Datenträger - Festplatten, SSDs, Speichersticks und -Karten, CD/ 19.508 Themen, 108.855 Beiträge

SSD s mit Hardware-AES besser für TrueCrypt geeignet (bzgl....

chris22 / 3 Antworten / Flachansicht Nickles

Hallo,

 

1. Ihr kennt ja sicherlich die Problematik von softwarebasierender AES-Verschlüsselung auf  SSD´s; Stichwort Wear-Leveling, ATA-TRIM und Garbage. Die Performance bricht deutlich ein (stärker als bei verschlüsselten HDD), die SSD altert schneller und durch das Weiterreichen des TRIM-Kommandos kann ein Angreifer feststellen, wie viele Daten tatsächlich auf der SSD gespeichert sind.

Ich weis, mit einer kleinen freien Partition am Ende der SSD zum „Erholen“ lässt sich das zwar etwas mildern, aber dann ist die SSD nicht mehr zu 100% verschlüsselt und es könnten wichtige Daten im unverschlüsselten Bereich ausgelagert werden.

 

 

2. Nun gibt es ja SSD´s mit Hardware-AES, Problem sind hier die proprietären Verschlüsselungstechniken der Controllerhersteller. Wie sicher die wirklich sind und ob nicht doch eine gewollte oder ungewollte Hintertür (Bug) besteht … man kann letztendlich nur dem Hersteller vertrauen.

 

Auch eine Datenrettung ist wesentlich komplexer oder ist im Einzelfall gar nicht möglich (bei TrueCrypt hat man wenigstens noch ein Ersatzschloss auf der CD):

„Herstellereigene Verschlüsselungs-Lösungen wie sie beispielsweise von Sandforce eingesetzt werden, sind für SSDs durchaus üblich. Allerdings liegt der Schlüssel dafür immer in der Hand des Herstellers und nicht beim Kunden. "Die Hersteller der SSD-Speicher geben diese Schlüssel auch im Fall eines Datenverlustes nicht aus der Hand, selbst wenn sie keine eigene Datenwiederherstellung bzw. -rettung anbieten", mahnt Böhret. "Eine Rettung der Daten wird dadurch wesentlich komplexer oder ist im Einzelfall gar nicht möglich."

http://www.heise.de/resale/artikel/SSDs-sind-nicht-sicherer-als-Festplatten-1747517.html

 

Des Weiteren ist mir gar nicht klar, ob die Daten überhaupt an sich verschlüsselt werden oder ob nur der Zugang zu den Daten lediglich im SSD-Controller verschlüsselt ist, Stichwort ATA-Passwort?

 

 

 

 

3. Meine eigentliche Frage, da ja die SSD Controller mit AES-Verschlüsselung vermutlich besser mit den Problemen wie Wear-Leveling, ATA-TRIM und Garbage zurechtkommen, müssten doch im Controller Befehlsanpassungen erfolgen, die diese Probleme kompensieren.

Wären die SSD´s mit Hardware-AES womöglich auch besser für Software-AES geeignet?

 

 

4. Eine andere Frage, lassen sich die Probleme aus 1. auch mit einer Softwareanpassung eliminieren; sodass TrueCrypt vielleicht mit einer speziellen SSD Variante nachrückt?

 

 

MfG

Chris

bei Antwort benachrichtigen
Borlander chris22 „SSD s mit Hardware-AES besser für TrueCrypt geeignet (bzgl....“
Optionen
Ich weis, mit einer kleinen freien Partition am Ende der SSD zum „Erholen“ lässt sich das zwar etwas mildern, aber dann ist die SSD nicht mehr zu 100% verschlüsselt und es könnten wichtige Daten im unverschlüsselten Bereich ausgelagert werden.

Das Problem kann ich nicht so richtig nachvollziehen. Warum willst Du dann auf dieser Partition irgendwelche Daten ablegen? Bzw. wozu willst Du da überhaupt eine Partition anlegen? Lass den Bereich doch einfach leer und gut ist. Meine System-SSD habe ich auch nur mit einer einzigen Partition über 1/4 der Größe versehen…

Des Weiteren ist mir gar nicht klar, ob die Daten überhaupt an sich verschlüsselt werden oder ob nur der Zugang zu den Daten lediglich im SSD-Controller verschlüsselt ist, Stichwort ATA-Passwort?

Das ist im Zweifelsfall abhängig von der Hardware. Bei anständigen Lösungen werden aber tatsächlich die Datenblöcke im Speicher verschlüsselt.

Wären die SSD´s mit Hardware-AES womöglich auch besser für Software-AES geeignet?

Eher nicht.

3. Meine eigentliche Frage, da ja die SSD Controller mit AES-Verschlüsselung vermutlich besser mit den Problemen wie Wear-Leveling, ATA-TRIM und Garbage zurechtkommen, müssten doch im Controller Befehlsanpassungen erfolgen, die diese Probleme kompensieren.

Nö. Da kommt dann nur noch eine Funktion dazwischen die die Daten unmittelbar vor dem Schreiben aufs Speichermedium verschlüsseln. Ob da ein verschlüsselter oder unverschlüsselter Block im Flash landet macht keinen Unterschied.

4. Eine andere Frage, lassen sich die Probleme aus 1. auch mit einer Softwareanpassung eliminieren; sodass TrueCrypt vielleicht mit einer speziellen SSD Variante nachrückt?

Das läuft dann auf eine Abwägung der Anforderungen hinaus: Wenn keinerlei Rückschlüsse auf den Füllstand möglich sein sollen, dann wirst Du auf Features wie Trim verzichten müssen. Könnte mir da spontan aber eine Zwischenlösung vorstellen, bei der z.B. leere Sektoren erst getrimmt werden sobald ein gewisser Schwellwert an frei nutzbaren Sektoren verfügbar ist. Dann könnte man z.B. von außen nicht mehr unterscheiden ob die SSD nun zu 90% voll ist oder nur zu 1%…

Gruß
Borlander

bei Antwort benachrichtigen