Sicherheit von SSDs

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Krull
Beiträge: 190
Registriert: 14.09.2012 10:33:54
Lizenz eigener Beiträge: MIT Lizenz

Sicherheit von SSDs

Beitrag von Krull » 10.12.2016 16:56:15

Hallo,

ich habe vor einiger Zeit ein Interview mit dem Hauptentwickler von Vera Crypt im Radio gehört. Darin erwähnte er, dass er ausschließlich Magnetplatten verwendet, weil er SSDs (auch mit Festplattenverschlüsselung) nicht vertraut, da deren Controller wohl Daten auch in Bereiche kopieren können wo der Nutzer nicht mehr herankommt. Leider ging man in diesem Gespräch nicht mehr weiter auf Details ein. Ich weiß, dass diese proprietären Controller problematisch sind, wenn man Daten sicher löschen bzw. überschreiben möchte. Und Hardwareverschlüsselung würde ich auch grundsätzlich nicht über den Weg trauen. Aber wenn man eine Softwarelösung (z.B. Luks) von Anfang an verwendet, sollte der SSD-Controller doch eigentlich nie Klartextdaten zu sehen bekommen. Daher müsste es doch egal sein, wenn Daten in klandestine Bereiche kopiert werden, oder täusche ich mich da?!

Benutzeravatar
niemand
Beiträge: 10168
Registriert: 18.07.2004 16:43:29

Re: Sicherheit von SSDs

Beitrag von niemand » 10.12.2016 19:20:14

Bei z.B. dm_crypt kann der Controller machen, was er denkt – er bekommt nur die verschlüsselten Daten zu sehen, also kann er auch nur diese wegpacken. Ohne Schlüssel sind die aber genauso geschützt, wie der Rest. Einziges, theoretisches, Problem, das ich sehe: wenn der Controller gezielt den Header wegsichern würde, käme man mit einem für diesen Header gültigen Schlüssel an die Daten, selbst, wenn man den Schlüssel mittlerweile aus dem aktuellen Header schon gelöscht hat.
Du möchtest schnell und unkompliziert auf meine Ignore-Liste? Schreibe einfach „Gesendet von meinem … mit Tapatalk“ unter deinen Beitrag, oder poste Textausgaben als Bild

cosmac
Beiträge: 4547
Registriert: 28.03.2005 22:24:30

Re: Sicherheit von SSDs

Beitrag von cosmac » 10.12.2016 20:22:20

hi,
Krull hat geschrieben:ich habe vor einiger Zeit ein Interview mit dem Hauptentwickler von Vera Crypt im Radio gehört. Darin erwähnte er, dass er ausschließlich Magnetplatten verwendet, weil er SSDs (auch mit Festplattenverschlüsselung) nicht vertraut, da deren Controller wohl Daten auch in Bereiche kopieren können wo der Nutzer nicht mehr herankommt.
Magnetplatten haben doch auch Reserve-Sektoren? Da könnten dann genauso Daten "versteckt" werden.
Beware of programmers who carry screwdrivers.

spiralnebelverdreher
Beiträge: 1053
Registriert: 23.12.2005 22:29:03
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Frankfurt am Main

Re: Sicherheit von SSDs

Beitrag von spiralnebelverdreher » 10.12.2016 20:49:22

Krull hat geschrieben:Hallo,

ich habe vor einiger Zeit ein Interview mit dem Hauptentwickler von Vera Crypt im Radio gehört. Darin erwähnte er, dass er ausschließlich Magnetplatten verwendet, weil er SSDs (auch mit Festplattenverschlüsselung) nicht vertraut, da deren Controller wohl Daten auch in Bereiche kopieren können wo der Nutzer nicht mehr herankommt. Leider ging man in diesem Gespräch nicht mehr weiter auf Details ein. Ich weiß, dass diese proprietären Controller problematisch sind, wenn man Daten sicher löschen bzw. überschreiben möchte. Und Hardwareverschlüsselung würde ich auch grundsätzlich nicht über den Weg trauen. Aber wenn man eine Softwarelösung (z.B. Luks) von Anfang an verwendet, sollte der SSD-Controller doch eigentlich nie Klartextdaten zu sehen bekommen. Daher müsste es doch egal sein, wenn Daten in klandestine Bereiche kopiert werden, oder täusche ich mich da?!
Wenn Du deine neue SSD von Anfang an unter Linux mit dm_crypt verschlüsselst bist du auf der sicheren Seite. Nur verschlüsselte Daten gelangen zum Controller der Platte.

Ich kenne das erwähnte Interview (hast du einen Link?) nicht, aber ich vermute dass die Aussage des Entwicklers von VeraCrypt folgenden Hintergrund hat: VeraCrypt kann (wie auch sein Ahne Truecrypt) eine bestehende, gesamte Festplatte verschlüsseln. Das dauert etwas, aber damit kannst du unter Windows bspw. ein komplettes Laufwerk aus dem unverschlüsselten Zustand in den verschlüsselten migrieren ohne ein neues Laufwerk einzubauen. Da kann es natürlich passieren, dass Daten im unverschlüsselten Zustand bestehen bleiben, wenn der SSD-Controller sie in einen gesperrten Bereich "geschoben" hat. Wie kommt es aber dazu?

Die Arbeitsweise bei SSDs und Magnetplatten ist bei fehlerhaften Sektoren gleich: Diese werden als defekt markiert und vom Dateisystem nicht mehr benutzt. Bestehende Daten in diesen Sektoren bleiben erhalten, sind aber vom Dateisystem nicht mehr erreichbar. Mit speziellen Forensik-Werkzeugen kann man die (möglicherweise korrupten) Inhalte wieder sichtbar machen.
Was die SSD von der Festplatte unterscheidet ist das sogenannte "wear leveling". Da das Schreiben auf Sektoren die SSD Hardware ziemlich stresst, merkt sich der Controller, welche Sektoren schon wie oft beschrieben wurden um die Schreiblast gleichmäßig zu verteilen. Weiterhin gibt es auf der SSD einen Puffer an Sektoren, die durch häufiges Schreiben belastete Sektoren ersetzen können. Spätere Schreibvorgänge schreiben in diese Puffersektoren, und die vorher intensiv genutzten Sektoren werden vom Controller vorsorglich aus dem Verkehr gezogen. Sie sind aber mit ihren Daten noch da. So ein proaktives wear leveling macht die Magnetplatte nicht. Solange Sektoren keine Fehler zeigen, werden sie genutzt. Damit landen im Lebenszyklus der Magnetplatte deutlich weniger Daten in ausrangierten oder zwischengeparkten Sektoren.

Krull
Beiträge: 190
Registriert: 14.09.2012 10:33:54
Lizenz eigener Beiträge: MIT Lizenz

Re: Sicherheit von SSDs

Beitrag von Krull » 10.12.2016 21:03:33

spiralnebelverdreher hat geschrieben:Ich kenne das erwähnte Interview (hast du einen Link?)
"Für mich ist das klar: Benutzen Sie niemals SSD. Ich benutze die selbst nicht. Und für Leute, die wirklich sicher gehen wollen: Keine SSD. Sie müssen wählen: Will ich Sicherheit oder Geschwindigkeit? Beides geht nicht."

http://www.deutschlandfunk.de/verschlue ... _id=369309

spiralnebelverdreher
Beiträge: 1053
Registriert: 23.12.2005 22:29:03
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Frankfurt am Main

Re: Sicherheit von SSDs

Beitrag von spiralnebelverdreher » 10.12.2016 21:19:34

Krull hat geschrieben:
spiralnebelverdreher hat geschrieben:Ich kenne das erwähnte Interview (hast du einen Link?)
"Für mich ist das klar: Benutzen Sie niemals SSD. Ich benutze die selbst nicht. Und für Leute, die wirklich sicher gehen wollen: Keine SSD. Sie müssen wählen: Will ich Sicherheit oder Geschwindigkeit? Beides geht nicht."
http://www.deutschlandfunk.de/verschlue ... _id=369309
Danke für den Link. Ich hab mal auf der Webseite von VeraCrypt geschaut und da steht tatsächlich die Empfehlung, Datenträger mit wear leveling zu meiden (https://veracrypt.codeplex.com/wikipage ... r-Leveling).
If you decide not to follow this recommendation and you intend to use in-place encryption on a drive that utilizes wear-leveling mechanisms, make sure the partition/drive does not contain any sensitive data before you fully encrypt it (VeraCrypt cannot reliably perform secure in-place encryption of existing data on such a drive; however, after the partition/drive has been fully encrypted, any new data that will be saved to it will be reliably encrypted on the fly).
Hier ist - wie von mir vermutet - der Anwendungsfall der "in-place encryption" der Grund für Idrassis Warnung vor dem Einsatz von SSDs. Für vorher unbenutzte SSDs, die komplett als ganzes Laufwerk verschlüsselt werden, gilt diese Warnung aber nicht.

Krull
Beiträge: 190
Registriert: 14.09.2012 10:33:54
Lizenz eigener Beiträge: MIT Lizenz

Re: Sicherheit von SSDs

Beitrag von Krull » 10.12.2016 21:30:26

Gut, dann ist das im Radio etwas verkürzt wiedergegeben worden. Aber wie 'niemand' sagte, dass mit dem Header könnte ein Problem sein. Im Grunde müssste man vor vorn herein den Header separat speichern. Weiß gar nicht ob es möglich ist, bei ner Erstinstallation sowas zu machen (mal die Doku lesen). Eigentlich muss das Ding dann ja von Anfang an auf eine SD-Karte oder nen USB-Stick. Falls eine alte Passphrase mal bekannt werden sollte, kann man die wenigstens das Klo runterspülen oder im Säurebad auflösen ;-)

spiralnebelverdreher
Beiträge: 1053
Registriert: 23.12.2005 22:29:03
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Frankfurt am Main

Re: Sicherheit von SSDs

Beitrag von spiralnebelverdreher » 10.12.2016 22:17:43

Krull hat geschrieben:Gut, dann ist das im Radio etwas verkürzt wiedergegeben worden. Aber wie 'niemand' sagte, dass mit dem Header könnte ein Problem sein. Im Grunde müssste man vor vorn herein den Header separat speichern. Weiß gar nicht ob es möglich ist, bei ner Erstinstallation sowas zu machen (mal die Doku lesen). Eigentlich muss das Ding dann ja von Anfang an auf eine SD-Karte oder nen USB-Stick. Falls eine alte Passphrase mal bekannt werden sollte, kann man die wenigstens das Klo runterspülen oder im Säurebad auflösen ;-)
Ich denke auch, dass die Zielrichtung der Aussage "Finger weg von SSDs" in Richtung Windows-Nutzer geht, die ein bestehendes Laufwerk nachträglich verschlüsseln wollen.
Niemands Einwand "dass mit dem Header könnte ein Problem sein" sehe ich auch so, aber das ist IMHO in meinem Kontext (Linux, dm_crypt, luks-Header, neue SSD) völlig vernachlässigbar.
Erstens ist vermutlich die weitverbreitetetste Festplattenverschlüsselung Bitlocker, dann dürften Truecrypt und langsam VeraCrypt kommen. Dann kommt lange nichts bevor dm_crypt auftaucht. Da für mich zweitens als Einzelperson vermutlich keine Hardware speziell präpariert wird (und falls ich doch ein so hochrangiges Ziel wäre, dann hätten die auch andere und billigere Mittel das Passwort aus mir rauszupressen) kann ich noch als Bedrohung annehmen, dass ein (strategischer) Angreifer die Produktion der Controller von SSDs (wieviele Varianten davon gibt es eigentlich? wieviele Hersteller?) unter seiner Kontrolle hat, um alle produzierten Controller mit mehreren Analysefunktionen (für Bitlocker, BeraCrypt, dm_crypt) und einer Backdoor zum Auslesen zu versehen um dann heimlich meine SSDs zu klonen, da ihm - auf welchem Weg auch immer - alte Passworte für luks-Header in die Hände gefallen sind. Ein Angreifer mit so einem hohen Potenzial wäre auch locker in der Lage, magnetische Festplatten zu manipulieren und ich wäre durch den Verzicht auf SSDs nicht sicherer.
Falls dein Anwendungsfall ein anderer ist (bspw. Staatsgeheimnisse der höchsten Klassifizierungsstufe sicher archivieren unter der Annahme dass die Hardware dem Gegner in die Hände fällt) kann es sinnvoll sein, dieses "könnte ein Problem sein" weiter zu verfolgen um Gegenmaßnahmen zu erarbeiten.

Was man aus dem Durchdenken eines solchen Falls sicher lernen kann: Wenn du ein mit dm_crypt verschlüsseltes System (und luks-Header) aufsetzen willst, dann solltest du der Versuchung widerstehen beim ersten Einrichten (damit es schneller geht) gar kein oder ein extrem triviales Passwort zu verwenden, dann die Platte hunderte Male für einen Performancetest voll zu spielen um ganz zum Schluss das Passwort zu ändern. Dann ist bei einer SSD die Wahrscheinlichkeit, dass dein alter Header mit dem Trivialpasswort irgendwie ungenutzt rumdümpelt, vielleicht einen Tick zu groß für deinen Risikoappetit.

wanne
Moderator
Beiträge: 5370
Registriert: 24.05.2010 12:39:42

Re: Sicherheit von SSDs

Beitrag von wanne » 11.12.2016 20:54:48

Wenig Info viel Propaganda das kann de DLR eigentlich besser.

Auch die zweite aussage (Die zu GOST) ist so nicht zu unterschreiben.

GOST ist so nichtssagend wie ISO, MPEG, SHA oder DIN. Verschlüsslungsalgorithmen aus dem entsprechenden Standard gibt es in in VeraCrypt 2.
Der eine ist der Kuznyechik von 2015. Ähnlich zu AES und nach Stand der Wissenschaft absolut zu empfehlen. – Vielleicht etwas neu und sidechannel anfällig. Aber garantiert nicht so dass man ihn jetzt objektiv schlechter als AES oder Salsa20 nennen könnte.
Der damals beanstandete war Magma aus den 70ern. Der ist zwar mit 64Bit Blocklänge (Schlüssellänge ist 256Bit) und seinem Rundendesighn nicht mehr auf dem stand der Zeit und für das was er an Sicherheit bietet extrem langsam aber auf der anderen Seite ist der Beste Bekannte Angriff 2¹⁷⁸ time complexity at the cost of 2⁷⁰ memory und 2⁶⁴ Daten.
Zum Vergleich: AES-256 hat 2¹³¹ time and 2⁶⁵ memory und 2³⁵ Keys.
Also ganz sicher auch nicht das, was man unbedingt als kritische Sicherheitslücke herausholt, wenn man nicht gegen die Russen wettern will.
Regt mich in letzter zeit gerade extrem auf, dass sie überall die nichtamerikanischen (damit meine ich solche, die nicht durch das NIST standartisiert sind) Algorithmen raus wirft. Ich meine AES ist insbesondere nach der hardwarebeschleunigung überall zimleich genial, was Geschwindigkeit vs. Sicherheit angeht aber mit Camellia Serpent oder vielleicht auch Kuznyechik fährt man sicherheitstechnisch sogar bestimmt eher besser.

Dass man das jetzt überall aus der Software rauswerfen (default war es ja nie) muss verstehe ich gar nicht. Und erweckt bei mir nur schlechte Erinnerungen als die NSA DES knacken konnte. Da war das Objektiv auch der beste Cipher. Aber die NSA hatte halt einen cracker gebaut, der NUR DES knacken konnte.
rot: Moderator wanne spricht, default: User wanne spricht.

Antworten