SSD Haltbarkeit bei Einsatz als Build-System
-
Nur das Secure Erase eine Low-Level-Formatierung ist, und mit sicherem Löschen im Normalbetrieb rein gar nichts zu tun hat. Das mögen manche doof finden, es gibt aber auch Gründe für sicheres Löschen im Betrieb.
-
T300 schrieb:
Nur das Secure Erase eine Low-Level-Formatierung ist, und mit sicherem Löschen im Normalbetrieb rein gar nichts zu tun hat. Das mögen manche doof finden, es gibt aber auch Gründe für sicheres Löschen im Betrieb.
Dafür gibt's Verschlüsselung und die geht auch im Betrieb.
-
Ok, offensichtlich gibt es hier Klärungsbedarf:
Alle mir bekannten SSDs verschlüsseln die Daten beim Schreiben. Immer. Unabhänging von irgendeiner User-Einstellung. Das geschieht auf Hardwareebene innerhalb der SSD und kann nicht deaktiviert werden.Bei einem Secure Erase wird der alte Schlüssel durch einen neuen Schlüssel ersetzt. Die alten Daten sind ohne den alten Schlüssel aber nicht mehr entschlüsselbar.
Ich kann es nur für die alten SSDs von OCZ mit Sicherheit sagen, aber andere Hersteller werden es nicht anders machen: Da wird beim Secure Erase tatsächlich nur der Schlüssel getauscht und alle belegten Blöcke als gelöscht markiert. Den Rest erldigt der Trimbefehl irgendwann später. Trotzdem ist von den alten Daten nichts mehr lesbar. Auch eine Datenrettungsfirma kann nichts mehr machen, wenn der Bereich der SSD defekt ist, in dem der Schlüssel abgelegt ist, oder der Schlüssel neu generiert wurde.
-
-
SSDDSS schrieb:
https://www.computerwoche.de/a/die-geheimen-schwaechen-der-ssd,2501912,4
Was genau ist der Bezug zu einem Build-Agent-System? Die sitzt die ganze Zeit im Rechner und wenn ich sie wegwerfen will lasse ich sie professionell shreddern.
MfG SideWinder
-
btrfs & zfs schrieb:
hustbaer schrieb:
Denn alle 4-5 Jahre mal ne neue SSD, das sollte wohl wirklich drinnen sein.
Mit ZFS oder btrfs wüßte er, wann die SSD schlapp macht.
Soweit ich weiss tut Windows (ab Windows 7) SMART Daten auswerten und petzen wenn die Werte schlecht werden.
btrfs & zfs schrieb:
Das läuft zwar nicht auf Windows, aber man könnte ja Windows in eine VM packen, dann wäre der Unterbau mit dem die Daten gespeichert werden trotzdem ZFS oder btrfs.
Lol. Nein.
-
Million Voices schrieb:
Ok, offensichtlich gibt es hier Klärungsbedarf:
Alle mir bekannten SSDs verschlüsseln die Daten beim Schreiben. Immer. Unabhänging von irgendeiner User-Einstellung. Das geschieht auf Hardwareebene innerhalb der SSD und kann nicht deaktiviert werden.Falls du das so gemeint hast wie ich es jetzt verstehe, würde ich sagen: Dann kennst du nicht gerade viele SSDs. Es gibt nämlich genug die überhaupt nicht verschlüsseln. Gar nicht. Niemals.
Million Voices schrieb:
Bei einem Secure Erase wird der alte Schlüssel durch einen neuen Schlüssel ersetzt. Die alten Daten sind ohne den alten Schlüssel aber nicht mehr entschlüsselbar.
Die SSDs die überhaupt verschlüsseln können, machen das so, ja. Alles andere wäre auch beknackt.
-
Es würde mich erstaunen, wenn alle "verschlüsselnden" SSDs wirksam verschlüsseln würden. Bei einem Hardware-Unternehmen frickeln doch irgendwelche Praktikanten solche zweitrangigen Werbe-Features zusammen. Da wird dann eben blockweise irgendwie mit den gleichen Schlüssel und gleichem IV "verschlüsselt". "Das wird schon keiner innerhalb der Garantie reversen und wenn doch verklagen wir den einfach". Fertig.
-
@TyRoXx
Und ich glaube du hast keinen Plan wovon du da redest.
-
hustbaer schrieb:
btrfs & zfs schrieb:
hustbaer schrieb:
Denn alle 4-5 Jahre mal ne neue SSD, das sollte wohl wirklich drinnen sein.
Mit ZFS oder btrfs wüßte er, wann die SSD schlapp macht.
Soweit ich weiss tut Windows (ab Windows 7) SMART Daten auswerten und petzen wenn die Werte schlecht werden.
Smartwerte sind allerdings kein Schutz gegen Bitrods und Bitfehler.
Das können nur Dateisysteme mit einer guten Prüfsummenbildung.btrfs & zfs schrieb:
Das läuft zwar nicht auf Windows, aber man könnte ja Windows in eine VM packen, dann wäre der Unterbau mit dem die Daten gespeichert werden trotzdem ZFS oder btrfs.
Lol. Nein.
Doch! Das Dateisystem der VM wird als Datei gespeichert und diese Datei wird direkt auf ZFS bzw. btrfs gespeichert mit allen Vor- und Nachteilen von ZFS bzw. btrfs.
Wer die eigentlichen Daten nativ auf ZFS oder btrfs ablegen will, der kann diese auch als SMB Shares.
-
TyRoXx schrieb:
Es würde mich erstaunen, wenn alle "verschlüsselnden" SSDs wirksam verschlüsseln würden. Bei einem Hardware-Unternehmen frickeln doch irgendwelche Praktikanten solche zweitrangigen Werbe-Features zusammen. Da wird dann eben blockweise irgendwie mit den gleichen Schlüssel und gleichem IV "verschlüsselt". "Das wird schon keiner innerhalb der Garantie reversen und wenn doch verklagen wir den einfach". Fertig.
Die größere Gefahr besteht durch eine Backdoor die der Hersteller auf Anweisung eines Geheimdienstes in die SSDs einbauen muss.
Die Backdoor könnte einfach ein weiterer Schlüssel sein, mit dem man an den symmetrischen Key herankommt und die SSD somit ganz normal entschlüsseln kann.Deswegen habe ich weiter oben erwähnt, dass man bei SSDs eine Softwareverschlüsselung verwenden kann. Damit ist das Problem der nicht sicheren Löschbarkeit dann durchaus gelöst.
-
btrfs & zfs schrieb:
btrfs & zfs schrieb:
Das läuft zwar nicht auf Windows, aber man könnte ja Windows in eine VM packen, dann wäre der Unterbau mit dem die Daten gespeichert werden trotzdem ZFS oder btrfs.
Lol. Nein.
Doch! Das Dateisystem der VM wird als Datei gespeichert und diese Datei wird direkt auf ZFS bzw. btrfs gespeichert mit allen Vor- und Nachteilen von ZFS bzw. btrfs.
Wer die eigentlichen Daten nativ auf ZFS oder btrfs ablegen will, der kann diese auch als SMB Shares.
Mein "nein" ist als "nein, das will man wirklich nicht machen" zu verstehen. Auf nem Build System hast du keine FS-Performance zu verschenken. Ja, man kann virtualisierten Storage schnell hinbekommen, vermutlich sogar wenn ZFS/... die Basis ist. Aber das kostet. Wenn du einfach nur einen einzelnen Hobel mit einer SSD drinnen hast und da der Storage, der Hypervisor und der Build-Server als Guest drauf rennt, dann hab ich echt Bedenken als FS für die VHD Files etwas herzunehmen was Prüfsummen über alle Datenblöcke rechnet.
Und BTW: Du hast auch nicht alle Vorteile von ZFS/btrfs. ZFS z.B. verwaltet seine Verzeichnisstrukturen sehr "vorsichtig", so dass z.B. der Impact eines korrupten Blocks möglichst minimiert wird. Dadurch wird quasi nie die komplette Partition durch einen oder zwei Blockfehler unbrauchbar. Bei NTFS dagegen kann dir das passieren. Und da hilft auch nicht dass die Blöcke in denen NTFS seine Verzeichnisstrukturen speichert in einem ZFS File stehen.
-
btrfs & zfs schrieb:
Deswegen habe ich weiter oben erwähnt, dass man bei SSDs eine Softwareverschlüsselung verwenden kann. Damit ist das Problem der nicht sicheren Löschbarkeit dann durchaus gelöst.
Ist es nicht. Die Daten sind physisch noch vorhanden, eben nur verschlüsselt. Es ist ein Unterschied ob ich das Blatt Papier verbrenne, es in Luft blase und unwiederherstellbar mache, oder ob ich es behalte mit einem 'Geheimtext' darauf.
Die sichere Löschbarkeit ist ein Problem bei SSDs. Auch wenn man der größte Fan von SSDs ist, die Tatsache bleibt leider.
-
ssdfanboy schrieb:
btrfs & zfs schrieb:
Deswegen habe ich weiter oben erwähnt, dass man bei SSDs eine Softwareverschlüsselung verwenden kann. Damit ist das Problem der nicht sicheren Löschbarkeit dann durchaus gelöst.
Ist es nicht. Die Daten sind physisch noch vorhanden, eben nur verschlüsselt. Es ist ein Unterschied ob ich das Blatt Papier verbrenne, es in Luft blase und unwiederherstellbar mache, oder ob ich es behalte mit einem 'Geheimtext' darauf.
Die sichere Löschbarkeit ist ein Problem bei SSDs. Auch wenn man der größte Fan von SSDs ist, die Tatsache bleibt leider.Du kannst mir gerne sagen wie du die gängigen und noch starken Verschlüsselungsverfahren knacken willst.
Solange das Verschlüsselungsverfahren mit heutigen Möglichkeiten als unknackbar gilt und auch die Implementierung etwas taugt, sind die Daten wie gelöscht wenn du den Schlüssel dazu nicht kennst.Um also bei deinem Vergleich zu bleiben.
Wenn du einen Goldbarren auf einem Planeten platzierst, der um Sirius kreist, ist er vor Dieben, die auf der Erde leben, sicher.