HDD/SSD verschlüsseln mit USB-Stick als Key

[Pacer]

Hab da mal ne Frage an euch.
Entschuldigt falls sie bisschen absurd klingen sollte, aber blick da momentan, auch nach Suchfunktion, nicht so ganz durch.
Hab nen X200T mit PowerOn/ Biospwd und BiosLock. eingebaut ist ne SSD 830 128GB.

Was müsste ich Einrichten, damit ich die Festplatte so verschlüssel, dass zum Hochfahrn nen Key auf nem USB-Stick benötigt wird ?
Geht des mit Truecrypt ? (Fallback bei Stickverlust wäre nen normales PWD mit 12+ Zeichen gedacht )
Harddisk-PW scheint ja mit der Platte Probleme zu bereiten, oder irre ich mich ? Stichwort Fehler 0200.

Scheinbar verlangsamt TC ja den Datendurchsatz, bzw. ist für FDE bei SSD nicht geeignet.

Andere Möglichkeit hierfür, was mir eingefallen ist, wäre Bootmgr auf USB-Stick auslagern.
Ist aber eher nicht gewollt.


Danke

Edit: Das ganze unter Win7 Pro und sofern möglich da Student kostenlos

 

[cuco]

Key auf USB Stick? Hmm ich glaube das geht mit Truecrypt nicht für die Pre-Boot-Authentication. BitLocker kann das aber. Dafür brauchst du aber Windows 7 Ultimate oder Windows 8 Pro und 'nen TPM Chip (der müsste drin sein).

 

[Pacer]

naja TPM hat wieder des Problem, dass bei nem Mainboardtausch ich nicht mehr an die Daten komme, wenn ich mich nicht täusche.

 

[cuco]

Doch, dafür gibt es einen Wiederherstellungsschlüssel und das Wiederherstellungskennwort. Letzteres wirst du auch eintippen müssen, wenn der USB-Key mal nicht da ist oder kaputt ist. Da der Wiederherstellungsschlüssel der Verschlüsselungskey selbst ist und das Wiederherstellungskennwort auch zur (Re-)Generierung des eigentlichen Keys selbst ist, kann man dies natürlich nicht wählen und es ist eine lange (Buchstaben-/)Zahlen-Kombi.

 

[Pacer]

danke dir, werd s mir mal näher anschauen.

Edit: Noch jmd eine Alternative für Bitlocker bekannt ?

 

[Mornsgrans]

Abgekoppelt aus "Kurze Fragen" - Thread, da für alle von Bedeutung

 

[cuco]

Folgende Möglichkeiten hast du, um deine Daten zu verschlüsseln:
1.) SSD benutzen, die intern verschlüsselt (ich meine, deine Samsung 830 macht es). Den Schlüssel dann mit dem ATA-Passwort schützen. Wie du schon sagst, gibt das auf einigen Laptops aber Probleme mit Fehler 0200. Den kann man aber einfach mit Escape wegdrücken - nervig ist er trotzdem. Und das geht nicht mit Keyfiles (z.B. Keyfile auf USB-Stick), nur mit Passwort.
2.) Das ATA-Passwort kann man außerdem dann statt durch tippen auch mit dem Fingerprint-Reader eingeben. Also wie Methode 1, nur dass der Fingerabdruck dann zum Entsperren reicht.
1+2 funktionieren mit jedem Betriebssystem und kosten keine Performance.
3.) Truecrypt verwenden. Kostet allerdings Performance (durchaus ~70% der SSD-Leistung). Keyfiles gehen, allerdings nicht für die Systemverschlüsselung. Da must du wieder aufs Passwort setzen. Es gehen nur Windows XP, Windows Vista, Windows 7 und Windows Server 2003.
4.) LUKS+DM-Crypt einsetzen. Kostet auch Performance, meinen Erfahrungen nach aber DEUTLICH weniger als z.B. Truecrypt. Standardmäßig läuft das aber auch über Passwort. Ich denke, man könnte hier aber was mit Keyfiles basteln. Wird aber etwas frickelig... Außerdem: Nur unter Linux möglich. Für den Fall, dass man die Keyfiles verliert, kann man einen zweiten Slot mit einem zweiten Passwort anlegen. Dann kann man entweder mit der Keyfile oder eben mit dem Passwort entschlüsseln.
5.) Bitlocker. Der Key liegt in der TPM (eine TPM ist also Pflicht). Die TPM kann man wiederum so konfigurieren, dass sie den Key nur freigibt, wenn ein bestimmter USB-Stick angeschlossen ist und/oder eine bestimmte PIN eingetippt wird. Sonst gibt die TPM den Key nicht frei. Muss man allerdings einstellen, standardmäßig gibt die TPM den Key schon ohne PIN frei, so lange an der Hardware nichts verändert wurde. Wenn man den USB-Stick dann nicht dabei hat oder verloren hat, braucht man ein Wiederherstellungskennwort. Wenn die TPM gelöscht wurde oder man die SSD/HDD ausbaut, braucht man den Wiederherstellungskey. Das ganze kostet natürlich auch ordentlich Performance. Meinen Erfahrungen nach bei sequentiellen Transfers mehr als Truecrypt, dafür bei den wichtigeren 4K-Werten weniger, ist also etwas performanter als die Truecrypt-Variante, aber weniger als die LUKS/dm-crypt-Variante. Allerdings braucht man Windows Vista oder Windows 7 in der Version Enterprise oder Ultimate, Windows Server ab 2008 ebenfalls. Oder Windows 8 Pro. Für dich als Student kommt über Dreamspark dann nur ein Server Windows oder Windows 8 Pro in Frage.
6.) Software von anderen Herstellern, kostenpflichtig. Ich wüsste da so nur noch Sophos SafeGuard Easy. Ich weiß aber nicht, was es kostet, wie viel Performance es schluckt und ob es Keyfiles kann, sowie was passiert, wenn einem die Keyfiles abhanden kommen. Positiv wäre, dass es wohl den Lenovo Fingerprint Reader unterstützt.

 

[gazpel]

Du könntest einen yubikey entweder so oder mit statischem Key und optional eigenem Zusatz verwenden. Der Yubikey meldet sich als Tastatur an und spuckt auf Knopfdruck eine Zeichenfolge aus. An die hängst du dann noch ein paar Zeichen an damit keiner nur mit dem usb-stick an die Daten kommt. => starkes Passwort, wenig Aufwand.

 

[independence]

Du könntest einen yubikey entweder so oder mit statischem Key und optional eigenem Zusatz verwenden. Der Yubikey meldet sich als Tastatur an und spuckt auf Knopfdruck eine Zeichenfolge aus. An die hängst du dann noch ein paar Zeichen an damit keiner nur mit dem usb-stick an die Daten kommt. => starkes Passwort, wenig Aufwand.

Hast du einen Yubikey in Verwendung?
ziemlich interessant das Teil

 

[gazpel]

Hast du einen Yubikey in Verwendung?
ziemlich interessant das Teil

Ich habe (noch) keinen Yubikey im Einsatz. Wenn/Falls sich das mal ändert, stelle ich den (und wie ich den am TP nutze) dann gerne mal hier vor.

 

[independence]

Ich habe (noch) keinen Yubikey im Einsatz. Wenn/Falls sich das mal ändert, stelle ich den (und wie ich den am TP nutze) dann gerne mal hier vor.

warum hängt es derzeit noch bei der Anschaffung ;-)

 

[independence]

bitte löschen - Doppelpost wegen langsamer Verbindung

 

[xsid]

Pacer:

naja TPM hat wieder des Problem, dass bei nem Mainboardtausch ich nicht mehr an die Daten komme, wenn ich mich nicht täusche.

Doch, dafür gibt es einen Wiederherstellungsschlüssel und das Wiederherstellungskennwort. Letzteres wirst du auch eintippen müssen, wenn der USB-Key mal nicht da ist oder kaputt ist. Da der Wiederherstellungsschlüssel der Verschlüsselungskey selbst ist und das Wiederherstellungskennwort auch zur (Re-)Generierung des eigentlichen Keys selbst ist, kann man dies natürlich nicht wählen und es ist eine lange (Buchstaben-/)Zahlen-Kombi.

Hallo cuco,

kannst Du meine Frage, das genaue Vorgehen beantworten?

http://thinkpad-forum.de/threads/124917-Mainboard-defekt-Windows-7-BitLocker-TPM-Chip


Danke.

MfG

xsid


Edit: @TE

http://www.windowsblog.at/post/2008/05/14/26684.aspx

Frage: Braucht es einen TPM Chip?
Nein, nicht zwingend. Für maximale Sicherheit ja (am besten noch plus Start-up Key & PIN), aber es geht auch, indem man den Key auf einen USB Stick speichert. Wie man entsprechende Gruppenrichtlinien dazu setzt steht hier beschrieben: Windows BitLocker Drive Encryption Step-by-Step Guide.

Schau dir mal das an.

 

[Pacer]

Yubikey würde mich auch mal näher interessieren.

Bin da dann doch auch am überlegen, ob ich mir einen bestellen soll.

 

[u.mac]

naja TPM hat wieder des Problem, dass bei nem Mainboardtausch ich nicht mehr an die Daten komme

Und? ...dann spielst Du halt Dein Backup zurück

 

[Pacer]

Naja, hab halt leider nur Win7 Prof. :/

Deswegen is momentan Yubikey mein Favorit

 

[yatpu]

auch ohne verschlüsselung gilt:
daten, von denen man kein backup anlegt und dieses reglemäßig überprüft, sind unwichtig!