Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie
Toon posts:

Advies versleutelen interne SSD's.

Pagina: 1
Acties:

Vraag


  • kadoendra
  • Registratie: maart 2005
  • Laatst online: 22:54
Ik heb een Intel NUC10 met daarin 2 SSD’s. Een 970 EVO Plus NVMe (de windows-schijf) en een 870 QVO voor data. Deze gebruik ik nu allebei onversleuteld. Omdat ik de schijven toch graag volledig wil versleutelen ben ik aan het kijken naar de verschillende opties.

Ik kan de schijven hardwarematig versleutelen met Samsung Magician. Hoewel me dat het makkelijkst lijkt heeft dit niet mijn voorkeur, aangezien de privacyverklaring van Samsung Magician me de kriebels geeft. Zie bijvoorbeeld hier: https://www.reddit.com/r/...pgrade_your_ssd_firmware/

Dan maar naar softwarematig versleutelen kijken. Ik denk dan aan Bitlocker of Veracrypt.

- Bitlocker kost me sowieso € 145,- aangezien ik nog geen pro-licentie heb (en de goedkopere grijze keys, laat ik graag links liggen). Daarnaast is Bitlocker natuurlijk closed source, maar dat vind ik een minder groot issue, aangezien ik met die gedachtengang eigenlijk sowieso geen Windows zou moeten gebruiken. De Nuc10 heeft weliswaar geen TPM, maar wel Intel PTT waardoor Bitlocker ook zou moeten werken. Als ik het goed heb, hoef ik bij deze optie niet eerst de drives leeg te maken, klopt dat? En hoef ik me ook geen zorgen te maken over Trim en wear-leveling. Klopt dat ook?

- Veracrypt. Ik ben al redelijk bekend met Veracrypt, omdat ik hiermee al een paar externe (gewone spinning) harde schijven heb versleuteld. Echter als ik deze pagina’s van de documentatie van Veracrypt bekijk: https://www.veracrypt.fr/en/Trim%20Operation.html en https://www.veracrypt.fr/en/Wear-Leveling.html levert gebruik van Veracrypt problemen op met Trim en/of wear-leveling. Bovendien kan ik sowieso al niet meer voldoen aan het advies om te versleutelen als de schijven nog ongebruikt zijn. Ik weet overigens niet of dat ook voor Bitlocker een probleem is.

Hebben jullie een advies? Zie ik iets over het hoofd (vast wel)?

Beste antwoord (via kadoendra op 08-04-2021 09:24)


  • DataGhost
  • Registratie: augustus 2003
  • Laatst online: 01:34

DataGhost

iPL dev

Brahiewahiewa schreef op dinsdag 23 maart 2021 @ 06:05:
[...]

Waarom wil je de volledige disks versleutelen? Wat denk je daarmee te bereiken?
Persoonlijk zie ik weinig toegevoegde waarde in het versleutelen van je windows directory of je program files folder. Daarmee maak je een brute force attack alleen maar makkelijker
Brahiewahiewa schreef op zaterdag 27 maart 2021 @ 16:48:
[...]

Een ge-encrypte disk inclusief de windows systeem bestanden is makkelijker te brute forcen dan een ge-encrypte disk zonder die windows systeem bestanden. Want je geeft minimaal 20GB aan bekende informatie weg.
Naast dat er nog steeds behoorlijk veel variaties mogelijk zijn in de plaatsing en versies van "windows systeem bestanden" (door het wel of niet doen van bepaalde updates, staat van fragmentatie e.d.), is er nog geen noemenswaardig snelle known-plaintext aanval bekend op AES-XTS, wat Bitlocker en Veracrypt standaard gebruiken. Daar ga je niks makkelijker mee maken.
DJMaze schreef op zaterdag 27 maart 2021 @ 15:25:
[...]

OS en programma's encrypten is zinloos. Het maakt het niet veiliger, alleen trager.
Een beetje moderne CPU doet voor een instapmodel al in de orde van 30 GB/s AES, dus de snelheid van je SSD valt daarbij in het niet. Dat is dus niet iets wat je in de praktijk gaat merken. Nou heeft zo'n NUC wel een ultra-zuinige niet-desktop-CPU, maar bijv. de 10710U doet alsnog 7 GB/s AES. Zeker als de encryptie in de SSD gedaan wordt zal je er niks van merken, reken maar dat de controller daarin sneller is dan de opslag. In de praktijk komt het grote snelheidsvoordeel van een SSD niet zozeer uit de rauwe maximale snelheid, maar uit de random access time, en zit daar ook de voornaamste bottleneck. In normale workloads zal je eerder tegen 10% van de maximale doorvoorsnelheid van de SSD aan zitten dus dan heb je het over minder dan 500 MB/s, of ongeveer 1 GB/s als je echt een benchmark draait. Royaal binnen de specs van de CPU.
Als je een aparte opslag hebt voor je profiel dan kan je die gewoon encrypten.

Oftewel een extra SSD/partitie/nas/roaming volstaat, en dan tegen windows zeggen dat de profielen op d: of nas staan.

Zo is /home bij mij onder Linux een aparte schijf en die wordt gebackupped.
Dan kan ik gewoon OS herinstalleren en klaar.
In een ideale wereld is dat inderdaad de enige plek waar data wordt opgeslagen. In de praktijk kan er behoorlijk makkelijk informatie daarbuiten lekken, al dan niet door expliciet toedoen van de gebruiker. Hierbij kan je denken aan documenten die toch in een mapje op C:\ gezet worden of bijvoorbeeld iets simpels als je wifi-wachtwoord (omdat die, ook onder Linux, vaak om verschillende redenen user-onafhankelijk is en dus lekker in bijv. /etc terecht komt), maar zeker ook aan MEMORY.DMP files van een BSOD, je pagefile en de hibernation file, waarin delen of je hele geheugen in plaintext in terecht komen, en die vervolgens na overschrijven nog steeds op je SSD kunnen staan vanwege wear leveling. Met FDE hoef je daar überhaupt niet over na te denken. Als je je backups gewoon maakt is een herinstallatie ook niet meer werk dan herinstalleren en data terugzetten. Als je toch OS en data scheidt over verschillende schijven of partities, staat niks in de weg om ze beide te versleutelen, dat zou ik alsnog aanraden. En in de praktijk gaat een /home "behouden" onder Linux net iets makkelijker dan het analoog onder Windows (SIDs e.d.), dus daar ben je hoe dan ook even mee bezig.
kadoendra schreef op zaterdag 27 maart 2021 @ 14:10:
[...]

Thanks. En mijn zorgen over Trim en wear-leveling? Is dat geen probleem met Bitlocker?
Het OS stuurt gewoon TRIM-commando's naar een medium dat het ondersteunt. De Bitlocker-laag verwerkt deze gewoon en zal die op de juiste wijze doorsturen naar het onderliggende medium. Volgens de documentatie van Veracrypt kom ik tot de conclusie dat dat hier ook het geval is, er staat alleen een verhaaltje bij dat je plausible deniability dan in het gedrang komt maar dat is voor de meeste mensen geen use-case dus kan het lekker aan blijven staan.
kadoendra schreef op zaterdag 27 maart 2021 @ 17:17:
[...]


Ik snap het. Gelet hierop zou ik dan eigenlijk alleen de ssd met data hoeven te encrypten. En ervoor zorgen dat op de ssd met Windows geen gevoelige persoonlijke info komt te staan. Moet ik er dan eigenlijk ook niet voor zorgen dat alle temp-data (bij surfen, foto’s/video bewerken) ook naar de data-ssd geschreven wordt? Dat is misschien nog best een bewerkelijk klusje.
Ja, hierboven al uitgelegd. Ik zou persoonlijk gewoon het hele ding encrypten, dat doe ik met mijn desktop ook. Alle disks versleuteld met Bitlocker en TPM en dat loopt als een trein. Ik merk er niks van dat het versleuteld is, behalve als ik een BIOS-update doe, dan begint mijn TPM te steigeren (zoals het hoort) en moet ik de recovery-code invoeren.
Als het goed is kan je de boel ook redelijk makkelijk weer decrypten, mocht het qua performance toch tegenvallen (wat ik niet verwacht). Houd er in ieder geval wel rekening mee dat je dit natuurlijk pas moet beoordelen als de hele encryptie gedaan is, omdat anders de schijf nog op volle kracht gebruikt wordt.

[Voor 5% gewijzigd door DataGhost op 07-04-2021 01:52]

Alle reacties

Pagina: 1


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True