Truecrypt und 2011

[letho]

Eigentlich müsste dann Windows die Trim Optimierung übernehmen. Ansonsten könnte es sein, dass ein Defragmentierungsprogramm, wie O&O defrag die Trim Befehle aussendet (O&O Defrag defragmentiert SSDs NICHT. Es kann aber SSDs angeblich per Trim-Befehle optimieren). Im Grunde kommt es ja nur darauf an, ob die Trim-Befehle auf Hardware-ebene, oder auf softwarebene durchgeführt werden. Optimal wäre es, wenn die Trim befehle auf hardwarebene deaktiviert werden können, bzw. ob sie auf Softwareebene umgestellt werden können. Natürlich kommt es auch darauf an, ob die Softwarelösung so effizient ist, wie die Harwarlösung.

Auszug aus: http://blogs.msdn.com/b/e7/archive/2009 ... s-and.aspx

Is Bitlocker’s encryption process optimized to work on SSDs?

Yes, on NTFS. When Bitlocker is first configured on a partition, the entire partition is read, encrypted and written back out. As this is done, the NTFS file system will issue Trim commands to help the SSD optimize its behavior.

We do encourage users concerned about their data privacy and protection to enable Bitlocker on their drives, including SSDs.

[Nobby1805]

Das Problem ist dass wenn das Volumen (oder nur ein Ordner mit EFS oder Truecrypt, egal) verschlüsselt ist kann kein TRIM Befehl zum SSD geschickt werden, logisch da das SSD keine Datei mehr sieht, nur noch eine einzige "Datei" und zwar das auf OS-Level geschlüsseltes Volumen.

Da interpretiere ich den Artikel von MS aber anders

Is Bitlocker’s encryption process optimized to work on SSDs?
Yes, on NTFS. When Bitlocker is first configured on a partition, the entire partition is read, encrypted and written back out. As this is done, the NTFS file system will issue Trim commands to help the SSD optimize its behavior.

We do encourage users concerned about their data privacy and protection to enable Bitlocker on their drives, including SSDs.

http://blogs.msdn.com/b/e7/archive/2009 ... s-and.aspx

PS da war letho etwas schneller

[soa]

Danke für den Link.

Interessant, ich frage mich wie sie das technisch hinbekommen haben.

[letho]

Interressant zum Thema Trim ist auch der Wiki artikel zu SSDs: http://de.wikipedia.org/wiki/Solid-Stat ... 3.9Fnahmen

Auf Hardwareebene heißt das ganze wohl Garbage Collection (http://de.wikipedia.org/wiki/Garbage_Collection). Dies wird vom SSD controller direkt verwaltet. Auf Betreibssystemebene heißt das ganze dann Trim.

Was ich mich gerade frage ist auch: wie macht Windows das, ohne die Sicherheit zu minimieren? Wenn Windows der SSD mitteilt, dass ein bestimmter bereich nicht mehr gebraucht wird, so wird doch die verschlüsselte Gesamtdatenmenge reduziert. Wenn ich etwas "mutwillig" entschlüsseln wollte, dann würde ich mir bei einer SSD erstmal die Sektoren raussuschen, die leer sind (Das hat Windows der SSD ja mittgeteilt.). Damit hat man nur noch eine wesentlich geringe Datenmenge, die man entschlüsseln muss. Bei einer fast leeren SSD und einer verschlüsselten kleinen Datei, könnte man somit doch die verschlüsselte Datei herausfinden, indem man alle leeren Sektoren abscheidet. Es bleiben somit nur noch die vollen Sektoren, also die Sektoren mit verschlüsselten Daten übrig. Das wäre ein Sicherheitsproblem, denn 200KB lassen sich schneller knacken, als 100GB.
Dem kann man eigentlich nur entkommen, wenn man die gesamte Festplatte mit Zufallsdaten übersäht und Windows eben keine Trim befehle sendet. (Wie soa ja angenommen hat.) Oder indem man selber einige Daten auf die SSD schreibt, womit die zu entschlüsselnde Datenmenge steigt.

Wo liegt der Fehler denn nun?

[soa]

Dem kann man eigendlich nur entkommen, wenn man die gesamte Festplatte mit Zufallsdaten übersäht und Windows eben keine Trim befehle sendet. (Wie soa ja angenommen hat.)

Das macht gerade Bitlocker glaube ich. (Truecrypt kann man das einstellen)

Ich habe bei eine leere Festplatte Bitlocker aktiviert, bitlocker hat gut 6 Stunden gebraucht wenn ich mich richtig erinnere um die Festplatte zu inizialisieren, das heisst Bitlocker hat bestimmt über der ganzen Speicherbereich etwas schreiben müssen.

[Adabi]

Also wieder kein Truecrypt. Das ist mist. Dann muss ich wohl doch mal die Bitlocker Links lesen. Bah, und das bei der Hitze hier.

Danke für eure Beiträge.

Noch ein Wort zur Performance:
TCP/IP überträgt doch zu Windows 7 Clients höchstens mit ~80MB und zu XP noch weniger. Da ist es doch eigentlich völlig egal, ob der Chip AES unterstützt oder nicht.

edit:
Habt ihr eure hiberfil.sys deaktiviert um das Auslesen mit dem Passware Kit zu verhindern?

[letho]

Also, nun hatte ich heute meine beiden 2TB Festplatten endlich verschlüsselt... huchu...
Naja, dann kam die Ernüchterung....
Um die verschlüsselung reibungsloser und schnelle verlaufen zu lassen habe ich die Serversicherung vor der verschlüsselung abgschaltet. Jetzt danach musste ich dann feststellen, dass der Assistent für die Serversicherungen meine Backupfestplatte nicht mehr als Serversicherungsplatte erkannt hat und sie formatieren wollte. Nun ja, da habe ich mir gedacht, verschlüsselt ist sie schon, wenn die jetzt formatiert wird, dann habe ich eine leere Festplatte mit Verschlüsselung, also halb so wild. Jetzt kommt das ABER: Festplatte ist formatiert worden und... Die Festplatte war nicht mehr verschlüsselt. 27 Stunden verschlüsselungsarbeit und 400GB Serversicherungen futsch... (Für mich jetzt halb so wild , denke nicht, dass mein Server in den nächsten Tagen hopps geht.)

Nun gut, inzwischen bin ich wieder am verschlüsseln der Festplatte und habe auch eine neue lösung gefunden. Die werde ich dann später schreiben, jetzt gibts bei mir erstmal essen.

UPDATE:
Bei diesem Problem sieht man, dass das Dashboard nicht alle Spezialfälle, wie Bitlocker-Verschlüsselung abdeckt.
Die Serversicherung kann man über den "Server-Manager/Speicher/Windows Server-Sicherung/Sicherungszeitplan" so konfigirieren, dass das Backup auf einem beliebiegen Volumen gespeichert wird. Das Dashboard lässt stattdessen nur zu, dass eine gesamte Festplatte als Sicherungsdatenträger verwendet wird. Dann wird aber auch die Festplatte formatiert.

Also habe ich die Sicherungsplatte mit einem Laufwerksbuchstaben versehen und leite die Serversicherung nun per manueller Einstellung auf das Bitlocker-verschlüsselte Volumen um.

Im folgenden gehe ich davon aus, dass die Serversicherung deaktiviert ist.
Die Einstellungen sind in dem Assistenten für Sicherungszeitpläne nun: Weiter/Benutzterdefiniert/(Siehe Erklärung A)/Sicherungszeiten wählen/Sicherung auf einem Volumen erstellen/(Siehe Erklärung B)/Fertigstellen/Schließen.

Erklärung A: Unter " Element hinzufügen" sollte man "Bare-Metal Recovery" wählen. Dadurch werden verschiedene Vorrauswahlen getroffen, wie, wie die Sicherung von Laufwerk C:, System usw.. Dadurch wird dann auch die Wiederherstellung auf neuer Hardware möglich. Zur Sicherung von Freigegeben Ordnern sollte die Partition D: und alle anderen Partitionen gewählt werden, auf denen Freigegebene Ordner vorhanden sind. Die Partition, auf die gesichert werden soll, sollte devinitiv nicht ausgewählt werden. Um bestimmte Ordner wieder auszuschließen, muss man unter "Erweiterte Einstellungen/Ausschluss hinzufügen" die Ordner und Dateien auswählen, die man nicht gesichert haben will.

Erklärung B: Hier können alle Partitionen ausgewählt werden, auf die gesichert werden sollen. Ich habe nur eine Festplatte, womit ich nicht sagen kann, wie das Verhalten bei mehreren Sicherungs-Festplatten ist. Hier wählt man nun die Sicherungspartition.

Wenn die Sicherung manuelle konfiguriert wurde, so aktzeptiert das Dashboard diese Serversicherung auch.

[Kaba]

Ich bräuchte auch noch mal eine Info / Hilfe:

Ich habe 3 Festplatten mit Daten und 1 Festplatte mit dem Betriebssystem.
Ich wollte meine Daten auf den 3 Datenfestplatten mit Bitlocker schützen und die Betriebssystemfestplatte (C) eigentlich nicht.
Mein Board hat kein TPM-Chip. Ich habe das in den Gruppenrichtlinien abgeändert, damit der Key auf dem USB-Chip gespeichert wird.

Jetzt habe ich mal Testweise bei einer Platte die Verschlüsselung eingeschaltet und ich musste ein Passwort eingeben.
Nach einem Neustart musste ich das Laufwerk von Hand entriegeln und das Passwort eingeben.
Muss das Passwort immer eingegeben werden? Reicht da nicht der Schlüssel auf dem USB-Stick ?
Beim Entriegeln gab es eine Option "automatisch Entriegeln",
aber als ich versuchte das anzuwählen, bekam ich den Hinweis, das es nur möglich ist, wenn auch das Betriebssystem verschlüsselt ist.

Ich dachte eigentlich, das es so funktioniert:
USB-Stick in der Rechner - einschalten und booten - alle Laufwerke da.

Jetzt ist es so, das ich ja alle 3 Festplatte von Hand entriegeln müsste. Das möchte ich nicht.
Muss die Betriebssystemfestplatte zwingend verschlüsselt werden, damit automatisch entriegelt wird?

Wie läuft dann das booten ab?? Muss nur der USM-Stick bei booten drinn sein oder muss da auch ein passwort eingegeben werden ?
Der Rechner läuft eigentlich ohne Monitor und Tastatur.

Ich hoffe, jemand kennt sich da aus.
Gruß, Kaba

[letho]

Jetzt habe ich mal Testweise bei einer Platte die Verschlüsselung eingeschaltet und ich musste ein Passwort eingeben.
Nach einem Neustart musste ich das Laufwerk von Hand entriegeln und das Passwort eingeben.
Muss das Passwort immer eingegeben werden? Reicht da nicht der Schlüssel auf dem USB-Stick ?
Beim Entriegeln gab es eine Option "automatisch Entriegeln",
aber als ich versuchte das anzuwählen, bekam ich den Hinweis, das es nur möglich ist, wenn auch das Betriebssystem verschlüsselt ist.

Es ist leider nicht möglich die Festplatten mit einem USB-Stick zu entsperren, wenn die Systemfestplatte (C:) nicht mit bitlocker verschlüsselt ist. Es dürfte gehen, dass die Festplatten mit einer Smardcard entschlüsselt werden, dafür sind aber ein entsprechender Smartcard-reader + Smartcard nötig.

Ich dachte eigentlich, das es so funktioniert:
USB-Stick in der Rechner - einschalten und booten - alle Laufwerke da.

So funktioniert es auch, wenn die Partition C: verschlüsselt ist und alle anderen Laufwerke automatisch entsperrt werden.

Jetzt ist es so, das ich ja alle 3 Festplatte von Hand entriegeln müsste. Das möchte ich nicht.
Muss die Betriebssystemfestplatte zwingend verschlüsselt werden, damit automatisch entriegelt wird?

Entweder Systemfestplatte verschlüsseln oder Smartcard nutzten. (Oder Passwort )
Passwort würde mich ehrlich gesagt auch vollkommen nerven.
Was spricht denn deiner Meinung nach gegen die Verschlüsselung der Systempartition?

Wie läuft dann das booten ab?? Muss nur der USM-Stick bei booten drinn sein oder muss da auch ein passwort eingegeben werden ?
Der Rechner läuft eigentlich ohne Monitor und Tastatur.

Es ist nur möglich, dass man eine startdatei auf einem USB-stick speichert. PW ist nicht möglich. Dazu wird die Startdatei auf einem USB-stick geschrieben, welcher beim bootvorgang schon zugänglich sein sollte. Sprich, wenn vom USB stick gebootet werden kann, dann kann bitlocker auch vom USB-stick die startdatei lesen. (Es wird nicht vom USB-stick gebootet.) Tastatur und Monitor sind somit nicht nötig.

[Kaba]

Danke für die Infos. Ich habe die Systemfestplatte verschlüsselt und alles läuft tatsächlich so - wie ich es mir vorgestellt habe.

[Adabi]

@letho

Danke für deine Beschreibung. Der Fehler mit dem Formatieren hätte auch von mir sein können. Allerdings wäre ich nicht auf die Idee gekommen in den Gruppenrichtlinien zu gucken ob ich da was verbiegen kann, was das Dashboard nicht kann.
Ich nehme mal einen Geschwindigkeitsunterschied auf der Clientseite merkst du nicht, oder?
Ich bin mir immer noch nicht schlüssig darüber, ob ich Bitlocker verwende oder nicht. Was hauptsächlich daran liegt, dass ich dier Hälfte davon nicht verstehe.
Weisst du zufällig was bei folgenden Szenario passiert?

Alle 4 Platten verschlüsselt, also c: system , d:daten, e:systemsicherung , f:datenbackup
Nun verabschiedet sich c:
Was passiert nun wenn ich die Festplatte c: austausche?
Muss ich erst 2011 komplett neu installieren, Bitlocker nachinstallieren und kann dann die Systemsicherung von e: einspielen?

Wenn ich das richtig verstanden habe, befindet sich auf dem USB Stick der Full Volume Encryption Key, dh. wenn mein Stick durchbrennt war es das dann? Ich kenn so was ähnliches von Truecrypt, wenn es das sein sollte.

Und wenn du mir jetzt noch sagen könntest, ob Bitlocker Stromausfälle aushalten kann ohne die Festplatten zu zerlegen, wäre das wirklich klasse.

Gruss
A.

[letho]

Alle 4 Platten verschlüsselt, also c: system , d:daten, e:systemsicherung , f:datenbackup
Nun verabschiedet sich c:
Was passiert nun wenn ich die Festplatte c: austausche?
Muss ich erst 2011 komplett neu installieren, Bitlocker nachinstallieren und kann dann die Systemsicherung von e: einspielen?

Also da gibt es drei Möglichkeiten:
a) Du entschlüsselst E: an einem anderen Rechner und spielst das systembackup daraufhin auf C: zurück und verschlüsselst danach wieder C: und E:. D: und F: müssten sich wieder einbinden lassen.
b) Du entschlüsselst E: am Homeserver mit Hilfe der InstallationsCD des WHS. Dafür ist aber eine 2. Festplatte mit mindesten der selben Größe wie das Volume E: notwendig.
c) Du installierst den WHS auf einer neuen Partition C: (ohne die anderen Festplatten angschlossen zu haben, da ich mir ansonsten vorstellen kann, dass der WHS bei der ersteinrichtung anfängt die anderen Festplatten zu formatieren.) Dann entschlüsselst du E:. Spielst daraufhin das Systembackup von E: wieder zurück. Danach müsstest du wieder C: und E: verschlüsseln.

Wenn ich das richtig verstanden habe, befindet sich auf dem USB Stick der Full Volume Encryption Key, dh. wenn mein Stick durchbrennt war es das dann? Ich kenn so was ähnliches von Truecrypt, wenn es das sein sollte.

Bei der Verschlüsselung werden mindestens zwei Keys gespeichert. zum einen der Startkey (Dateiendung .bek), zum anderen der Wiederherstellungskey. Der Startkey ist eine versteckte Datei auf dem USB-Stick. Der Wiederherstllungskey ist ein Textdokument mit einer 48-stelligen Zahl.
Ich rate dazu, bei der Verschlüsselung, den Startkey und den Wiederherstllungskey auf einen recht kleinen USB-Stick (alles mit 2KB und mehr reicht ) zu speichern.
Der Startkey wird nur beim Starten gebraucht, also kann man den USB-Stick auch vom WHS trennen, während die Verschlüsselung vorgenommen wird. Danach für jedes Volumen die 2 Dateien sichern. Auf welchem USB-Stick sich der Startkey befindet ist dem WHS egal.

Komischerweise wird für jedes Volumen ein Start und ein Wiederherstellungskey auf dem USB-Stick gespeichert, doch genutzt wird meiner Erkentniss nach nur der Startkey der Partition C: (auch um alle Partitionen entschlüsseln zu können). Es ist mir auch nicht gelungen, mehr als eine Partition gleichzeitig zu verschlüsseln. Bitlocker verweigert dann die Speicherung des Wiederherstllungsschlüssels.
Nun ja ich habe trotzdem für meine drei Partitionen alle 6 Keys in einem Truecryptarchiv gespeichert und in die Skydrive hochgeladen. So dürfte es nicht wegkommen.

Und wenn du mir jetzt noch sagen könntest, ob Bitlocker Stromausfälle aushalten kann ohne die Festplatten zu zerlegen, wäre das wirklich klasse.

Das weiß ich ehrlich gesagt nicht genau. Nach Goolge gibts wohl häufiger mal Probleme, wenn während der Verschlüsselung der Strom unterbrochen wird. Ich habe meinen WHS jedenfalls mehrmals in der Verschlüsselungsphase neugestartet ohne Probleme. Bei meinem Test gerade hat sich gezeigt, dass der Start nach dem Stromausfall ohne Tastatur 30sec länger braucht, da das System die normale Windows-Fehlermeldung auspuckt, dass der rechner nicht richtig heruntergefahren worden ist. Das war aber auch alles.

[Adabi]

Sehr cool, dich würde ich ja glatt mal auf einen Saft oder so einladen.

Du meinst der Startkey wird nur für den Vorgang gebraucht, wenn Bitlocker anfängt die Festplatten zu verschlüsseln oder meinst du wenn der WHS gestartet wird?
Das heisst aber, unabhängig von den Keys auf dem USB Stick gibt kein weiteres Passwort was ich eingeben muss wenn der WHS hochfährt? Also kein Schutz bei Diebstahl.
Ich lese gerade bei MS Technet das man auch noch zusätzlich die Option hat Bitlocker so einzustellen, dass man neben dem USB Stick noch eine PIN einstellen kann. Hast du auf eine PIN verzichtet?
Wenn ich jetzt noch 2 Artikel bei heise.de lese, möchte ich wahrscheinlich am liebsten USB-Stick + Smartcard + PIN und zwei Dobermänner.

Danke dir für den Selbsttest mit dem Stromausfall. Ich habe schon ewig vor mir eine vernünftige USV für so einen Fall zu kaufen.

Grüsse
A.

edit:
Ach, ich bin doch ein Hirsch... Truecrypt auf USB, muss an der Uhrzeit liegen...

[letho]

Sehr cool, dich würde ich ja glatt mal auf einen Saft oder so einladen.

Danke

Du meinst der Startkey wird nur für den Vorgang gebraucht, wenn Bitlocker anfängt die Festplatten zu verschlüsseln oder meinst du wenn der WHS gestartet wird?

Der Startkey wird nur zum Starten des WHS gebraucht. Er wird bloß VOR der Verschlüsselung auf einen USB-Stick geschrieben. Und man braucht nur den Startky für das Laufwerk C: zum starten. Die restlichen Entschlüsselungskeys befinden sich auf der verschlüsselten Systemfestplatte.

Das heisst aber, unabhängig von den Keys auf dem USB Stick gibt kein weiteres Passwort was ich eingeben muss wenn der WHS hochfährt? Also kein Schutz bei Diebstahl.

Der USB-stick enthält sozusagen das PW. Der Schutz wäre gegeben, wenn du den USB-Stick vor dem Verlassen des Hauses z.B. mitnimmst oder ihn versteckst. Dann kann keiner den WHS entschlüsseln. Nur solltest du den Standbymodus in den Gruppenrichtlinien verbieten, denn kommt der WHS aus dem standby, so ist der startkey nicht nötig (befindet sich noch im ram)

Ich lese gerade bei MS Technet das man auch noch zusätzlich die Option hat Bitlocker so einzustellen, dass man neben dem USB Stick noch eine PIN einstellen kann. Hast du auf eine PIN verzichtet?

Ich habe auf einen Pin verzichtet. Ich nehme den USB-stick mit, wenn ich mal für mehrer Tage verreise. Ich meine auch glesen zu haben, dass es mit dem normalen Assistenten nicht geht, dass man USB+PIN nutzt. Dafür muss man irgend etwas noch manuelle machen. Im Moment finde ich nur den Link nicht mehr. Ausserdem nutzte ich LightsOut um Nachts das Serverbackup laufen zu lassen. Ich stehe nachts um 1 nicht auf um einen PIN einzugeben .

Wenn ich jetzt noch 2 Artikel bei heise.de lese, möchte ich wahrscheinlich am liebsten USB-Stick + Smartcard + PIN und zwei Dobermänner.

Ich glaube, wenn du zwei Dobermänner hast, die richitg erzogen sind, dann brauchst du den rest nicht mehr

Danke dir für den Selbsttest mit dem Stromausfall. Ich habe schon ewig vor mir eine vernünftige USV für so einen Fall zu kaufen.

Das habe ich mir auch eben überlegt. Nur fehlt da meiner Meinung nach noch ein Verwaltungs-Add-in, wie beim WHSv1 (und die guten USV sind ja auch nicht gerade billig.)