Womit SSD verschlüsseln - Truecrypt?

[simple10]

Hallo Leute,

ich habe in meinem Notebook eine Intel X-18 80GB SSD verbaut.
Habe aber kein gutes Gefühl dabei das Notebook unverschlüsselt zu lassen, da ich es viel unterwegs benutze.

Welche Lösung zum verschlüsseln bietet sich bei der SSD am besten an?
Gilt es immernoch, dass TrueCrypt zu starken Leistungseibußen führt, und man einen Teil der SSD unverschlüsselt lassen sollte?

Bitlocker kommt nich in Frage. Zwar wäre TPM vorhanden, jedoch ist mir das Update von Windows 7 Professional zu teuer ...

 

[HerbertGozambo]

Also ich hab meine System-SSD mit Trucrypt vollständig verschlüsselt, die einzige Leistungseinbuße die ich feststellen könnte wäre beim Herunterfahren - und da bin ich mir nicht sicher, ob das nicht von dem Wiederherstellungsprogramm Acronis her rührt.
Das ist aber nur meine subjektive Einschätzung.

 

[kamikazefisch]

http://www.heise.de/ct/hotline/SSD-verschluesseln-1063382.html

Ich würd an deiner Stelle einfach eine verschlüsselte extrene Platte (oder großer USB Stick) mitnehmen und da die Daten draufmachen.

 

[miac]

Hier die Truecrypt Hilfe.

http://www.truecrypt.org/docs/?s=trim-operation

So, wie ich das sehe, muß Du nur bei Linux und bei versteckten Betriebssystemen Probleme erwarten.

 

[z0rc]

Ich verstehe den Text eher so, dass es mit Trim generell Probleme gibt. Aber Trim hin oder her, bei ner SSD ist das eher problematisch mit der Verschlüsselung. Der Link von kamikazefisch sagt eigentlich schon alles

 

[miac]

Hmm, der Text ist wirklich etwas schwammig. Habe hier noch eine Diskussion samt Vergleich der Programme gefunden. Insbesondere die letzte Seite scheint mir interessant.

Bei Vollständiger Verschlüsselung scheint es keine Einschränkungen zu geben. Wäre aber interessant, das wirklich sicher zu wissen:

http://www.hardwareluxx.de/communit...ypt-vs-bitlocker-vs-diskcryptor-689181-6.html

Ich selber benutze DiskCryptor, habe aber keine SSD, um das mal zu testen.

Auch bei Wikipedia gibt es einen kleinen Abschnitt, aber auch da wird man nicht wirklich schlauer:
http://de.wikipedia.org/wiki/TrueCrypt

Können die nicht einfach sagen: "Kein Problem" oder "geht nicht"?

 

[simple10]

Verstehe es auch nicht warum es so wenig klare Aussagen und Tests gibt.

Zwar hat eine SSD insbesondere in einem Notebook große Vorteile, doch ist eben auch hier die Verschlüsselung am sinnvollsten.

Habe es derzeit so gelöst dich wichtigsten Daten in einer extra TrueCrypt-Partition unterzubringen, aber alles ist dadurch eben nicht abgedeckt ...

 

[etheReal]

Also truecrypt.org sagt, dass die Sicherheit der Verschlüsselung auf Drives mit Wear-Levelling (also auch SSDs) nicht wirklich gegeben ist:

Due to security reasons, we recommend that TrueCrypt volumes are not created/stored on devices (or in file systems) that utilize a wear-leveling mechanism (and that TrueCrypt is not used to encrypt any portions of such devices or filesystems).

Quelle: http://www.truecrypt.org/docs/?s=wear-leveling

Das heißt jetzt aber nicht, dass jeder Depp Zugriff auf die Daten erlangen kann - es heißt nur, dass ein talentierter Cracker eine gute Chance hätte, einen Angriff erfolgreich auszuführen. Ob dir das sicher genug ist, musst du selbst entscheiden. Die einzige Alternative ist sowieso nur ein Drive ohne Wear-Levelling, also kein SSD...

Ansonsten geht eine TC Verschlüsselung natürlich auch auf SSD - einzig und allein die CPU-Belastung ist nicht ohne. Auf einem Athlon II X2 240e (2 x 2.8 GHz) bekomme ich auf einem TC-verschlüsselten (AES) Betriebssystem (Win7 x64) CPU-Belastungen von 30-40% bei großen Festplattenzugriffen (Kopieren von großen Datenmengen etc).
Wenn die CPU hardwaremäßig AES unterstützt, ist das natürlich nicht der Fall, aber welche CPU kann das im Moment schon?

 

[simple10]

CPU ist eine SL9600.
Hohe CPU Auslastung wäre schlecht, immerhin ist Akku-Laufzeit eh Mangelware ^^

 

[Bärlauch]

@etheReal
Das Sicherheitsrisiko bezieht sich auf den Volume Header. Wenn dieser geändert wird könnte der alte nicht sicher überschrieben werden und ein Angreifer könnte den alten Header finden und wenn ihm das alte Passwort bekannt ist die Daten entschlüsseln.
Und die plausible Abstreitbarkeit ist nicht mehr gegeben.
Es heißt nicht, das jemand an die Daten kommt wenn Du den Header bzw. das Passwort nicht änderst. Nach wie vor müsste hier erst die Verschlüsselung geknackt oder das Passwort erraten werden.
Auch kann es sein das noch Reste von sensiblen Daten auf der SSD sein könnten wenn sie vorher nicht verschlüsselt war.
Einfach ausgedrückt:
Wenn man die SSD verschlüsselt wenn noch keine sensiblen Daten drauf sind, dürfte es kein Problem darstellen.
SSD->Windows installieren->verschlüsseln
Wenn ein Angreifer etwas findet, dann nur Reste der frischen Windows installation. Diese enthält keine sensiblen Daten. Alles was danach draufkommt ist sicher.
Wegen der GC ist es sinvoll 10%-20% der SSD unpartitioniert zu lassen damit diese trotz Verschlüsselung arbeiten kann.

@simple10
Ich hätte auch kein gutes Gefühl mobile Geräte unverschlüsselt zu lassen.
Leistungseinbußen habe ich keine verspürt als ich mein Netbook verschlüsselt habe und die haben bekanntlich nicht gerade leistungsstarke Prozessoren.
Den Tipp von kamikazefisch halte ich nicht für gut. Das Betriebssystem zeichnet zuviel auf (temporäre Dateien, Pagefile, Hibernationfile, usw.) als das man es unverschlüsselt lassen sollte. Da könnte bzw. ist dann der Arbeitsspeicherinhalt und evtl. das Passwort der externen Platte zu finden. Wenn dann alles verschlüsseln. Externe Platte und Betriebssystem.

 

[Simpson474]

Unterstützt dein Notebook ein ATA-Passwort? Ich kenne die aktuelle Preislage nicht, aber möglicherweise wäre die bessere Idee, die SSD bei eBay zu versteigern und die neue Intel 320 Serie zu verwenden. Diese verschlüsselt bei einem gesetzten ATA-Passwort die Daten auf der HDD und du hast keinerlei Performance-Einbußen und die Lebensdauer der SSD wird nicht verkürzt (wobei dies evtl. der 25nm NAND macht).

 

[simple10]

ATA-Passwort wird unterstützt. Aber leider passt nur eine 1,8" HDD/SSD rein.

Aber interessant mit der integrierten Verschlüsselung, habe ich garnicht mitbekommen ...

 

[Simpson474]

Die SSD 320 ist zwar als 1,8'' angekündigt - aber du hast recht, lieferbar sind die nicht. Neben Intel wird das Verfahren auch von den SandForce-SSDs unterstützt, allerdings machen die Teile in Notebooks gerne Probleme und ich weiß nicht, ob es SandForce SSDs in 1,8'' Ausführung gibt.

EDIT: ATA-Passwort kannst du normalerweise auch mit deiner SSD setzten - nur die Verschlüsselung existiert hier nicht. Auf manchen HDDs war das ATA-Passwort jedoch von Datenrettungsunternehmen knackbar - wie es bei den SSDs aussieht kann ich dir nicht sagen.

 

[simple10]

Ich hatte damals im HP-Forum was davon gelesen dass nach einem ATA-Passwort die SSD nicht mehr lauffähig wäre. Hier in dem Thread auch. Von daher war mir das bis jetzt was zu riskant.

Natürlich wurde der Schutz fast ausreichen, denn in der Zeit bis einer Zugriff zu den Daten bekommt (da muss ja der Controller ersetzt werden, etc?) kann man alle wichtigen Passwörter ändern. Für einen normalen Dieb wäre der Aufwand eh zu groß ...

 

[Simpson474]

Das betrifft nur die Marvell-SSDs - Intel hat seine eigene Firmware auf dem Marvell-Controller und diese ist bis auf einen (behobenen) Firmware-Bug stabil (zumindest so viel ich gehört habe).

Natürlich wurde der Schutz fast ausreichen, denn in der Zeit bis einer Zugriff zu den Daten bekommt (da muss ja der Controller ersetzt werden, etc?) kann man alle wichtigen Passwörter ändern. Für einen normalen Dieb wäre der Aufwand eh zu groß ...

Bei den HDDs funktionierte es ohne den Controller zu ersetzten, allerdings waren da scheinbar Sicherheitslücken bei einigen Modellen bekannt. Es geht so viel ich weiß nicht bei jeder HDD und es gibt auch keine freien Tools oder ähnliches - einzig und allein einige Datenrettungsunternehmen hatten das Know-How und dort ist ein Besitznachweis eigentlich erforderlich.