Fragen zur Client Security Solution

[reddot]

Hallo Forum,

zu meinem neuen Thinkpad habe ich jetzt nochmal eine Frage:
Kann ich mit Client Security Solution Dateien mit Passwort verschlüsseln? Und weil ja ein Fingerprintreader da ist, am besten gleich noch damit.
Bei Lenovo habe ich das da gelesen:
Client Security Solution includes Utimaco Private Disk Personal Edition so users can automatically lock valuable data with file and folder encryption.
Aber scheinbar ist bei mir kein Utimaco-Dingens inkludiert.

Gibt es alternative Software (Freeware) dafür? Habe von truecrypt gelesen, aber am liebsten wäre mir nur ein Rechtsklick auf eine Datei/einen Ordner und sagen verschlüsseln und beim öffnen wieder entschlüsseln - gerne natürlich per Fingerabdruck.

Vielen Dank.

PS: Wer noch etwas zum Thema Energiemanagersymbol in der Taskleiste nach Explorer Crash sagen kann - bitte melden.

 

[TheNephilim]

Wenn du deinen Benutzeraccount alleine nutzt und es dir nur auf den Datei-Inhalt ankommt (der Dateiname also nicht schon kompromittierende informationen enthält - etwa "sollichmichscheidenlassen.doc" oder ähnliches) ist die mit abstand bequemste art der verschlüsselung die NTFS Dateiverschlüsselung. Sie basiert auf einem Zertifikat, das mit der anmeldung ans system (windowspasswort setzen!) geladen wird. mit tweakui (freeware von microsoft) kann man die optionen "verschlüsseln/entschlüsseln" ins kontextmenü aufnehmen.
wenn du einen ordner als "verschlüsselt" angibst, werden neue dateien, die darin gespeichert werden, automatisch verschlüsselt, der dateiname bleibt aber weiterhin ungeschützt

Allerdings wird, ist der nutzer erstmal mit passwort angemeldet, nicht mehr nach einem extra passwort gefragt. Die datei ist also gegen nur gegen andere Benutzer (auch administratoren) geschützt, nicht aber gegen eine andere Person, die sich mit deinem benutzernamen und kennwort anmeldet.

mit truecrypt kannst du keine einzelnen dateien verschlüsseln (dafür wird aber auch der dateiname selbst vor fremden blicken geschützt). du erstellt eine datei ("kontainer"), die dann als eigenes laufwerk eingebunden wird (dabei wird jedes mal ein passwort eigenes abgefragt). ist nicht ganz so bequem, schützt aber auch die dateinamen - und wenn du das laufwerk abmeldest, sobald du den pc verlässt, dann schützt truecrypt auch vor leuten, die deinen benutzernamen und kennwort kennen.

PrivateDisk gibt es in der neuen version von client security solution nicht mehr. In der alten hat das ganz gut und bequem funktioniert. das prinzip ist dem von truecrypt sehr ähnlich, nur dass es noch die (bequeme) option gibt, den kontainer nur mit zertifikat zu schützen, also den schutz der dateien und dateinamen an die windowsanmeldung zu koppeln, oder an einen Fingerabdruck.

der fingerabruck bietet übrigens nicht wirklich mehr sicherheit. fingerabrücke sind leicht zu fälschen, dazu brauch man aber etwas zeit (so 1h mit übung) und physikalischen zugang zum gerät (gab online ein demonstrationsvideo vom CCC). wenn so ein vorgehen ausgeschlossen werden kann, dann bietet der fingerabdruck aber die möglichkeit, ein wirklich langes, kompliziertes und damit sichereres passwort zu wählen, ohne dass man sich bei der eingabe jedesmal vertippt. ist wie immer ein abwägen zwischen sicherheit und bequemlichkeit.

hoffe, ich konnte dir ein bisschen helfen,
Sebastian

 

[reddot]

Danke für deine ausführliche Antwort.[quote='TheNephilim',index.php?page=Thread&postID=479013#post479013]Wenn du deinen Benutzeraccount alleine nutzt und es dir nur auf den Datei-Inhalt ankommt (der Dateiname also nicht schon kompromittierende informationen enthält - etwa "sollichmichscheidenlassen.doc" oder ähnliches) ist die mit abstand bequemste art der verschlüsselung die NTFS Dateiverschlüsselung. Sie basiert auf einem Zertifikat, das mit der anmeldung ans system (windowspasswort setzen!) geladen wird. mit tweakui (freeware von microsoft) kann man die optionen "verschlüsseln/entschlüsseln" ins kontextmenü aufnehmen.
wenn du einen ordner als "verschlüsselt" angibst, werden neue dateien, die darin gespeichert werden, automatisch verschlüsselt, der dateiname bleibt aber weiterhin ungeschützt

Allerdings wird, ist der nutzer erstmal mit passwort angemeldet, nicht mehr nach einem extra passwort gefragt. Die datei ist also gegen nur gegen andere Benutzer (auch administratoren) geschützt, nicht aber gegen eine andere Person, die sich mit deinem benutzernamen und kennwort anmeldet.
[/quote]Beim Tradeoff Bequemlichkeit vs. Sicherheit, wäre mir am liebsten eben nur wenige einzelne Dateien/Ordner zu schützen. Mein (einer) Benutzer (ich) wird beim Anmelden auch nicht nach Passwort gefragt.[quote='TheNephilim',index.php?page=Thread&postID=479013#post479013]mit truecrypt kannst du keine einzelnen dateien verschlüsseln (dafür wird aber auch der dateiname selbst vor fremden blicken geschützt). du erstellt eine datei ("kontainer"), die dann als eigenes laufwerk eingebunden wird (dabei wird jedes mal ein passwort eigenes abgefragt). ist nicht ganz so bequem, schützt aber auch die dateinamen - und wenn du das laufwerk abmeldest, sobald du den pc verlässt, dann schützt truecrypt auch vor leuten, die deinen benutzernamen und kennwort kennen.[/quote]So habe ich das schon vermutet. Nicht ganz meine Idealvorstellung.[quote='TheNephilim',index.php?page=Thread&postID=479013#post479013]PrivateDisk gibt es in der neuen version von client security solution nicht mehr. In der alten hat das ganz gut und bequem funktioniert. das prinzip ist dem von truecrypt sehr ähnlich, nur dass es noch die (bequeme) option gibt, den kontainer nur mit zertifikat zu schützen, also den schutz der dateien und dateinamen an die windowsanmeldung zu koppeln, oder an einen Fingerabdruck.
[/quote]Schade.[quote='TheNephilim',index.php?page=Thread&postID=479013#post479013]der fingerabruck bietet übrigens nicht wirklich mehr sicherheit. fingerabrücke sind leicht zu fälschen, dazu brauch man aber etwas zeit (so 1h mit übung) und physikalischen zugang zum gerät (gab online ein demonstrationsvideo vom CCC). wenn so ein vorgehen ausgeschlossen werden kann, dann bietet der fingerabdruck aber die möglichkeit, ein wirklich langes, kompliziertes und damit sichereres passwort zu wählen, ohne dass man sich bei der eingabe jedesmal vertippt. ist wie immer ein abwägen zwischen sicherheit und bequemlichkeit.
[/quote]Ich kenne das Video. Dazu vertrete ich - bei dem es nicht um millionenschwere Geheimnisse geht - allerdings die Meinung, dass der Aufwand doch recht hoch ist. Wer so an meine verschlüsselten Daten käme, hätte sich das fast verdient.

 

[Michael_79]

Also wenn ich das richtig verstehe, werden die Daten jetzt nicht mehr durch die Client Security Suite verschlüsselt?

 

[s0larist]

[quote='Michael_79',index.php?page=Thread&postID=481764#post481764]Also wenn ich das richtig verstehe, werden die Daten jetzt nicht mehr durch die Client Security Suite verschlüsselt?[/quote]

Nein, nicht mehr. Aber man kann, wie TheNephilim übrigens sehr schön geschrieben hat, die Zertifikatsverwaltung von CSS benutzen (d.h. das Zertifkat im TPM Chip speichern und über die CSS Windows Anmeldung sich darüber authentifizieren) und dann zusammen mit der Windows eigenen NTFS Verschlüsselung benutzen. CSS 8 selber hat eigentlich nur noch den Passwortmanager als eigene Applikation übrig.

Wer es wirklich sicher haben will benutzt Full Disk Encryption. Das ist bequemer und sicherer. Oder aber einen Truecrypt Container.