Fragen zur Verschlüsselung mit Truecrypt

[superrohri]

Ich habe auf meinem X201 zwei Partitionen (die System-Partition mit Windows 7 & Programmen und eine Daten-Partition). Ich eine Verschlüsselung mit Truecrypt in Erwägung

Was ich erreichen möchte:
- nur einmal ein Passwort (bei jedem Systemstart/Aufwachen aus Ruhezustand) eingeben müssen, danach keine weiteren Schritte notwendig, so lange der Rechner nicht runtergefahren oder in den Ruhzustand versetzt wird.
- Beide Partitionen sind verschlüsselt und geschützt. Ohne das Passwort kommt man nicht an die Daten ran und kann auch nicht das Sytem starten.
- Keine spürbaren Performance- oder Akku-Laufzeit-Verluste (der i5 520m kann ja hardwareseitig mit der AES-Verschlüsselung umgehen). Falls doch, wie stark macht es sich bemerkbar?

Lässt sich das mit Truecrypt realisieren?
Wir das Passwort auch nach dem Aufwachen aus dem Standby abgefragt?
Kann ich trotzdem Images der Sytem-Partition erstellen/wiederherstellen direkt aus laufendem Windows bzw. beim Booten vom USB-Stick mit Acronis TrueImage Home 2011?
Falls ich die Partitionsgrößen mal ändern wollte (z.B. 10GB vom freien Platz der Daten-Partition an die System-Partition abgeben), funktioniert das dann noch?

 

[rebellious]

Ich hab Truecrypt erst vor paar Tagen wieder runter geworfen. Ich hatte die Systempartition im XP komplett verschlüsselt. Das Prob war dass ich auf mein LTO-Band nichtmehr zugreifen konnte (und kann, ich tüftle immernoch das wieder her zu stellen) da der Katalog unbrauchbar wurde. Außerdem gab es am laufenden Band CRC-Fehler im J-Downloader, was ich nur durch das Auslagern des Downloadordners auf nen unverschlüsselten USB-Stick lösen konnte. Der Brenner ging auch nichtmehr und brachte Schreibfehler.

Ich glaub man ist mit abylon Cryptdrive und Hardware-Token + 448 bit Key ausreichend sicher.

Vielleicht gibts aber auch ne Möglichkeit die ganzen Probleme beim Verschlüsseln der Hauptpartition zu umgehen. Ich würde denken, mach dir ne 2te Partition, verschlüssel die und speicher darauf deine wichtigen Daten. Es sei denn, du hast Muße es komplett zu versuchen, stell dich aber auf o.g. Probleme ein.

LG

 

[superrohri]

danke für den Erfahrungsbericht. Werd mich mal dahingehend informieren.

Aber was anderes. Was passiert eigentlich mit Netzwerkfreigaben?
Wenn ich z.B. meinen Eigene musik-ordner im Heimnetzwerk freigegeben habe, kann ich dann trotz der Verschlüsselung mit Truecrypt von einem anderen Rechner aus normal darauf zugreifen?
Wie sieht's bei Ordnern mit Schreibrechten aus?

 

[independence]

da truecrypt die laufwerke in einem eigenen dateisystem formatiert ist es mit der netzwerkfreigabe ein wenig kompliziert. bei mir ist es der fall, dass sich nach jedem neustart oder neuen mount der laufwerke, alles auf "0" zurück gesetzt hat. Sprich: Alle Freigaben sind weg. Ich habe das ganze mittlerweile so realisiert, dass ich eine batch datei geschrieben habe. Diese batchdatei merkt sich den zustand der freigaben vor dem Unmount. Wenn ich die Laufwerke wieder in das System eingebunden habe führe ich die datei aus und alle freigaben werden wieder hergestellt.

 

[qwali]

Die Vollverschlüsselung mit Truecrypt läuft ausserhalb des Betriebssystems. Das heißt du gibst das Passwort noch vor dessen Start ein. Das System weiß dementsprechend nicht, dass es verschlüsselt ist und hat keine weiteren Einschränkungen. Netzwerkfreigaben etc. funktionieren wie gewohnt solange die entsprechenden Laufwerke entschlüsselt sind (soll heißen Rechner muss natürlich laufen und hochgefahren sein sowie die Laufwerke bereitstellen).

Die im zweiten Posts beschriebenen Fehler sind nicht auf Truecrypt ansich zurückzuführen, sondern ein Einzelfall.

Dein Anwendungsfall wäre so zu realisieren, dass du die Windowspartition mit Pre-Boot-Authentifikation voll verschlüsselst sowie die Datenpartition extra. Diese bindest du dann per "System Favorite Volume" (werden per Pre-Boot gemountet) ein. So stehen sie bereits ab Windows-Start uneingeschränkt zur Verfügung.

Zu den Fragen:

1. Siehe oben
2. Nach dem Standby wird nicht nach dem Truecrypt-Passwort gefragt - die Platten werden ja beim Windows-Boot "entschlüsselt". Du könntest dich aber von Windows normalerweise automatisch anmelden lassen (Systemstart) und das Windowspasswort nur bei Standby oder Bildschirmschoner abfragen.
3. Sichern aus laufendem System heraus funktioniert - zurückspielen aus dem laufenen System auch. Zurückspielen vom USB-Stick aus würde die Verschlüsselung löschen bzw. aufgrund der Bootloader eventuell weiteren Aufwand erfordern. Es lassen sich Images vom verschlüsselten System anlegen - allerdings nur per USB-Boot und nur in voller Partitionsgröße (sektorbasiert)
4. Ich möchte behaupten, nein. Kann es dir aber nicht beantworten.

Ergänzung:

da truecrypt die laufwerke in einem eigenen dateisystem formatiert ist es mit der netzwerkfreigabe ein wenig kompliziert. bei mir ist es der fall, dass sich nach jedem neustart oder neuen mount der laufwerke, alles auf "0" zurück gesetzt hat. Sprich: Alle Freigaben sind weg. Ich habe das ganze mittlerweile so realisiert, dass ich eine batch datei geschrieben habe. Diese batchdatei merkt sich den zustand der freigaben vor dem Unmount. Wenn ich die Laufwerke wieder in das System eingebunden habe führe ich die datei aus und alle freigaben werden wieder hergestellt.

Das kann nur passieren, wenn die Laufwerke nicht per System Favorite eingebunden wurden sondern beispielsweise per Favorite Volume oder per Batch. Dann stehen sie nicht sofort ab Systemstart zur Verfügung und Windows kann sie entsprechend nicht bereitstellen.

 

[superrohri]

@qwali

Danke für die ausführlich Antwort. Das hört sich ja gut an.

2. Nach dem Standby wird nicht nach dem Truecrypt-Passwort gefragt - die Platten werden ja beim Windows-Boot "entschlüsselt". Du könntest dich aber von Windows normalerweise automatisch anmelden lassen (Systemstart) und das Windowspasswort nur bei Standby oder Bildschirmschoner abfragen.

So hab ich mir das eigentlich auch vorgestellt.
Ich würde dann (damit ich mir nur eines merken muss) für Windows das gleiche Passwort wie für Truecrypt nehmen.
So weit ich weiss kann das Windows Passwort (für das Bentzerkonto) nicht ausgelesen werden, es ist nur möglich dieses u.U. zurückzusetzen.
Aber dadurch kommt ja keiner an das Passwort an sich ran und somit auch nicht an meine verschlüsselten Daten.

Ist das soweit korrekt, oder habe ich einen Denkfehler?

 

[moronoxyd]

da truecrypt die laufwerke in einem eigenen dateisystem formatiert

Hast du dafür eine Quelle? Sonst: Nein, das macht TrueCrypt nicht.
Das Dateisystem ist weiterhin NTFS/FATxx/extx/...
TrueCrypt setzt unterhalb der Dateisystemebene an.

 

[qwali]

Ist nicht korrekt. Das Windows-Passwort lässt sich problemlos auslesen und ändern. Es dauert nur länger als es zurückzusetzen. Daher nimmt man meist zweitere Methode.
Daher rate ich dir dringend ab das Windows-Passwort auch für Truecrypt zu nutzen. Etwas kurzes prägnantes reicht ja als kurzfristiger Zugriffsschutz, da es nicht problemlos ausgehebelt werden kann (lässt sich aus dem Standby meines Wissens nur mit Neustart auslesen/ändern - und dann kommt ja Truecrypt).

 

[cuco]

Kann ich nur bestätigen, mein T500 mit alter und mit neuer Platte hab ich immer vollverschlüsselt gehabt mit Truecrypt. Truecrypt installiert sich dabei ähnlich wie ein Rootkit - nur dass es in diesem Fall eben ein positives Rootkit ist Dein Betriebssystem bekommt wirklich nichts von der Verschlüsselung mit. Daher geht alles genau so wie ohne Verschlüsselung. Da der T9600 keine AES Einheit hat, war ein Performanceverlust vorhanden und auch merkbar, aber in vertretbarem Rahmen. Bei einem Prozessor mit AES Einheit dürfte man dagegen nicht viel merken, wenn ich es richtig im Kopf habe, schafft die Einheit 3GB/s ohne merkbare Verzögerungen, da ist jede HDD und SSD der begrenzende Faktor. Wobei das glaube ich an einem Sandy-Bridge i7 getestet wurde, aber selbst wenn sie nur 10% schaffen würde in deinem i5 wäre das immer noch mehr als jede HDD liefert. Für die AES-Einheit muss man in Truecrypt übrigens nichts einstellen, die wird automatisch benutzt. Du kannst nur manuell umstellen, dass sie NICHT genutzt wird.

Schalte also dein BIOS-Kennwort und dein Windows-Kennwort ab, damit du nur noch die Truecrypt-Abfrage hast. Dann musst du bei jedem Systemstart zwischen BIOS und Windows-Boot dein Passwort eingeben. Beim Ruhezustand genau so. Sonst musst du das nirgendwo eingeben. Die HDD kann im laufenden Betrieb mit vorhandenem System verschlüsselt werden. Manchmal machen zu neue Chipsatztreiber von Intel ein kleines Problem, da wird dich Truecrypt aber drauf hinweisen, wenn das der Fall ist und dir auch sagen, was du zu tun hast. Oder du fragst hier

Wenn mich nicht alles täuscht, kann man auch auswählen, die ganze HDD zu verschlüsseln und nicht die Partitionen einzeln. Würde dir das Einbinden als System Favorite usw. sparen, da die ganze HDD in eins entschlüsselt wird beim Start.

Ohne Passwort kommt keiner an deine Daten. Wähle ein sicheres Passwort und deine Daten sind auch vor BKA, FBI, ... geschützt ^^

Also: Ja, das lässt sich mit Truecrypt alles realisieren, nein beim Standby wird kein Passwort abgefragt.

Images mit Acronis werden aber ein Problem: http://kb.acronis.com/content/14877 Dort steht, dass du lediglich Dateibackups machen kannst, keine Systembackups. Eine Möglichkeit wäre, mit anderen Imagetools (z.B. dem ganz banalen "dd" aus Linux, per Linux-Live-CD zu benutzen) ein Image zu ziehen. Wichtig an dem zu verwendenen Tool ist, dass es 1. außerhalb von Windows läuft (weil sonst bekommt es von der Verschlüsselung auch nichts mit und macht daher Probleme) und 2. ohne Rücksicht auf das vorhandene Dateisystem arbeitet. Dann werden ALLE Sektoren kopiert, egal ob voll oder leer und damit ist dann auch egal, ob und wenn ja welche Verschlüsselung wo vorhanden ist. Vorteil: es geht auch mit verschlüsselten Platten. Nachteil: Ein Image ist immer genau so groß wie die Kapazität der ganzen gesicherten HDD. Egal wie viele Daten wirklich darauf liegen. Und inkrementelle oder differentielle Backups kann man dann auch vergessen. Also entweder ganze HDD sichern oder auf Dateiebene arbeiten.

Zum Ändern der Partitionsgröße weiß ich so nichts.

Wichtig ist noch: Für die PBA (Pre Boot Authentication, also die System-Vollverschlüsselung) gehen ausschließlich Platten mit MBR und PCs/Laptops mit BIOS. Also auf keinen Fall UEFI benutzen oder die Platte mit einer GUID-Partitionstabelle (GPT) verwenden, dann verweigert Truecrypt die Verschlüsselung.

//EDIT:

Ist nicht korrekt. Das Windows-Passwort lässt sich problemlos auslesen und ändern. Es dauert nur länger als es zurückzusetzen. Daher nimmt man meist zweitere Methode.

Dafür muss die "darunterliegende" Truecrypt-Verschlüsselung aber schon geknackt sein (nach derzeitigem Stand unmöglich) oder die "Attacke" im laufenden Betrieb/Standby durchgeführt werden. Aber ansonsten sollte man hier tatsächlich von Abstand nehmen.