1. Forum
  2. Usenet
  3. LINUX.DEBIAN.USER.GERMAN

  • LUKS versus SSD-interner =?UTF-8?B?VmVyc2NobMO8c3NlbHVuZw==?= (war: Re:

    From Martin Steigerwald@21:1/5 to All on Fri Aug 11 00:10:01 2023
    Ulf Volmer - 10.08.23, 23:51:09 CEST:
    Am Thu, Aug 10, 2023 at 07:56:25PM +0200 schrieb Matthias B�ttcher:
    Frage in die Runde: Hat sich jemand mit SSDs, die interne Hardwareverschl�sselung bieten, besch�ftigt?
    Wenn ja, welche Erfahrungen habt ihr damit gemacht?

    Wenn ich die Beschreibung richtig verstehe, erreicht man dadurch
    eine Vollverschl�sselung der "Festplatte" und z.B. LUKS wird dadurch �berfl�ssig?

    In der Therorie w�re das ein Ersatz f�r LUKS.
    Ist aber halt ein Blob, in den man nicht hineinsehen kann.

    Das aktuelle CPUs �blicherweise AES in Hardware machen, f�llt mir auch ehrlich kein Argumant gegen LUKS mehr ein.

    Nat�rlich vertraust Du da auch wieder einen Blob, diesmal vom CPU-
    Hersteller.

    Aber ja, von der Performance: Bei einigerma�en aktueller Hardware spielt
    das keine Rolle mehr. Der AMD Ryzen 4750U hier z.B., der hat 8 Kerne.
    Selbst wenn der einen kompletten Kern f�r die LUKS-Verschl�sselung
    br�uchte, vielleicht etwa beim Schreiben von 2 GB/s auf eine NVME SSD,
    w�re mir das egal.

    Allerdings ist mir nicht klar, inwiefern SSDs mit Verschl�sselungs-
    funktion nicht dennoch zus�tzlich auch verschl�sseln. Ich dachte das
    l�uft so: Die verschl�sseln *immer*. Und bei einem ATA Secure Discard
    macht die SSD den bisherigen Schl�ssel platt und damit alle damit geschriebenen Daten unzug�nglich. Und generiert dann einen neuen
    Schl�ssel. Deswegen geht das ja auch so schnell. Dauert in der Regel ja
    nur ein paar Sekunden. Wenn die sich selbst komplett �berschreiben
    w�rde, das w�rde ja auch bei einer SSD viel l�nger dauern.

    Daher mache ich so einen ATA Secure Discard in der Regel auch, bevor ich
    eine SSD in Betrieb nehme. In der Hoffnung, dass die SSD dann einen
    Schl�ssel, der dem Hersteller bekannt sein k�nnte, austauscht. Bei einer internen SSD ist das so eine Sache, da die Firmware das in der Regel
    sperrt. Zuletzt habe ich da dann doch der Wipe-Funktion in der Lenovo- Laptop-Firmware vertraut. Ein anderer Weg ist, ein externes Geh�use zu
    nehmen. Mit eSATA ging das immer sch�n, aber auch bei USB-Geh�usen gibt
    es dazu mittlerweile vielleicht einen Weg, diesen ATA-Befehl an die SSD
    durch zu lassen. Also ich denke, das sollte mittlerweile mit guten USB- Geh�usen gehen.

    --
    Martin

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From =?UTF-8?Q?Matthias_B=C3=B6ttcher?=@21:1/5 to All on Sat Aug 12 19:50:01 2023
    Am Fr., 11. Aug. 2023 um 00:05 Uhr schrieb Martin Steigerwald <[email protected]>:

    Ulf Volmer - 10.08.23, 23:51:09 CEST:
    Am Thu, Aug 10, 2023 at 07:56:25PM +0200 schrieb Matthias Böttcher:
    Frage in die Runde: Hat sich jemand mit SSDs, die interne Hardwareverschlüsselung bieten, beschäftigt?
    Wenn ja, welche Erfahrungen habt ihr damit gemacht?

    Wenn ich die Beschreibung richtig verstehe, erreicht man dadurch
    eine Vollverschlüsselung der "Festplatte" und z.B. LUKS wird dadurch überflüssig?

    In der Therorie wäre das ein Ersatz für LUKS.
    Ist aber halt ein Blob, in den man nicht hineinsehen kann.

    Das aktuelle CPUs üblicherweise AES in Hardware machen, fällt mir auch ehrlich kein Argumant gegen LUKS mehr ein.

    Natürlich vertraust Du da auch wieder einen Blob, diesmal vom CPU- Hersteller.

    [...]

    Vielen Dank für eure Antworten.

    Hat jemand Erfahrungen (weitere) aus der Praxis mit SSDs, die interne Hardwareverschlüsselung bieten, oder mit dem ATA Security Feature Set?

    Setzt ihr ein Master-Passwort und ein User-Passwort für eure SSDs?
    Falls nicht, setzt ihr nach dem Neustart die SSD in den Status
    "frozen", damit die Passwörter nicht von euch ungewollt gesetzt werden können?

    Gruß
    Matthias

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)