Re: TRIM für verschlüsselte SSD
Jens Liebmann <zwiebelleder-portemonnaie@t-online.de> wrote:
> meine neuen Laptops sind mit SSD (Intel 660p Series) geordert. Ich
> möchte diese, wie schon vorher mit den HDD praktiziert, voll
> verschlüsseln.
> Allerdings bin ich mir nicht im klaren, wie man in diesem Fall den TRIM
> für die SSD nutzen kann, bzw. soll.
> Was ich mir zusammen gesucht habe reicht u.a. von
> - braucht man nicht, weil das heute die Firmware macht
Wie soll die Firmware von selbst erkennen, welche Blöcke keine
relevanten Daten mehr beinhalten?
> - kann man nicht machen, wenn ein LVM auf die SSD gelegt wird
Stimmt nicht.
> - SSD soll man unter Linux nicht verschlüsselt nutzen
Blödsinn.
> - LVM und Linux macht SSD kaputt (als extremste Meinung eines sog.
> Praktikers)
Dito.
TRIM + LUKS öffnet ein theoretisches Angriffsszenario, weil ein externer
Betrachter dadurch genau wissen kann, welche Blöcke (verschlüsselte)
Daten beinhalten und welche nicht.
Im Extrem-Paranioa-Modus will man einen Datenträger inklusiver aller
Leer-Sektoren verschlüsseln, so dass von außen nicht sichtbar ist, wo
interessante Dinge sind.
Dies geht aber bei einer SSD gegen die Art und Weise, wie man mit dieser
schonend umgeht: Man teil der Firmware mittels TRIM mit, welche Bereiche
diese recyclen kann.
Ich würde bei aktueller Hardware das Problem dadurch umgehen, in dem ich
die Verschlüsselung der SSD selbst aktiviere und *dann* darüber ein
LVM+LUKS lege, mit aktiviertem TRIM natürlich.
Das dürfte der beste Kompromiss zwischen Lebensdauer und
Angriffssicherheit sein.
S!
--
Sigmentation fault. Core dumped.
Reply to: