Discussion:
TRIM für verschlüsselte SSD
(zu alt für eine Antwort)
Jens Liebmann
2019-02-16 17:20:01 UTC
Permalink
Hallo Liste,

meine neuen Laptops sind mit SSD (Intel 660p Series) geordert. Ich
möchte diese, wie schon vorher mit den HDD praktiziert, voll
verschlüsseln.
Allerdings bin ich mir nicht im klaren, wie man in diesem Fall den TRIM
für die SSD nutzen kann, bzw. soll.
Was ich mir zusammen gesucht habe reicht u.a. von

- braucht man nicht, weil das heute die Firmware macht
- kann man nicht machen, wenn ein LVM auf die SSD gelegt wird
- SSD soll man unter Linux nicht verschlüsselt nutzen
- LVM und Linux macht SSD kaputt (als extremste Meinung eines sog.
Praktikers)

usw.

Und natürlich einige Anleitungen, wie man dem LVM selbst TRIM bei
bringt.
Alles aber für andere Distributionen, und meist englisch. Womit ich so
meine Probleme habe.

Ich bitte die erfahrenen User hier um Hinweise, Links oder auch
Erklärungen, wie man als relativer Laie diese Frage praktisch klären
kann.
Im voraus schon vielen Dank.
--
Jens Liebmann
Sven Hartge
2019-02-16 21:40:02 UTC
Permalink
Post by Jens Liebmann
meine neuen Laptops sind mit SSD (Intel 660p Series) geordert. Ich
möchte diese, wie schon vorher mit den HDD praktiziert, voll
verschlüsseln.
Allerdings bin ich mir nicht im klaren, wie man in diesem Fall den TRIM
für die SSD nutzen kann, bzw. soll.
Was ich mir zusammen gesucht habe reicht u.a. von
- braucht man nicht, weil das heute die Firmware macht
Wie soll die Firmware von selbst erkennen, welche Blöcke keine
relevanten Daten mehr beinhalten?
Post by Jens Liebmann
- kann man nicht machen, wenn ein LVM auf die SSD gelegt wird
Stimmt nicht.
Post by Jens Liebmann
- SSD soll man unter Linux nicht verschlüsselt nutzen
Blödsinn.
Post by Jens Liebmann
- LVM und Linux macht SSD kaputt (als extremste Meinung eines sog.
Praktikers)
Dito.

TRIM + LUKS öffnet ein theoretisches Angriffsszenario, weil ein externer
Betrachter dadurch genau wissen kann, welche Blöcke (verschlüsselte)
Daten beinhalten und welche nicht.

Im Extrem-Paranioa-Modus will man einen Datenträger inklusiver aller
Leer-Sektoren verschlüsseln, so dass von außen nicht sichtbar ist, wo
interessante Dinge sind.

Dies geht aber bei einer SSD gegen die Art und Weise, wie man mit dieser
schonend umgeht: Man teil der Firmware mittels TRIM mit, welche Bereiche
diese recyclen kann.

Ich würde bei aktueller Hardware das Problem dadurch umgehen, in dem ich
die Verschlüsselung der SSD selbst aktiviere und *dann* darüber ein
LVM+LUKS lege, mit aktiviertem TRIM natürlich.

Das dürfte der beste Kompromiss zwischen Lebensdauer und
Angriffssicherheit sein.

S!
--
Sigmentation fault. Core dumped.
Matthias Böttcher
2019-02-18 08:30:01 UTC
Permalink
Post by Sven Hartge
TRIM + LUKS öffnet ein theoretisches Angriffsszenario, weil ein externer
Betrachter dadurch genau wissen kann, welche Blöcke (verschlüsselte)
Daten beinhalten und welche nicht.
Guten Tag an alle,

ich hatte neulich mit einer SSD-Festplatte zu tun, welche, wenn man
die getrimmten Blöcke/Sektoren gelesen hat, dort nicht 0x00, sondern
Zufallswerte (?) geliefert hat.
Aufgefallen war es mir, weil sich das Image der kompletten, fast
leeren und getrimmten Festplatte kaum komprimieren ließ.
Post by Sven Hartge
Im Extrem-Paranioa-Modus will man einen Datenträger inklusiver aller
Leer-Sektoren verschlüsseln, so dass von außen nicht sichtbar ist, wo
interessante Dinge sind.
Dies geht aber bei einer SSD gegen die Art und Weise, wie man mit dieser
schonend umgeht: Man teil der Firmware mittels TRIM mit, welche Bereiche
diese recyclen kann.
Ich würde bei aktueller Hardware das Problem dadurch umgehen, in dem ich
die Verschlüsselung der SSD selbst aktiviere und *dann* darüber ein
LVM+LUKS lege, mit aktiviertem TRIM natürlich.
Wie kann ich die Verschlüsselung einer SSD aktivieren?

Matthias
Sven Hartge
2019-02-18 11:00:01 UTC
Permalink
Post by Matthias Böttcher
Post by Sven Hartge
Ich würde bei aktueller Hardware das Problem dadurch umgehen, in dem
ich die Verschlüsselung der SSD selbst aktiviere und *dann* darüber
ein LVM+LUKS lege, mit aktiviertem TRIM natürlich.
Wie kann ich die Verschlüsselung einer SSD aktivieren?
https://wiki.archlinux.org/index.php/Self-Encrypting_Drives

S!
--
Sigmentation fault. Core dumped.
Stefan Klein
2019-02-18 12:10:02 UTC
Permalink
Post by Sven Hartge
Post by Matthias Böttcher
Wie kann ich die Verschlüsselung einer SSD aktivieren?
https://wiki.archlinux.org/index.php/Self-Encrypting_Drives
https://media.ccc.de/v/35c3-9671-self-encrypting_deception

Ich möchte weder dazu raten noch davon abraten,
soll jeder selbst entscheiden wie er Bedrohung und Bequemlichkeit abwägt.
--
Stefan
Sven Hartge
2019-02-18 12:20:02 UTC
Permalink
Post by Stefan Klein
Post by Sven Hartge
Post by Matthias Böttcher
Wie kann ich die Verschlüsselung einer SSD aktivieren?
https://wiki.archlinux.org/index.php/Self-Encrypting_Drives
https://media.ccc.de/v/35c3-9671-self-encrypting_deception
Ich möchte weder dazu raten noch davon abraten,
soll jeder selbst entscheiden wie er Bedrohung und Bequemlichkeit abwägt.
Deswegen rate ich ja dazu, eine SED nicht als *alleinige* Absicherung zu
nutzen, sondern nur als Grund-Verschlüsselung und oben dann ein LUKS
drauf zu setzen.

Die Verschlüsselung auf Storage-Ebene soll nur die "TRIM-Lücke"
abmildern.

S!
--
Sigmentation fault. Core dumped.
Heiko Schlittermann
2019-02-18 11:50:02 UTC
Permalink
Post by Matthias Böttcher
Betrachter dadurch genau wissen kann, welche Blöcke (verschlÌsselte)
Daten beinhalten und welche nicht.
Guten Tag an alle,
ich hatte neulich mit einer SSD-Festplatte zu tun, welche, wenn man
die getrimmten Blöcke/Sektoren gelesen hat, dort nicht 0x00, sondern
Zufallswerte (?) geliefert hat.
Ich meine, daß das TRIM ja auch nicht bedeutet, daß dort Nullen drin
sind, sondern nur, daß die Platte vor einem erneuten Schreiben dort
nicht erst löschen muss, weil es schon gelöscht ist.

Was „gelöscht“ im konkreten Fall bedeutet, obliegt sicher der Firmware
der Platte.

--
Heiko
Ulf Volmer
2019-02-17 00:40:02 UTC
Permalink
Post by Jens Liebmann
Und natürlich einige Anleitungen, wie man dem LVM selbst TRIM bei
bringt.
Alles aber für andere Distributionen, und meist englisch. Womit ich so
meine Probleme habe.
Ergänzend zu den Hinweisen von Sven.

Das Vorgehen bei Debian unterscheidet sich nicht wesentlich von
anderen Distributionen. Du muß also

- allow-discards in die /etc/crypttab einfügen.
- issue_discards = 1 in die /etc/lvm/lvm.conf einfügen
- die initrd mit 'update-initramfs -u' neu bauen.

Nach einem Reboot solltest Du mit 'fstrim -va' den Trim anstoßen
können. Ob Du dann die Filesysteme per fstab mit der Option discard
einbindest oder den Trim per cron startest ist im wesentlichen
Geschmackssache.

Viele Grüße
Ulf
Sven Hartge
2019-02-17 11:40:01 UTC
Permalink
Post by Ulf Volmer
Nach einem Reboot solltest Du mit 'fstrim -va' den Trim anstoßen
können. Ob Du dann die Filesysteme per fstab mit der Option discard
einbindest oder den Trim per cron startest ist im wesentlichen
Geschmackssache.
Die mount-Option "discard" zeigte in der Vergangenheit und auch aktuell
immer wieder Probleme. Manche SSD-Firmware kam mit der Menge an
TRIM-Kommandos, die dadurch ausgelöst werden können, nicht klar und
verschluckte sich. Andere SSD wurden grottig lahm, weil jedes TRIM einen
sofortigen Cache-Flush auslöste.

Im Allgemeinen ist die aktuelle Sicht auf den Stand der Dinge, es besser
im Batch einmal pro Woche oder pro Tag zu machen.

In Debian Stretch gibt es dafür für systemd unter
/usr/share/doc/util-linux/examples/fstrim.{timer,service}, welche man
einfach nach /etc/systemd/system kopiert und via "systemctl enable
fstrim.timer" und "systemctl start fstrim.timer" aktiviert.

Unter Debian Buster ist dies bereits im System vorbereitet und man muss
den Timer nur noch aktivieren und starten.

S!
--
Sigmentation fault. Core dumped.
Jochen Spieker
2019-02-17 22:50:02 UTC
Permalink
Post by Sven Hartge
In Debian Stretch gibt es dafür für systemd unter
/usr/share/doc/util-linux/examples/fstrim.{timer,service}, welche man
einfach nach /etc/systemd/system kopiert und via "systemctl enable
fstrim.timer" und "systemctl start fstrim.timer" aktiviert.
Unter Debian Buster ist dies bereits im System vorbereitet und man muss
den Timer nur noch aktivieren und starten.
Ach, danke. Wieder einen Cronjob eingespart.

J.
--
Whenever I hear the word 'art' I reach for my visa card.
[Agree] [Disagree]
<http://archive.slowlydownward.com/NODATA/data_enter2.html>
Heiko Schlittermann
2019-02-18 11:50:02 UTC
Permalink
- allow-discards in die /etc/crypttab einfÃŒgen.
lt. crypttab(5) nur „discard“
--
HS
Ulf Volmer
2019-02-18 17:50:01 UTC
Permalink
Post by Ulf Volmer
- allow-discards in die /etc/crypttab einfügen.
lt. crypttab(5) nur „discard“
Jepp, korrekt. Danke für die Korrektur.

Viele Grüße
Ulf

Loading...