Festplatte voll verschlüsseln - Wie?

[T410sler]

Hallo Leute,

ich möchte gerne mein Notebook komplett verschlüsseln, damit die Daten bei einem Verlust nicht genutzt werden können.
Von der Arbeit kenne ich, dass man bei den Notebooks beim Hochfahren ein Passwort eingibt was die Festplatte entschlüsselt.

Ich brauche eine Lösung die auch sicher vor Festplattenausbau etc ist.
Wichtig ist, dass mein Dropbox (inkl. Verschlüsselung Boxcryptor) jedoch weiterhin funktioniert.
Ich habe ein Lenovo T440s mit 256 GB SSD

Hat jemand da eine Ahnung?


Gruß und vielen Dank!

 

[moronoxyd]

Nein, TrueCrypt bringt eine eigene Verschlüsselung mit, die mit der Hardwareverschlüsselung mancher Festplatten und SSDs nichts zu tun hat.

 

[yatpu]

meines wissens kann nur bitlocker die interne verschlüsselung der ssd nutzen. und das auch nur, wenn die ssd edrive-kompatibel ist

 

[Mike320]

Hallo zusammen,

falls eine Meinung aus dem professionellen Umfeld (mit > 5.000 Client-PC) zur Entscheidung beitragen kann, würde ich unter Windows ab Version 7 (ggf. auch schon Vista) entweder Bitlocker oder propietäre Herstellerlösungen, die im privaten Umfeld aber meist keine Alternative darstellen oder zu teuer sind, empfehlen.

Die Nachteile von Truecrypt wurden schon angesprochen, hier ein Link zu einem Testszenario, wie es privat oft anzutreffen ist:
http://thoschworks.de/blog/archiv/2011/06/12/854

Weiterer Nachteil bei TC ist, wie auch schon angesprochen, die feste Containergröße - großer Vorteil von Bitlocker, man kann sich damit auch gleich einen sicheren USB-Stick für Windows-Umgebungen anlegen (unter XP dann nur lesbar verwendbar!), der bei Liegenlassen oder Verlieren wertlos ist.

Bei einer Hardwareänderung kann Bitlocker mit dem (hoffentlich bei der Erstellung) gesicherten Key auch auf das Volume zugreifen, so daß dieses Szenario kein Problem darstellt.

Gruß,

Mike320

 

[Leo18]

in TC kann man dynamisch Container anlegen, bei Formatieren NTFS und dynamisch auswählen

 

[2647-4EG]

Moin, der Threadstarter sucht doch primär nach einer Systemverschlüsselung. Das könnte er mit TrueCrypt erledigen.

Es geht ihm auf jeden Fall nicht darum, einen TC-Container in der Dropbox zu erstellen. Zur Verschlüsselung seines Dropbox Contents nutzt er schließlich bereits BoxCryptor. Und das ist sehr verwandt mit EncFS. Was wiederum in dem Link von Mike320 empfohlen wird.

Alles klar? Oder komme ich nicht mehr mit?

 

[moronoxyd]

Alles klar? Oder komme ich nicht mehr mit?

Da ja sogar im Betreff steht "Festplatte voll verschlüsseln", vermute ich, daß du das richtig verstanden hast

 

[Mike320]

in TC kann man dynamisch Container anlegen, bei Formatieren NTFS und dynamisch auswählen

Zitat: http://www.truecrypt.org/docs/creating-new-volume

WARNING: Performance of dynamic (sparse-file-hosted) TrueCrypt volumes is significantly worse than performance of regular volumes. Dynamic (sparse-file-hosted) TrueCrypt volumes are also less secure, because it is possible to tell which volume sectors are unused. Furthermore, if data is written to a dynamic volume when there is not enough free space in its host file system, the encrypted file system may get corrupted.

 

[T410sler]

Also vielen Dank für die guten Tipps.

Hier nochmal zusammenfassend:

Ich habe:
T440s mit 256 GB SSD (Samsung 840 Pro)
Windows 7 64 bit

Ich will:
Dass mein System verschlüsselt ist, so dass man ohne Schlüssel nicht an den Inhalt der HDD kommt, auch nicht nach Ausbau etc.
Dass meine mit Boxcrypt verschlüsselte Dropbox Problemlos weiter funktioniert (Auf die Dropbox greifen auch andere PCs zu, die nicht "vollverschlüsselt" werden sollen)

Ich will nicht:
Das meine Dropbox komplett aktualisiert werden muss, wenn sich kleine einzelne Dateien geändert haben


Ich denke ich sollte mal Bitlocker testen, odeR?

 

[2647-4EG]

Moin T410sler,

Deine teilweise mit BoxCryptor verschlüsselte Dropbox kann/sollte so bleiben und es ändert sich daran nach einer Systemverschlüsselung überhaupt nichts. Du kannst genau so weiterarbeiten wie bisher. Der Dropbox-Client bekommt von einer Systemverschlüsselung nichts mit. Ich habe das hier genau so laufen, d.h. BoxCryptor Classic für Nicht-Öffentliches in der Dropbox und TrueCrypt fürs System.

Und von der Dropbox wird natürlich weiterhin nur Transfervolumen für diejenigen Dateien erzeugt, die verändert werden. Bleibt alles wie gehabt.

Bleibt die Frage, womit Du Dein System verschlüsselt. Ist Geschmackssache: TrueCrypt, Bitlocker sind schon genannt. Hauptsache, Du hast ein Backup!

 

[Mornsgrans]

Ein Szenario fehlt noch:
Wie verhält es sich bei den oben genannten Verschlüsselungsarten mit der Weiterverwendung der verschlüsselten SSD nach einem Rechneraustausch, z.B. bei einem neuen Systemboard (Garantietausch) oder umstecken der SSD in ein anderes Notebook gleicher Baureihe? Macht da nicht die Hardwareverschlüsselung mit Bitlocker wegen des anderen Security-Chips einem nicht einen Strich durch die Rechnung?

 

[Leo18]

sollte eigentlich, da ja Bitlocker entweder an die Hardware gebunden ist um den "richtige" rechner festzustellen, oder aber einen Stick mit dem Passwort drauf bracht.
https://de.wikipedia.org/wiki/BitLocker

kann man das Passwort für Truecrypt auch mit seinem Fingerprint ersetzen?

 

[cuco]

Ein Szenario fehlt noch:
Wie verhält es sich bei den oben genannten Verschlüsselungsarten mit der Weiterverwendung der verschlüsselten SSD nach einem Rechneraustausch, z.B. bei einem neuen Systemboard (Garantietausch) oder umstecken der SSD in ein anderes Notebook gleicher Baureihe? Macht da nicht die Hardwareverschlüsselung mit Bitlocker wegen des anderen Security-Chips einem nicht einen Strich durch die Rechnung?

Jein. Es gibt die Möglichkeit, für so einen Fall eine Art "Wiederherstellungskey" zu generieren. Der ist allerdings wohl etwas zu lang, um ihn sich zu merken. Die Alternative - ihn irgendwo aufschreiben und weglegen - ist dagegen wohl ein Sicherheitsrisiko. Daher mag ich die Art nicht wirklich. Aber ohne den Key hat man halt verloren, wenn der TPM-Chip kaputt geht/getauscht wird/gelöscht wird.

Kann man bei Bitlocker inzwischen eigentlich Passwörter festlegen für Systemlaufwerke? Ich kann mich nur an PIN-Codes erinnern, die auch erst nervig eingerichtet werden mussten. Kennwörter gehen wohl nur für nicht-Systemlaufwerke.

Aus den Gründen empfehle ich auch Truecrypt für die Systemverschlüsselung! Alternativ - wenn es nicht ganz so sicher sein muss - eine selbstverschlüsselnde SSD benutzen und ein BIOS/HDD-Kennwort vergeben.

 

[schoerg]

Ich will nicht:
Das meine Dropbox komplett aktualisiert werden muss, wenn sich kleine einzelne Dateien geändert haben

Das passiert dir weder mit Truecrypt noch Bitlocker.

 

[Mike320]

Ein Szenario fehlt noch:
Wie verhält es sich bei den oben genannten Verschlüsselungsarten mit der Weiterverwendung der verschlüsselten SSD nach einem Rechneraustausch...

Ich schrieb in meinem Post von 19:28 Uhr:

Bei einer Hardwareänderung kann Bitlocker mit dem (hoffentlich bei der Erstellung) gesicherten Key auch auf das Volume zugreifen, so daß dieses Szenario kein Problem darstellt.

Eine solche Hardware kann eine tiefergreifende BIOS-Änderung, ein Boardtausch, Einbau zusätzlicher Komponenten bis hin zum Ausbau der Platte und Inbetriebnahme in abweichender Hardware sein.

Die zu sichernden Schlüssel sollte man ebenfalls gut sichern, z.B. auf einem verschlüsselten (USB-)Laufwerk / -Stick. Sich diese zu merken ist auch eine Herausforderung, die Wiederherstellungsinformationen sehen wie folgt aus:

Wiederherstellungsschlüssel für die BitLocker-Laufwerkverschlüsselung 

 Der Wiederherstellungsschlüssel wird dazu verwendet, Daten auf einem Laufwerk mit BitLocker-Schutz wiederherzustellen.

Um sicherzustellen, dass dies der richtige Wiederherstellungsschlüssel ist, vergleichen Sie die ID mit der ID, die auf dem Wiederherstellungsbildschirm angezeigt wird.

ID des Wiederherstellungsschlüssels: A0FFC9AC-47BA-08
ID des vollständigen Wiederherstellungsschlüssels: A0FFC9AC-47BA-081D-CAE3-7C565B70FCAF

BitLocker-Wiederherstellungsschlüssel:
987654-954321-123456-678901-234567-890123-456789-012345

 Das TPM-Besitzerkennwort (Trusted Platform Module) lautet: 

 45678-12345-98765-45678-98765-13579-24680-471108

 

[Mornsgrans]

SSD benutzen und ein BIOS/HDD-Kennwort

SSD und HDD-Passwort geht leider zu oft in die Hose, dass das Laufwerk nur noch zum Briefbeschwerer taugt. Die Dinger sind da noch nicht wirklich ausgereift.

Ich schrieb in meinem Post von 19:28 Uhr:

Bei einer Hardwareänderung kann Bitlocker mit dem (hoffentlich bei der Erstellung) gesicherten Key auch auf das Volume zugreifen, so daß dieses Szenario kein Problem darstellt.

Bei einer Hardwareänderung kann Bitlocker mit dem (hoffentlich bei der Erstellung) gesicherten Key auch auf das Volume zugreifen, so daß dieses Szenario kein Problem darstellt.
Eine solche Hardware kann eine tiefergreifende BIOS-Änderung, ein Boardtausch, Einbau zusätzlicher Komponenten bis hin zum Ausbau der Platte und Inbetriebnahme in abweichender Hardware sein.

Gelesen hatte ich es. Ich wollte diesen Punkt "Mainboardtausch" nur noch einmal explizit hervorgehoben wissen, da es schon einige Fälle im Forum gab, in denen die mit Bitlocker verschlüsselte Platte nach einem Mainboardtausch unbrauchbar war. Nach Deinem Beitrag gestern Abend konnte man sich unter "Hardwareänderung" vielerlei vorstellen - darum mein Nachhaken.

 

[cuco]

Hm stimmt, einige Kombis sind problematisch. Aber ein Blick ins Netz, ob die eigene Kombi läuft - und dann kann man es auch nutzen.

 

[T410sler]

Kann ich die Bitlocker Verschlüsselung installieren/aktivieren, ohne irgendwas neu installieren zu müssen?
Kann ich damit meine C (Winodows) und D (Daten) partition verschlüsseln (nicht löschen!)?
Gibt es irgendwo dazu ne gute Anleitung?


DANKE!!!

 

[yatpu]

bitlocker verschlüsselt die platte nach der installation inkl aller daten.
warum willst du deine partitionen mit bitlocker löschen?? natürlich kannst du deine daten verschlüsseln und den wiederhersellungscode wegwerfen und die pin aus deiner erinnerung löschen und hast damit gewissermaßen deine daten gelöscht, aber das ginge auch einfacher.

anleitungen gibtes selbstverständlich im netz.

 

[T410sler]

Ich meinte natürlich verschlüsseln und nicht löschen... sorry

 

[yatpu]

achso.
klar geht das