Komplettverschlüsselung mit TrueCrypt

Hallo,

ich liebäugele damit meinen Laptop aus Sicherheitsgründen mit TrueCrypt
komplett zu verschlüsseln. TC installiert dazu u.a. einen Bootloader,
der vor dem eigentlcihen Betriebssystemstart aktiviert ist und ein
Passwort abfragt.

Probehalber hab ich das auf einem Testgerät gemcht - funktioniert
prächtig, ich würde es gerne auf dem Laptop auch machen.

Allerdings stellt sich mir die Frage, wie man das Gerät dann vernünftig
sichert. Bisher habe ich Acronis TrueImage Home 11 benutzt und möchte
auch dabei bleiben.

Bootet man mit der Acronis Rescue-CD, dann erkennt Acronis
logischerweise das Dateisystem der verschlüsselten Platte nicht und
bietet die sektorweise Sicherung an, was ich bei einer Platte von 250GB
aber nicht will.

Alternative wäre mit der lokalen Acronis-Installation den Rechner zu
sichern. Damit ergeben sich aber weitere Fragen, nämlich

a) die gesicherte tib-Datei wäre dann wieder unverschlüsselt
b) der TrueCrypt Bootloader wird mitgesichert.

a) ist nicht tragisch, da ich Acronis anheißen kann zu verschlüsseln.

b) ist mir aber nicht ganz klar: wenn ich das gesicherte Image
irgendwann zurückspiele, sind die Daten unverschlüsselt, der
TC-Bootloader würde aber dennoch versuchen die Daten zu entschlüsseln?

Kann man überhaupt ein Image wieder zurückspielen? Ich meine: geht das
ganze so, wie bei einer unverschlüsselten Platte?

Michaela Mangold <MiMang@nirgendszufinden.de> schrieb:

> ich liebäugele damit meinen Laptop aus Sicherheitsgründen mit
> TrueCrypt komplett zu verschlüsseln. TC installiert dazu u.a. einen
> Bootloader, der vor dem eigentlcihen Betriebssystemstart aktiviert
> ist und ein Passwort abfragt.

In VISTA ist ein Verschlüsselungssystem enthalten.
http://windowshelp.microsoft.com/Win...155c21031.mspx
Wenn Dir das nicht zusagt, und Du ein 3rd-Party-Programm benutzen
willst, wende Dich mit Fragen dazu an deren Vertrieb:
http://www.truecrypt.org/faq

Hier ist Deine Frage leider völlig OT und hat mit "VISTA" nichts
zu tun.

--
Helmut Rohrbeck [MVP]
PM: www.helmrohr.de/Feedback.htm
Neu: http://www.helmrohr.de/

Hi,

Michaela Mangold schrieb:
> [Verschlüsseltes System] Allerdings stellt sich mir die Frage,
> wie man das Gerät dann vernünftig sichert.

"Online" unverschlüsselt auf eine externe Festplatte.
Die externe HDD bleibt natürlich zuHause ;-)

Bei Truecrypt wirst du dann den "klassischen" Weg gehen:
1. Restore des Images unverschlüsselt, die Daten wurden ja unverschlüsselt
gesichert.
2. TrueCrypt installieren und nachträglich wieder alles verschlüsseln.

Genau kann ich es dir leider nicht sagen, daß ich mit Truecrypt nur
einen Container erstellt habe, den ich als "Favorite Volume" jedesmal
nach Anmeldung mounte.

In mein Laufwerk "T:" habe ich meine "Eigenen Dateien", "Thunderbird" und
"Outlook" und mein Homebanking Programm verlegt.

Das reicht mir. Den Rest von System auch meine DesktopIcons darf man gerne
lesen, ich schütze nur die Daten. Ich habe 2 Sicherungen, einmal die
normale Systemsicherung (auch für unterwegs) in der der Container im
Roh-Format liegt, aber ohne Kennwort/Keyfiel nicht gelesen werden kann
und einmal unverschlüsselt (nur Daten) auf eine externe HDD, die immer
zuHause liegt.

Bei der Gesamtverschlüsselung der HDD ist TrueCrypt bei mir mit AES256 um
einiges langsamer gewesen als mit Bitlocker, dafür hatte ich mit Bitlocker
und den PCMs[1] einige Probleme. Deswegen der einfache Weg über den Contaner.

[1] praktisch die "unveränderlichen" Eckdaten, die die Verschlüsselung vom
System kennt und die bei änderung einer dieser Komponenten, zB anderes
Mainboard = anderer Rechner = Platte geklaut = Anfgriff!, dafür sorgen,
das man den 30 Stelligen Masterkey eingeben muss.

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate

Hallo Michaela Mangold
Du meintest
[ eher ein Thema für TrueCrypt]
> Hallo,
>
> ich liebäugele damit meinen Laptop aus Sicherheitsgründen mit
> TrueCrypt komplett zu verschlüsseln. TC installiert dazu u.a. einen
> Bootloader, der vor dem eigentlcihen Betriebssystemstart aktiviert
> ist und ein Passwort abfragt.

So ist es.
>
> Probehalber hab ich das auf einem Testgerät gemcht - funktioniert
> prächtig, ich würde es gerne auf dem Laptop auch machen.
>
Mach doch.

> Allerdings stellt sich mir die Frage, wie man das Gerät dann
> vernünftig sichert. Bisher habe ich Acronis TrueImage Home 11
> benutzt und möchte auch dabei bleiben.
>

Bleib dabei, aber ändere die "Sicherung" ein wenig.

> Bootet man mit der Acronis Rescue-CD, dann erkennt Acronis
> logischerweise das Dateisystem der verschlüsselten Platte nicht und
> bietet die sektorweise Sicherung an, was ich bei einer Platte von
> 250GB aber nicht will.
>

Ja, bischen gross.
[..]

>
> a) die gesicherte tib-Datei wäre dann wieder unverschlüsselt
> b) der TrueCrypt Bootloader wird mitgesichert.
>
> a) ist nicht tragisch, da ich Acronis anheißen kann zu verschlüsseln.
>
> b) ist mir aber nicht ganz klar: wenn ich das gesicherte Image
> irgendwann zurückspiele, sind die Daten unverschlüsselt, der
> TC-Bootloader würde aber dennoch versuchen die Daten zu
> entschlüsseln?
>

Must du probieren was da passiert - eher nix aber schau mal hier nach
http://www.truecrypt.org/faq


> Kann man überhaupt ein Image wieder zurückspielen? Ich meine: geht
> das ganze so, wie bei einer unverschlüsselten Platte?

Trenne System und Daten, der Datencontainer ist sicher kleiner und den
kannst du im ausgelogten Zustand wegschieben.
Je nach Vista gibt es einen Verschlüsselungsmechanismus -> EFS und
Bitlocker.
Aber auch damit wirst du erst einmal testen müssen wie du das einrichtest
und sicherst.

--
mfg
Michael
Bitte nur in der NewsGroup antworten
www.mbormann.de

Michaela Mangold schrieb:

> ich liebäugele damit meinen Laptop aus Sicherheitsgründen mit
> TrueCrypt komplett zu verschlüsseln.

Die meisten Notebooks bieten im BIOS die Möglichkeit, ein
Festplattenkennwort gemäß SATA-Standard zu vergeben. Das bietet
für die meisten Anwendungen eine ausreichende Sicherheit und
vermeidet viele der Probleme einer vollständigen Verschlüsselung.

--
<http://schneegans.de/web/kanonische-adressen/> · Gute URLs

Hi,

Christoph Schneegans schrieb:
> Die meisten Notebooks bieten im BIOS die Möglichkeit, ein
> Festplattenkennwort gemäß SATA-Standard zu vergeben. Das bietet
> für die meisten Anwendungen eine ausreichende Sicherheit und
> vermeidet viele der Probleme einer vollständigen Verschlüsselung.

Ja, aber bieten "null" Schutz. Denn wenn jemand an mein System kommt,
dann ist das idR so, daß ich nicht daneben stehe, also wird er einfach
den Deckel unterm Notebook entfernen, die HDD rausnehmen und in einen
USB Festplattenrahmen stecken.

Lesen, fertig.

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate

"Mark Heitbrink [MVP]" <spam-only@gruppenrichtlinien.de> wrote:

>Ja, aber bieten "null" Schutz. Denn wenn jemand an mein System kommt,
>dann ist das idR so, daß ich nicht daneben stehe, also wird er einfach
>den Deckel unterm Notebook entfernen, die HDD rausnehmen und in einen
>USB Festplattenrahmen stecken.

Wie soll das gehen, ohne das Kennwort? Dieses Kennwort wohnt in der
Festplatte, _nicht_ im Rechner.


-ras

--

Ralph A. Schmid

http://www.dk5ras.de/ http://www.db0fue.de/
http://www.bclog.de/

Hi,

Ralph A. Schmid, dk5ras schrieb:
> Wie soll das gehen, ohne das Kennwort? Dieses Kennwort wohnt in der
> Festplatte, _nicht_ im Rechner.

Ja, und? Die Lösung ist nur 50$ entfernt.
http://www.hdd-tools.com/products/rrs/

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate

Ralph A. Schmid, dk5ras schrieb:
> Wie soll das gehen, ohne das Kennwort? Dieses Kennwort wohnt in der
> Festplatte, _nicht_ im Rechner.

.... oder noch eleganter:
Man nehme 2 Festplatten, eine eigene und eine "gelockte".

http://answers.google.com/answers/threadview?id=555334
| Boot up to the bios and go to where you can set a HDD password.
| Set a password. [...] To clear/change the password, I have to
| input the old password first, then after doing so, it will ask me to
| input a new one. At this point, I yank the HDD out and stick the
| LOCK HDD in WHILE THE SYSTEM IS STILL ON!



--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate

"Mark Heitbrink [MVP]" <spam-only@gruppenrichtlinien.de> wrote:

>Ja, und? Die Lösung ist nur 50$ entfernt.
>http://www.hdd-tools.com/products/rrs/

Doch schon wieder geknackt? Armselig. Wobei mir auch diese Lösung
nicht so vertrauenerweckend vorkommt.

>Tschö
>Mark


-ras

--

Ralph A. Schmid

http://www.dk5ras.de/ http://www.db0fue.de/
http://www.bclog.de/