Bitlocker unter Windows 10 für externe Festplatte

Mitglied: vBurak

vBurak (Level 2) - Jetzt verbinden

15.02.2016, aktualisiert 19.02.2016, 6486 Aufrufe, 7 Kommentare

Hallo,

ich möchte gerne meine externe Festplatte mit Bitlocker verschlüsseln.

Leider bin ich auf einige Probleme gestoßen und ich bin inzwischen nicht mehr ganz sicher, ob ich das so richtig verstehe.

Ich versuche es mal als einzelne Punkte aufzuschreiben.

Vorab die Ausstattung von meinem Rechner:

Intel Core i7-6700
TPM aktiv und einsatzbereit
Secure Boot und UEFI eingestellt
Windows 10 Version 1551 Build 10586.104
USB 3.0 Seagate Portable 1TB Festplatte.

Nun zu meinen Fragen:

1) Bitlocker kann sowohl Software-Verschlüsselung als auch Hardware-Verschlüsselung verwenden. Bezieht sich die Hardware-Verschlüsselung auf die Verwendung vom AES-NI Befehlssatz oder auf eine evtl. interne Verschlüsselungstechnik von der Festplatte selbst? Das heißt, wenn damit die interne Verschlüsselungstechnik gemeint ist (manche SSDs haben das ja irgendwie inzwischen), dann kann ich eine Festplatte ohne diese, nur per Software-Verschlüsseln?

2) Wenn ich per Gruppenrichtlinie, die Hardware-Verschlüsselung erzwinge, verweigert mir Bitlocker für VHDX-Dateien und interne sowie externe Laufwerke die Verschlüsselung. Es wird gesagt, dass durch Gruppenrichtlinien Software-Verschlüsselung eingeschränkt ist.

3) Mit Version 1511 kam die XTS-AES Verschlüsselung dazu. Ich habe mit dieser und dementsprechend der Software-Verschlüsselung angefangen, meine externe Festplatte zu verschlüsseln. Laut Task-Manager war eine Auslastung von 100% und Lese/Schreib-Geschwindigkeit lag jeweils bei ca. 10MB/s. Das kann doch nicht wahr sein?? Bei 1TB Festplatte bräuchte ich 26 Stunden zum verschlüsseln und für die Festplatte ist das sicher auch nicht so gut.

4) Ich habe dann auch das bei einer internen Festplatte ausgewählt (2,5" 5400rpm) sogar mit AES-CBC Modus. Hier komme ich auf ca. 20MB/s. Auch nicht so der Bringer....

5) Ich habe auf ner extra Partition Windows 8.1 installiert da ich gelesen habe, es gibt wohl Probleme im Bitlocker mit Version 1511 Bitlocker hardware encryption. Leider habe ich auch hier nur lächerliche Schreibraten und die Hardware-Verschlüsselung geht ebenso nicht.


Ich bin langsam der Überzeugung, dass ich die Hardware-Verschlüsselung falsch verstanden habe und diese wohl wirklich es dem Gerät selbst auslagert. Aber warum hab ich so lächerliche Performance-Raten bei externer und auch bei interne Festplatte? Ich dachte der Vorteil vom AES-NI Befehlssatz, dass AES in der CPU implementiert ist. Und der Flaschenhals wird doch wohl nicht die Anbindung sein oder?

Viele Grüße

Burak
Mitglied: DerWoWusste
LÖSUNG 16.02.2016, aktualisiert 19.02.2016
Hi.

1 HWV benutzt die Technik der Platte. Diese muss gewissen Standards genügen, nicht alle SED (self encrypting drives) können genutzt werden, aber die meisten modernen. Wird jedoch mit 10 v1511 nichts werden, wegen des Bugs.
2 Du kannst mit dieser GPO ebenso zulassen, das SWV genutzt wird, wenn HWV nicht möglich ist
3/4 Performance ist von einigen Faktoren abhängig: Platte, Treiber des SATA-Controllers und Verschlüsselungsalgorithmus, natürlich auch, ob diese Platte anderweitig gerade genutzt wird. Am besten verschlüsseln, wenn sie leer ist, falls es eine Datenplatte ist, dann kann man die Option wählen, nur verwendeten Speicher zu verschlüsseln und sie ist sofort fertig. Ich habe schon von ähnlich schlechten Raten gelesen, selbst (ausschließlich SSDs im Netzwerk) aber auch mit AES-XTS 256 stets mindestens 50MB/s messen können.
5 Prüfe zunächst, von welchen Standards ("Opal2") Bitlocker ausgeht und ob diese gegeben sind. Dann muss die Platte hardwareseitig bereit sein (Herstellertools konsultieren). Danach 8.1 drauf installieren und Verschlüsselung aktivieren.
Bitte warten ..
Mitglied: vBurak
16.02.2016 um 10:08 Uhr
Okay, ich habe keine Festplatten mit integrierter Verschlüsselung, also SEDs. Das heißt ich kann die HWV nicht benutzen! Dann kann ich das wenigstens schon mal abhaken.

Ich würde ungern meine Festplatte erstmal weg kopieren, und dann verschlüsseln und dann wieder drauf kopieren. Während des verschlüsselns, habe ich keine keine Aktion auf der Festplatte ausgeführt.

Ich habe eben mit Veracrypt einen Container auf der ext. Festplatte angelegt und diesen konnte er mit in Veracrypt selbst mit 50-60MB/s beschreiben und über den Task-Manager war eine Schreibrate von 70-85MB/s angegeben.

Bitlocker muss natürlich jeden Sektor lesen und diesen wieder beschreiben, aber selbst wenn gleichzeitig gelesen und geschrieben wird sollten doch mehr als 10MB/s möglich sein?


Nervt mich alles irgendwie ziemlich...Wollte Bitlocker wegen der einfachen Integration in Windows nehmen. Da ich eh nur die ext. Festplatte an zwei Windows 10 Rechner benutze war das für mich auch kein Problem mit AES-XTS.
Bitte warten ..
Mitglied: DerWoWusste
16.02.2016 um 10:28 Uhr
Moin.

Ich habe genannt, wovon es abhängt und Du kannst nun sehen, ob Du daran drehen willst: Plattentyp, Treiber des SATA-Controllers und Verschlüsselungsalgorithmus. Da es jedoch ein einmaliger Vorgang ist, wäre es wohl am besten, einfach über Nacht verschlüsseln zu lassen und gut ist. Wenn danach die Performance stimmt, würde ich mir nun keinen großen Kopf darum machen ob und warum er langsam verschlüsselt.
Bitte warten ..
Mitglied: vBurak
16.02.2016 um 12:26 Uhr
Das habe ich schon gelesen, aber ich wollte nochmal verdeutlichen, das es außerhalb von Bitlocker einwandfrei ist von der Performance.

Dann wird es wohl an Bitlocker und seiner Implementierung oder dem Algorithmus liegen. Über Nacht wird nicht passen. Bei 10MB/s und 1TB Speicher brauche ich ca. 26 Stunden um das komplett zu verschlüsseln. Und dann ist noch die Frage ob nach der Verschlüsselung die Performance wirklich besser ist. Nicht das ich dauerhaft 10MB/s habe.
Bitte warten ..
Mitglied: DerWoWusste
16.02.2016, aktualisiert um 19:19 Uhr
So, ich hatte zufällig gerade die Gelegenheit, es erneut zu testen.
Uraltnotebook (2007) mit alter 500-GB-HDD, win10 v1511, AES-XTS128 (default): 23MB/s
mit AES-XTS 256: 21 MB/s Verschlüsselungsrate.
Bitte warten ..
Mitglied: DerWoWusste
16.02.2016, aktualisiert um 19:24 Uhr
Noch was: Man kann die Verschlüsselung von der Kommandozeile aus pausieren:
Manage-bde -Pause x:
Bitte warten ..
Mitglied: vBurak
16.02.2016 um 19:56 Uhr
Okay, danke für die Vergleichswerte. Dann ist die Implementierung wohl einfach langsam...

Dann muss ich wohl in den sauren Apfel beißen und am besten alles runter kopieren, formatieren, schnelle Verschlüsselung durchführen und alles wieder drauf kopieren.
Bitte warten ..
Heiß diskutierte Inhalte
Netzwerkgrundlagen
Frage der anderen Art
NeuerleVor 1 TagFrageNetzwerkgrundlagen16 Kommentare

Hi an alle, Ich bin InformatikStudi. Habe Ende des Monats Klausur im Fach Netzwerke zu schreiben und komme gar nicht klar. Entweder ich bin ...

Ubuntu
Cups-Server mit SMB lehnt Verbindungen ab (smb.conf)?
ErikHeinemannVor 1 TagFrageUbuntu17 Kommentare

Guten Morgen, ich habe einen Ubuntu 20.04 Server mit Cups als Printspooler. Nun Soll noch Samba hinzugefügt werden für eine einfache Verwendung unter Windows. ...

Exchange Server
Kaspersky for Exchange Meldungen
gelöst wieoderwasVor 1 TagFrageExchange Server11 Kommentare

Guten Morgen, wir haben bei uns einen Exchange 2013 mit Kaspersky for Exchange und Sophos auf Dateiebene. Heute Morgen habe ich einige von diesen ...

Groupware
Lokale Mini-Groupware für Mail, Adressbuch und Kalender gesucht
AndreasKasselVor 1 TagFrageGroupware10 Kommentare

Hallo zusammen, ich habe insgesamt 2 PCs, 1 Notebook, 1 Android-Tablet und ein Android-Smartphone. Weiterhin habe ich 2 Mail-Adressen bei 1&1 mit einer eigenen ...

Grafikkarten & Monitore
Unerklärliche Aussetzer Bildschirm und Maus
nixwissenderVor 1 TagFrageGrafikkarten & Monitore10 Kommentare

hallo! wir haben aktuell das unerklärliche phänomen, dass sich am arbeitsplatz vom mitarbeiter eines der beiden bildschirme kurzzeitig ausschaltet (und zwar der, der per ...

Monitoring
Mac Adressen im Netzwerk loggen
Peter444Vor 1 TagFrageMonitoring6 Kommentare

Hallo Zusammen, mehrere Rechner sind über eine Fritzbox 7590 mit dem Internet verbunden. Einige Wlan-Geräte kommen ab und an dazu. Ich möchte nun die ...

CPU, RAM, Mainboards
CPU Lüfter ausbauen
gelöst ben1300Vor 1 TagFrageCPU, RAM, Mainboards9 Kommentare

Hallo zusammen, ich habe mir damals einen Fertig PC gekauft. Ich würde gerne den Arbeitsspeichern austauschen, allerdings muss ich dafür - so wie es ...

Backup
Backup Datei
gelöst KanrishaVor 1 TagFrageBackup5 Kommentare

Hallo Zusammen, ich habe eine Frage ich will eine Backup bat Datei schreiben habe jedoch ein kleines Problem. Ich möchte ein Laufwerk in das ...