz der SSD mitgeteilt, und vom Controller freigeräumt. Dadurch bleibt die Leistung hoch, und man muss keinen unpartitionierten Platz auf der SSD lassen.

TRIM ist ein SATA Command, der vom Betriebssystem über den SATA Treiber an die SSD weitergegeben wird. Eine Bios Einstellung braucht es dazu nicht, es müssen nur das OS, der Treiber und die SSD TRIM unterstützen, dann kommt der Befehl auch richtig an - er teilt der SSD mit, welche Zellen schon komplett gelöscht werden können.
Flash Zellen können nämlich nicht direkt überschrieben werden, sondern müssen zuerst gelöscht und dann beschrieben werden - wenn man das alles beim Schreibvorgang erledigt, dauert der gesamte Schreibvorgang länger. Ist das Löschen schon vorher passiert (irgendwann im Idle), dann geht der ganze Schreibvorgang natürlich schneller.

Weshalb eine SSD mit Verschlüsselung jetzt schneller verschleißen soll, weiß ich dann eigentlich auch nicht. Ich kann mir nicht vorstellen, woher die vermehrten Schreiboperationen bei Verschlüsselung kommen sollen - und nur Schreiboperationen verursachen Verschleiß bei einer SSD.

Allerdings sind moderne SSDs auch so robust, dass man sie niemals innerhalb der nächsten paar Jahre kaputt bekommt, wenn man nicht mindestens mehrfach täglich ihr komplettes Volumen neu beschreibt.
Vor einigen Jahren war das noch anders, daher kommen die Horrorstories - aber aktuelle SSDs bekommt man als normaler Home-User nicht kaputt geschrieben, wenn man nicht ein spezielles Programm einsetzt, das die SSD 24/7 durchgängig beschreibt.
Also selbst, wenn irgendwo ein paar Schreibvorgänge mehr passieren, dann lebt die SSD eben statt 50 Jahren nur noch 49 Jahre - völlig egal, vorher wird sie auf jeden Fall ausgetauscht, oder etwas anderes geht kaputt.



Also nochmal zusammengefasst: hat man mit Verschlüsselung Perfomanceeinbußen? Klar, immer. Aber eine SSD mit Verschlüsselung ist immer noch schneller, als eine HDD mit Verschlüsselung, selbst mit einem Prozessor ohne AES-NI (ich habe das selbst schon mit einem Athlon II X2 und einem i3 ausprobiert - ist immer noch ordentlich flott!)

Die Frage stellt sich ja auch gar nicht wirklich, denn entweder ich brauche eine richtige Verschlüsselung (also Truecrypt, Diskcryptor, LUKS...) oder ich habe lieber die volle Leistung.
Verschlüsselung mit dem BIOS Passwort und der SSD-internen Hardware Verschlüsselung schluckt zwar keine Leistung, aber ich würde mich nicht wirklich drauf verlassen. Das ist okay gegen den normalen Laptop-Dieb, aber man weiß eben überhaupt nicht, wie gut und sicher das gelöst ist, weder von Mainboardseite, noch von der SSD-Seite.
Richtige, gute Verschlüsselung findet immer nur über Software statt, deren Source Code auch eingesehen werden kann.

 

[Holt]

Wie große ist die SSD, auch 500GB? Wenn die SSD mindestens so viele LBAs bietet wie die HDD hat bzw. wie auf dieser genutzt werden, dann kannst Du einfach mit dem Linux dd Befehl klonen, da dabei garantiert 100%ig 1:1 geklont wird. Das habe ich mit auch schon mal mit einer verschlüsselten HDD gemacht, aber da war die SSD etwas größer als die HDD. Vergiss nicht, dass die Platten (SSDs wie HDDs) i.d.R. ein paar LBAs mehr haben als angegeben ist, was man bei CrystalDiskInfo auch oft sieht, wenn dort z.B. 500,1GB steht. Beim Wechsel von einer 500GB HDD auf eine 500GB SSD besteht also das Risiko, dass bei der SSD ein paar LBAs am Ende fehlen und dann kann es Probleme geben. Deshalb nimmt dann besser eine SSD mit 512GB, wenn man nicht entschlüsseln und mit dd klonen will.

 

[peter83]

Zur ursprünglichen Frage: SSD entschlüsseln und dann mit dem Migration Tool aus Windows raus clonen geht. Hab ich schon gemacht auf einem alten Lenovo ThinkPad.