SSD verschlüsseln

Ich möchte meine SSD mit TrueCrypt verschlüsseln. Muss ich dabei etwas beachten?

Im sichersten Betriebsmodus füllt TrueCrypt alle freien Bereiche einer Partition mit Zufallszahlen. Für den Flash-Disk-Controller ist die SSD dann anscheinend voll. Wie bei einer „auf natürlichem Wege“ vollständig befüllten SSD können dann Geschwindigkeitseinbußen die Folge sein. Wie stark sie ausfallen, hängt unter anderem von der Funktionsweise des jeweiligen Controllers ab. Besonders stark brechen die Transferraten bei aktuellen Flash-Disks ein, die mit einem Controller der Firma Sandforce arbeiten, denn dieser erreicht seine normalerweise sehr hohen Transferraten durch Datenkompression. Bei den langsameren Postville-SSDs von Intel sind die Einbußen dagegen zwar messbar, für die Praxis aber nahezu irrelevant.

Weil der Flash-Disk-Controller bei einer vollen oder im Falle einer mit TrueCrypt voll verschlüsselten SSD auch mehr Daten umschichten muss, steigt auch die sogenannte Write Amplification, also das Verhältnis der zu schreibenden zur tatsächlich geschriebenen Datenmenge, was wiederum Einfluss auf die Haltbarkeit hat. Es kann daher sinnvoll sein, einen Teil – oft werden 10 bis 20 Prozent genannt – einer SSD unpartitioniert zu lassen. Auf diesem Wege verschafft man dem Controller Zugang zu mehr freien Speicherblöcken, die er dann für Wear Leveling nutzen und somit die Haltbarkeit der SSD verlängern kann.

Diskussionen ranken sich auch um die ATA-Trim-Funktion von SSDs. Darüber teilt das Betriebssystem dem SSD-Controller mit, welche Adressblöcke das Dateisystem nicht mehr benötigt, weil Daten gelöscht oder verschoben wurden. Das ATA-Kommando, das die Schreibleistung von Flash-Disks verbessern kann, funktioniert laut den Entwicklern auch bei TrueCrypt-verschlüsselten SSDs. Die TrueCrypt-Macher weisen allerdings darauf hin, dass nach dem Trimmen einzelne Sektoren Nullen oder andere unverschlüsselte Daten enthalten können. Theoretisch könnte das einen Angriffspunkt bieten. Außerdem soll man eine TrueCrypt-Verschlüsselung einrichten, bevor man sensible Daten auf einer SSD abspeichert und nicht erst nachträglich. In letzterem Fall könnte laut den TrueCrypt-Entwicklern das Wear Leveling von SSDs für Lecks in der Verschlüsselung sorgen. Allerdings dürfte sich auch dieses Sicherheitsrisiko nur mit erheblichem technischem Aufwand zur Entschlüsselung von Daten nutzen lassen.

(boi)