LUKS versus SSD-interner Verschlüsselung (war: Re: Secure Boot)

To: debian-user-german@lists.debian.org
Subject: LUKS versus SSD-interner Verschlüsselung (war: Re: Secure Boot)
From: Martin Steigerwald <martin@lichtvoll.de>
Date: Fri, 11 Aug 2023 00:04:38 +0200
Message-id: <[🔎] 3244387.aeNJFYEL58@lichtvoll.de>
In-reply-to: <[🔎] ZNVbzdoKZUpGf4YC@u-v.de>
References: <612c26e4-d864-2e7f-5ffb-c0fd782e3718@cation.de> <[🔎] CAFBm81qqqy_=vBjV9DpuReipc3jFL_3QxyRCaGsNsYFfwSSNiw@mail.gmail.com> <[🔎] ZNVbzdoKZUpGf4YC@u-v.de>

Ulf Volmer - 10.08.23, 23:51:09 CEST:
> Am Thu, Aug 10, 2023 at 07:56:25PM +0200 schrieb Matthias Böttcher:
> > Frage in die Runde: Hat sich jemand mit SSDs, die interne
> > Hardwareverschlüsselung bieten, beschäftigt?
> > Wenn ja, welche Erfahrungen habt ihr damit gemacht?
> > 
> > Wenn ich die Beschreibung richtig verstehe, erreicht man dadurch
> > eine Vollverschlüsselung der "Festplatte" und z.B. LUKS wird dadurch
> > überflüssig?
> 
> In der Therorie wäre das ein Ersatz für LUKS.
> Ist aber halt ein Blob, in den man nicht hineinsehen kann.
> 
> Das aktuelle CPUs üblicherweise AES in Hardware machen, fällt mir auch
> ehrlich kein Argumant gegen LUKS mehr ein.

Natürlich vertraust Du da auch wieder einen Blob, diesmal vom CPU-
Hersteller.

Aber ja, von der Performance: Bei einigermaßen aktueller Hardware spielt 
das keine Rolle mehr. Der AMD Ryzen 4750U hier z.B., der hat 8 Kerne. 
Selbst wenn der einen kompletten Kern für die LUKS-Verschlüsselung 
bräuchte, vielleicht etwa beim Schreiben von 2 GB/s auf eine NVME SSD, 
wäre mir das egal.

Allerdings ist mir nicht klar, inwiefern SSDs mit Verschlüsselungs-
funktion nicht dennoch zusätzlich auch verschlüsseln. Ich dachte das 
läuft so: Die verschlüsseln *immer*. Und bei einem ATA Secure Discard 
macht die SSD den bisherigen Schlüssel platt und damit alle damit 
geschriebenen Daten unzugänglich. Und generiert dann einen neuen 
Schlüssel. Deswegen geht das ja auch so schnell. Dauert in der Regel ja 
nur ein paar Sekunden. Wenn die sich selbst komplett überschreiben 
würde, das würde ja auch bei einer SSD viel länger dauern.

Daher mache ich so einen ATA Secure Discard in der Regel auch, bevor ich 
eine SSD in Betrieb nehme. In der Hoffnung, dass die SSD dann einen 
Schlüssel, der dem Hersteller bekannt sein könnte, austauscht. Bei einer 
internen SSD ist das so eine Sache, da die Firmware das in der Regel 
sperrt. Zuletzt habe ich da dann doch der Wipe-Funktion in der Lenovo-
Laptop-Firmware vertraut. Ein anderer Weg ist, ein externes Gehäuse zu 
nehmen. Mit eSATA ging das immer schön, aber auch bei USB-Gehäusen gibt 
es dazu mittlerweile vielleicht einen Weg, diesen ATA-Befehl an die SSD 
durch zu lassen. Also ich denke, das sollte mittlerweile mit guten USB-
Gehäusen gehen.

-- 
Martin

Reply to:

Follow-Ups:
- Re: LUKS versus SSD-interner Verschlüsselung (war: Re: Secure Boot)
  - From: Matthias Böttcher <matthias.boettcher@gmail.com>

References:
- Re: Secure Boot (war: Re: Strom sparen / Komfort behalten)
  - From: Matthias Böttcher <matthias.boettcher@gmail.com>
- Re: Secure Boot (war: Re: Strom sparen / Komfort behalten)
  - From: Ulf Volmer <u.volmer@u-v.de>

Prev by Date: Re: Secure Boot (war: Re: Strom sparen / Komfort behalten)
Next by Date: RAM-Angaben
Previous by thread: Re: Secure Boot (war: Re: Strom sparen / Komfort behalten)
Next by thread: Re: LUKS versus SSD-interner Verschlüsselung (war: Re: Secure Boot)
Index(es):
- Date
- Thread