Bitlocker: Verschlüsselung einer 8TB-Platte

[nochnholger]

Moin zusammen,

meine beruflichen Datenmengen werden immer größer. Ich komme inzwischen auf 6,5 TB. Da ich meine Backup-Platten natürlich an verschiedenen Orten lagere, die also logischerweise rumschleppen muss, möchte ich sie verschlüsseln.

Ich hab eben versucht eine volle Platte zu verschlüsseln und das wieder aufgegeben, da die Verschlüsselung vermutlich 3 bis 4 Tage gedauert hätte ...

Daher jetzt meine Frage: wenn ich eine leere Platte (dynamisch) verschlüssle und die dann befülle, geht das ja deutlich schneller. Wie sieht das aber beim späteren Entschlüsseln aus? Braucht Bitlocker dann auch drei Tage um die 8 TB-Platte zu entschlüsseln? Hoffentlich nicht, oder?

Gruß + merci
H.

 

[mkossmann]

Grobe Überschlagsrechnung dazu: Eine 8TB HDD liest/schreibt im Schnitt vielleicht 150 MB/s ( aussen etwas schneller,innen etwas langsamer ) . Zum Entschlüsseln muss die gesamte HDD einmal verschlüsselt gelesen und einmal entschlüsselt geschrieben werden. Damit braucht man mindestens ( unter Vernachlässigung der Zeitverluste durch Kopfbewegungen) 2 x 8000000 MB/ 150 MB/s = 106666 s = 29,6 h.

 

[nochnholger]

Lieber Experte,
das mag rechnerisch so sein, in der Praxis ist es - wie gehofft! - aber doch anders! Ich wollte es jetzt wissen und hab mal eine 4TB-Platte naggisch "gebitlockt" und dann 2TB Daten draufkopiert. Das Runterfahren des Rechners (Verschlüsseln) dauerte nicht lange. Und noch besser: als ich nach dem Wiederhochfahren das Passwort eingeben musste, waren die 2TB ratzfatz entschlüsselt und ich konnte nach wenigen Sekunden(!!!) auf die Platte zugreifen.
Geht doch!

 

[Techlogi]

Wenn du eine leere Platte verschlüsselst und ihm sagst, dass nur belegter Platz verschlüsselt werden soll, ist das bei einer wirklich leeren Platte in <1min erledigt.
Allerdings lassen sich aus dem unbelegtem Bereich etwaige Daten wiederherstellen, wenn vorher was drauf war.

 

[nochnholger]

Ja aber ich hatte die dynamische Verschlüsselung so verstanden, dass immer nur so viel verschlüsselt wird, wie befüllt wird. Welchen Sinn macht es eine Platte zu verschlüsseln und dann Daten draufzuspielen, die dann wieder nicht verschlüsselt sind?

Beitrag automatisch zusammengeführt: Gestern um 14:49

Oder noch mal, falls es da Missverständnisse gab: ich hab die leere Platte verschlüsselt und dann dort 2TB Daten draufkopiert. Die sollten doch dann verschlüsselt sein - oder?

 

[Techlogi]

Wenn du bei einer gebrauchten Platte nur den belegten Platz verschlüsselst, dann kann aus dem unbelegten Bereich gelöschte Daten wiederhergestellt werden. Darauf weißt der Bitlocker Assistent auch hin, sinngemäß:
Neuer PC/Datenträger --> nur belegt verschlüsseln
Gebrauchter PC/Datenträger --> alles verschlüsseln

 

[nochnholger]

Okay, aber das ist ja ein ganz anderes Thema - nämlich das uralte Thema "Daten WIRKLICH(!) löschen".
Darum geht es mir aber nur in zweiter Linie, denn die Platte krieg ich schon irgendwie vollgeschrieben.

Meine Frage war ansich erst mal nur, ob die 2 TB, die ich auf die ursprünglich leere Platte kopiert habe, dann auch verschlüsselt sind. Und das sind sie wohl ... ?
Wenn ich dann also den restlichen Platz auch noch vollschreibe, sprich, alles auf der Platte überschrieben habe und all das verschlüsselt ist, dann sollte das Gnaze doch halbwegs safe sein?

 

[Techlogi]

Ja und ja.

 

[nochnholger]

Na also, da hammwasdoch!

Ich werd aber lieber trotzdem mal bei 4TB noch einen Zwischentest machen, ob die Ver-/Entschlüsselung tatsächlich genauso zackig geht wie sie bei bei den 2TB ging.

 

[Eye-Q]

Ich weiß nicht, ob dir bewusst ist, dass Du in den seltensten Fällen die Daten überhaupt komplett entschlüsseln musst. Für eine Wiederherstellung aus einer Datensicherung über dasselbe Programm, mit dem Du die Datensicherung erstellt hast, wird das nicht benötigt, weil das Betriebssystem den Verschlüsselungsschlüssel kennt. Wenn das ursprüngliche Betriebssystem nicht mehr läuft, braucht es nur den Entschlüsselungsschlüssel, der z.B. physisch auf einem Blatt Papier stehen sollte, was getrennt von den Sicherungsplatten aufbewahrt werden sollte, dann kann das neue Betriebssystem die verschlüsselten Daten lesen.

 

[nochnholger]

Das wusste ich tatsächlich nicht. Aber nur so ist es ja eigentlich zu erklären, dass ich so schnell auf die verschlüsselten 2TB Daten wieder Zugriff hatte. Oder?

 

[Holt]

Beim Lesen einer Verschlüsselten Platte wird nicht der ganze Inhalt der Platte erst entschlüsselt, sondern dies passiert nur in Echtzeit für die Daten die gerade gelesen werden. Von daher ist es egal wie groß die Platte ist, denn das Entschlüsseln passiert eben nur für die Daten die gerade gelesen werden.

 

[nochnholger]

Ich kannte von früher noch Truecrypt/Veracrypt. Da hab ich immer einen ganzen Container verschlüsselt und da meine Daten reingepackt.

Aber einen 8TB Container über mehrere Tage verschlüsseln? Nö. Nicht wirklich ...

Da ich jetzt ganz guter Dinge bin, was die Peu-a-Peu-Verschlüsselung angeht: noch ne Frage. Ich brauche mindestens 2 Kopien der verschlüsselten Backup-Platte.

Wenn ich meine 6,5 TB komplett verschlüsselt habe: kann ich dann die komplette Platte klonen? Also dass der Klon dann auch wieder mit dem selben Schlüssel entschlüsselt werden kann? Oder muss ich das ganze Prozedere (leere Platte verschlüsseln und dann die Daten reinkopieren) 2x wiederholen?

 

[Luxxiator]

Klonen heißt exakte 1 zu 1 Kopie; mehr musste nicht wissen...

 

[Eye-Q]

Noch eine Frage: wie sicherst Du die Daten? So wie es sich anhört kopierst Du einfach nur Dateien von internen auf die externen Platten. Das ist zwar ein Weg, eine Datensicherung durchzuführen, aber gerade bei beruflichen Daten eher ungünstig, weil damit keine bzw. nur eine sehr krude Versionierung möglich ist und das Betriebssystem inkl. Programmen und Einstellungen komplett neu eingerichtet werden müssen, wenn der gesicherte PC komplett über'n Jordan geht, sei es nun durch Hardwarefehler, Verschlüsselungstrojaner oder Naturgewalten.

Wenn es nur um diesen einen PC geht, kannst Du so etwas auch z.B. mit Veeam Agent for Windows durchführen, das kommt auch nativ mit BitLocker zurecht und Du brauchst dir über so etwas keinerlei Gedanken mehr zu machen.

 

[nochnholger]

Danke, dass Du besorgt bist! Aber keine Sorge: hier geht es ja nur um Daten-Platten. Meine Systemplatten werden gesondert gesichert. Bisher mit Macrium und/oder Drive-Snapshot. Zukünftig eventuell mit dem ct'-Teil - das muss ich aber erst noch ausprobieren. UND: ich mach das schon seit 30 Jahren. Nur das mit der kompletten Verschlüsselung wird jetzt neu.

Beitrag automatisch zusammengeführt: Gestern um 19:59

Nachtrag: die System-Platten muss ich natürlich weder verschlüsseln noch auslagern.

 

[Neon Knights]

mal was anderes, aber zum eigtl. Thema. Damals hat die Firma securstar damit geworben keinen Masterkey für deren Verschlüsselungssoftware zu haben bzw. zu liefern. Da kann man sich bei Microsoft nicht wirklich sicher sein so wie ich finde. D.h. selbst wenn Regierungen bei securstar anfragen --> es gibt keinen Masterkey der die Platten entschlüsseln könnte. Ich weiß natürlich das die Platten aller HWluxx User nie auch nur irgendwelche Gesetzes unkonformen Daten enthalten. Trotzdem wollte ich das das hier Erwähnung findet. Zum Thema klonen von verschlüsselten Platten. Drivecrypt plus pack verschlüsselte Sektor basiert wenn ich mich noch recht entsinne. Ich glaube Acronis True Image oder O&O Diskimage können mit verschlüsselten Platten umgehen..... als Backup und auch als eine verschlüsselte Wiederherstellung.

O&O Diskimage...

 

[Neon Knights]

....sehr interessant. Ist wohl immer noch so sicher.

securstar FAQ: