vburak
Goto Top

Bitlocker unter Windows 10 für externe Festplatte

Hallo,

ich möchte gerne meine externe Festplatte mit Bitlocker verschlüsseln.

Leider bin ich auf einige Probleme gestoßen und ich bin inzwischen nicht mehr ganz sicher, ob ich das so richtig verstehe.

Ich versuche es mal als einzelne Punkte aufzuschreiben.

Vorab die Ausstattung von meinem Rechner:

Intel Core i7-6700
TPM aktiv und einsatzbereit
Secure Boot und UEFI eingestellt
Windows 10 Version 1551 Build 10586.104
USB 3.0 Seagate Portable 1TB Festplatte.

Nun zu meinen Fragen:

1) Bitlocker kann sowohl Software-Verschlüsselung als auch Hardware-Verschlüsselung verwenden. Bezieht sich die Hardware-Verschlüsselung auf die Verwendung vom AES-NI Befehlssatz oder auf eine evtl. interne Verschlüsselungstechnik von der Festplatte selbst? Das heißt, wenn damit die interne Verschlüsselungstechnik gemeint ist (manche SSDs haben das ja irgendwie inzwischen), dann kann ich eine Festplatte ohne diese, nur per Software-Verschlüsseln?

2) Wenn ich per Gruppenrichtlinie, die Hardware-Verschlüsselung erzwinge, verweigert mir Bitlocker für VHDX-Dateien und interne sowie externe Laufwerke die Verschlüsselung. Es wird gesagt, dass durch Gruppenrichtlinien Software-Verschlüsselung eingeschränkt ist.

3) Mit Version 1511 kam die XTS-AES Verschlüsselung dazu. Ich habe mit dieser und dementsprechend der Software-Verschlüsselung angefangen, meine externe Festplatte zu verschlüsseln. Laut Task-Manager war eine Auslastung von 100% und Lese/Schreib-Geschwindigkeit lag jeweils bei ca. 10MB/s. Das kann doch nicht wahr sein?? Bei 1TB Festplatte bräuchte ich 26 Stunden zum verschlüsseln und für die Festplatte ist das sicher auch nicht so gut.

4) Ich habe dann auch das bei einer internen Festplatte ausgewählt (2,5" 5400rpm) sogar mit AES-CBC Modus. Hier komme ich auf ca. 20MB/s. Auch nicht so der Bringer....

5) Ich habe auf ner extra Partition Windows 8.1 installiert da ich gelesen habe, es gibt wohl Probleme im Bitlocker mit Version 1511 Bitlocker hardware encryption. Leider habe ich auch hier nur lächerliche Schreibraten und die Hardware-Verschlüsselung geht ebenso nicht.


Ich bin langsam der Überzeugung, dass ich die Hardware-Verschlüsselung falsch verstanden habe und diese wohl wirklich es dem Gerät selbst auslagert. Aber warum hab ich so lächerliche Performance-Raten bei externer und auch bei interne Festplatte? Ich dachte der Vorteil vom AES-NI Befehlssatz, dass AES in der CPU implementiert ist. Und der Flaschenhals wird doch wohl nicht die Anbindung sein oder?

Viele Grüße

Burak

Content-ID: 296335

Url: https://administrator.de/forum/bitlocker-unter-windows-10-fuer-externe-festplatte-296335.html

Ausgedruckt am: 22.12.2024 um 06:12 Uhr

DerWoWusste
Lösung DerWoWusste 16.02.2016, aktualisiert am 19.02.2016 um 17:31:28 Uhr
Goto Top
Hi.

1 HWV benutzt die Technik der Platte. Diese muss gewissen Standards genügen, nicht alle SED (self encrypting drives) können genutzt werden, aber die meisten modernen. Wird jedoch mit 10 v1511 nichts werden, wegen des Bugs.
2 Du kannst mit dieser GPO ebenso zulassen, das SWV genutzt wird, wenn HWV nicht möglich ist
3/4 Performance ist von einigen Faktoren abhängig: Platte, Treiber des SATA-Controllers und Verschlüsselungsalgorithmus, natürlich auch, ob diese Platte anderweitig gerade genutzt wird. Am besten verschlüsseln, wenn sie leer ist, falls es eine Datenplatte ist, dann kann man die Option wählen, nur verwendeten Speicher zu verschlüsseln und sie ist sofort fertig. Ich habe schon von ähnlich schlechten Raten gelesen, selbst (ausschließlich SSDs im Netzwerk) aber auch mit AES-XTS 256 stets mindestens 50MB/s messen können.
5 Prüfe zunächst, von welchen Standards ("Opal2") Bitlocker ausgeht und ob diese gegeben sind. Dann muss die Platte hardwareseitig bereit sein (Herstellertools konsultieren). Danach 8.1 drauf installieren und Verschlüsselung aktivieren.
vBurak
vBurak 16.02.2016 um 10:08:52 Uhr
Goto Top
Okay, ich habe keine Festplatten mit integrierter Verschlüsselung, also SEDs. Das heißt ich kann die HWV nicht benutzen! Dann kann ich das wenigstens schon mal abhaken.

Ich würde ungern meine Festplatte erstmal weg kopieren, und dann verschlüsseln und dann wieder drauf kopieren. Während des verschlüsselns, habe ich keine keine Aktion auf der Festplatte ausgeführt.

Ich habe eben mit Veracrypt einen Container auf der ext. Festplatte angelegt und diesen konnte er mit in Veracrypt selbst mit 50-60MB/s beschreiben und über den Task-Manager war eine Schreibrate von 70-85MB/s angegeben.

Bitlocker muss natürlich jeden Sektor lesen und diesen wieder beschreiben, aber selbst wenn gleichzeitig gelesen und geschrieben wird sollten doch mehr als 10MB/s möglich sein?


Nervt mich alles irgendwie ziemlich...Wollte Bitlocker wegen der einfachen Integration in Windows nehmen. Da ich eh nur die ext. Festplatte an zwei Windows 10 Rechner benutze war das für mich auch kein Problem mit AES-XTS.
DerWoWusste
DerWoWusste 16.02.2016 um 10:28:08 Uhr
Goto Top
Moin.

Ich habe genannt, wovon es abhängt und Du kannst nun sehen, ob Du daran drehen willst: Plattentyp, Treiber des SATA-Controllers und Verschlüsselungsalgorithmus. Da es jedoch ein einmaliger Vorgang ist, wäre es wohl am besten, einfach über Nacht verschlüsseln zu lassen und gut ist. Wenn danach die Performance stimmt, würde ich mir nun keinen großen Kopf darum machen ob und warum er langsam verschlüsselt.
vBurak
vBurak 16.02.2016 um 12:26:51 Uhr
Goto Top
Das habe ich schon gelesen, aber ich wollte nochmal verdeutlichen, das es außerhalb von Bitlocker einwandfrei ist von der Performance.

Dann wird es wohl an Bitlocker und seiner Implementierung oder dem Algorithmus liegen. Über Nacht wird nicht passen. Bei 10MB/s und 1TB Speicher brauche ich ca. 26 Stunden um das komplett zu verschlüsseln. Und dann ist noch die Frage ob nach der Verschlüsselung die Performance wirklich besser ist. Nicht das ich dauerhaft 10MB/s habe.
DerWoWusste
DerWoWusste 16.02.2016 aktualisiert um 19:19:47 Uhr
Goto Top
So, ich hatte zufällig gerade die Gelegenheit, es erneut zu testen.
Uraltnotebook (2007) mit alter 500-GB-HDD, win10 v1511, AES-XTS128 (default): 23MB/s
mit AES-XTS 256: 21 MB/s Verschlüsselungsrate.
DerWoWusste
DerWoWusste 16.02.2016 aktualisiert um 19:24:45 Uhr
Goto Top
Noch was: Man kann die Verschlüsselung von der Kommandozeile aus pausieren:
Manage-bde -Pause x:
vBurak
vBurak 16.02.2016 um 19:56:56 Uhr
Goto Top
Okay, danke für die Vergleichswerte. Dann ist die Implementierung wohl einfach langsam...

Dann muss ich wohl in den sauren Apfel beißen und am besten alles runter kopieren, formatieren, schnelle Verschlüsselung durchführen und alles wieder drauf kopieren.