Hi,

mit SSDs ist das ja so eine Sache...

Wenn die ganz voll geschrieben werden, geht die Leistung ja in den Keller.
Es gibt verschiedene Lösungen die da gegensteuern und heutige moderne SSDs kommen damit wohl gut zurecht.

Wie schaut es nun aber aus, wenn man die SSD auf der das BS ist mit TC komplett verschlüsselt...

Funktionieren dann überhaupt diese Features noch? Sollte man ein paar GB unpartitioniert lassen? Sonstige Nachteile? Wenn es geht mit fundierter Begründung :D

:)

Also ich hab mittlerweile seit Jahren TC-verschluesselte SSDs, ohne Probleme. Trim wird seit einigen Versionen durchgereicht und funktioniert, sowohl von Windows aus als auch ueber Tools wie Intel SSD Toolbox.
Teile unpartioniert lassen ist sicherlich nicht schlimm, ob es aber wirklich was hilft ist unklar. Die Performance mit TC geht messbar deutlich runter, fuehlbar imho aber kaum.
Das einzige was ich absolut vermeiden wuerde waeren alle Sandforce basierenden SSDs. Denn verschluesselte Daten lassen sich gar nicht komprimieren sondern sehen ja im Gegenteil aus wie Zufallsdaten.

EDIT: Siehe auch http://www.truecrypt.org/docs/?s=trim-operation ueber die moeglichen Sicherheitsrisiken von Trim, meiner Meinung nach zu vernachlaessigen.

Danke für den Tipp.

hmm

do not use system encryption on drives that use the trim operation

und das von den Machern von Truecrypt...

Also Trim ist doch heute schon fast normal...

bedeutet das nun also, dass leute die 100% sicher sein wollen, keine Systemencryption benutzen sollten?

uff.

Mit trim könnte man sehen wie voll das Laufwerk ist. An die Daten selbst kommt man nicht ran.
Das mit den hidden volumes funktioniert dann nicht wirklich, weil man sieht dass dahinter noch Daten kommen.

bezüglich daten steht da aber


Some storage devices ... use so-called 'trim' operation to mark drive sectors as free e.g. when a file is deleted. Consequently, such sectors may contain unencrypted zeroes or other undefined data (unencrypted) even if they are located within a part of the drive that is encrypted by TrueCrypt.

und sie raten zwei mal ab in dem text TRIM einzusetzen.

bin jetzt ein wenig verunsichert ^^

Also das letzte ist leicht missverstaendlich. Die SSD sieht niemals unverschluesselte Daten. Alle Daten werden durch Truecrypt verschluesselt gespeichtert.
Trim sagt der SSD, dass der Platz in bestimmten Bereichen frei ist. Was sich dann dort befindet, ist nicht defininiert. Koennen Nullen sein, koennen die alten verschluesselten Daten sein, kann was zufaelliges sein. Nur eins kann es nicht sein: unverschluesselte Daten. Denn die gelangen halt niemals auf die Platte.


Kleine Einschraenkung: Bei Hibernation kam es frueher mal dazu, dass unter bestimmten Umstaenden der Ram unverschluesselt gespeichert wurde. Weiss nicht wie gut das tatsaechlich gefixt ist, da die Schnittstellen wohl seitens MS undokumentiert sind. Man sollte daher moeglichst den Ruhezustand deaktivieren, wenn die Platte/SSD verschluesselt ist.

Nö, MS hat seit ein paar Jahren schon eine dokumentierte Schnittstelle dafür...

Stimmt, betrifft wohl nur XP und Vorgaenger...

* Disclaimer: As Windows XP and Windows 2003 do not provide any API for encryption of hibernation files, TrueCrypt has to modify undocumented components of Windows XP/2003 in order to allow users to encrypt hibernation files. Therefore, TrueCrypt cannot guarantee that Windows XP/2003 hibernation files will always be encrypted. In response to our public complaint regarding the missing API, Microsoft began providing a public API for encryption of hibernation files on Windows Vista and later versions of Windows (for more information, see the Version History, section TrueCrypt 5.1a). Since version 7.0, TrueCrypt has used this API and therefore has been able to safely encrypt hibernation files under Windows Vista and later versions of Windows. Therefore, if you use Windows XP/2003 and want the hibernation file to be safely encrypted, we strongly recommend that you upgrade to Windows Vista or later and to TrueCrypt 7.0 or later.

Ansonsten einfach eine per Hardware verschlüsselnde SSD nehmen (z.B. Intel 520 oder Samsung 830, beide AES 256bit). In der letzten c't (6/12, S. 174ff.) haben sie sich die Implementierungen angeschaut und keine offensichtlichen Sicherheitslücken gefunden. Nur auf die System Favorite Volumes muss man dann halt verzichten.

Also das letzte ist leicht missverstaendlich. Die SSD sieht niemals unverschluesselte Daten. Alle Daten werden durch Truecrypt verschluesselt gespeichtert.
Trim sagt der SSD, dass der Platz in bestimmten Bereichen frei ist. Was sich dann dort befindet, ist nicht defininiert.

...



Und diese Daten löscht dann die SSD, damit bei erneutem Schreiben direkt geschrieben werden kann, ohne vorher erst löschen zu müssen.
-> Angriffsvektor

Und diese Daten löscht dann die SSD, damit bei erneutem Schreiben direkt geschrieben werden kann, ohne vorher erst löschen zu müssen.
-> Angriffsvektor
Man sieht aber nur wie voll das ist. An die Daten kommt man nicht ran.
Ob das mit Hidden Partitionen wirklich was bringt ist auch so eine Sache. Wenn dir wirklich jemand die Knarre an den Kopf hält rückt man wahrscheinlich auch das echte Password raus und so ein verwaiste Partition mit kaum was drauf und nur alten Daten ist wahrscheinlich in den wenigsten Fällen glaubwürdig.

Ansonsten einfach eine per Hardware verschlüsselnde SSD nehmen (z.B. Intel 520 oder Samsung 830, beide AES 256bit). In der letzten c't (6/12, S. 174ff.) haben sie sich die Implementierungen angeschaut und keine offensichtlichen Sicherheitslücken gefunden. Nur auf die System Favorite Volumes muss man dann halt verzichten.Und gegen welches Angriffszenario hilft das?

mfg

Und gegen welches Angriffszenario hilft das?

mfg
Auslöten! :)

Als Alternative zu Truecrypt, das in der Tat den TRIM Befehl NICHT weiterreicht, ist für experimentierfreudige vielleicht die aktuelle Beta von Diskcryptor (http://diskcryptor.net/wiki/Main_Page/de) interessant. Diese leitet den TRIM Befehl an den Controller durch und steht sogar unter GPL v3. Die aktuelle Stable macht das noch nicht! Ich habe die Beta seit ca. vier Monaten im Einsatz. Davor hatte ich eine Sandforce-SSD mit Truecrypt im Einsatz (ca. ein 3/4 Jahr, danach war sie tot; SMART-Errors). Ob es jetzt an TC lag vermag ich nicht zu sagen. Auf jeden Fall läuft die Austauschplatte jetzt mit Diskcryptor.
Das positive an Diskcryptor ist ein spürbarer Performanceunterschied ggü. Truecrypt auf meiner baugleichen ErsatzSSD. Ansonsten ist das Feature-Set ggü. Truecrypt etwas eingeschränkt. Bietet im Gegenzug aber einige Features die Truecrypt nicht hat.

Und gegen welches Angriffszenario hilft das?

mfg
Ähm, gegen jedes? :ugly: (Außer den direkten Zugriff auf den eingeschalteten Computer natürlich...)