PaulSimon
Anmeldungsdatum: 25. Juli 2009
Beiträge: 108
|
Hallo, ich plane auf meiner neuen Samsung SSd 840 evo (500GB) Ubuntu 14.04 neu zu installieren. Folgende Partitionierung stelle ich mir vor: Ubuntu 25GB /
Swap Ubuntu 17 GB /swap
Andere Linuxdistribution 30 GB /
Swap anderes Linux 17 GB /swap
Home (Zugriff von beiden Linuxdistributionen) 360 GB /home
Leer 50 GB Ich möchte neben Ubuntu noch Platz für eine weitere Distri haben. Von beiden Distributionen möchte ich aber auf die Homepartition zugreifen können. Jetzt die Frage: Wie verschlüsselt man am besten oder ist es vielleicht bei einer SSD eher für die Platte schädlich, wenn verschlüsselt wird? Ich schwanke noch zwischen den Alternativen: 1. Einzelne Ordner auf der Homepartition z.B. mit encfs zu verschlüsseln. 2. Die Homepartition als Ganzes z.B. mit dm_crypt/LUKS zu verschlüsseln. 3. Das gesamte System bzw. die gesamte SSD zu verschlüsseln (LVM). Wie sind die einzelnen Punkte hinsichtlich Performance, Haltbarkeit, Trim ... bei der neuen SSD zu beurteilen? Danke vorab.
|
tomtomtom
Supporter
Anmeldungsdatum: 22. August 2008
Beiträge: 53484
Wohnort: Berlin
|
Für die SSD ist das herzlich egal, die Frage ist eher, was für eine CPU du nutzt. Von deutlich spürbaren Performanceeinbußen bis keinerlei merkbaren ist da alles drin.
|
PaulSimon
(Themenstarter)
Anmeldungsdatum: 25. Juli 2009
Beiträge: 108
|
Ok, folgende CPU ist in meinem Thinkpad T420s verbaut: Intel(R) Core(TM) i5-2520M CPU @ 2.50GHz Und für die SSD-Performance / -Haltbarkeit / Trim-Funktion ist Verschlüsselung nicht von Bedeutung?
|
tomtomtom
Supporter
Anmeldungsdatum: 22. August 2008
Beiträge: 53484
Wohnort: Berlin
|
PaulSimon schrieb: Intel(R) Core(TM) i5-2520M CPU @ 2.50GHz
Diese CPU unterstützt AES-NI, du wirst also keinerlei spürbare Verzögerung haben.
|
PaulSimon
(Themenstarter)
Anmeldungsdatum: 25. Juli 2009
Beiträge: 108
|
Danke für die schnelle Antwort. Und wie ist das mit TRIM? Funktioniert TRIM auch bei LVM (negative Auswirkungen auf die SSD)?
|
tomtomtom
Supporter
Anmeldungsdatum: 22. August 2008
Beiträge: 53484
Wohnort: Berlin
|
PaulSimon schrieb: Und wie ist das mit TRIM? Funktioniert TRIM auch bei LVM (negative Auswirkungen auf die SSD)?
TRIM arbeitet auf dem Dateisystem, nicht auf der Partitionierung. Diese ist also herzlich egal.
|
PaulSimon
(Themenstarter)
Anmeldungsdatum: 25. Juli 2009
Beiträge: 108
|
Ok, vielen Dank. Ich hatte immer den folgenden Beitrag im Hinterkopf, der mich etwas verunsicherte: | http://wiki.ubuntuusers.de/SSD/Verschl%C3%BCsselung
|
Und wenn ich die SSD bis auf einen freien Bereich von 50GB mittels Komplettverschlüsselung sichere, dann ist es möglich, dass ich über Ubuntu 14.04 und einer anderen Linux-Distribution auf die Homepartition zugreifen kann?
|
V_for_Vortex
Anmeldungsdatum: 1. Februar 2007
Beiträge: 12085
Wohnort: Berlin
|
Verschlüsselung von SSDs ist theoretisch unsicherer, weil man durch das Wear Levelling des SSD-Controllers keinen direkten Zugriff auf bestimmte Speicherzellen bekommt. Um TRIM verwenden zu können, sollte man zudem die SSD nicht wie bei herkömmlichen Festplatten (HDD) zuvor mit Zufallszahlen überschreiben, was wiederum die Sicherheit durch Erkennbarkeit beschriebener Bereiche mindert (siehe die FAQ zu cryptsetup🇬🇧, Punkt 5.19). Das sollte Dich aber nicht vom Verschlüsseln mit TRIM abhalten, da die Angriffsszenarien doch recht theoretisch sind – und man Dir bei wirklicher Überwachung eh eher Hausbesuche abstatten wird. 😈 Praktisch muss in der /etc/crypttab die Option discard eingetragen werden, damit LUKS TRIM anwenden kann. Bis 13.10 ist außerdem die Option discard auch in der /etc/fstab einzutragen, ab 14.04 nur noch für die von dessen automatischem TRIM nicht unterstützten SSD-Hersteller (Samsung wird unterstützt). PaulSimon schrieb: Und wenn ich die SSD bis auf einen freien Bereich von 50GB mittels Komplettverschlüsselung sichere, dann ist es möglich, dass ich über Ubuntu 14.04 und einer anderen Linux-Distribution auf die Homepartition zugreifen kann?
Mit „Sichern“ meinst Du das Verschlüsseln selbst, oder die SSD (z.B. per blockweisem Image) irgendwohin zu sichern? Alle LUKS/cryptsetup in einer halbwegs aktuellen Version besitzenden Linuxe sollten eine so verschlüsselte Partition oder ein verschlüsseltes LVM öffnen können. In der Regel wirst Du beim Öffnen oder Anstecken des Mediums automatisch nach dem Passwort gefragt.
|
Frank62
Anmeldungsdatum: 8. Dezember 2008
Beiträge: 2105
Wohnort: Borken
|
Verschlüsselung - ja oder nein Die Frage ist ganz einfach mit Nein beantwortet. Schaue dir die Betraege im Forum von den User an, die dann nicht mehr an ihre Daten kommen, wenn Ubuntu rumeiert und Probleme macht. Das Forum ist rappelvoll mit Notrufe aus dieser Richtung. Sensible Daten kommen auf USB Stick und dann meinetwegen noch in den Schrank und gut ist.
|
V_for_Vortex
Anmeldungsdatum: 1. Februar 2007
Beiträge: 12085
Wohnort: Berlin
|
Das ist kein Argument. Leute ohne Probleme schreiben das nur nicht ständig in Foren. Für ernstzunehmende Kritik musst Du schon konkrete Schwächen der Technik nennen, anstatt „manche Leute haben Probleme damit“. Es gibt übrigens auch eine Menge Problemthreads über Datenverlust auf USB-Sticks. Davon abgesehen sind Daten, von denen kein Backup existiert, per Definition nicht wichtig.
|
unbuntuS12
Anmeldungsdatum: 2. Juni 2010
Beiträge: 1816
|
Um mal ähnlich pauschal zu antworten: Ja. Ich lege generell keine unverschlüsselten Daten ab. Ausnahme ist der mp3-USB-Stick fürs Autoradio und die /boot-Partition und das war's.
|
PaulSimon
(Themenstarter)
Anmeldungsdatum: 25. Juli 2009
Beiträge: 108
|
Hallo und Danke für die Antworten. Die Wahrheit liegt wahrscheinlich in der Mitte. Frank62, mittlerweile sehe ich das nicht genauso, aber ähnlich. Sensible Daten (z.B. Steuererklärung etc.) sollten entweder gar nicht auf dem Notebook sein oder wenn unbedingt erforderlich, dann nur verschlüsselt. Aktuell habe ich die Homepartition verschlüsselt und parallel halte ich ein unverschlüsseltes Backup zu Hause vor, welches ich regelmäßig per rsync synchronisiere. Aktuell neige ich zu meiner weiter oben vorgeschlagenen Alternative 2 (Homepartition als Ganzes z.B. mit dm_crypt/LUKS zu verschlüsseln), weil dann auch z.B. die Daten aus dem Mailprogramm (Thunderbird) und Firefox bei Diebstahl vor den Augen Dritter geschützt sind. Bei diesem Mittelweg kann ich bei Problemen immer noch durch das Booten mit einem USB-Stick mittels einem auf dem Stick installierten Ubuntu auf das Wurzelverzeichnis zugreifen und evtl. noch Anpassungen vornehmen. Dieser Weg erscheint mir als guter Kompromiss zwischen (Daten-)Sicherheit, Praktikabilität und Performance.
|
user32847
Anmeldungsdatum: 29. Januar 2014
Beiträge: 332
|
PaulSimon schrieb: Aktuell neige ich zu meiner weiter oben vorgeschlagenen Alternative 2 (Homepartition als Ganzes z.B. mit dm_crypt/LUKS zu verschlüsseln), weil dann auch z.B. die Daten aus dem Mailprogramm (Thunderbird) und Firefox bei Diebstahl vor den Augen Dritter geschützt sind. Bei diesem Mittelweg kann ich bei Problemen immer noch durch das Booten mit einem USB-Stick mittels einem auf dem Stick installierten Ubuntu auf das Wurzelverzeichnis zugreifen und evtl. noch Anpassungen vornehmen. Dieser Weg erscheint mir als guter Kompromiss zwischen (Daten-)Sicherheit, Praktikabilität und Performance.
Dann ist das eventuell hilfreich: Vorbereitung Teilverschlüsselung
|
Frank62
Anmeldungsdatum: 8. Dezember 2008
Beiträge: 2105
Wohnort: Borken
|
V for Vortex schrieb: Das ist kein Argument. Leute ohne Probleme schreiben das nur nicht ständig in Foren. Für ernstzunehmende Kritik musst Du schon konkrete Schwächen der Technik nennen,
OK mit einem unverschlüsselten System, kann ich im Zweifelsfalle mit TestDisk & PhotoRec, die meisten Daten noch retten. Geht das genau so einfach und problemlos mit einem verschlüsselten System ?
|
Benno-007
Anmeldungsdatum: 28. August 2007
Beiträge: 29240
Wohnort: Germany
|
Frank62 schrieb: Das Forum ist rappelvoll mit Notrufe aus dieser Richtung. Sensible Daten kommen auf USB Stick und dann meinetwegen noch in den Schrank und gut ist.
BKA, BND, MAD, deine Putzfrau/ -mann, Nachbarn bei der Urlaubsbegehung der Wohnung sowie Einbrecher erblassen vor Angst der Zurückhaltung der Informationen auf dem Stick. Den sie erst aus dem Schrank nehmen müssen. 😉 Geht das genau so einfach und problemlos mit einem verschlüsselten System ?
Im entschlüsselten Zustand ja. Kann man ja dann zur Not so kopieren und das Image entschlüsselt durchsuchen lassen.
|