BitLocker benötigt Tage auf einer leeren externen Festplatte / Ist unter Windows 7 "Nur verwendeten Speicherplatz verschlüsseln" verfügbar?

12

Ich habe Windows 7 x64 und eine brandneue externe USB-Festplatte mit 2 TB. Ich habe es formatiert und bestätige, dass es leer ist.

Ich habe BitLocker aktiviert und zwei Dinge passieren:

  • Es dauert mindestens 10 Stunden oder sogar Tage:

    Laufwerk F: 0,4% abgeschlossen

  • Die Festplatte war anfangs leer (1,81 TB frei / 1,81 TB insgesamt), aber kurz nach dem Aktivieren von BitLocker ist die Festplatte sofort voll (5,99 GB frei von 1,81 TB):

    Laufwerk F: mit 5,99 GB frei von 1,81 TB

Beim Öffnen sind jedoch keine Dateien vorhanden F:.

Warum dauert BitLocker auf einer brandneuen leeren Festplatte Stunden?

Hinweis: Ich habe diesen Screenshot für Windows 10 hier gefunden . Ist die Option "Nur verwendeten Speicherplatz verschlüsseln" in Windows 7 für Wechselmedien verfügbar ("BitLocker To Go")?

Geben Sie hier die Bildbeschreibung ein

windows-7 hard-drive external-hard-drive encryption bitlocker Basj
quelle
@Kinnectus Neu gegen Alt spielt natürlich keine Rolle. Da es sich jedoch um eine leere Festplatte handelt , müssen zunächst keine Daten verschlüsselt werden. Hier in diesem Thema heißt es, es sollte sofort erledigt werden ...
Basj
1
Stellen Sie außerdem sicher, dass Sie die schnellsten verfügbaren USB-Anschlüsse Ihres Geräts verwenden. Während die Antwort die Notwendigkeit anspricht, das gesamte Laufwerk zu verschlüsseln, können 2 TB schneller erledigt werden
usr-local-ΕΨΗΕΛΩΝ
1
@Basj: Das sofortige Aktivieren der Verschlüsselung ("verschlüsseltes Laufwerk") funktioniert nur unter Windows 8 und höher. Das bedeutet im Grunde nur, dass das Laufwerk, das ohnehin bereits verschlüsselt ist, den Entschlüsselungshauptschlüssel sichern oder das Entschlüsselungsschlüsselkennwort durch ein anderes ersetzen soll. Auf der eigentlichen Festplatte ändert sich nichts wirklich. Frühe Bitlocker-Implementierungen waren leider so dumm, dass sie unbrauchbar wurden. Sie kommen nicht darum herum, jeden Block in der Software zu verschlüsseln, wenn die Hardware das sowieso schon tut.
Damon
@Damon Dies ist auf Laufwerken, die keine Hardwareverschlüsselung unterstützen, nicht korrekt (und ich habe keine Details darüber gesehen, ob dies für HW-verschlüsselte Laufwerke zutrifft). Nur die Verschlüsselung mit verwendetem Speicherplatz bewirkt genau das: Sie liest, verschlüsselt und schreibt jeden Block auf dem verwendeten Volume. Einzelheiten finden Sie im Zitat von Microsoft in meiner Antwort.
Ich sage Reinstate Monica

Antworten:

16

Ist die Option "Nur verwendeten Speicherplatz verschlüsseln" in Windows 7 verfügbar?

Unglücklicherweise nicht. Diese Option wurde mit Windows 8 eingeführt, wie im Microsoft TechNet-Tipp des Tages nach BitLocker "Nur verwendeten Speicherplatz verschlüsseln" angekündigt :

Bisher war die BitLocker-Verschlüsselung ein "Alles oder Nichts". Entweder wurde ein Volume vollständig verschlüsselt oder nicht. Windows 8 bietet die neue Option "Nur verwendeten Speicherplatz verschlüsseln".

Warum dauert BitLocker auf einer brandneuen leeren Festplatte Stunden?

Denn ohne die Option Nur verwendeten Speicherplatz verschlüsseln muss BitLocker die gesamte Festplatte verschlüsseln , dh sowohl Daten als auch freien Speicherplatz (technisch gesehen wird nur der freie Speicherplatz gelöscht). Aus diesem Grund verfügt das Volume während des Verschlüsselungsprozesses nur über 6 GB freien Speicherplatz. Hier ist die Erklärung des Microsoft BitLocker-Teams, was los ist:

F: Ich habe BitLocker auf meinem Volume aktiviert und - poof! - Mein ganzer freier Speicherplatz ist weg! Was ist falsch? Noch wichtiger ist, wie bekomme ich es zurück?

Gute Nachricht: Nichts ist falsch und das einzige, was Sie tun müssen, um es zurückzubekommen, ist warten. Hier ist eine Erklärung auf hoher Ebene (einige komplizierte technische Details wurden der Kürze halber weggelassen).

In der IT-Welt bedeutet "Löschen" normalerweise "Aus der Sicht entfernen" und nicht "Auslöschen". Nicht zugewiesener Speicherplatz kann interessante Daten enthalten: verrottende Skelette von Kompensationstabellen, „gelöschte“ Textdateien mit Passwörtern und Kreditkartennummern, verworfene automatisch gespeicherte Kopien streng geheimer Präsentationen. Daher kann BitLocker den freien Speicherplatz nicht einfach ignorieren, wenn das Volume verschlüsselt wird.

Auf der anderen Seite ist das Verschlüsseln (oder genauer gesagt „Lesen, Verschlüsseln und Zurückschreiben“) von freiem Speicherplatz eine echte Verschwendung auf einem typischen Volume, das normalerweise zu weniger als zwanzig Prozent voll ist. Zur Leistungsoptimierung überschreibt BitLocker einfach nicht zugewiesenen Speicherplatz mit Rauschen, wodurch redundante Lesevorgänge vermieden werden. Wie erwartet ist das Löschen von freiem Speicherplatz etwa doppelt so schnell wie das Verschlüsseln von Daten, bei großen Volumes dauert es jedoch immer noch sehr lange.

Jetzt ist der freie Speicherplatz in der Regel sehr flüssig. Nicht zugewiesene Teile des Speicherplatzes werden ständig überall angezeigt und verschwinden. Die Feststellung, ob ein bestimmter Sektor zu einem bestimmten Zeitpunkt verschlüsselt oder gelöscht werden muss, ist eine erhebliche technische Herausforderung. BitLocker löst dieses Problem, indem eine große Datei erstellt wird, die den größten Teil des verfügbaren Speicherplatzes beansprucht (6 GB für kurzfristige Systemanforderungen verbleiben) und die zur Datei gehörenden Festplattensektoren gelöscht werden. Alles andere (einschließlich ~ 6 GB freier Speicherplatz, der nicht von der Löschdatei belegt wird) wird verschlüsselt. Wenn die Verschlüsselung des Volumes angehalten oder abgeschlossen ist, wird die Löschdatei gelöscht und der verfügbare freie Speicherplatz wird auf den Normalwert zurückgesetzt.

Ich sage Reinstate Monica
quelle
Der Grund, warum die Option überhaupt verfügbar ist, obwohl Informationen über die Festplattennutzung verloren gehen, liegt darin, dass SSDs die freien Blöcke zum Abnutzen und Zwischenspeichern verwenden.
Ratschenfreak
6

Zusätzliche Lösung:

  • Verwenden Sie Windows 10 eines Freundes, um das Laufwerk zu formatieren und BitLocker mit der Funktion "Nur verwendeten Speicherplatz verschlüsseln" zu aktivieren . Es dauert nur wenige Minuten.

  • Wenn Sie wieder mit Windows 7 Ultimate arbeiten, können Sie die Festplatte weiterhin lesen / schreiben

Und noch besser:

  • Wenn Sie wieder mit Windows 7 Pro arbeiten, können Sie die Festplatte weiterhin lesen / schreiben!

Letzteres ist sehr interessant, da "BitLocker für Windows 7 Professional nicht verfügbar ist und nicht heruntergeladen und installiert werden kann." . Mein Test hat gezeigt, dass das Erstellen einer neuen BitLocker-verschlüsselten Festplatte mit Windows 7 Pro nicht möglich ist, die Verwendung (Lesen + Schreiben) auf einer bereits BitLocker-fähigen Festplatte jedoch mit Windows 7 Pro möglich ist!

Basj
quelle
1
+1 für das Investieren von Zeit, um dies zu überprüfen und es selbst herauszufinden!
Gronostaj
Danke @gronostaj ... Ich habe heute Stunden damit verbracht, BitLocker + VeraCrypt auszuprobieren :) Schließlich werde ich BitLocker verwenden, denn wenn ich VeraCrypt verwende, bin ich der einzige zu Hause, der diese externe Festplatte verwenden kann. Die Benutzeroberfläche von VeraCrypt ist für Nicht-Power-User nicht möglich (viele kleine - nur kleine, aber dennoch - Nachteile, die die Verwendung für meine Familie erschweren würden). Es war ein interessanter Test!
Basj
2

Bei der vollständigen Festplattenverschlüsselung geht es nicht nur darum, den Inhalt von Dateien zu verbergen. Es geht auch darum, ihre Anwesenheit oder ihren Mangel zu verbergen. Eine ordnungsgemäß verschlüsselte Festplatte sollte so aussehen, als wäre sie vollständig mit zufälligen Daten gefüllt, es sei denn, Sie kennen den Verschlüsselungsschlüssel.

BitLocker hat das verschlüsselte Volume wahrscheinlich vollständig formatiert, dh mit Nullen gefüllt, um sicherzustellen, dass jeder Teil davon vor der Entschlüsselung wie zufällige Daten aussieht.

gronostaj
quelle
Ist es standardmäßig so? Die Leute sagten hier in diesem alten Thema, dass es für eine leere Partition sofort sein sollte. Auch ich sehe in diesem Beitrag you can choose between "encrypt only new data" and "encrypt data which is already on the drive". Wo kann man diese BitLocker-Einstellung in Windows 7 ändern?
Basj
Sehen Sie sich das bearbeitete Ende der Frage an. Wissen Sie, wo diese Option in Windows 7 zu finden ist?
Basj
Entschuldigung, das weiß ich nicht. Möglicherweise wurde diese Funktion später eingeführt.
Gronostaj
Wenn Sie BitLocker selbst @gronostaj verwenden, ist es nützlich, mehr als 24 Stunden Arbeit zu haben, um eine leere neue externe USB-Festplatte zu initialisieren?
Basj
1
@Basj Ich benutze Bitlocker nicht, habe aber einige Erfahrungen mit ähnlichen Lösungen für Linux. Ob es nützlich ist oder nicht, hängt von Ihrem Risikomodell ab. Wenn Sie über ein vollständig verschlüsseltes Laufwerk verfügen, können Sie nicht erkennen, welche Bereiche der Festplatte nicht verwendet werden. Wenn Sie sich nicht dafür interessieren, dass Angreifer das wissen, können Sie Zeit sparen, indem Sie die vollständige Formatierung überspringen.
Gronostaj
1

Da Windows 7 BitLocker die gesamte Festplatte verschlüsselt, muss es auf dem gesamten Volume lesen und schreiben. Dies kann auf einer externen Festplatte aufgrund von Bandbreitenbeschränkungen bei einigen Schnittstellen wie USB1 / 2 viel länger dauern. Auch externe Speichergeräte (Nicht-SSD) sind in der Regel langsam drehende Festplatten, um die Zuverlässigkeit zu verbessern, da externer Speicher häufiger verschoben wird.

Secured2k
quelle
Was meinen Sie mit "... um die Zuverlässigkeit zu verbessern, da externer Speicher häufiger verschoben wird" ? Können Sie näher darauf eingehen (indem Sie Ihre Antwort bearbeiten und hier nicht in Kommentaren antworten (falls zutreffend))?
Peter Mortensen