Ich habe gelesen, dass es angeblich ein Sicherheitsrisiko bei SSDs mit Truecrypt geben kann, wenn man das Passwort ändert und der Header neu geschrieben wird.

Gilt das nur für partizielle Verschlüsselung oder auch für Vollverschlüsselung? Etwa, weil im versteckten Bereich der SSD (Over-Provision) der neue Header unverschlüsselt abgelegt wird?

Und was haltet ihr von Diskcrypt?

erstmal truecrypt vergessen, veracrypt nehmen.

wie in dem manual von veracrypt/truecrypt steht (rtfm), wird bei einer passwortänderung der masterkey nicht neu erstellt.

header unverschlüsselt? häh? weisst, du, was der header ist u. wozu er gut ist?

Habs nur woanders gelesen...
Und warum Truecrypt vergessen? Wer hat den schon ein Audit hinter sich? :wink:

Bei dem Audit von Truecrypt wurden diverse Fehler gefunden. Einige davon sind in Veracrypt schon gefixt.

u. keiner der Fehler ist Sicherheitsrelevant ;)

Kenne ich schon...
Wer kann denn beweisen, dass das überhaupt stimmt?
Hinterher kann man alles behaupten.

Und solange es kein Audit für Vera gibt, muss es noch lange nicht heißen, dass dieser Fork sauber ist.

Aber das geht gerade am eigentlichen Thema vorbei.
Der Over-Provision-Bereich ist unverschlüsselt. Und wenn Wear-Leveling zufällig den Header oder einen Teil davon vom verschlüsselten Bereich in den Over-Provision-Bereich schreibt.

Also da wo der alte Header liegt werden zufällig die Zellen mit TRIM bearbeitet und an anderer Stelle (zufällig in den unverschlüsselten Reserve-Bereich) geschrieben.

Aber das geht gerade am eigentlichen Thema vorbei.
Der Over-Provision-Bereich ist unverschlüsselt. Und wenn Wear-Leveling zufällig den Header oder einen Teil davon vom verschlüsselten Bereich in den Over-Provision-Bereich schreibt.

Mm ich würde meinen nein,
denn wenn man auf der SDD nur in den Verschlüsselten Container schreibt kommt auf der SSD auch nur verschlüsseltes an, wohin die SDD das dann schreibt ist dabei doch egal,

Der SSD ist es egal, ob die Daten zusammenhängend oder fragmentiert geschrieben werden. Wear-Leveling weiss nämlich nichts von einer Verschlüsselung. Demnach könnten nach einem TRIM-Befehl auch Daten außerhalb des Containers geschrieben werden. In dem Fall wäre eine Vollverschlüsselung "sicherer" - wenn da nur nicht die Reserve der SSD wäre. Und bei einer SSD werden teilweise große Blöcke verhoben.

Der SSD ist es egal, ob die Daten zusammenhängend oder fragmentiert geschrieben werden. Wear-Leveling weiss nämlich nichts von einer Verschlüsselung. Demnach könnten nach einem TRIM-Befehl auch Daten außerhalb des Containers geschrieben werden. In dem Fall wäre eine Vollverschlüsselung "sicherer" - wenn da nur nicht die Reserve der SSD wäre. Und bei einer SSD werden teilweise große Blöcke verhoben.

Hä? Ich habe nicht verstanden was du uns hier sagen willst.

natürlich können Daten auch "außerhalb des Containers" geschrieben werden,
wenn man aber nur Daten in das gemountete Laufwerk schreibt, ist alles was an der SSD ankommt verschlüsselt.

erstmal truecrypt vergessen, veracrypt nehmen.


Sobald Veracrypt gestorben wird,
hat es die Qualifikation von Truecrypt erreicht.