TrueCrypt Effektivste Nutzung

Kausu · 27. Februar 2014

Hi,
eigentlich wollte ich dafür keinen neuen Thread eröffnen, aber ich kann keinen passenden Sammelthread finden, mittlerweile habe ich mein kleines Notebook eine Vollverschlüsselung gegönnt - hübsch

Nun habe ich aber noch meinen Haupt/Spielerechner, dem ich diesen Performenceverlust nicht zumuten möchte.

Bei TrueCrypt geht es ja vordergründig darum, private Daten zu verschlüsseln, aber wie handhabt ihr dies genau bzw. wie würdet Ihr dies:

a) Hidden volumes mit TrueCrypt Installation und outer volumes inkl. privater Opferdatei und dann hoffe, dass der andere damit zufrieden ist?
b) Normaler Container und TrueCrypt immer als portable Version ausführen, damit gar keine Anhaltspunkte auf den Container vorhanden sind.
Hier Frage ich mich, ob man komplett verberben könnte, dass TrueCrypt ausgeführt wird.
c) Container ab in die Cloud (hmm gefällt mir schon beim schreiben nicht so wirklich) mit portablen Modus

Oder wäre vielleicht sogar Hidden + Outer volumes und portabler Modus die beste Variante?

macten · 27. Februar 2014

Hidden volumes? Welche Daten hast du denn, das du Folter befürchten musst um die Herausgabe des keys zu erzwingen? Urlaub in Somalia, Syrien etc.

Normaler container reicht, es sei denn du nutzt es wirklich um illegale Daten zu verstecken. Serpent + Whirlpool ist sicherer als AES + SHA, aber auch geringfügig langsamer. Das sollte für den start reichen

Kausu · 27. Februar 2014

macten schrieb:
Hidden volumes? Welche Daten hast du denn, das du Folter befürchten musst um die Herausgabe des keys zu erzwingen? Urlaub in Somalia, Syrien etc.

Normaler container reicht, es sei denn du nutzt es wirklich um illegale Daten zu verstecken. Serpent + Whirlpool ist sicherer als AES + SHA, aber auch geringfügig langsamer. Das sollte für den start reichen

EDIT: danke für den Tipp mit der Verschlüsselung. Ich werde mir dann mal die Containermethoden ansehen.
Ich habe nicht mal genug private Datein für zwei Container - da ist nichts heikles dabei

Ich habe nur etwas quer gedacht, und dachte, dass hidden volumes nochmals sicherer sind.

Ilsan · 28. Februar 2014

Bei TrueCrypt geht es ja vordergründig darum, sensible Daten zu verschlüsseln, aber wie handhabt ihr dies genau bzw. wie würdet Ihr dies:

System komplett verschlüsseln. Beim Notebook in meinen Augen eh Pflicht und auch einfacher als mit Containern rumzujonglieren.

Hidden Volumes brauch kein normaler Mensch

c) Container ab in die Cloud (hmm gefällt mir schon beim schreiben nicht so wirklich) mit portablen Modus

Find ich auch eher suboptimal da der Container erst abgeglichen wird wenn er ge-Dismounted ist. Bei Cloud Diensten würde ich eher jede Datei für sich verschlüsseln (dafür gibt es Tools die sogar den Namen unkenntlich machen),

Kausu · 28. Februar 2014

Hidden Volumes brauch kein normaler Mensch

Wie gesagt, ich bin von einer falschen Annahme ausgegangen - doppelt hällt besser

Find ich auch eher suboptimal da der Container erst abgeglichen wird wenn er ge-Dismounted ist. Bei Cloud Diensten würde ich eher jede Datei für sich verschlüsseln (dafür gibt es Tools die sogar den Namen unkenntlich machen),

Danke für den Tipp. Mal schauen, für die Cloud scheint es ja einige Tools zu geben.

schneeland · 28. Februar 2014

Die Überlegung beim Neu-installieren war bei mir die gleiche: das System bzw. vor allem die SSD sollte möglichst nicht durch die Verschlüsselung ausgebremst werden. Gleichzeitig wollte ich sichergehen, dass, wenn mal ungebetene Gäste kommen und mich um mein geliebtes Rechnerlein erleichtern, sie nicht auch noch meine privaten Daten haben.

Ich hab' dann auch normale Container eingerichtet, die ich automatisch beim Start über ein KeePass-Skript mounte. Konkret:

1 Container für die meisten Daten (=alles minus MP3-Sammlung) - liegt auf der Festplatte (ca. 180GB groß, ca. 100GB belegt)
1 Container für die Browser-Historie, lokale Email-Ordner und temporäre Daten - liegt auf der SSD (ca. 20GB groß, ca. 7 GB belegt)

Letzterer hat den (kleinen) Haken, dass Outlook bzw. Chrome Ihr Profil nicht finden, wenn man vergisst, erst das Keepass-Passwort einzugeben - allerdings wollte ich meine Emails nicht unverschlüsselt auf der Platte rumliegen lassen.

Dropbox und Backup-Platten hab' ich über Boxcryptor gelöst - ginge aber natürlich auch über Truecrypt.

Kausu · 28. Februar 2014

1 Container für die Browser-Historie, lokale Email-Ordner und temporäre Daten - liegt auf der SSD (ca. 20GB groß, ca. 7 GB belegt)

Benötigst du diese Datein, oder warum löscht du die Historie und die temporären Daten nicht bzw. deaktivierst sie gleich komplett?

Hast du einen extra E-Mailordner zum ablegen erstellt, oder mountest du diesen jetzt jedesmal, bevor du E-Mails abrufen kannst?

EDIT: Ach, da steht es ja

schneeland · 28. Februar 2014

Kausu schrieb:
Benötigst du diese Datein, oder warum löscht du die Historie und die temporären Daten nicht bzw. deaktivierst sie gleich komplett?

Die temporären Dateien brauch' ich nicht zwingend - hatte auch alternativ überlegt, ob ich sie regelmäßig von 'nem Skript wegräumen lasse. Aber da ich wegen der Emails eh so 'nen Profil-Container brauchte, hab' ich mir das gespart. History könnte ich auch wegwerfen, finde ich aber eigentlich relativ praktisch, da ich so langsam alt und vergesslich werde (*hrhr*) und schon mal in den besuchten Seiten der letzten Tage graben muss.

Insgesamt ist Vollverschlüsselung sicher komfortabler, dürfte allerdings auf der SSD etwas Performance kosten.

Kausu · 28. Februar 2014

Stimmt^^, mir ging es nicht nur um die Sicherheit, da sammelt sich doch auch irgendwann ein großer Datenhaufen an.
Aber danke für den E-Mailtipp ... da habe ich gar nicht dran gedacht. Ich habe in unregelmäßgen Abständen meine E-Mails exportiert und dann verschlüsselt. Das ist unkomfortabel ... wäre es mir mal eingefallen

d4nY · 28. Februar 2014

Kausu schrieb:
Nun habe ich aber noch meinen Haupt/Spielerechner, dem ich diesen Performenceverlust nicht zumuten möchte.

Du hast doch nen i5 und somit die AES-NI, da sollte doch überhaupt kein Performance-Verlust bemerkbar sein (oder wenn dann, wirklich nur minimal)
Oder geht es im einen anderen PC?

Ilsan · 28. Februar 2014

Die Überlegung beim Neu-installieren war bei mir die gleiche: das System bzw. vor allem die SSD sollte möglichst nicht durch die Verschlüsselung ausgebremst werden. Gleichzeitig wollte ich sichergehen, dass, wenn mal ungebetene Gäste kommen und mich um mein geliebtes Rechnerlein erleichtern, sie nicht auch noch meine privaten Daten haben.

Ich hab' dann auch normale Container eingerichtet, die ich automatisch beim Start über ein KeePass-Skript mounte. Konkret:

1 Container für die meisten Daten (=alles minus MP3-Sammlung) - liegt auf der Festplatte (ca. 180GB groß, ca. 100GB belegt)
1 Container für die Browser-Historie, lokale Email-Ordner und temporäre Daten - liegt auf der SSD (ca. 20GB groß, ca. 7 GB belegt)

In meinen Augen kann man nie wirklich sicher sein wo das OS überall mal temporäre Kopien von Dateien anlegt, daher kommt IMO nur komplett Verschlüsselung in Frage der OS Partition und das finde ich auch das einzig sinnvolle.

Du hast doch nen i5 und somit die AES-NI, da sollte doch überhaupt kein Performance-Verlust bemerkbar sein (oder wenn dann, wirklich nur minimal)

AES-NI hat auch Performance Verlust, zumindest messbar, dass man das spürt halte ich für ein Gerücht. Ansonsten einfach eine neue SSD kaufen die direkt Verschlüsselt wie zB die Samsung 840 EVO.

Container sollen laut TC auch ne schlechtere Performance haben als verschlüsselte Partitionen oder Platten.

In meinen Augen machen Container nur da Sinn wo man entweder nur Dateien hochladen kann oder wenn man auch teile des Datenträgers unverschlüsselt braucht weil man zB ne USB HDD mal an den Fernseher hängen möchte um Filme abzuspielen und so Sachen.

Nun habe ich aber noch meinen Haupt/Spielerechner, dem ich diesen Performenceverlust nicht zumuten möchte.

Spiele laden ihre Daten doch eh in den RAM. Sprich es wird eh nicht ständig auf die Festplatte zugegriffen. Selbst der Vergleich bei Spielen HDD vs. SSD hat gezeigt dass die SSD nur die Ladezeiten verkürzt, sprich das wäre auch das einzigste was vllt ein klein wenig Länger dauern würde bei Komplettverschlüsselung, merkbar wohl kaum in der Praxis.

Du hast doch nen i5 und somit die AES-NI

Zumal die SSD bestenfalls eh wieviel macht? 500MB/s optimistisch gesehen und AES-NI hat über 3GB/s je nach CPU sogar noch mehr.

Macht im Grunde keinen Sinn darüber zu diskutieren wenn die CPU eh AES-NI kann, würde es dann auch nutzen fürs gesamte System.

Wenn du nur nen Atom ohne AES-NI hättest würde es Sinn machen darüber zu diskutieren wie man am besten seine Daten verschlüsselt ohne zuviel Performance zuverlieren.

Kausu · 28. Februar 2014

Ja, es geht um den Rechner in meiner Signatur. Ich bin zwar etwas vertraut mit der Verschlüsselungssache, aber 100%ig die genauen Systeme auseinander halten ... War es nicht so, dass das normale AES nicht so sicher ist wie Serpent? Der Benchmark für Serpent ist bei mir aber nicht so berauschend.
Dann habe ich in meinem Notebook auch nur eine HDD - in meinem Rechner eine SSD und hier schreibt jeder etwas anderes. Vollverschlüsselung; etwas frei lassen, da sonst die Performence zu stark absinkt etc. - wie ich mit der SSD umgehen soll, damit die Performence und die Lebensdauer nicht zu stark absinkt, weiß ich nicht genau.

Darum hatte ich an Container gedacht.

Ilsan · 28. Februar 2014

Würde AES nehmen wegen der Hardware Beschleunigung. Serpent ist natürlich langsamer, das ist Fakt siehste ja auch an den Benchmarks, ob es aber auch sicherer ist? Ist denke ich eher ne glaubensfrage. Was machste wenn Serpent geknackt wird aber AES nicht? Dann musste schon kaskadieren, sprich erst AES dann Serpent usw. Würd mir darüber nicht den Kopf zerbrechen, irgendwelche "Szenarios" gibt es immer.

Würde auf der SSD nix freilassen im Sinne von Partitionen. Würde sie komplett Verschlüsselt sofern du alles komplett als C machst aber dann in TC anwählen dass sie NICHT erst komplett überschrieben werden soll.

TRIM Kommandos gehen laut der TC Entwickler wohl durch.

Je nach Ausstattung kannst du auch gucken ob deine SSD vllt nicht schon Hardwareverschlüsselung bietet oder man nutzt Bitlocker, ist schon in manchen Windows Versionen enthalten (Im Grunde wie TC nur in Windows integriert schon, dafür natürlich kein OpenSource). Muss man selber wissen letztendlich nur das mit den Containern finde ICH eher ne schlechte Lösung.

Kausu · 28. Februar 2014

Also laut dem Datenblatt bietet meine SSD AES Vollverschlüsselung, die standardmäßig aktiviert ist, an - nur, wie nutze ich das denn? Einfach im UEFI ein Passwort setzen?
In Samsung Magican konnte ich dazu nichts finden - außer einen "Class 0 Modus". Bei TrueCrypt kann man ja "nur" RIPEMD-160 als Hashsystem einstellen (für Systemverschlüsselung) was nutzt denn diese SSD Verschlüsselung - ist die genauso sicher und was ist im "Notfall"? Bei TrueCrypt kriege ich ja zumindest eine Notfall CD.

Wäre dann ja eine Möglichkeit die SSD so zu verschlüsseln und mein Datengrab per TrueCrypt.

d4nY · 28. Februar 2014

Was man vielleicht noch erwähnen sollte: Wenn du eine komplette Partition/Laufwerk verschlüsseln willst geht das nur mit MBR als Partitionierungsstil. Laufwerke mit GPT als Partitionierungsstil (und somit auch der UEFI-Boot) kann meines Wissens nach nur Bitlocker verschlüsseln

Kausu · 28. Februar 2014

Laut Datenträgerverwaltung nutze ich MBR - warum auch nicht, meine SSD ist nur 250GB groß und ich habe trotzdem einen Rechner mit UEFI.

EDIT:
Ich kann nur keine Option für den Secure ATA Modus oder ATA Passwort oder wie auch immer genannt finden ... da hat sich dies wohl schon erledigt.

Ilsan · 28. Februar 2014

EDIT:
Ich kann nur keine Option für den Secure ATA Modus oder ATA Passwort oder wie auch immer genannt finden ... da hat sich dies wohl schon erledigt.

Das Mainboard muss ATA Passwort unterstützen, bei Notebooks ist das eigentlich immer der Fall, bei Desktop Mainboards soweit ich weiß nicht immer.

was nutzt denn diese SSD Verschlüsselung - ist die genauso sicher und was ist im "Notfall"? Bei TrueCrypt kriege ich ja zumindest eine Notfall CD.

Was soll im "Notfall" sein? Wenn die SSD kaputt ist kommste halt nicht mehr an die Daten ran, wäre bei TC aber das gleiche.

Die "Notfall" CD bei TC beherbergt im grunde nur die Kopie des Headers falls dieser mal defekt sein sollte oder überschrieben werden sollte. Wenn die SSD sich selbst verschlüsselt brauch man sowas nicht, sobald sie durch das Passwort entsperrt ist verhält sie sich wie eine unverschlüsselte SSD, völlig transparent fürs Betriebssystem.

Ich persönlich würde die integrierte Verschlüsselung nutzen wenn die Hardware es zulässt und nichts dagegen spricht, als zweite Option würde ich Bitlocker nehmen sofern Windows es mitbringt (da integriert und vieles dann einfach runder läuft) und wenn nicht als dritte Option halt TC.

Kausu · 28. Februar 2014

Die "Notfall" CD bei TC beherbergt im grunde nur die Kopie des Headers falls dieser mal defekt sein sollte oder überschrieben werden sollte. Wenn die SSD sich selbst verschlüsselt brauch man sowas nicht, sobald sie durch das Passwort entsperrt ist verhält sie sich wie eine unverschlüsselte SSD, völlig transparent fürs Betriebssystem.

Achso, danke. Notfall war einmal auf Probleme bezogen - aber ich habe vergessen, dass das eine eine Hardware und das andere eine Softwaregeschichte ist und für die Header die NotfallCD ist und sonst wollte ich nur wisse, ob schon bekannt, ob diese Hardwareverschlüsselung genauso sicher oder evtl. sicherer ist - aber ...

Ich persönlich würde die integrierte Verschlüsselung nutzen wenn die Hardware es zulässt und nichts dagegen spricht

ist ja nun auch "egal" (natürlich danke für deine Hilfe

) Ich kann diese Funktion bei mir ja eh nicht finden und kann somit eh nur zu TrueCrypt greifen.

Ilsan · 28. Februar 2014

ob diese Hardwareverschlüsselung genauso sicher oder evtl. sicherer ist - aber ...

Dazu gibt es mehrere Meinungen und Ansichten. Beides hat seine Vor und Nachteile und Schwachstellen.

Bei Software Geschichten muss der Key beispielsweise unverschlüsselt im RAM liegen während des Betriebs.
Bei Hardware Geschichten weiß man im Grunde nicht zu 100Prozent WIE da alles umgesetzt wurde und ob der Hersteller nicht an irgendeiner Stelle geschlampt hat oder was übersehen hat.

d4nY · 28. Februar 2014

Kausu schrieb:
Laut Datenträgerverwaltung nutze ich MBR - warum auch nicht, meine SSD ist nur 250GB groß und ich habe trotzdem einen Rechner mit UEFI.

ob dein Rechner UEFI hat oder nicht, ist egal. Nur wenn du bei der Win-Installation einen Boot von UEFI machst, wird Windows mit GPT partitioniert installiert

TrueCrypt Effektivste Nutzung

Captain

macten

Gast

Captain

Banned

Captain

Lieutenant

Captain

Lieutenant

Captain

Lieutenant

Banned

Captain

Banned

Captain

Lieutenant

Captain

Banned

Captain

Banned

Lieutenant

Ähnliche Themen