Datenträger - Festplatten, SSDs, Speichersticks und -Karten, CD/ 19.576 Themen, 110.115 Beiträge

SSD s mit Hardware-AES besser für TrueCrypt geeignet (bzgl....

chris22 / 3 Antworten / Baumansicht Nickles

Hallo,

 

1. Ihr kennt ja sicherlich die Problematik von softwarebasierender AES-Verschlüsselung auf  SSD´s; Stichwort Wear-Leveling, ATA-TRIM und Garbage. Die Performance bricht deutlich ein (stärker als bei verschlüsselten HDD), die SSD altert schneller und durch das Weiterreichen des TRIM-Kommandos kann ein Angreifer feststellen, wie viele Daten tatsächlich auf der SSD gespeichert sind.

Ich weis, mit einer kleinen freien Partition am Ende der SSD zum „Erholen“ lässt sich das zwar etwas mildern, aber dann ist die SSD nicht mehr zu 100% verschlüsselt und es könnten wichtige Daten im unverschlüsselten Bereich ausgelagert werden.

 

 

2. Nun gibt es ja SSD´s mit Hardware-AES, Problem sind hier die proprietären Verschlüsselungstechniken der Controllerhersteller. Wie sicher die wirklich sind und ob nicht doch eine gewollte oder ungewollte Hintertür (Bug) besteht … man kann letztendlich nur dem Hersteller vertrauen.

 

Auch eine Datenrettung ist wesentlich komplexer oder ist im Einzelfall gar nicht möglich (bei TrueCrypt hat man wenigstens noch ein Ersatzschloss auf der CD):

„Herstellereigene Verschlüsselungs-Lösungen wie sie beispielsweise von Sandforce eingesetzt werden, sind für SSDs durchaus üblich. Allerdings liegt der Schlüssel dafür immer in der Hand des Herstellers und nicht beim Kunden. "Die Hersteller der SSD-Speicher geben diese Schlüssel auch im Fall eines Datenverlustes nicht aus der Hand, selbst wenn sie keine eigene Datenwiederherstellung bzw. -rettung anbieten", mahnt Böhret. "Eine Rettung der Daten wird dadurch wesentlich komplexer oder ist im Einzelfall gar nicht möglich."

http://www.heise.de/resale/artikel/SSDs-sind-nicht-sicherer-als-Festplatten-1747517.html

 

Des Weiteren ist mir gar nicht klar, ob die Daten überhaupt an sich verschlüsselt werden oder ob nur der Zugang zu den Daten lediglich im SSD-Controller verschlüsselt ist, Stichwort ATA-Passwort?

 

 

 

 

3. Meine eigentliche Frage, da ja die SSD Controller mit AES-Verschlüsselung vermutlich besser mit den Problemen wie Wear-Leveling, ATA-TRIM und Garbage zurechtkommen, müssten doch im Controller Befehlsanpassungen erfolgen, die diese Probleme kompensieren.

Wären die SSD´s mit Hardware-AES womöglich auch besser für Software-AES geeignet?

 

 

4. Eine andere Frage, lassen sich die Probleme aus 1. auch mit einer Softwareanpassung eliminieren; sodass TrueCrypt vielleicht mit einer speziellen SSD Variante nachrückt?

 

 

MfG

Chris

bei Antwort benachrichtigen
Borlander chris22 „SSD s mit Hardware-AES besser für TrueCrypt geeignet (bzgl....“
Optionen
Ich weis, mit einer kleinen freien Partition am Ende der SSD zum „Erholen“ lässt sich das zwar etwas mildern, aber dann ist die SSD nicht mehr zu 100% verschlüsselt und es könnten wichtige Daten im unverschlüsselten Bereich ausgelagert werden.

Das Problem kann ich nicht so richtig nachvollziehen. Warum willst Du dann auf dieser Partition irgendwelche Daten ablegen? Bzw. wozu willst Du da überhaupt eine Partition anlegen? Lass den Bereich doch einfach leer und gut ist. Meine System-SSD habe ich auch nur mit einer einzigen Partition über 1/4 der Größe versehen…

Des Weiteren ist mir gar nicht klar, ob die Daten überhaupt an sich verschlüsselt werden oder ob nur der Zugang zu den Daten lediglich im SSD-Controller verschlüsselt ist, Stichwort ATA-Passwort?

Das ist im Zweifelsfall abhängig von der Hardware. Bei anständigen Lösungen werden aber tatsächlich die Datenblöcke im Speicher verschlüsselt.

Wären die SSD´s mit Hardware-AES womöglich auch besser für Software-AES geeignet?

Eher nicht.

3. Meine eigentliche Frage, da ja die SSD Controller mit AES-Verschlüsselung vermutlich besser mit den Problemen wie Wear-Leveling, ATA-TRIM und Garbage zurechtkommen, müssten doch im Controller Befehlsanpassungen erfolgen, die diese Probleme kompensieren.

Nö. Da kommt dann nur noch eine Funktion dazwischen die die Daten unmittelbar vor dem Schreiben aufs Speichermedium verschlüsseln. Ob da ein verschlüsselter oder unverschlüsselter Block im Flash landet macht keinen Unterschied.

4. Eine andere Frage, lassen sich die Probleme aus 1. auch mit einer Softwareanpassung eliminieren; sodass TrueCrypt vielleicht mit einer speziellen SSD Variante nachrückt?

Das läuft dann auf eine Abwägung der Anforderungen hinaus: Wenn keinerlei Rückschlüsse auf den Füllstand möglich sein sollen, dann wirst Du auf Features wie Trim verzichten müssen. Könnte mir da spontan aber eine Zwischenlösung vorstellen, bei der z.B. leere Sektoren erst getrimmt werden sobald ein gewisser Schwellwert an frei nutzbaren Sektoren verfügbar ist. Dann könnte man z.B. von außen nicht mehr unterscheiden ob die SSD nun zu 90% voll ist oder nur zu 1%…

Gruß
Borlander

bei Antwort benachrichtigen
Strohwittwer chris22 „SSD s mit Hardware-AES besser für TrueCrypt geeignet (bzgl....“
Optionen

Hallo Chris,

das Beste, was ich je hier auf der Seite der Besserwisser gelesen habe!!!

Danke!

MfG

Stroh, äh, der Wittwer...Zwinkernd

Think
bei Antwort benachrichtigen
Oliver55 chris22 „SSD s mit Hardware-AES besser für TrueCrypt geeignet (bzgl....“
Optionen

Hallo chriss22,
ehrlich gesagt, ich verstehe Dein Problem auch nicht ganz. Hast Du nun eine eingebaute ssd die verschlüsselt werden soll, oder soll es eine externe sein. Des Weiteren wäre das BS interessant und welche Verschlüsselung Du genau anstrebst(verstecktes BS?). Wenn Du nämlich Mac hast, funktioniert truecrypt in der Tat leider nicht. Sollte es aber eine externe sein, verstehe ich nicht, warum es eine ssd sein muss? Erstens , wie Du ja auch selber konstatierst, leidet die Performance, zweitens auch die Lebensdauer.
Ganz nebenbei, die Erfahrung habe ich mit einer verschlüsselten externen gemacht, obwohl truecrypt verschlüsselt(auf Mac) funktioniert die Öffnung unter Windows nicht.

Gruß Olli

bei Antwort benachrichtigen