[gelöst] TrueCrypt zu lahm. Welche Alternativen gibt es?

T

T42p

New member
Themenstarter
Registriert
7 Sep. 2004
Beiträge
9.522
Moin!

Ich nutze momentan TrueCrypt um meine gesamte C-Partition zu verschlüsseln, damit im Falles eines Diebstahls keine persönlichen Daten abhanden kommen.

Nun ist die Performance doch recht mäßig auf meinem 1,6 Ghz Core2Duo, bzw. ich merke eine deutliche Verlangsamung vor allem beim Lesen/Schreiben vieler kleiner Dateien.

1.) Liegt das an der langsamen CPU oder ist das ein generelles Problem von TrueCrypt? Ich habe gelesen dass bei Verschlüsselung der gesamten Platte die Performance kaum beeinträchtigt werden soll.

2.) Ich update in den nächsten Wochen auf ein x201t mit Core i7 620LM, wer hat Erfahrungswerte mit TrueCrypt und einer ähnlich performanten CPU?

3.) Welche Alternativen gibt es die gesamte Platte zu verschlüsseln (Hardware/Software)? Ist BitLocker schneller?

4.) Wie sicher ist das Festplattenpasswort, das man im BIOS festlegen kann? Welche Art von Zugriffe kann es verhindern?

Ich bedanke mich für alle sachdienlichen Hinweise!
 
Das Truecrypt zu langsam ist kann bei der CPU eigentlich nicht sein. Ich habe einen Core 2 Duo mit 1.86Ghz und kriege im Truecrypt Benchmark (den du auch mal machen solltest) bei AES 135MB/s. Das ist schneller als jede Festplatte.
Grade ein Dualcore macht es doch leicht, schließlich hast du noch immer einen Core übrig, selbst wenn Truecrypt 100% des anderen auslasten sollte.
Hast du vielleicht irgendwelche Tools laufen die die CPU selbstständig hoch und runtertakten (RMClock oder so?). Ich habe bemerkt das diese Tools teilweise nicht schnell genug hochschalten (sprich es dauert einen kurzen Moment bis voller CPU Takt anliegt - das sollte man aber eigentlich auch nur im Benchmark bemerken).
Sicher das deine CPU mit vollen Takt läuft? Kannst du mit CPU-Z überprüfen.
2) Wie oben bereits gesagt, die CPU sollte nicht der Flaschenhals sein - bei einer SSD mag das wieder anders aussehen, aber deren Riesenvorteil ist ja nicht die Bandbreite (sicher, auch...) sondern die Zugriffszeit, und die wird durch TrueCrypt auch nicht signifikant erhöht.
3) Der AES Algorithmus ist eigentlich auf allen Plattformen und in jeder Software bis auf den Tod optimiert, ich kann mir nicht vorstellen das andere Software signifikant schneller ist. Alternativen wären SafeGuard Easy und DriveCrypt. Beide aber nicht Opensource.
4) ATA-Security kann von Datenrettungsfirmen ausgehebelt werden, ist also nicht sicher. Anders kann es aussehen wenn du eine Festplatte hast die FDE (Full Disk Encryption) eingebaut hat. Da müsste man sich das genaue Modell ansehen.[MSIE_newline_end ]
 
Hmm ok, der Benchmark sagt 115 MB/s. Mehr macht die SATA-Schnittstelle im x61t auch nicht mit. Ich vergaß noch zu erwähnen, dass ich eine SSD eingebaut habe.
RMclock o.ä. habe ich nicht im Hintergrund laufen. Ganz besonders auffällig sind die Geschwindigkeitseinbußen beim Entpacken großer ZIP-Files und bei Suspend-To-Disk (Ruhezustand). CPU läuft auch ungedrosselt.
 
Hm. Wie hast Du denn verschlüsselt? Ich hatte früher auf meinem T40 die komplette HDD mit C: und D: verschlüsselt und konnte im Betrieb keine Performanceeinbußen feststellen. Im Grunde wird ja nur entschlüsselt, wenn Du beim booten den PIN eingibst, während Du darauf arbeitest sollte die Verschlüsselung eigentlich nicht mehr dazwischen funken.
 
Ach so? Ich habe die Option gewählt wo noch ein kleiner Bereich auf den Laufwerk frei gelassen wird, für Partitionsinformationen oder so. Ansonsten ist das Gesamte Laufwerk (nur 1 Partition) verschlüsselt.

Hier mal der Geschwindigkeitsunterschied:

vorher (4. November 09, ca. 50% voll):
Anhang anzeigen 26430

nachher (11. März 10, ca. 80% voll):
Anhang anzeigen 26429

Natürlich sind die Einbußen auch bedingt durch den Füllgrad, aber ich habe subjektiv auch direkt nach der Verschlüsselung einen Unterschied festgestellt.
 

Anhänge

  • nachher.jpg
    nachher.jpg
    93,5 KB · Aufrufe: 27
  • vorher.jpg
    vorher.jpg
    91,1 KB · Aufrufe: 29
[quote='Raidri',index.php?page=Thread&postID=801343#post801343] Im Grunde wird ja nur entschlüsselt, wenn Du beim booten den PIN eingibst, während Du darauf arbeitest sollte die Verschlüsselung eigentlich nicht mehr dazwischen funken.[/quote]

falsch. die verschlüsselung ist IMMER aktiv. es wird ein eigener festplattentreiber installiert ( deswegen gehts auch nur mit admin rechten ) der immer zwischen OS und platte läuft. Also sind außer im RAM niemals irgendwelche unverschlüsselten Daten vorhanden. Beim Lesen wird live entschlüsselt und die daten in den ram geladen und beim schreiben wird verschlüsselt und dann geschrieben.


ontopic: ich konnte ohne cpu drosselung bisher auch keine nachteile von truecrypt finden ... für ssd nutzer fällt allerdings TRIM weg da der tc treiber das nicht kann
 
Du hast eine SSD verbaut? Kurze Frage, hat diese zufällig MLC-Speicherchips?

In meinem ThinkPad Z61p hatte ich eine OCZ Core V2 mit MLC verbaut, die zwar im Zugriff flott war, aber bei kleinen Dateien schreiben total einen Hänger hatte. Oft wechselnder Dateiinhalt waren schließlich das K.O.

Du solltest vielleicht mal eine Festplatten-Kopie auf eine HDD machen, dann damit testen und "ungefähr" vergleichen. Alternativ und sicher besser wäre eine SSD mit SLC-Speicherchips.

Ist alles aber nur eine Vermutung. ;-)
 
@seves85:
An der SSD liegt es nicht, die hat keinen Jmicro-Controller ;) Es ist zwar eine MLC aber eine flotte, auch bei kleinen Daten (siehe Benchmark). Ich hatte mal die Core V1, das war ein übles Ding.

@verdi:
TRIM kann meine SSD glaube ich sowieso nicht (was immer das sein mag), da es eine Samsung ist. In der Wikipedia steht, dass Wear Leveling evtl. nicht stattfinden kann wenn man TC benutzt und man einen Teil der Partition nicht verschlüsseln soll. Was ist davon zu halten?

EDIT:

Dieser Artikel scheint meine Befürchtungen zu bestätigen. Ich will mir meine SSD natürlich nicht kaputt schreiben. Da werde ich mich wohl mit dem ATA-Passwort begnügen müssen :(
http://www.media-addicted.de/ssd-and-truecrypt-durability-and-performance-issues/744/
 
Gut beim ZIP Files packen/entpacken ist die Geschwindigkeitseinbuße normal das kannste ned ändern.

ZIP öffnen ----> Laden großer Teile in den Ram gleichzeitig Truecrypt entschlüsseln.

ZIP entpacken ---> Cpu Last + verschlüsseln wieder Cpu Last und auf die Platte schreiben.

Merk das am Laptop auch meistens extrem. Schade aber dafür sind die Daten sicher.


Außerdem vergiß das mit dem SSD schonen. Das ist alles ausgemachter Käse den einen SSD nicht zu benutzen weil sie kaputt gehen kann ist einfach Schmarn, dann kann man sie gleich zurückgeben,
 
[quote='simlan',index.php?page=Thread&postID=801499#post801499]Außerdem vergiß das mit dem SSD schonen. Das ist alles ausgemachter Käse den einen SSD nicht zu benutzen weil sie kaputt gehen kann ist einfach Schmarn, dann kann man sie gleich zurückgeben, [/quote]

Ohne Wear Leveling ist es nur eine Frage der Zeit bis die ersten Sektoren hops gehen. Das hat mit schonen nichts zu tun, eher mit retten ;)
Nicht nur die SSD geht schneller kaputt, es besteht ja auch dann das Risiko des Datenverlustes, und das ist nicht Sinn der Sache.

Mein persönliches Fazit lautet jedenfalls momentan, dass sich SSDs bisher nicht für eine Vollverschlüsselung eignen. Das muss ja nicht jeder so sehen. Ich danke ALLEN für die Kommentare, das hat mir sehr weiter geholfen. Ich werde wohl weiterhin auf mein Notebook aufpassen müssen wie ein Luchs.
 
[quote='T42p',index.php?page=Thread&postID=801503#post801503]Ohne Wear Leveling ist es nur eine Frage der Zeit bis die ersten Sektoren hops gehen.[/quote]
Ich glaube, da missverstehst Du etwas (bzw. der Schreiber des zitierten Englischen Artikels): Wear leveling funktioniert genau so auch bei Truecrypt, führt aber zu verminderter Sicherheit. Sektoren gehen also genauso wenig kaputt wie ohne TrueCrypt.
Grund ist der, dass TrueCrypt gezielt sensitive Bereiche auf der Festplatte überschreiben möchte. Bei einer richtigen Festplatte klappt dies, bei einer SSD wird aber der Scheribvorgang wegen Wear-Leveling transparent umgeleitet. So bleibt der eigentlich zu überschreibende Sektor auf der Festplatte stehen, und dies öffnet Türen für eine Decrypt-Attacke.
Erklärt ist dies hier: http://www.truecrypt.org/docs/?s=wear-leveling

Gruss, Martin
 
[quote='T42p',index.php?page=Thread&postID=801503#post801503][quote='simlan',index.php?page=Thread&postID=801499#post801499]Außerdem vergiß das mit dem SSD schonen. Das ist alles ausgemachter Käse den einen SSD nicht zu benutzen weil sie kaputt gehen kann ist einfach Schmarn, dann kann man sie gleich zurückgeben, [/quote]

Ohne Wear Leveling ist es nur eine Frage der Zeit bis die ersten Sektoren hops gehen. Das hat mit schonen nichts zu tun, eher mit retten ;)
Nicht nur die SSD geht schneller kaputt, es besteht ja auch dann das Risiko des Datenverlustes, und das ist nicht Sinn der Sache.

Mein persönliches Fazit lautet jedenfalls momentan, dass sich SSDs bisher nicht für eine Vollverschlüsselung eignen. Das muss ja nicht jeder so sehen. Ich danke ALLEN für die Kommentare, das hat mir sehr weiter geholfen. Ich werde wohl weiterhin auf mein Notebook aufpassen müssen wie ein Luchs.[/quote]

Hast du schon mal nen Usb Stick gesehen den du zerstört hast wegen zu viel schreiben ? Außerdem hat man tote Sektoren auch bei Festplatten wegen sowas hat man nen Diskcheck etc.
 
Die CT hat schon seit über nem Jahr einen Test laufen, die lesen und schreiben kontinuierlich auf einen USB Stick, ich meine die sind schon über einer Million Schreibzugriffe und das Ding stirbt einfach nicht ;).

Meine SSD ist jetzt ein Jahr alt, hat 2400h gelaufen, ich habe noch weoitere 3Jahre Garantie, wenn die was hat wird sie eben getauscht und in 3 Jahren habe ich garantiert eine größere/schnellere SSD in meinem Laptop, für wen sollte ich also die SSD schonen?

Gruß
 
[quote='T42p',index.php?page=Thread&postID=801302#post801302]
4.) Wie sicher ist das Festplattenpasswort, das man im BIOS festlegen kann? Welche Art von Zugriffe kann es verhindern?
[/quote]

Das verheiratet lediglich Dein Notebook mit der Festplatte - die Platte ist anschl. also nur an diesem einen Gerät lesbar.

In Kombination mit einem Start-PW + BIOS-PW ein halbwegs sicherer Schutz gegen Datenausspähung+Fremdnutzung, wenn booten nur von HDD0 erlaubt wird.

.
 
[quote='tinue',index.php?page=Thread&postID=801570#post801570][quote='T42p',index.php?page=Thread&postID=801503#post801503]Ohne Wear Leveling ist es nur eine Frage der Zeit bis die ersten Sektoren hops gehen.[/quote]
Ich glaube, da missverstehst Du etwas (bzw. der Schreiber des zitierten Englischen Artikels): Wear leveling funktioniert genau so auch bei Truecrypt, führt aber zu verminderter Sicherheit. Sektoren gehen also genauso wenig kaputt wie ohne TrueCrypt.
Grund ist der, dass TrueCrypt gezielt sensitive Bereiche auf der Festplatte überschreiben möchte. Bei einer richtigen Festplatte klappt dies, bei einer SSD wird aber der Scheribvorgang wegen Wear-Leveling transparent umgeleitet. So bleibt der eigentlich zu überschreibende Sektor auf der Festplatte stehen, und dies öffnet Türen für eine Decrypt-Attacke.
Erklärt ist dies hier: http://www.truecrypt.org/docs/?s=wear-leveling

Gruss, Martin[/quote]

Das mag ein zusätzliches Problem sein, aber ich denke dieser Absatz ist ziemlich eindeutig (in Wikipedia steht es ähnlich):
Worse: this is also of concern with regard to durability of (fully) encrypted SSDs. As wear leveling mechanisms can not make use of any blocks in partitions being encrypted with TrueCrypt, the SSD controller could only use some reserved overhead space (some reserved blocks dedicated to wear leveling) which will be heavily used and therefore become corrupt quite early. To prevent that, you should leave some unpartitioned space on your SSD if you plan to fully encrypt it as the controller can use this space for wear leveling.
Zum Vergrößern anklicken....

@simlan und G. Threepwood: Da habt ihr ja Recht, nur ist der USB-Stick in der Lage Wear Leveling durchzuführen.

@u.mac: Ah sehr gut, das sollte für meine Ansprüche genügen.
 
hab jetzt seit 1 jahr ne mtron mit truecrypt fde laufen und bisher gibts keinerlei probleme ...
 
RE: RE: [gelöst] TrueCrypt zu lahm. Welche Alternativen gibt es?

Hallo![quote='u.mac',index.php?page=Thread&postID=801685#post801685][quote='T42p',index.php?page=Thread&postID=801302#post801302]
4.) Wie sicher ist das Festplattenpasswort, das man im BIOS festlegen kann? Welche Art von Zugriffe kann es verhindern?
[/quote]

Das verheiratet lediglich Dein Notebook mit der Festplatte - die Platte ist anschl. also nur an diesem einen Gerät lesbar.

In Kombination mit einem Start-PW + BIOS-PW ein halbwegs sicherer Schutz gegen Datenausspähung+Fremdnutzung, wenn booten nur von HDD0 erlaubt wird.

.[/quote]Sogar auch ohne Bios-PW: Die Platte ist nur lesbar, wenn beim Pre-Boot das Passwort eingegeben wird. Wird die Kiste geklaut und z.B. über eine Live-CD gebootet, findet das OS einfach kein Laufwerk, auf das es zugreifen könnte. Dies gilt auch, wenn die Platte ausgebaut und extern an einen anderen Rechner gehängt wird. Da man im Bios außerdem das alte PW nennen muß, um es zu löschen, hilft einem Dieb auch Bios-Zugang nichts.

Für den Normaluser ist diese Variante also in meinen Augen ein guter Kompromiß zwischen Performance und Sicherheit, wobei ich keine Erfahrung damit habe, inwieweit TC unter einem Vierkernprozessor überhaupt noch bremst. Es ist aber keine absolute Sicherheit, denn die Platten selber respektive die Chips der SSD lassen sich zumindest in einem Forensiklabor auslesen. Bei den Chips ist das möglicherweise sogar für lötbegabte Techniker möglich, aber da bin ich nicht im Bilde.
Wenn man aber WIRKLICH sensible Daten in einen TC-Container packt, ist auch das gegessen.

Gruß

Quichote
 
[quote='verdi',index.php?page=Thread&postID=801766#post801766]hab jetzt seit 1 jahr ne mtron mit truecrypt fde laufen und bisher gibts keinerlei probleme ...[/quote]

Die verträgt auch 10x mehr Schreibzyklen ;)
 
[quote='T42p',index.php?page=Thread&postID=801730#post801730]Das mag ein zusätzliches Problem sein, aber ich denke dieser Absatz ist ziemlich eindeutig[/quote]Eindeutig schon, aber meines Erachtens teilweise falsch (obwohl ich mich sicher weit zum Fenster hinauslehne, wenn ich der Wikipedia widerspreche :P ).



Wear Leveling funktioniert ja letztlich so, dass es sich merkt, wie häufig ein Block bereits beschrieben wurde. Dazu muss Wear Leveling auch noch wissen, welche Blocks leer sind.

Zu Beginn sind alls Blocks leer. Nach dem ersten Schreiben ist ein Block voll. Wenn ein Block überschrieben werden soll, leitet Wear Leveling den Schreibvorgang auf den bisher am wenigsten genutzten leeren Block um und merkt sich, dass der ursprüngliche nun wieder leer ist.



Das Problem mit "full disk encryption" ist nun vermutlich, dass zu Beginn einmal die ganze Platte mit Zufallszahlen beschrieben wird. Die Platte ist jetzt also für den Wear Leveling Mechanismus komplett gefüllt und es hat keine leeren Blöcke, in die umgeleitet werden kann (ausser die oft zitierten 10% Reserveblöcke). Dies ist in etwa, was im oben zitierten Englischen Artikel vermutet wird.



Das Problem könnte sehr einfach gelöst werden, indem nach diesem initialen Füllen mit Zufallszahlen mittels ATA TRIM Befehl die Sektoren wieder freigegeben werden. Zumindest der Microsoft Bitlocker macht dies auch tatsächlich (Quelle: http://blogs.msdn.com/e7/archive/2009/05/05/support-and-q-a-for-solid-state-drives-and.aspx), spezifisch "When Bitlocker is first configured on a partition, the entire partition is read, encrypted and written back out. As this is done, the NTFS file system will issue Trim commands to help the SSD optimize its behavior."



Wikipedia hat aber vermutlich immer dann recht, wenn irgendwo in der Kette etwas nicht so funktioniert wie es sollte. Beispielsweise könnte es auf meinen eigenen System tatsächlich sein, dass Wear Leveling praktisch nicht funktioniert: Die SSD des T400s kann angeblich kein TRIM, wodurch nach dem Einrichten von Bitlocker meine ganze SSD nun "gefüllt" ist.



Leider weiss ich auch nicht, ob TRIM Befehle nach dem Verschlüsseln auch bei TrueCrypt abgesetzt werden. Ich vermute mal "ja", da dies eine Funktion des NTFS-Treibers zu sein scheint.



Gruss, Martin
 
[quote='tinue',index.php?page=Thread&postID=801856#post801856]Leider weiss ich auch nicht, ob TRIM Befehle nach dem Verschlüsseln auch bei TrueCrypt abgesetzt werden. Ich vermute mal "ja", da dies eine Funktion des NTFS-Treibers zu sein scheint.[/quote]
Eben deswegen wird es wohl nicht so sein: Der NTFS-Treiber weiss ja nicht, daß für TrueCrypt der Container noch leer ist.
Der Treiber sieht nur, daß der Bereich komplett mit Daten gefüllt wurde.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben