Truecrypt - Schutz im Hintergrund

A

Adun

Active member
Themenstarter
Registriert
31 Mai 2011
Beiträge
4.934
Hi,

ich möchte in meinem PC 2 Festplatten welche via RAID0 gekopppelt sind, mit Truecrypt Verschlüsseln. Es handelt sich um insgesamt 2TB Speicher von welchem ca 1.3TB belegt sind.

Das Wichtigste vorweg: Ich kenne mich NICHT mir Truecrypt o.ä. aus! - also bitte habt Erbarmen mit mir wenns ums Erklären geht. Ich möchte nicht nur was machen, sondern verstehen worum es geht.

Wie Funktioniert die Verschlüsselung?
So wie ich das verstanden habe, packt Truecrypt die gesammten zu verschlüsselnden Daten in eine art Ordner, splittet ihn und verteilt ihn Wahllos auf der Festplatte.... ?!

Wird - beim öffnen, arbeiten mit Daten oder kopieren und ausschneiden von Daten - im verschlüsselten Ordner viel Rechenleistung benötigt?

Ich möchte die Festplatten vor unbefugtem Zugriff von dritten schützen. Soll heißen; wenn jemand an meinem eingeschalteten PC ist, kann er drauf zugreifen. Wenn jemand die Festplatten ausbaut und versucht zuzugreifen, wird es im verweigert.

Ich möchte - sowie das mit Truecrypt funktioniert ansonsten bitte Alternativen nennen - einen Schutz im Hintergrund haben. Was ich darunter verstehe? Ich möchte, dass meine Festplatten beim Ausschalten des Computers verschlüsselt, beim Einschalten - evtl nur eine Passwort abfrage - entschlüsselt werden - ich selbst möchte nicht viel von der Prozedur mitbekommen bzw. Aktiv eingreifen müssen (z.b. "Mounten"), es soll einfach nur Funktionieren.

Wenn ich Daten auf die Festplatte schreibe, werden diese live verschlüsselt, oder erst beim Ausschalten des Computern, bzw unmounten?

Welches ist die sicherste Methode meine HHDs zu verschlüsseln? Ich habe keine Firmengeheimnisse, Gaddafis Aufenthaltsort oder Atombombenbaupläne auf der HDD die niemand finden/haben darf, es würde nur etwas kosten wenn der große Bruder mich auf seinem Teleschirm hat....

Es sollte also nur für den unwahrscheinlichen Fall das diese Platten in die Hände dritter fallen zu 90% sicher sein das sie "leer" sind

Was passiert wenn während der zwei Tage verschlüsseln der Saft ausgeht? o.0

Sorry für die vielen Fragen. Nur, umso mehr ich darüber lese desto mehr verwirrt es mich...
 
Naja, dann wäre vielleicht die Vollverschlüsselung sinnvoll? -> Vor dem Start von Windows wird das Passwort zum entschlüsseln der gesamten Platte abgefragt. Im Betrieb merkst du dann eigentlich nicht, dass alles verschlüsselt abgelegt wird (außer dass größere Dateioperationen länger dauern).
Ob Truecrypt immer mit einer Raid - Lösung harmoniert kann ich aber nicht sagen (per se hat truecrypt aber keine Probleme mit Raid0)
 
Vor dem Start soll heißen, so wie bei meinem x200? Ich muss den Finger drüber ziehen oder Passwort eingeben und die Festplatte wird Freigegeben...

Läuft die Vollverschlüsselung über Truecrypt oder über das Bios? Wenn letzteres, ist es dann auch so sicher?
 
Der Trucrypt - Bootloader "schiebt sich noch vor" den Bootloader von Windows (will heißen der TC - Bootloader wird als erstes aufgerufen, und dieser ruft dann wiederum den Windows-Bootloader auf). Welchen Schutz du nun genau mit "wie bei meinem x200" meinst, kann ich allerdings nicht sagen.
Das Bios hat mir der Vollverschlüsselung nichts zu tun, das "macht" alles TrueCrypt
System encryption involves pre-boot authentication, which means that anyone who wants to gain access and use the encrypted system, read and write files stored on the system drive, etc., will need to enter the correct password each time before Windows boots (starts). Pre-boot authentication is handled by the TrueCrypt Boot Loader, which resides in the first track of the boot drive and on the TrueCrypt Rescue Disk.
Zum Vergrößern anklicken....
Quelle

Das könnte allerdings problematisch sein, wenn du nicht den Windos-Bootloader benutzt (z.B. Grub von einer Linux Distribution)
 
okay, stimmt... bei einem Motherboardschaden wäre es das aus...

Okay, @thatgui... wie stelle ich das genau ein bei TC. Dein Vorschlag mit dem Entschlüsseln beim start hört sich richtig gut an!
(nein, einen zusätzlichen Bootloader verwende ich selten und das nur am Thinkpad, d.h. am PC sollte es funktionieren)
 
Bei Truecrypt und co. passiert das Ver- und Entschlüsseln transparent im Hintergrund.
D.h. wenn du auf die Festplatte zugreifst, werden die Daten "in Echtzeit" ver- bzw. entschlüsselt. Es findet kein genereller Entschlüsselungsvorgang beim Starten statt.
Daten auf der Festplatte sind zu jedem Zeitpunkt verschlüsselt.

Der einzige Unterschied, den man bei der alltäglichen Arbeit merkt, ist daß man halt beim Starten des Rechners einmal das Truecrypt-Passwort eingeben muss.
Es gibt eine leichte Geschwindigkeitseinbuße beim Lesen und Schreiben, das ist bei aktueller Hardware aber kaum zu merken.
Ausserdem laufen bestimmte hardwarenahe Programme nicht oder nur eingeschränkt, so wie z.B. Partitionierer oder Festplattenimager.
 
Adun schrieb:
Okay, @thatgui... wie stelle ich das genau ein bei TC. Dein Vorschlag mit dem Entschlüsseln beim start hört sich richtig gut an!
(nein, einen zusätzlichen Bootloader verwende ich selten und das nur am Thinkpad, d.h. am PC sollte es funktionieren)
Zum Vergrößern anklicken....

Ich bin mir nicht sicher, ob sowas während oder nach der Installation direkt angeboten wird, aber spätestens wenn du das TrueCrypt - Fenster vor der Nase hast, einfach im Menü unter "System" -> "Encrypt System Partition/Drive" auswählen. Dann erscheint ein Wizard, der dich Schritt für Schritt begleitet. ABER auch wenn es bei mir ohne Probleme geklappt hat, und ich auch noch keine negativen Berichte darüber gehört habe: Mach ein Backup der wichtigsten Daten, man kann nie sicher sein (besonders, da du ja im Raid-Betrieb arbeitest)

Schon etwas älter, aber da haben sich höchstens ein paar Details geändert : fixmbr | toms hardware | heise
 
Perfekt werde es morgen direkt mal Ausprobrieren! Danke für die Links, sind sehr hilfreich (auf der ersten Blick)

falls noch Fragen aufkommen melde ich mich hier ^^

DANKE!!!! =) :D
 
Ist denn Windows bei Dir auf dem Raid0 installiert? Wenn nicht, verschlüsselst du mit den bisherigen Vorschlägen nur deine Windows-Platte/Partition.
Verstehe ich das richtig, dass das Raid0 auch an anderen Rechner eingesetzt werden soll? (Hört sich so danach an). Dann musst du einen anderen Weg gehen...
Sollte es tatsächlich so sein, ist die Verschlüsselung der Systemplatte aber auch nicht verkehrt. Dann müsste man nur das Raid0 mit dem gleichen Passwort verschlüsseln, so dass der Bootloader die direkt mit entsperren kann.

Performancemäßig wirst du keinen großen Unterschied feststellen, sofern du AES als Verschlüsselung einsetzt. Moderne CPU schaffen das Hardwarebasiert. Gibt ja auch Benchmarks innerhalb von TC...
 
Ich habe zwei Raid0 im PC ein Raid0 für C: und das zweite 2TB große für Storage... zweitere soll verschlüsselt werden, wenn erste auch verschlüsselt wird, auch gut - schaden tuts ja nicht ;) =)

Die Festplatten sollen nie ausgebaut und wo anders eingesetzt werden, sie werden ledeglich in meinem PC verwendet, welcher seinen Platz auch nie verlassen wird.
 
Wenn du die Pre-Boot-Autentifizierung haben willst, müsstest du vermutlich beide Raid0 verschlüsseln. Einmal also die Systempartition verschlüsseln und einmal das andere Raid0 verschlüsseln.
Pass nur beim Storage-Raid auf, dass du die richtige Methode wählst. Man kann nämlich einmal einfach das komplette Laufwerk verschlüsseln (Das ist dann wie eine Formatierung) oder das Laufwerk mit seinen Daten drauf komplett verschlüsseln. Aber da gibt dir Truecrypt im entsprechenden Dialog eine Warnung.
Bei 2TB wird das ganz auch ein paar Stunden dauern...
 
Ja, habe gerade die ersten Paar klicks gemacht...

Creat Volume > Encrypt a non-system partition > Standard TrueCrypt volume > select Device "\Device\Harddisk1\Partition 1" > Encrypt Partition in Place ..... welchen Algorythmus nehme ich dann?

 
Glaubenssache... Da es aber noch keinen Rechner gibt, der AES mit einem Passwort >20 Zeichen in deiner Lebenszeit knacken kann, reichen die Standardeinstellungen völlig aus. Wird natürlich "sicherer", je mehr Algorithmen du kombinierst. Die Performance geht dann natürlich in die Knie ;)
 
Wenn du beide Raid verschlüsseln willst, solltest du, da du ja Wert auf die Einfachkeit legst, das selbe Passwort verwenden. So kannst du im Menu angeben, dass das Dataraid beim booten automatisch gemountet werden soll.
Dies klappt aber nur bei den selben Passwörtern.
 
Wie kann ich den Wipe Mode verstehen? wenn ich etwas von der Festplatte lösche, welche mit TC verschlüsselt ist, wird diese Datei und die Leichen welche sie hinterlässt 3, 7 oder 35 mal überschrieben? naja da brauch ich "none"

Okay, ich kann jetzt das Laufwerk encrypten lassen, konnte aber immer noch nicht auswählen, dass das Laufwerk beim Systemstart gemountet werden soll, kann ich das nacher im Menu tun?
 
Da gehts darum, ob "leere" Sektoren vor dem Verschlüsseln noch mal gelöscht werden sollen. Bei magnetischen Datenträgern ist es mit sehr aufwändigen Methoden sonst möglich, bereits gelsöchte Daten aus den Bereichen wieder auszulesen.
Verschlüsselt werden die Sektoren aber eh und sofern du keine Angst vor Geheimdiensten hast, die an deine Daten wollen, ist "none" vollkommen ausreichend.
 
Okay, dann kann ich mit der Encryption loslegen und dan nspäter Pro-Boot-authentication wählen?
 
Wenn du die Systempartition verschlüsseln willst, solltest du damit anfangen, und erst nachher die Datenpartition verschlüsseln.
 
Ich versteh nicht wie ihr dieses Schrottprogramm noch weiter empfehlen könnt. Diese Software ist das absolut letzte. Man kann einmal verschlüsselte Datenpartitionen nämlich nie wieder komplett entschlüsseln.
Also entweder Bitlocker in Verbindung mit dem integrierten TPM-Modul verwenden, oder DiskCryptor (statt TrueCrypt).
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben