Kaufempfehlung HDD für Debian 7

[Stefan]

Hallo zusammen,

da Debian 7 immer näher kommt, und ich meinem System einen neue Festplatte gönnen möchte wollte ich euch einmal um Euren rat fragen.
Ich würde gerne eine 256 GB SSD Festplatte verwenden.
Das System soll mit LUKS Verschlüsselt werden.
Welche könnt Ihr mir da empfehlen.

Meine Hardware:
MSI nVidia GeForce 7600 GS
8 DDR2 SDRAM 800 MHz
Quad-CoreIntel Xeon : 2,67 GHz
Gigabyte GA-EP45-DS3


Gruß,
Stefan

[Dogge]

Nach meinem letzten Informationsstand machst du dir die Geschwindigkeitsvorteile einer SSD größtenteils zunichte, wenn du dein System verschlüsselst.

[pferdefreund]

Lohnt sich im Privatbereich überhaupt eine Komplettverschlüsselung - oder reicht es da nicht, /home in ne extra partition zu packen und
die zu verschlüsseln ?

[hikaru]

Wenn man mit Verschlüsselung anfängt sollten zumindest auch /tmp und swap mit verschlüsselt werden, da die dort abgelegten Daten erst nach dem nächsten Boot verschwinden.
/boot lässt sich meines äußerst bescheidenen Kenntnisstands nach gar nicht sinnvoll verschlüsseln. In wirklich kritischen Fällen würde ich daher wohl /boot von einem externen Datenträger holen.

[michaels]

Ich sehe mich auch aktuell nach einer SSD mit 256GB um. Eigentlich kommt da nur Crucial M4 (da soll bald der Nachfolger erscheinen) und Intel in Frage, da nur die Hersteller auch eine Aktualisierung der Firmware unter DOS erlauben. Samsung z.B. bietet nur ein Win-Tool an...

[chaisen]

OCZ bietet auch die Möglichkeit ein Firmwareupdate mit einer Live CD durchzuführen. Ich selbst habe mir eine SSD der Intel 520 Serie zugelegt, die verschlüsselt mit AES 128. Hat den Vorteil, dass man durch die integrierte Verschlüsselung keinen Performanceverlust hat und auch /boot mit verschlüsselt ist. Man muss halt Intel bei der Verschlüsselung trauen.

[nihonto]

Ich hab' hier eine Crucial M4 sowie eine Samsung SSD 830 im Einsatz. Beide laufen prima - die Samsung gefühlt evtl. sogar noch 'n Ticken schneller als die Crucial.

Samsung stellt übrigens auch "blanke" Firmware-Dateien zur Verfügung. Ein FW-Update sollte da also auch ohne Win-Tool möglich sein.

Im Gegensatz zu Crucial scheint Samsung aber eher selten FW-Updates raus zu bringen. Meine Crucial hab' ich jetzt schon zweimal ein Update verpasst. Für die Samsung hat's bisher nicht ein einziges gegeben.

Gerüchteweise (!) ist mir übrigens zu Ohren gekommen, dass die neue 840er-Serie von Samsung in der Standard-Ausführung nicht so gut sein soll, wie die 830er. Erst die 840 Pro soll wieder sehr gut sein (aber auch sehr gut teuer) .

[NAB]

Bei einer SSD hast du erst mal die Grundsatzentscheidung "Sandforce-Controller oder nicht". Ich trau den Dingern nicht über den Weg, die Firmware für Sandforce scheint schwer unter Kontrolle zu bringen zu sein, es wimmelt vor Fehlerberichten, da gebe ich doch gerne die paar Eur mehr für eine zuverlässige Platte aus. OCZ ist Weltmeister bei Rückläufen.

Da bleiben dann eigentlich nur Crucical M4 und Samsung. Die M4 ist schon Ewigkeiten auf dem Markt und gilt als sehr solide, Samsung hat gerade die 830er durch die 840er Serie ersetzt. Die 840er (ohne Pro) hat in der Tat etwas schlechtere Transferraten als die 830er, in der Praxis nimmt sich das wohl aber nicht viel, da die 840er schnellere Zugriffszeiten hat.

Für Verschlüsselung wäre ein Prozessor mit AES-NI äußerst hilfreich. Ansonsten wird sie die SSD ausbremsen. Dir bleiben aber immer noch die äußerst niedrigen Zugriffsszeiten als spürbarer Vorteil.

Für Verschlüsselung solltest du so 10% bis 20% der Platte ungenutzt lassen, damit die Platte genug ungenutzte Reservesektoren für Wear-Leveling und Selbst-Reparatur hat.

[Stefan]

Hallo,

erst mal danke für die vielen Infos.
Wie das so ist neben einer neuen SSD Festplatte kommt dann noch die Überlegung mit einem Prozessor AES-NI und und und ...
Muss ich erst mal sacken lassen, vielleicht brauche ich dann eine Beratung für eine neues PC System

Was beutetet denn: Hohe Datensicherheit dank AES 256-bit Full Disk Encryption (FDE) ?

http://www.amazon.de/Samsung-Series-int ... B009LI7CTY

Gruß
Stefan

[Cae]

Was beutetet denn: Hohe Datensicherheit dank AES 256-bit Full Disk Encryption (FDE) ?

Die Daten liegen auf den Speicherchips verschluesselt vor und werden transparent fuer den SATA-Hostcontroller ent- und verschluesselt. Das ist hauptsaechlich ein Abfallprodukt vom leistungsfaehigen SSD-Controller. Vermutlich kann man diese Verschluesselung auch per ATA-Passwort theoretisch sinnvoll nutzen. Wobei das haeufig leicht zu umgehen ist, z.B. indem man die Festplatte vom laufenden System einfach rauszieht und an einen anderen Crontroller steckt (siehe [1]).

Gruss Cae

[1] https://www.youtube.com/watch?v=D_HHXR7r21A

[NAB]

die Überlegung mit einem Prozessor AES-NI

Ich bin zu faul nachzugcken, ob dein Prozessor AES-NI kann. Mach es doch selber:
http://ark.intel.com/search/advanced/?AESTech=true

Was beutetet denn: Hohe Datensicherheit dank AES 256-bit Full Disk Encryption (FDE) ?

Das bedeutet, dass vermutlich nie ein Cryptoexperte einen Blick auf die in der Hardware versteckten Cryptoalgorithmen werfen wird, um ihre Korrektheit zu überprüfen. Eventuell findet dann mal irgendein Hacker einen Bug und ... tja, was dann? In einer idealen Welt gibt Samsung dann ein Firmware-Update heraus, das deine Festplatte neu und sicher verschlüsselt.

Wenn allerdings jemand dein Crypto-System im laufenden entschlüsselten Betrieb auseinandernehmen kann, und auch noch weiß, was er tut, dann hast du eh ein Problem ... und vermutlich eine halbautomatische geladene Waffe an der Stirn.

[ChronoBoost]

In wirklich kritischen Fällen würde ich daher wohl /boot von einem externen Datenträger holen.

Dem kann ich nur zustimmen. Solange einem im Grunde alles als Bootpartition untergejubelt werden könnte, dürfte es für Eindringlinge, die physische Kontrolle über den Rechner haben leicht sein die Verschlüsselung auszuhebeln. Aber angeblich reicht ein Firewire-Anschluß dazu auch völlig aus :/

[Cae]

Aber angeblich reicht ein Firewire-Anschluß dazu auch völlig aus :/

Oder PCMCIA oder Thunderbolt. Das Problem bei allen drei Schnittstellen ist, dass angesteckte Client-Geraete beliebigen (?) RAM-Zugriff haben und man einfach ein Speicherimage machen kann. Dort ist dann irgendwo der Schluessel im Klartext drin, mit dem man direkt die Platte auslesen kann. Dagegen hilft wohl nur etwas wie TRESOR [1], dort wird der Schluessel nicht im RAM, sondern in Debugging-Registern der CPU gespeichert.

Wohlgemerkt, das ist nur bei laufenden Geraeten ein Problem.

Gruss Cae

[1] https://en.wikipedia.org/wiki/TRESOR

[NAB]

Dem kann ich nur zustimmen. Solange einem im Grunde alles als Bootpartition untergejubelt werden könnte, dürfte es für Eindringlinge, die physische Kontrolle über den Rechner haben leicht sein die Verschlüsselung auszuhebeln.

Wenn jemand die physische Kontrolle über deinen Rechner hatte, hast du eh schlechte Karten. Man kann dir auch einen Keylogger in die Tastatur einbauen, dein BIOS manipulieren, eine Kamera in deinem Rauchmelder verstecken ... es gibt sogar Ansätze, per Mikrophon zu analysieren, wie welche Taste klingt.

Und wie genau willst du dein "externes Bootmedium" schützen?

Aber angeblich reicht ein Firewire-Anschluß dazu auch völlig aus :/

Oder PCMCIA oder Thunderbolt.

Ist das noch aktuell? Ich hatte mich vor Jahren mal darüber schlau gemacht, wie das mit Linux und Firewire steht, und damals schon gab es eine Kernel-Option, die den freien DMA-Zugriff des Firewire-Ports auf den Speicherbereich eingrenzt, der dem Firewire-Controller auch wirklich zugewiesen ist. Ein paar Kernel später soll diese Option angeblich standardmäßig aktiviert gewesen sein.

Der Trick war übrigens nicht, deinen Schlüssel auszulesen, sondern einfach deine im Betrieb entschlüsselten Daten auszulesen.

Dagegen hilft wohl nur etwas wie TRESOR [1], dort wird der Schluessel nicht im RAM, sondern in Debugging-Registern der CPU gespeichert.

Nein, TRESOR schützt gegen Cold-Boot-Attacken. Aber wenn jemand in deinem Zimmer anfängt, deinen PC mit Kältespray zu bearbeiten, dann hat man dich vermutlich vorher eh schon mit einem Kopfschuss außer Gefecht gesetzt, damit du deine Sprengweste nicht zündest.

[Huskylein]

Was beutetet denn: Hohe Datensicherheit dank AES 256-bit Full Disk Encryption (FDE) ?

Die Daten liegen auf den Speicherchips verschluesselt vor und werden transparent fuer den SATA-Hostcontroller ent- und verschluesselt. Das ist hauptsaechlich ein Abfallprodukt vom leistungsfaehigen SSD-Controller. Vermutlich kann man diese Verschluesselung auch per ATA-Passwort theoretisch sinnvoll nutzen. Wobei das haeufig leicht zu umgehen ist, z.B. indem man die Festplatte vom laufenden System einfach rauszieht und an einen anderen Crontroller steckt (siehe [1]).

Dazu ist dieses Feature eigentlich auch nicht gedacht. Ursprünglich sollte es damit möglich seine den Inhalt einer SSD im Fall der Fälle schnellstmöglich unwiederbringlich zu vernichten. Dazu überschreibt man den AES Key, der im NVRAM der SSD gespeichert ist einfach mit Nullen oder Zufallszahlen und schon kommt niemand mehr an die Daten (incl. dir). Die SSD ist damit effektiv gelöscht. Das nennt man dann auch "ATA Secure Erase".

Nein, TRESOR schützt gegen Cold-Boot-Attacken. Aber wenn jemand in deinem Zimmer anfängt, deinen PC mit Kältespray zu bearbeiten, dann hat man dich vermutlich vorher eh schon mit einem Kopfschuss außer Gefecht gesetzt, damit du deine Sprengweste nicht zündest.

Na, dann reicht das doch. Wenn ich erst mal tot bin, ist mir auch egal, was mit meinen Daten passiert.

[peschmae]

Dagegen hilft wohl nur etwas wie TRESOR [1], dort wird der Schluessel nicht im RAM, sondern in Debugging-Registern der CPU gespeichert.

Nein, TRESOR schützt gegen Cold-Boot-Attacken. Aber wenn jemand in deinem Zimmer anfängt, deinen PC mit Kältespray zu bearbeiten, dann hat man dich vermutlich vorher eh schon mit einem Kopfschuss außer Gefecht gesetzt, damit du deine Sprengweste nicht zündest.

apropos: http://xkcd.com/538/

MfG Peschmä

[Stefan]

Hallo,

bei liegen z.Z diese beiden Platten im Rennen.

Crucial CT256M4SSD2 256GB interne Festplatte (6.4cm (2.5 Zoll), SATA)
oder
Samsung 840 Pro Series interne SSD-Festplatte 256GB (6,4 cm (2,5 Zoll), 512MB Cache, SATA III)

jetzt hätte ich noch eine frgae zum firmware update der Platten, welche lassen sich unter Linux am besten aktuell halten ?

Gruß Stefan

[NAB]

diese beiden Platten im Rennen.

Gute Wahl! Die Samsung 840 (ohne Pro) ist auch eine Überlegung wert.

zum firmware update der Platten, welche lassen sich unter Linux am besten aktuell halten

Crucial bietet bootbare CD-Images mit dem Firmware-Update an, da ist das OS egal:
http://forum.crucial.com/t5/Solid-State ... td-p/96239
Samsung ebenfalls:
http://www.samsung.com/global/business/ ... loads.html

Nebenbei, was mag Samsung bei der 830er meinen mit "Jan.'12 - This is the final firmware release for the 830 Series."? Meint Samsung, ein völlig fehlerfreies Produkt hergestellt zu haben? Oder beenden sie den Support nun schon ein knappes Jahr vor dem Produktionsende? Oder meinen sie mit "final" lediglich, dass die 840er Firmware noch beta ist? *kopfkratz*

[ChronoBoost]

Wenn jemand die physische Kontrolle über deinen Rechner hatte, hast du eh schlechte Karten.

Es kommt auch darauf an, von welchen Leuten man erwartet, dass sie Zugriff erlangen könnten und welche Möglichkeiten diese haben und welche Kosten diese bereit sind auf sich zu nehmen. Ich denke auch, dass gegen Leute mit den Möglichkeiten und Ressourcen eines Geheimdienstes die Chancen eher schlecht stehen werden.

Man kann dir auch einen Keylogger in die Tastatur einbauen, dein BIOS manipulieren, eine Kamera in deinem Rauchmelder verstecken ... es gibt sogar Ansätze, per Mikrophon zu analysieren, wie welche Taste klingt.

Keine Tastatur, kein Monitor, keine Passworteingabe... aber wie schon geschrieben, das ist alles eine Frage der Möglichkeiten des Angreifers. Denkbar wäre ja heute auch ein Gerät, das ein USB-Protokoll führt usw. Da hilft dann nur Versiegelung. Letztendlich muss auch die ganze Kette sicher sein (Clients, usw.) was alles in allem schwierig werden wird. Wie immer: Alles eine Frage der Kosten und des Aufwands. Aber so lange die Kosten für den Angreifer höher liegen, als der (erwartete) Wert den er erbeuten kann... Ökonomie halt

M.E. ist die Manipulation der /boot Partition aber vergleichsweise einfach, unauffällig und zugleich der mächtigste Weg, vollständige Kontrolle zu erlangen. Und die Kosten der Sicherung liegen nur in einem USB-Stick und der fehlenden Möglichkeit, das System aus der Ferne zu starten.

Und wie genau willst du dein "externes Bootmedium" schützen?

Indem niemand physische Kontrolle darüber erlangt

[NAB]

Und wie genau willst du dein "externes Bootmedium" schützen?

Indem niemand physische Kontrolle darüber erlangt

Ja, dann schütze doch einfach deinen Rechner davor, dass niemand physische Kontrolle darüber erlangt, genau wie den Boot-Stick. Ich sehe in einem USB-Stick keinen Vorteil, eher den Nachteil, dass so ein Ding schneller entwendet, manipuliert und ausgetauscht ist als eine Festplatte im Rechner.

[Cae]

Und wie genau willst du dein "externes Bootmedium" schützen?

Indem niemand physische Kontrolle darüber erlangt

Ja, dann schütze doch einfach deinen Rechner davor, dass niemand physische Kontrolle darüber erlangt, genau wie den Boot-Stick. Ich sehe in einem USB-Stick keinen Vorteil, eher den Nachteil, dass so ein Ding schneller entwendet, manipuliert und ausgetauscht ist als eine Festplatte im Rechner.

Der Vorteil duefte einfach in der deutlich hoeheren Mobilitaet des Tresorschluessels im Vergleich zum Tresor liegen, wenn ich mal diese Analogie aufzeigen darf. Ein USB-Stick laesst sich ziemlich unkompliziert wie ein normaler Schluessel am Schluesselbund tragen, man steckt ihn waehrend des Bootens an und traegt ihn sonst bei sich.

Das Risiko einer Manipulation duerfte dann etwa genauso gross sein, wie wenn jemand einen Abdruck nimmt und daraus Nachschluessel fertigt. Die wieder entfernte Abdruckmasse sieht man dem Schluessel nicht an, ebenso erkennt man veraenderte Bytes nicht durch Anschauen. Der Angreifer erhaelt in beiden Faellen eine offene Kiste (Computer oder Tresor).

Gruss Cae

[ChronoBoost]

Und wie genau willst du dein "externes Bootmedium" schützen?

Indem niemand physische Kontrolle darüber erlangt

Ja, dann schütze doch einfach deinen Rechner davor, dass niemand physische Kontrolle darüber erlangt, genau wie den Boot-Stick. Ich sehe in einem USB-Stick keinen Vorteil, eher den Nachteil, dass so ein Ding schneller entwendet, manipuliert und ausgetauscht ist als eine Festplatte im Rechner.

Der Tower passt nur so schlecht in meine Hosentasche und mit dem Strom- und Netzwerkanschluss könnte es auch Probleme geben Ich finde den Vergleich von CAE mit dem Tresor und dem Schlüssel sehr treffend.

Und der größte Vorteil ist, dass es überhaupt kein Aufwand ist und eher noch die Arbeit erleichtert. Auf 128-bit Schlüssel eingeben habe ich nämlich keinen Bock