Frage bzgl. Verschlüsselung einer VM

T

trendco

Member
Proxmox Subscriber
Jan 9, 2012
282
2
18
Hallo,

ich möchte 2 meiner W7-VM's gerne verschüsseln und habe noch Verständnisfragen dazu.

Zum Test habe ich in einer VM Veracrypt installiert und die gesamte Disk verschlüsseln lassen. Das ganze funktionierte auch problemlos.

Was mir allerdings auffiel: Wenn ich eine W7-VM mit einer Diskgrösse von 50GB habe und diese nur mit 30GB belegt ist, dann belegte die VM bisher auch nur diese 30GB im Proxmox Datastore.

Nachdem ich diese eine Test-VM aber nun aber verschlüsselt habe, belegt diese nun die vollen 50GB.

Ist das normal?

Zur Info: An dem Punkt im Setup wo Veracrypt fragt, ob man den leeren Platz mit Zufallszahlen oder mit anderen noch sichereren Verfahren überschreiben lassen möchte, hab ich "Ohne (am schnellsten)" gewählt.
 
Ich hab selber nicht wirklich viel Erfahrung mit Veracrypt aber ich hab folgende Antwort gefunden: https://www.reddit.com/r/crypto/comments/7s6ljr/what_does_veracrypt_mean_by_wipe/dt9tzl6/

Zusammengefasst: Veracrypt überschreibt diese Stellen nicht mit Zufallszahlen oder anderem sondern nimmt was in diesen Sektoren liegt wenn man "Ohne" auswählt.

Egal was man auswählt, es wird immer die gesamte Disk verschlüsselt, Alles andere würde dem Sinn der Verschlüsselung auch zuwider laufen da es einem Angreifer leichter gemacht wird sich auf die eigentlichen Daten zu konzentrieren. Fazit: ja ist ganz normal und wahrscheinlich ist es besser die Bereiche von Veracrypt initial mit Zufallszahlen zu überschreiben.
 
Ja dies ist normal, weil VeraCrypt den vollen Speicher Addressiert, daher weiß der host nicht ob dieser Platz nicht belegt ist und geht von der vollen nutzung aus
 
trendco said:
Aber wie ist das dann bei einem normalen PC mit SSD Platte. Die wäre doch dann ständig als voll markiert bzgl. TRIM.
Oder versehe ich da jetzt was falsch?
Click to expand...

Ja genau. Wie schon von den Vorrednern beschrieben, das macht cryptografisch keinen Sinn nicht alles zu verschlüsseln, da man ja sonst als Angreifer weiß, wo die Daten liegen. Verschlüsselung ist auch inkompatibel mit TRIM, da man dort das gleiche Problem hat.

Ein Weg wäre SED (self-encrypting devices) zu verwenden, falls deine Hardware sowas anbietet (bei "richtiger" Serverhardware normal).

Eine mögliche Alternative wäre für dich vielleicht auch die Verschlüsselung, die es mittlerweile in ZFS direkt gibt und die mit Version 6 Einzug in PVE gehalten hat.

Um z.B. DSGVO beim Hosting einzuhalten verwenden viele auch LUKS Verschlüsselung auf dem PVE-Host selbst um die Daten extern aus der Sicht der VMs zu verschlüsseln, so hast du - wie bei der ZFS-basierten Methode - keine Änderungen am Gastsystem.
 
Eine mögliche Alternative wäre für dich vielleicht auch die Verschlüsselung, die es mittlerweile in ZFS direkt gibt und die mit Version 6 Einzug in PVE gehalten hat.
Click to expand...

Das hab ich gestern auch entdeckt. Da werde ich dann die nächste Zeit mal upgraden auf 6 und mir das näher anschauen.
 
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom
Back