Follow along with the video below to see how to install our site as a web app on your home screen.
Anmerkung: This feature may not be available in some browsers.
Ja.Bist Du Dir da sicher?
Die Aussage stammte zwar nicht von mir, ist aber auch korrekt. Dass Lenovo da dann irgendeinen "Müll" baut, ist eine andere Geschichte... Grundsätzlich braucht man für Class0 nichts weiter außer der HDD/SSD selbst. Ob UEFI oder normales BIOS, ob TPM oder nicht, das ist alles egal. Das ATA-Passwort (im Internet meist SATA-, HDD- oder SSD-Passwort genannt) steckt einfach nur im ATA-Standard (ATA Security Feature Set) aus den 90er Jahren, in dem es wiederum aber nur als optional gekennzeichnet ist. Um die Implementierung kümmert sich dann jeder Hersteller von HDD/SSD und dem Gegenstück im BIOS selbst. Und das ATA-Passwort allein ist noch keine Verschlüsselung.Nichts für ungut, aber Deine Aussage dass man für eine FDE auch keine UEFI Installation benötigt ist zumindest beim T430 falsch. Steht so sogar als Voraussetzung im BIOS.
Dann darfst du dich nun schwer wundernWürde mich schon schwer wundern wenn die Hardwareverschlüsselung "einfach so" ohne TPM läuft...
Hmm gute Frage, was Lenovo als Security Chip bezeichnet. Könnte das TPM-Modul sein, könnte aber auch der Chip sein, den Lenovo meist zum Speichern der Passwörter verbaut. Schätze eher letzteres. Aber da glänze dann auch ich nur mit HalbwissenOk, aber ist der "Security Chip" im UEFI / BIOS nun ein Teil des TPM oder hat der damit garnichts zu tun?
Aber Bitlocker kann man trauen? Das hast du überprüft? Ach, stimmt, du nutzt ja Truecrypt. Noch besser - da OpenSource hast du dir bestimmt den ganzen Quellcode angeschaut und es überprüft. Die Entwickler sind ja von ihrer Software ebenfalls so überzeugt. Gut, nach aktuellem Stand spricht noch nichts direkt gegen Truecrypt. Aber auch nichts gegen FDE.Diese Festplatten Verschlüsselungen sind Bockmist.
Da man die verwendeten Implementierungen nicht überprüfen kann, kann man ihnen nicht trauen.
Ich empfehle dir, das mal mit Benchmarks zu überprüfen. Ja, die AES-NI Befehle sind verdammt flott und schaffen je nach CPU durchaus über 2GB/s und noch weit mehr. Trotzdem müssen plötzlich Daten durch die CPU und deren Kerne, die normalerweise dank DMA den Umweg gar nicht gegangen wären. Das kostet Zeit - und wenn sowas länger dauert, sinken die IOs pro Sekunde (IOPS) und auch die gesamte Datenrate. Außerdem muss die CPU für Datentransfers dann immer aktiv sein und rechnen - wo sie sonst schlafen würde. Das kostet Strom aus dem Akku und sorgt für mehr Hitze. Und wenn die CPU gerade AES-NI-Befehle ausführt, kann sie in der Zeit auch eventuell weniger andere Befehle ausführen - das kostet also auch Leistung.Wer einen i5 oder besser hat hat automatisch AES Befehlssätze in der CPU integriert und hat damit keinen Performance Verlust mehr.
Ich habe Truecrypt auf einem W520 laufen gehabt. Core i7 mit AES-NI und über 2GB/s bei AES. Trotzdem brach der Score der SSD in Benchmarks um etwa 85% ein. Die Ergebnisse habe ich hier im Forum auch mal gepostet. Ich hab damals an Fehlkonfiguration oder ähnliches gedacht, musste dann aber rausfinden, dass sich meine Ergebnisse mit dem anderer Leute im Netz ziemlich exakt deckten.Du wirst also keinen Unterschied merken in der Performance
Naja, sie ist Quelloffen, ja. Aber das sagt nichts aus... Das ist z.B. OpenSSL auch... Oder spielst du auf AES an? Die meisten SEDs, also meist SSDs mit FDE nutzen ebenfalls AES.die Implementierung ist offen und bekannt.
Richtig. Man muss dann nur noch aufpassen, dass man UEFI-Boot abschaltet, das CSM aktiviert, Secure Boot abgeschaltet hat und dann im Legacy-BIOS-Mode start. Dann noch die Festplatte mit MBR versehen und keinesfalls GPT verwenden. Blöd natürlich, wenn man HDDs über 2TB hat - dann muss man zwingend Windows auf einer max. 2TB großen Partition installieren, da mit MBR und im BIOS-Mode sonst oft kein Boot möglich ist. Dann noch aufpassen, dass man beispielsweise beim Installieren eines zweiten Betriebssystems den Bootloader nicht überschreibt - wobei, ein Linux beispielsweise kann man auf der gleichen HDD ja eh nur schwer installieren, da das sonst mit dem Truecrypt-Bootloader nicht mehr passt. Dann muss man den Linux-Bootloader in den MBR und den Truecrypt-Bootloader stattdessen in die Partition statt in den MBR schreiben.Nebenbei fällt der ganze Stress wegen den Bios Einstellungen und den damit verbundenen Problemen weg.
Das hört sich für mich eher nach Hardwareschutz durch Softwareschutz anfalls es wirklich mal geklaut werden sollte wenigstens die Gewissheit haben dass der Dieb das Teil nicht benutzen kann. Ich muss hier keine Staatsgeheimnisse behüten.
Zitat von Florian_Rieß
Diese Festplatten Verschlüsselungen sind Bockmist.
Da man die verwendeten Implementierungen nicht überprüfen kann, kann man ihnen nicht trauen.
Aber Bitlocker kann man trauen? Das hast du überprüft? Ach, stimmt, du nutzt ja Truecrypt. Noch besser - da OpenSource hast du dir bestimmt den ganzen Quellcode angeschaut und es überprüft. Die Entwickler sind ja von ihrer Software ebenfalls so überzeugt. Gut, nach aktuellem Stand spricht noch nichts direkt gegen Truecrypt. Aber auch nichts gegen FDE.
Zitat von Florian_Rieß
Wer einen i5 oder besser hat hat automatisch AES Befehlssätze in der CPU integriert und hat damit keinen Performance Verlust mehr.
Ich empfehle dir, das mal mit Benchmarks zu überprüfen. Ja, die AES-NI Befehle sind verdammt flott und schaffen je nach CPU durchaus über 2GB/s und noch weit mehr. Trotzdem müssen plötzlich Daten durch die CPU und deren Kerne, die normalerweise dank DMA den Umweg gar nicht gegangen wären. Das kostet Zeit - und wenn sowas länger dauert, sinken die IOs pro Sekunde (IOPS) und auch die gesamte Datenrate. Außerdem muss die CPU für Datentransfers dann immer aktiv sein und rechnen - wo sie sonst schlafen würde. Das kostet Strom aus dem Akku und sorgt für mehr Hitze. Und wenn die CPU gerade AES-NI-Befehle ausführt, kann sie in der Zeit auch eventuell weniger andere Befehle ausführen - das kostet also auch Leistung.
Es sind ja separate Befehlsregister.Und wenn die CPU gerade AES-NI-Befehle ausführt, kann sie in der Zeit auch eventuell weniger andere Befehle ausführen - das kostet also auch Leistung
Zitat von Florian_Rieß
Du wirst also keinen Unterschied merken in der Performance
Ich habe Truecrypt auf einem W520 laufen gehabt. Core i7 mit AES-NI und über 2GB/s bei AES. Trotzdem brach der Score der SSD in Benchmarks um etwa 85% ein. Die Ergebnisse habe ich hier im Forum auch mal gepostet. Ich hab damals an Fehlkonfiguration oder ähnliches gedacht, musste dann aber rausfinden, dass sich meine Ergebnisse mit dem anderer Leute im Netz ziemlich exakt deckten.
Das war zwar immer noch um Welten schneller als mit einer HDD. Aber es war an Akkulaufzeit, Temperaturentwicklung und bei stärkeren Belastungen der SSD auch deutlich in der SSD-Performance zu merken. Natürlich deutlich weniger als bei meinem T500, wo ich es auch mal aktiv hatte - aber doch alles merkbar. Habs dann nach ein paar Monaten wieder entschlüsselt und Truecrypt runtergeschmissen.
Zitat von Florian_Rieß
Nebenbei fällt der ganze Stress wegen den Bios Einstellungen und den damit verbundenen Problemen weg.
Richtig. Man muss dann nur noch aufpassen, dass man UEFI-Boot abschaltet, das CSM aktiviert, Secure Boot abgeschaltet hat und dann im Legacy-BIOS-Mode start. Dann noch die Festplatte mit MBR versehen und keinesfalls GPT verwenden. Blöd natürlich, wenn man HDDs über 2TB hat - dann muss man zwingend Windows auf einer max. 2TB großen Partition installieren, da mit MBR und im BIOS-Mode sonst oft kein Boot möglich ist. Dann noch aufpassen, dass man beispielsweise beim Installieren eines zweiten Betriebssystems den Bootloader nicht überschreibt - wobei, ein Linux beispielsweise kann man auf der gleichen HDD ja eh nur schwer installieren, da das sonst mit dem Truecrypt-Bootloader nicht mehr passt. Dann muss man den Linux-Bootloader in den MBR und den Truecrypt-Bootloader stattdessen in die Partition statt in den MBR schreiben.
Sonst muss man nichts beachten. Stimmt. Ist viel einfacher Beim ATA-Passwort muss man schließlich - korrekte Implementierung vorausgesetzt, was hier ja offenbar nicht so ganz der Fall ist - nur das Passwort setzen und das beim Start eintippen - UEFI, Secure Boot, CSM, MBR, GPT, alles egal. Das ist natürlich viel stressiger.
Nö, Quark. Das Audit läuft noch. Bisher ist nur die erste Stufe durch, in der nach groben Sicherheitslücken gesucht wurde. NOCH kann man nicht wirklich sicher sagen, ob TrueCrypt sicher ist oder nicht. Noch ist es nicht besser oder schlechter in Sachen Sicherheit als Bitlocker oder FDE.Also, für TC gab es erst zur Version 7.1a ein mehrteiliges Code Audit, bei dem keine Hintertüren gefunden wurden.
Nö... Die Von-Neumann-Architektur ist zwar Basis heutiger PCs - aber schau dir mal DMA an. Da müssen Daten explizit nicht durch die CPU. Vielleicht wirds dann klarerDie CPU ist sowieso immer aktiv wenn Du Daten verschiebst, wenn Du das nicht glaubst guck Dir mal das Von-Neumann Prinzip an, vll wirds dann klarer.
Nö. Wenn meine CPU z.B. 10% der Zeit AES berechnet, hat sie nur noch 90% für anderes Zeit. Ja, das ist nicht ganz korrekt, weil in einer heutigen CPU auch mehrere Teilkomponenten gleichzeitig arbeiten können, das ist ja auch ein Grund für Hyperthreading - um einen Kern besser auszulasten, in dem mehr Teile des Kerns ausgenutzt werden und nicht ein Teil alles blockiert. Trotzdem kann man das grob erstmal so stehen lassen.Und die merkliche Performance mit AES unterscheidet sich nicht von dem was Du ohne hättest, solange die CPU nicht dauerhaft zu 100% ausgelastet ist.
Seit wann braucht man nur für Datenbankanwendungen hohe IO-Raten? Wenn du keine hohen IO-Raten brauchst, dann nimm doch wieder eine HDD. Sequentiell ist die gar nicht mal so viel langsamer als eine SSD, nur bei den IOs bzw. bei den Latenzen ist sie halt lahm.Wofür brauchst Du denn eine möglichst hohe IO Rate? Hast Du ne SQL Datenbank die den ganzen Tag unter Feuer steht?
Trotzdem kann ein Kern erstmal nur einen Befehl zur Zeit abarbeiten. Egal, ob der dann mit der ALU oder mit einer separaten Einheit bearbeitet wird. In dem Taktzyklus (bzw. in den Taktzyklen, wenn der Befehl länger als einen Takt dauert) kann die CPU nichts anderes machen. Ausnahme: Hyperthreading. Wenn ein zweiter Befehl nicht die gleiche Einheit braucht, kann der Kern so noch einen zweiten Befehl gleichzeitig abarbeiten.Es sind ja separate Befehlsregister.
Du merkst bei geringer Auslastung keinen Unterschied und hast dein Netzteil immer dabei. Ich habe bei hoher Auslastung durchaus Unterschiede gemerkt und wollte mein Netzteil eben nicht immer mitschleppen.Ich hab bei meinem T530 die Vollverschlüsselung auch aktiv und ich merke keinen Unterschied. Ich surfe und code mit dem Ding aber auch nur. Auserdem hab ich immer n Netzteil mit in der Uni.
Das kann ich so auch nicht unterschreiben. Ja, nicht alles, was in Benchmarks gemessen wird, kann man in der Realität merken. 85% Performanceeinbußen bei einer SSD kann man aber durchaus merken.Um auf das Thema mit den Benchmarks zu sprechen zu kommen, das sind synthetische Werte, die nicht viel mit der realen Performance zu tun haben.
Wie gesagt, die Latenzen steigen. Und Latenzen hängen direkt mit den IOPS zusammen, die wiederum auch ausschlaggebend auf die Performance sind.Die SSD Performance sinkt erst dann wenn die CPU ausgelastet ist und nicht mehr mit dem rechnen hinterher kommt.
Nö. z.B. kann man trotzdem GPT nutzen - muss für Truecrypt aber MBR nehmen. Und hat dann z.B. die besagte 2GB Grenze.Sobald Du den Lagacy boot aktiviert hast ist der Rest den Du oben aufzählst eine logische Konsequenz, das stellt also nicht einmal Probleme.
Oh, das wusste ich noch gar nicht. Dann empfehle ich dir aber als erstens nochmal die Problemstellung anzuschauen (Windows 8.1 + Verschlüsselung war hier gefordert) und dann zweitens den TrueCrypt-Tipp nochmal zu überdenkenMan könnte jetzt aufführen das Windows 8 und 8.1 nicht mit Truecrypt funktionieren.
Das war auch eine allgemeingültige Info. Denn in 3,5" gibt es durchaus Platten über 2TB, bei denen man dann o.g. Probleme beachten muss. Außerdem gibt es auch Thinkpads mit RAID0 aus 2 HDDs. Damit kann man dann auch auf 4TB kommen.Mir ist keine 2,5" Platte bekannt die mehr als 2TB fässt zum aktuellen Zeitpunkt.
Jup, das ist mir bekannt. Zu sagen, dass man hier nichts beachten muss bzw. keine Probleme bekommt, passt dann aber nicht so ganz...Wenn Du gerne ein Linux Windows vollverschlüsseltes System betreiben willst guck Dir LVM oder DM order benutze doch diese Anleitung mit TrueCrypt: http://wiki.ubuntuusers.de/Dualboot_verschlüsseln
Das ist leider eine sehr weit verbreitete Aussage - und sie ist leider nicht korrekt... Es wird immer wieder behauptet, quelloffene Crypto-Software sei sicherer als nicht-open-source-Software. Nach Vorfällen wie Heartbleed sollte klar sein, dass die Aussage so pauschal absolut nicht haltbar ist. Wo du mir ja auch die c't empfiehlst: Schau dir mal c't 16/2014 an, Seite 80 der Kasten unten links. Da steht genau das auch nochmal drin.Aber wem es um die Sicherheit seiner Daten geht sollte halt ein offenes System dafür verwenden.
Ach ja? Ich habe eher umgekehrt das Gefühl.du wirfst hier mit Halbwahrheiten und Scheinwissen um dich das es nur so scheppert...
Schade eigentlich Ich hätte gerne dazugelernt!Zum Glück habe ich nicht die Zeit oder die Lust dich jetzt jedes mal eines besseren zu belehren.
Bei Bitlocker weiß man das auch nicht. Bei Sophos Safeguard auch nicht, ebenso bei anderen solcher Lösungen. Bei Truecrypt auch nur zum Teil.Fakt ist und bleibt, wer diese fertig HDD Verschlüsselungen verwendet weiß NICHTS über die Implementierung, die gebotene Sicherheit oder wer sonst noch keys zu den "verschlüsselten" Daten hat.