Vollständige Verschlüsselung mit TrueCrypt

[Dionysos808]

Hallo!

Ich möchte ein System vollständig verschlüsseln, d. h. ich möchte die Systemplatte (128-GB-SSD) und den Rest (2 interne HDDs (1 TB und 2 TB), 1 externe HDD (1 TB) per eSATA bzw. USB) so verschlüsseln, dass nach dem Booten alles zur Verfügung steht ohne erneute Passworteingabe.

Dazu habe ich ein paar Fragen:

Auf der SSD liegt zweimal Windows 7, auf der internen 1-TB-HDD liegt auch einmal Windows 7, allerdings:
Nur das Hauptbetriebssystem ist direkt auf die SSD installiert, die anderen sind in eine VHD installiert und wurden nachträglich per bcdedit eingefügt. Es wurde also nicht weiter partitioniert (SSD: 100-MB-Partition + Rest in einer Partition, HDDs: alle jeweils eine Partition).

1. Ich vermute, ich muss "Multi-boot" wählen, dann werden die SSD und die interne 1-TB-HDD vollständig verschlüsselt. Richtig?

2. Was mache ich bei "Multiple Systems on Single Drive"? Ich müsste "No" wählen, da ich ja nicht pertitioniert habe? Aber ich habe ja zwei OS auf der SSD, wenn auch das zweite nur in einer virtuellen Festplatte vorliegt, es ist ja im Bootmanager eingetragen. "Yes" ist übrigens nicht wirklich eine Option, da man eine Fehlermeldung erhält, die besagt, dass es nicht möglich ist ein gesamtes Laufwerk zu verschlüsseln, das mehrere OS enthält. Dann müsste ich also zurück...

3. Was muss ich tun, damit auch die anderen beiden HDDs, die kein OS enthalten, und nachdem auch diese verschlüsselt sind, direkt eingebunden werden.

4. Ist es möglich, einen USB-Stick mit Passwort und Keyfile so vorzubereiten, dass alles automatisch entschlüsselt wird, ohne dass man ein Passwort eingeben muss?

5. Du darfst mir gerne Links um die Ohren schmeißen, die mir TrueCrypt näher bringen.


Vielen Dank!

 

[CaTFaN!]

Ersteinmal die Frage, ist das überhaupt notwendig? Der Leistungsverlust ist je nach Verschlüsselungsalgorithmus enorm, wird hierraus kein Wert gelegt? Sind die auf den System befindenen Dateien so sensibel?

 

[Fight for Right]

stimme FrEaK2000 zu durch die verschlüsselung funktioniert trim und garbage collection nicht mehr.

 

[gadric86]

stimme FrEaK2000 zu durch die verschlüsselung funktioniert trim und garbage collection nicht mehr.

TrueCrypt leitet den TRIM-Befehl weiter.

Quelle: http://www.truecrypt.org/docs/?s=trim-operation

 

[Dionysos808]

Auf Leistung kann hier verzichtet werden, wobei ich gelesen habe, dass sich der Leistungsverlust in sehr überschaubaren Grenzen hält.
Auch TRIM funktioniert doch mittlerweile.

 

[QuantenWalli]

Eine SSD zu verschlüsseln macht schon Sinn. Von einem plötzlichen Defekt sind ja nur die Controller betroffen und dann liegen die Daten nach wie vor in den funktionierenden Speicherzellen vor und könnten auch ausgelesen werden. - Das will ja keiner, egal, wie (un)wichtig die Daten sind.
Eine verschlüsselte SSD ist trotz allem noch wesentlich schneller als eine Festplatte.

Du hast sehr spezielle Fragen. Ich denke mal, damit wärst du im TrueCrypt-Forum besser aufgehoben. Die Leute dort kennen sich wirklich aus und helfen auch gern.

Soweit ich mich erinnere, ist es nicht so einfach möglich (wenn überhaupt) ein Multi-OS-System zu verschlüsseln, gerade wenn die einzelnen Betriebssysteme nicht auf verschiedenen Partitionen liegen.

Was aber problemlos geht, ist das Einbinden von verschlüsselten Nicht-Systempartitionen während des Startvorgangs des Betriebssystems. Dafür gibts in TrueCrypt die Option "System-Favoriten" (oder so ähnlich). Wähle einfach die verschlüsselte Partition/Festplatte aus und füg sie den System-Favoriten hinzu. Du musst aber das gleiche Passwort verwendet haben wie für die Systempartition. Dann bindet TrueCrypt das Laufwerk automatisch ein, noch bevor anderes geladen wird. Kann also auch für Benutzerverzeichnisse genommen werden, die rechtzeitig zum Windows-Start zur Verfügung stehen...

 

[corun]

Welche Windows 7 Version hast du denn, wenn es Win7 Ultimate ist, würde ich Bitlocker nehmen. Da hast du dann auch keinerlei Performanceverluste und das Zusammenspiel mit Windows könnte nicht besser sein. Betreibe selbst auch ein mit Bitlocker kpl. verschlüsseltes System und konnte keinerlei Performanceverluste bemerken - auch der Windows7 Lestungsindex hat sich nach einem erneuten Durchlauf nicht verschlechtert.

Besonders praktisch ist die Möglichkeit ein Keyfile auszulagern, welches man z.B. auf einen USB Stick oder eine SD Karte kopiert. Fehlt dieser Key beim Booten startet Windows nicht.
Ansonsten gibst du einfach dein Windows Benutzerpasswort ein und das wars dann auch schon

 

[Dionysos808]

Danke für Deine Antwort, QuantenWalli! Ich könnte auch mal im TrueCrypt-Forum nachfragen, stimmt. Mache ich später mal.

@ corun:
Ich könnte zwar Bitlocker nutzen, aber irgendwie ist mir Open Source da einfach sympathischer... ich habe mir Bitlocker aber auch nie wirklich angeschaut, um ehrlich zu sein.

 

[corun]

@ corun:
Ich könnte zwar Bitlocker nutzen, aber irgendwie ist mir Open Source da einfach sympathischer... ich habe mir Bitlocker aber auch nie wirklich angeschaut, um ehrlich zu sein.

Dann lohnt sich auf jeden Fall mal ein genauer Blick

 

[Dionysos808]

Hast Du vielleicht einen guten Link auf die Schnelle? Auch hinsichtlich der Sicherheit im Vergleich zu TrueCrypt.

Mir ist gerade aufgefallen: Vielleicht sollte ich Schlaumeier die virtuellen Festplatten erst einmal anfügen... evtl. lösen sich damit die meisten Fragen, da sie ja dann wie eigene Laufwerke wirken. Allerdings wären sie ja bei jedem Neustart weg. Ich werde mir das später noch einmal anschauen.

 

[kaigue]

stimme FrEaK2000 zu durch die verschlüsselung funktioniert trim und garbage collection nicht mehr.

Trim geht, aber nur mit Bitlocker. GC sollte unabhängig von der Verschlüsselung sein.
Ich nutze eigentlich nur Bitlocker. Ist am einfachsten zu Bedienen meiner Meinung nach.

Ergänzung (10. Juli 2011)

Ansonsten gibst du einfach dein Windows Benutzerpasswort ein und das wars dann auch schon

Wenn dein Rechner ein TPM hat. Wenn nicht geht es nur mit einem USB Stick und den Keyfiles.
So mache ich das bei meinem Desktop auch. Im Notebook ist aber ein TPM Chip drin. Da funktioniert es wie du beschrieben hast.

Die Sicherheit ist natürlich dieselbe. Jedoch gibt es nie 100% Sicherheit. Eher wird man dich bedrohen damit du dein Key rausgibst als dass der Algorithmus geknackt wird

 

[Dionysos808]

TRIM geht auch mit TrueCrypt, Leute.

Mir ist gerade wieder eingefallen, warum ich Bitlocker nicht nutzen kann:

Bitlocker cannot be used to encrypt the host volume containing VHD files used for native VHD boot, and bitlocker cannot be used on volumes contained inside a VHD.

Ich hoffe, das ist mit TrueCrypt möglich, und halte euch auf dem Laufenden. Wer Infos oder Ideen hat: Immer her damit!

 

[kaigue]

Seit wann geht Trim auch mit TC?

Edit. Scheint tatsächlich zu gehen: http://www.truecrypt.org/docs/?s=trim-operation

 

[Dionysos808]

Jetzt habe ich gerade von DiskCryptor gelesen (soll wohl performanter sein bei SSDs und ebenfalls Open Source)... ich glaube, ich muss mich noch mindestens 'ne Woche schlau machen, bevor ich die Verschlüsselung tatsächlich in Angriff nehmen kann.
Aber meine virtuellen Festplatten machen mir da bestimmt noch so einige Schwierigkeiten, wenn es denn mit denen überhaupt geht.

 

[QuantenWalli]

Die Arbeit macht deine CPU und nicht die SSD.
Deshalb und weil in ernstzunehmender Software allgemein bekannte Algorithmen verwendet werden, dürfte es da eigentlich keine Performanceunterschiede geben.

TrueCrypt ist seit Jahren als das Standardtool etabliert.
Außer dir hat noch niemals jemand von DiskCryptor gelesen
(außer vielleicht von der Betaversion 0.9 bei Chip.de - ok, auf der russischen Webseite des Herstellers gibts auch eine aktuellere...)

=> Nimm TrueCrypt und verschlüssel mit AES-256.

 

[Dionysos808]

Etabliert ist etabliert, hast Recht.
Aber wie ich das Problem mit meinen virtuellen Festplatten lösen kann, muss ich noch herausfinden.

... und ich warte immer noch auf die Validierungsmail für das TrueCrypt-Forum, damit ich dort überhaupt Beiträge verfassen kann.
Schließlich soll's ja beim ersten Anlauf klappen.

 

[Dionysos808]

So... nachdem ich nicht im TrueCrypt-Forum schreiben konnte - kann ich immer noch nicht -, habe ich versucht, mich etwas schlauzulesen. Dabei kam heraus, dass ich TrueCrypt gar nicht so nutzen kann, wie ich es mir wünschen würde: Ich muss selbst ein Passwort eingeben, um vom verschlüsselten System booten zu können, ich möchte es aber bequem. Der PC soll nur hochfahren, wenn ein USB-Stick mit Keyfile eingesteckt ist.
DiskCryptor scheint das zu können und sieht sehr vielversprechend aus, aber leider ist das noch so unbekannt, dass ich nirgends eine brauchbare Anleitung finde.

Mein Hauptproblem: Die VHDs lägen ja dann auf verschlüsselten Partitionen... würden diese Partitionen denn überhaupt rechtzeitig eingebunden werden, um von den VHDs booten zu können? Ich bezweifele es irgendwie, kenne mich damit aber nun wirklich nicht aus. Einfach so ausprobieren will ich es nicht, schließlich will ich mir nicht alles zerschieße. Ich will jetzt nicht extra Partitionen für die VHDs einrichten, dann wäre der Sinn dahin. Mein Verschlüsselungsprojekt treibt mich noch in den Wahnsinn!

Jeder Vorschlag und jede Idee ist willkommen!