Toon posts:

Advies versleutelen interne SSD's.

Pagina: 1
Acties:

Vraag


  • kadoendra
  • Registratie: Maart 2005
  • Laatst online: 27-03 21:06
Ik heb een Intel NUC10 met daarin 2 SSD’s. Een 970 EVO Plus NVMe (de windows-schijf) en een 870 QVO voor data. Deze gebruik ik nu allebei onversleuteld. Omdat ik de schijven toch graag volledig wil versleutelen ben ik aan het kijken naar de verschillende opties.

Ik kan de schijven hardwarematig versleutelen met Samsung Magician. Hoewel me dat het makkelijkst lijkt heeft dit niet mijn voorkeur, aangezien de privacyverklaring van Samsung Magician me de kriebels geeft. Zie bijvoorbeeld hier: https://www.reddit.com/r/...pgrade_your_ssd_firmware/

Dan maar naar softwarematig versleutelen kijken. Ik denk dan aan Bitlocker of Veracrypt.

- Bitlocker kost me sowieso € 145,- aangezien ik nog geen pro-licentie heb (en de goedkopere grijze keys, laat ik graag links liggen). Daarnaast is Bitlocker natuurlijk closed source, maar dat vind ik een minder groot issue, aangezien ik met die gedachtengang eigenlijk sowieso geen Windows zou moeten gebruiken. De Nuc10 heeft weliswaar geen TPM, maar wel Intel PTT waardoor Bitlocker ook zou moeten werken. Als ik het goed heb, hoef ik bij deze optie niet eerst de drives leeg te maken, klopt dat? En hoef ik me ook geen zorgen te maken over Trim en wear-leveling. Klopt dat ook?

- Veracrypt. Ik ben al redelijk bekend met Veracrypt, omdat ik hiermee al een paar externe (gewone spinning) harde schijven heb versleuteld. Echter als ik deze pagina’s van de documentatie van Veracrypt bekijk: https://www.veracrypt.fr/en/Trim%20Operation.html en https://www.veracrypt.fr/en/Wear-Leveling.html levert gebruik van Veracrypt problemen op met Trim en/of wear-leveling. Bovendien kan ik sowieso al niet meer voldoen aan het advies om te versleutelen als de schijven nog ongebruikt zijn. Ik weet overigens niet of dat ook voor Bitlocker een probleem is.

Hebben jullie een advies? Zie ik iets over het hoofd (vast wel)?

Beste antwoord (via kadoendra op 08-04-2021 09:24)


  • DataGhost
  • Registratie: Augustus 2003
  • Nu online

DataGhost

iPL dev

Brahiewahiewa schreef op dinsdag 23 maart 2021 @ 06:05:
[...]

Waarom wil je de volledige disks versleutelen? Wat denk je daarmee te bereiken?
Persoonlijk zie ik weinig toegevoegde waarde in het versleutelen van je windows directory of je program files folder. Daarmee maak je een brute force attack alleen maar makkelijker
Brahiewahiewa schreef op zaterdag 27 maart 2021 @ 16:48:
[...]

Een ge-encrypte disk inclusief de windows systeem bestanden is makkelijker te brute forcen dan een ge-encrypte disk zonder die windows systeem bestanden. Want je geeft minimaal 20GB aan bekende informatie weg.
Naast dat er nog steeds behoorlijk veel variaties mogelijk zijn in de plaatsing en versies van "windows systeem bestanden" (door het wel of niet doen van bepaalde updates, staat van fragmentatie e.d.), is er nog geen noemenswaardig snelle known-plaintext aanval bekend op AES-XTS, wat Bitlocker en Veracrypt standaard gebruiken. Daar ga je niks makkelijker mee maken.
DJMaze schreef op zaterdag 27 maart 2021 @ 15:25:
[...]

OS en programma's encrypten is zinloos. Het maakt het niet veiliger, alleen trager.
Een beetje moderne CPU doet voor een instapmodel al in de orde van 30 GB/s AES, dus de snelheid van je SSD valt daarbij in het niet. Dat is dus niet iets wat je in de praktijk gaat merken. Nou heeft zo'n NUC wel een ultra-zuinige niet-desktop-CPU, maar bijv. de 10710U doet alsnog 7 GB/s AES. Zeker als de encryptie in de SSD gedaan wordt zal je er niks van merken, reken maar dat de controller daarin sneller is dan de opslag. In de praktijk komt het grote snelheidsvoordeel van een SSD niet zozeer uit de rauwe maximale snelheid, maar uit de random access time, en zit daar ook de voornaamste bottleneck. In normale workloads zal je eerder tegen 10% van de maximale doorvoorsnelheid van de SSD aan zitten dus dan heb je het over minder dan 500 MB/s, of ongeveer 1 GB/s als je echt een benchmark draait. Royaal binnen de specs van de CPU.
Als je een aparte opslag hebt voor je profiel dan kan je die gewoon encrypten.

Oftewel een extra SSD/partitie/nas/roaming volstaat, en dan tegen windows zeggen dat de profielen op d: of nas staan.

Zo is /home bij mij onder Linux een aparte schijf en die wordt gebackupped.
Dan kan ik gewoon OS herinstalleren en klaar.
In een ideale wereld is dat inderdaad de enige plek waar data wordt opgeslagen. In de praktijk kan er behoorlijk makkelijk informatie daarbuiten lekken, al dan niet door expliciet toedoen van de gebruiker. Hierbij kan je denken aan documenten die toch in een mapje op C:\ gezet worden of bijvoorbeeld iets simpels als je wifi-wachtwoord (omdat die, ook onder Linux, vaak om verschillende redenen user-onafhankelijk is en dus lekker in bijv. /etc terecht komt), maar zeker ook aan MEMORY.DMP files van een BSOD, je pagefile en de hibernation file, waarin delen of je hele geheugen in plaintext in terecht komen, en die vervolgens na overschrijven nog steeds op je SSD kunnen staan vanwege wear leveling. Met FDE hoef je daar überhaupt niet over na te denken. Als je je backups gewoon maakt is een herinstallatie ook niet meer werk dan herinstalleren en data terugzetten. Als je toch OS en data scheidt over verschillende schijven of partities, staat niks in de weg om ze beide te versleutelen, dat zou ik alsnog aanraden. En in de praktijk gaat een /home "behouden" onder Linux net iets makkelijker dan het analoog onder Windows (SIDs e.d.), dus daar ben je hoe dan ook even mee bezig.
kadoendra schreef op zaterdag 27 maart 2021 @ 14:10:
[...]

Thanks. En mijn zorgen over Trim en wear-leveling? Is dat geen probleem met Bitlocker?
Het OS stuurt gewoon TRIM-commando's naar een medium dat het ondersteunt. De Bitlocker-laag verwerkt deze gewoon en zal die op de juiste wijze doorsturen naar het onderliggende medium. Volgens de documentatie van Veracrypt kom ik tot de conclusie dat dat hier ook het geval is, er staat alleen een verhaaltje bij dat je plausible deniability dan in het gedrang komt maar dat is voor de meeste mensen geen use-case dus kan het lekker aan blijven staan.
kadoendra schreef op zaterdag 27 maart 2021 @ 17:17:
[...]


Ik snap het. Gelet hierop zou ik dan eigenlijk alleen de ssd met data hoeven te encrypten. En ervoor zorgen dat op de ssd met Windows geen gevoelige persoonlijke info komt te staan. Moet ik er dan eigenlijk ook niet voor zorgen dat alle temp-data (bij surfen, foto’s/video bewerken) ook naar de data-ssd geschreven wordt? Dat is misschien nog best een bewerkelijk klusje.
Ja, hierboven al uitgelegd. Ik zou persoonlijk gewoon het hele ding encrypten, dat doe ik met mijn desktop ook. Alle disks versleuteld met Bitlocker en TPM en dat loopt als een trein. Ik merk er niks van dat het versleuteld is, behalve als ik een BIOS-update doe, dan begint mijn TPM te steigeren (zoals het hoort) en moet ik de recovery-code invoeren.
Als het goed is kan je de boel ook redelijk makkelijk weer decrypten, mocht het qua performance toch tegenvallen (wat ik niet verwacht). Houd er in ieder geval wel rekening mee dat je dit natuurlijk pas moet beoordelen als de hele encryptie gedaan is, omdat anders de schijf nog op volle kracht gebruikt wordt.

[Voor 5% gewijzigd door DataGhost op 07-04-2021 01:52]

Alle reacties


  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

kadoendra schreef op maandag 22 maart 2021 @ 15:22:
... Zie ik iets over het hoofd (vast wel)? ...
Waarom wil je de volledige disks versleutelen? Wat denk je daarmee te bereiken?
Persoonlijk zie ik weinig toegevoegde waarde in het versleutelen van je windows directory of je program files folder. Daarmee maak je een brute force attack alleen maar makkelijker

QnJhaGlld2FoaWV3YQ==


  • kadoendra
  • Registratie: Maart 2005
  • Laatst online: 27-03 21:06
Gewoon vanwege de obvious reasons. De NUC10 steek je zo in je binnenzak, die neemt nog minder ruimte in dan een laptop. Bij een inbraak is die dus zo meegenomen.

  • kadoendra
  • Registratie: Maart 2005
  • Laatst online: 27-03 21:06
Brahiewahiewa schreef op dinsdag 23 maart 2021 @ 06:05:
[...]

Waarom wil je de volledige disks versleutelen? Wat denk je daarmee te bereiken?
Persoonlijk zie ik weinig toegevoegde waarde in het versleutelen van je windows directory of je program files folder. Daarmee maak je een brute force attack alleen maar makkelijker
Waarom wordt een brute force attack hiermee overigens alleen maar makkelijker? Makkelijker dan wat?

  • Gé Brander
  • Registratie: September 2001
  • Laatst online: 27-03 12:59

Gé Brander

MS SQL Server

Je wil in principe alle disks gewoon versleutelen. Ik gebruik overal tpm/ptt in combinatie met bitlocker. Prima systeem en kan ten alle tijden aangezet worden zonder opnieuw formatteren etc. Inderdaad pro licentie voor nodig maar dat vind ik op zich sowieso een vereiste als je al over dit soort zaken nadenkt.

Vroeger was alles beter... Geniet dan maar van vandaag, morgen is alles nog slechter!


  • DJMaze
  • Registratie: Juni 2002
  • Niet online
In Linux kan ik gewoon aangeven welke bestanden/map/schijf ik versleuteld wil hebben.
Bestaat er niet zoiets voor Windows?

Maak je niet druk, dat doet de compressor maar


  • kadoendra
  • Registratie: Maart 2005
  • Laatst online: 27-03 21:06
Gé Brander schreef op zaterdag 27 maart 2021 @ 12:50:
Je wil in principe alle disks gewoon versleutelen. Ik gebruik overal tpm/ptt in combinatie met bitlocker. Prima systeem en kan ten alle tijden aangezet worden zonder opnieuw formatteren etc. Inderdaad pro licentie voor nodig maar dat vind ik op zich sowieso een vereiste als je al over dit soort zaken nadenkt.
Thanks. En mijn zorgen over Trim en wear-leveling? Is dat geen probleem met Bitlocker?

  • Gé Brander
  • Registratie: September 2001
  • Laatst online: 27-03 12:59

Gé Brander

MS SQL Server

kadoendra schreef op zaterdag 27 maart 2021 @ 14:10:
[...]


Thanks. En mijn zorgen over Trim en wear-leveling? Is dat geen probleem met Bitlocker?
In de 10 jaar dat ik bitlocker gebruik op SSD's, nooit problemen gemerkt.
DJMaze schreef op zaterdag 27 maart 2021 @ 13:22:
In Linux kan ik gewoon aangeven welke bestanden/map/schijf ik versleuteld wil hebben.
Bestaat er niet zoiets voor Windows?
Ik zou niet weten waarom ik bepaalde folders wel en andere folders niet zou willen encrypten. Ik weet het niet hoor, maar het voelt als een risico om maar een gedeelte te doen.

[Voor 42% gewijzigd door Gé Brander op 27-03-2021 14:13]

Vroeger was alles beter... Geniet dan maar van vandaag, morgen is alles nog slechter!


  • DJMaze
  • Registratie: Juni 2002
  • Niet online
Gé Brander schreef op zaterdag 27 maart 2021 @ 14:11:
Ik zou niet weten waarom ik bepaalde folders wel en andere folders niet zou willen encrypten. Ik weet het niet hoor, maar het voelt als een risico om maar een gedeelte te doen.
OS en programma's encrypten is zinloos. Het maakt het niet veiliger, alleen trager.
Als je een aparte opslag hebt voor je profiel dan kan je die gewoon encrypten.

Oftewel een extra SSD/partitie/nas/roaming volstaat, en dan tegen windows zeggen dat de profielen op d: of nas staan.

Zo is /home bij mij onder Linux een aparte schijf en die wordt gebackupped.
Dan kan ik gewoon OS herinstalleren en klaar.

[Voor 11% gewijzigd door DJMaze op 27-03-2021 15:29]

Maak je niet druk, dat doet de compressor maar


  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

kadoendra schreef op zaterdag 27 maart 2021 @ 12:44:
[...]


Waarom wordt een brute force attack hiermee overigens alleen maar makkelijker? Makkelijker dan wat?
Een ge-encrypte disk inclusief de windows systeem bestanden is makkelijker te brute forcen dan een ge-encrypte disk zonder die windows systeem bestanden. Want je geeft minimaal 20GB aan bekende informatie weg.

QnJhaGlld2FoaWV3YQ==


  • kadoendra
  • Registratie: Maart 2005
  • Laatst online: 27-03 21:06
Brahiewahiewa schreef op zaterdag 27 maart 2021 @ 16:48:
[...]

Een ge-encrypte disk inclusief de windows systeem bestanden is makkelijker te brute forcen dan een ge-encrypte disk zonder die windows systeem bestanden. Want je geeft minimaal 20GB aan bekende informatie weg.
Ik snap het. Gelet hierop zou ik dan eigenlijk alleen de ssd met data hoeven te encrypten. En ervoor zorgen dat op de ssd met Windows geen gevoelige persoonlijke info komt te staan. Moet ik er dan eigenlijk ook niet voor zorgen dat alle temp-data (bij surfen, foto’s/video bewerken) ook naar de data-ssd geschreven wordt? Dat is misschien nog best een bewerkelijk klusje.

  • kadoendra
  • Registratie: Maart 2005
  • Laatst online: 27-03 21:06
kadoendra schreef op zaterdag 27 maart 2021 @ 17:17:
[...]


Ik snap het. Gelet hierop zou ik dan eigenlijk alleen de ssd met data hoeven te encrypten. En ervoor zorgen dat op de ssd met Windows geen gevoelige persoonlijke info komt te staan. Moet ik er dan eigenlijk ook niet voor zorgen dat alle temp-data (bij surfen, foto’s/video bewerken) ook naar de data-ssd geschreven wordt? Dat is misschien nog best een bewerkelijk klusje.
Ok, op het gevaar af eigenwijs te zijn; ik snap het toch niet zo goed. Met een brute force attack zal het wellicht makkelijker zijn omdat 20Gb aan data al bekend is. Maar makkelijker (dan wat?) is toch altijd nog steeds beter dan wanneer er helemaal geen encryptie is? Als mijn Nuc-pc gestolen wordt, lijkt het me sowieso redelijk evident dat op één van de interne schijven een besturingssysteem staat.

Acties:
  • +1Henk 'm!

  • jurroen
  • Registratie: Mei 2012
  • Laatst online: 10:17

jurroen

Security en privacy geek

Brahiewahiewa schreef op zaterdag 27 maart 2021 @ 16:48:
[...]

Een ge-encrypte disk inclusief de windows systeem bestanden is makkelijker te brute forcen dan een ge-encrypte disk zonder die windows systeem bestanden. Want je geeft minimaal 20GB aan bekende informatie weg.
Bullshit. Dat was tijdens WOII het geval - een grote bijdrage aan het kraken van Enigma omdat Duitse berichten veelal werden afgesloten met HH - maar met fatsoenlijke, hedendaagse encryptie speelt dat geen rol meer. Totaal niet zelfs.

Acties:
  • Beste antwoord
  • +2Henk 'm!

  • DataGhost
  • Registratie: Augustus 2003
  • Nu online

DataGhost

iPL dev

Brahiewahiewa schreef op dinsdag 23 maart 2021 @ 06:05:
[...]

Waarom wil je de volledige disks versleutelen? Wat denk je daarmee te bereiken?
Persoonlijk zie ik weinig toegevoegde waarde in het versleutelen van je windows directory of je program files folder. Daarmee maak je een brute force attack alleen maar makkelijker
Brahiewahiewa schreef op zaterdag 27 maart 2021 @ 16:48:
[...]

Een ge-encrypte disk inclusief de windows systeem bestanden is makkelijker te brute forcen dan een ge-encrypte disk zonder die windows systeem bestanden. Want je geeft minimaal 20GB aan bekende informatie weg.
Naast dat er nog steeds behoorlijk veel variaties mogelijk zijn in de plaatsing en versies van "windows systeem bestanden" (door het wel of niet doen van bepaalde updates, staat van fragmentatie e.d.), is er nog geen noemenswaardig snelle known-plaintext aanval bekend op AES-XTS, wat Bitlocker en Veracrypt standaard gebruiken. Daar ga je niks makkelijker mee maken.
DJMaze schreef op zaterdag 27 maart 2021 @ 15:25:
[...]

OS en programma's encrypten is zinloos. Het maakt het niet veiliger, alleen trager.
Een beetje moderne CPU doet voor een instapmodel al in de orde van 30 GB/s AES, dus de snelheid van je SSD valt daarbij in het niet. Dat is dus niet iets wat je in de praktijk gaat merken. Nou heeft zo'n NUC wel een ultra-zuinige niet-desktop-CPU, maar bijv. de 10710U doet alsnog 7 GB/s AES. Zeker als de encryptie in de SSD gedaan wordt zal je er niks van merken, reken maar dat de controller daarin sneller is dan de opslag. In de praktijk komt het grote snelheidsvoordeel van een SSD niet zozeer uit de rauwe maximale snelheid, maar uit de random access time, en zit daar ook de voornaamste bottleneck. In normale workloads zal je eerder tegen 10% van de maximale doorvoorsnelheid van de SSD aan zitten dus dan heb je het over minder dan 500 MB/s, of ongeveer 1 GB/s als je echt een benchmark draait. Royaal binnen de specs van de CPU.
Als je een aparte opslag hebt voor je profiel dan kan je die gewoon encrypten.

Oftewel een extra SSD/partitie/nas/roaming volstaat, en dan tegen windows zeggen dat de profielen op d: of nas staan.

Zo is /home bij mij onder Linux een aparte schijf en die wordt gebackupped.
Dan kan ik gewoon OS herinstalleren en klaar.
In een ideale wereld is dat inderdaad de enige plek waar data wordt opgeslagen. In de praktijk kan er behoorlijk makkelijk informatie daarbuiten lekken, al dan niet door expliciet toedoen van de gebruiker. Hierbij kan je denken aan documenten die toch in een mapje op C:\ gezet worden of bijvoorbeeld iets simpels als je wifi-wachtwoord (omdat die, ook onder Linux, vaak om verschillende redenen user-onafhankelijk is en dus lekker in bijv. /etc terecht komt), maar zeker ook aan MEMORY.DMP files van een BSOD, je pagefile en de hibernation file, waarin delen of je hele geheugen in plaintext in terecht komen, en die vervolgens na overschrijven nog steeds op je SSD kunnen staan vanwege wear leveling. Met FDE hoef je daar überhaupt niet over na te denken. Als je je backups gewoon maakt is een herinstallatie ook niet meer werk dan herinstalleren en data terugzetten. Als je toch OS en data scheidt over verschillende schijven of partities, staat niks in de weg om ze beide te versleutelen, dat zou ik alsnog aanraden. En in de praktijk gaat een /home "behouden" onder Linux net iets makkelijker dan het analoog onder Windows (SIDs e.d.), dus daar ben je hoe dan ook even mee bezig.
kadoendra schreef op zaterdag 27 maart 2021 @ 14:10:
[...]

Thanks. En mijn zorgen over Trim en wear-leveling? Is dat geen probleem met Bitlocker?
Het OS stuurt gewoon TRIM-commando's naar een medium dat het ondersteunt. De Bitlocker-laag verwerkt deze gewoon en zal die op de juiste wijze doorsturen naar het onderliggende medium. Volgens de documentatie van Veracrypt kom ik tot de conclusie dat dat hier ook het geval is, er staat alleen een verhaaltje bij dat je plausible deniability dan in het gedrang komt maar dat is voor de meeste mensen geen use-case dus kan het lekker aan blijven staan.
kadoendra schreef op zaterdag 27 maart 2021 @ 17:17:
[...]


Ik snap het. Gelet hierop zou ik dan eigenlijk alleen de ssd met data hoeven te encrypten. En ervoor zorgen dat op de ssd met Windows geen gevoelige persoonlijke info komt te staan. Moet ik er dan eigenlijk ook niet voor zorgen dat alle temp-data (bij surfen, foto’s/video bewerken) ook naar de data-ssd geschreven wordt? Dat is misschien nog best een bewerkelijk klusje.
Ja, hierboven al uitgelegd. Ik zou persoonlijk gewoon het hele ding encrypten, dat doe ik met mijn desktop ook. Alle disks versleuteld met Bitlocker en TPM en dat loopt als een trein. Ik merk er niks van dat het versleuteld is, behalve als ik een BIOS-update doe, dan begint mijn TPM te steigeren (zoals het hoort) en moet ik de recovery-code invoeren.
Als het goed is kan je de boel ook redelijk makkelijk weer decrypten, mocht het qua performance toch tegenvallen (wat ik niet verwacht). Houd er in ieder geval wel rekening mee dat je dit natuurlijk pas moet beoordelen als de hele encryptie gedaan is, omdat anders de schijf nog op volle kracht gebruikt wordt.

[Voor 5% gewijzigd door DataGhost op 07-04-2021 01:52]

Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee