BitLocker - Fragen.

Skudrinka

Fleet Admiral Pro
Registriert
Sep. 2008
Beiträge
10.090
Hallo ihr lieben.

Ein kleines Vorwort zu meiner "Situation".

Ich habe eine 400Gb große Systemplatte mit 2 Partitionen. Auf beiden der Partitionen läuft Win7 Ultimate.
Dazu kommt noch eine 1TB große Daten-Platte die als/mit eine Partition läuft.

Mein Mainboard hat keinen TPM.


Nun habe ich ein paar Fragen.

So, jetzt möchte ich zuerst mal die Datenplatte verschlüsseln.
So wie ich das verstanden habe, kann ichim laufendem Betrieb die Festplatte verschlüsseln lassen, das wohl einige Zeit dauern wird. Wenn dieses geschehen ist habe ich für diese Platte meinen normalen Key und einen 48Stelligen Wiederherstellungsschlüssel?
Wenn ich meinen normalen Key verliere, kann ich jederzeit die Festplatte mit dem Wiederherstellungsschlüssel "befreien"?

Verlege ich beide Key, also den normalen und den Wiederherstellungsschlüssel, so ist ein drankommen an die Daten "nahezu" unmöglich, richtig?

Den Wiederherstellungsschlüssel kann ich entweder ausdrucken oder in einer Datei speichern - hier wäre wohl ausdrucken angesagter, oder? - Kann ich auch beides tun?

Damit hätten wir die Datenplatte.
Nun zum System selber.


Da ich (leider) keinen TPM auf meinem Board stecken habe, muss ich das über einen USB-Stik (Dongle) machen?!

Ohne diesen Dongel wird mein System nicht hochfahren, da in ihm die Key geschrieben sind?

Geht der Dongel kaputt oder verloren habe ich doch immer noch den 48Stelligen Wiederherstellungsschlüssel, oder?

Am Ende wird es also so aussehen das ich den Dongle und den normalen Key brauche um mein System benutzen zu können, habe ich eins der beiden Sachen nicht, ist erstmal mein Pc "geschützt"?


Ich weiß, das sind einige Fragen, die ihr aber auch nicht ausführlich beantwortet müsst, ein "JA/Nein" wird mir oft reichen ;)

Eine Frage habe ich noch. Von beiden der Platten besitze ich ein 1:1 Backup (Unverschlüsselt) die ich im Tresor aufbewahre. Das Backup Aktualisieren ich regelmäßig mit Acronis. Wird Acronis mit den verschlüsselten Platten Probleme bekommen, wenn ja welche; auf was muss ich achten?


Ich danke euch vielmals!!!:)
Ergänzung ()

Hat niemand etwas Rat für mich?

Liebe Grüße
 
Bevor Du Deine Platte mit 1T angehst, rate ich Dir das ganze an einem kleinen USB Stick zu versuchen.
Soweit ich versucht habe, brauchst Du für die Datenplatte nur ein PW, keinen Dongle und kein TPM.
 
Sonst keiner? :(

Mal eine andere Frage, Bitlocker oder TrueCrypt?:p - Ich weiß, eine an sich schwere Frage..


Liebe Grüße!
Ergänzung ()

Mag keiner mir Tipps geben? :(


LG
 
Wenn Dein Bios es unterstützt nimm ein Festplattenpasswort. Das ist das Einfachste. Danach kommt Bitlocker und dann Truecrypt. Bitlocker ist schon OK nur das erste Verschlüsseln dauert ewig.

Jo
 
Johannes66 schrieb:
Wenn Dein Bios es unterstützt nimm ein Festplattenpasswort. Das ist das Einfachste. Danach kommt Bitlocker und dann Truecrypt. Bitlocker ist schon OK nur das erste Verschlüsseln dauert ewig.

Jo

Danke.

Ja, bin seit 3h an meiner Datenplatte dran, steht erst bei 20% :rolleyes: - Naja, wird die Nacht noch überdauern. Ich hoffe alles geht gut ;)

Wie ist das eig. kann ich eine Verschlüsselte Partition einfach Formatieren/löschen?
Und, wenn nun meine Datenplatte ein neues Windows bekommt, ich es also neu installiere, wird es Probleme mit der Entschlüsslung geben; ist die Platte nun an dem System gebunden?


LG
 
du kannst alles einfach löschen Oo dann is es halt weg. im fall von verschlüsselten daten ist es sogar zu 100% weg.

ich würde ja allgemein und kategorisch zu truecrypt raten, da eine verschlüsselung mit nicht-open-source software von vornherein unlogisch ist und...nunja...wir kennen ja alle microsofts software ;)

das ata-passwort von manchen biosen ist übrigens mit ein wenig equipment in ein paar sekunden zu knacken, also mehr ablenkung als alles andere.

ob acronis unterstützung für die entschlüsselung von bitlocker hat kann ich dir nicht sagen, wenn aber nicht wirst du kein unverschlüsseltes backup machen können...logisch gell ^^

dass du kein tpm hast kann übrigens ganz gut sein. zumindest gefällt mir der gedanke nicht, dass irgend so ein chip alle meine passwörter an den höchsten bieter verschickt und jegliche verschlüsselung umgeht. stichwort bundestrojaner. natürlich im prinzip auch mit bios und efi möglich, aber mit einem dedizierten tpm doch viel wahrscheinlicher.
 
Formatieren geht soweit ich mich erinnere.
Entschlüsseln dauert gleich lang wie Verschlüsseln.
Platte sollte mit Pw auch an neuem Win7U funktionieren.

jo
Ergänzung ()

enteon schrieb:
das ata-passwort von manchen biosen ist übrigens mit ein wenig equipment in ein paar sekunden zu knacken, also mehr ablenkung als alles andere.
.

Soweit ich weiß, liegt das Passwort ja in der Platte und verwenden das Bios nur zum setzen.
Wenn man also ein Passwort fürs Bootmenü und ein Platten Passwort vergibt, ist der Aufwand Zugriff auf die Daten zu erhalten meines Erachtens doch um einiges höher als bei einem Passwort, welches nur SW abhängig ist, oder?

Jo
 
klar ist es ein höherer aufwand die platte auszubauen und sich so ein gerät zu besorgen als einfach nur die bios batterie rauszunehmen und von einem usb-stick zu booten um jegliche passwörter zu verändern.
was natürlich keine richtige verschlüsselung der daten einschließt! normale windows passwörter sind mit einer art MD5 gespeichert, was seit langem geknackt ist und mittlerweile sogar per brute-force schnell zu knacken ist. bei einer kompletten AES (oder sonst ein guter algorithmus) verschlüsselung ist ganz klar die verschlüsselung das unknackbare, ein zeitgleich vorhandenes ATA passwort dagegen aber nur ein schlecht gemeinter scherz, da es die daten weder verschlüsselt noch wirklich schwer zu knacken ist, so ähnlich wie das windows-passwort.
 
Danke euch erst mal :)

So, nach rund 20 Stunden war die 1Tb fertig - ganz schön lange gedauert ;)
Aber soweit funktioniert es hervorragend. Leitungsmäßig spüre ich eig. keinen Unterschied. Und ich komme auch von beiden Betriebssystem aus auf die Platte mit meinem Kennwort - So wollte ich das :)


LG
Ergänzung ()

So wie es aussieht funktioniert ein USB-Key und gleichzeitig einen Pin abzufragen. Sondern nur TMP+PIN..

schade, also doch truecrypt? :(
Ergänzung ()

So, so wie ich sehe kann ich mit TC keine Partitionen "on the Fly" (heißt das so?) verschlüsseln, da TC die Partition erst Formatiert, aus Sicherheitsgründen?!

Somit werde ich mit TC nur die Systempartition verschlüsseln und alles weitere mit Bitlocker, bzw. die von Bitlocker verschlüsselte Datenplatte so weiter behalten.

Schade das keiner so richtig was dazu sagen kann :(

Liebe Grüße
Ergänzung ()

Und ich nochmal ;)

Ich sehe gerade jetzt erst, wo ich vieles auf meinem NoteBook probiere das ich doch eine Partition on the fly, in TC wird es wohl in place genannt verschlüsseln kann..

Ich glaub ich verabschiede mich doch von BitLocker - TC scheint einiges zu können. Leider findet man irgendwie keine brauchbare Doku über TC...?!



Ich werde weiter ausprobieren ;)

LG
 
So, habe nun mein 2. System Verschlüsselt, mit TC. Bootloader und etc. funktioniert wunderbar. Nun muss ich noch mein 1.System verschlüsseln, ob das klappt und wie, werde ich wohl sehen...Wenn ihr mir nix dazu sagen könnt.

Und da ich nix besseres zu tun habe, habe ich die Datenplatte wieder entschlüsselt und werde sie mit TC in einer Kaskade verschlüsseln.


Liebe Grüße
 
selbst wenn die beiden betriebssysteme auf der selben platte sind denk ich mal dass truecrypt schlau genug sein wird den "alten" bootloader nicht kaputt zu machen ^^

die kaskade kannst du aber vergessen, da dein passwort wahrscheinlich nichtmal halb so viel bits hat wie auch nur eine einzelne verschlüsselung. an den passwort-hash kommt ein angreifer nämlich immer. den knackt er dann dank schlechtem passwort relativ schnell und deine super kaskade hat dir nix gebracht. zumal sie auch so nix bringt. wenn du besonders sicher sein willst nimmst du einfach serpent statt AES.
 
enteon schrieb:
die kaskade kannst du aber vergessen, da dein passwort wahrscheinlich nichtmal halb so viel bits hat wie auch nur eine einzelne verschlüsselung.

Erstaunlich, ich frage mich woher du das Wissen nimmst ;) Ganz 256Bit ist es nicht lang, stimmt schon ;)

LG
Ergänzung ()

Also, ich wollte gerade mein 1. Sys verschlüsseln.

TC sagte mir dann das sein Bootloader schon installiert sei und und passieren kann das ich, wenn ich fortfahre nicht mehr auf bestimmte Daten zugreifen kann - > Ich klckte auf fortfahren, dann kam der "Test" und tatsächlich, obwohl ich bei beiden das gleiche PW gesetzt habe, kam ich nicht mehr auf mein 2. Sys drauf. Die Windows Starthilfe öffnete sich; keine Fehler aber gefunden.

Gut, habe dann die Verschlüsselung des 1. Sys (Auf das bin ich Problemlos gekommen) beendet/gestoppt und habe den Bootloader+ Header von der TC-Rettungs Cd wiederhergestellt, dann kam ich wieder normal auf mein 2. (dieses hier) drauf..

Nun stelle ich mir die Frage wie und was ich machen muss damit ich beide Systeme verschlüsseln kann.??

Beide liegen auf einer Platte und beide sind Primär..

LG
 
Zuletzt bearbeitet:
jeweils einzeln geht es scheinbar nicht, aber so wie ich das verstanden habe geht es wenn du die komplette platte verschlüsselst, da dann der (hoffentlich korrekt eingerichtete^^) alte bootloader in einem anderen bereich gesichert wird. dann wird vielleicht zuerst die verschlüsselung "geöffnet" und dann das jeweilige os gestartet. aber das müsste man einfach mal ausprobieren :)
also daran könnten die entwickler schon noch arbeiten, kann ja nicht so schwer sein den bootloader auf wunsch nur in den partitions-mbr zu schreiben oder den schon bestehenden zu ergänzen.
 
Zurück
Oben