Einige Fragen zu TrueCrypt / Acronis True Image

[Anub1s]

Hallo zusammen,

ich habe mich bereits ein wenig in das Thema Verschlüsselung mit TrueCrypt eingelesen, habe aber dennoch einige Fragen auf die ich keine eindeutige Antwort finden konnte.
Ausgangssituation ist folgende: Ich würde gerne einen Teil meiner persönlichen Daten, die jeweils in extra Ordnern liegen, mit TrueCrypt verschlüsseln. Dazu möchte ich auf einer (internen oder externen) Platte einen Container anlegen, in den die Daten gelegt werden und der dann entsprechend nur mit einem hinreichend sicheren Passwort gelesen werden kann.

- Wie sieht es mit der Sicherheit der Daten aus (nicht im Hinblick auf die Verschlüsselung, sonder auf Datenkonsistenz)? Kann also bspw. bei einem einzelnen "falschen" Byte in der Containerdatei (wegen eines Hardwarefehlers oder was auch immer) direkt der gesamte Inhalt verloren sein, oder kann ich dann nach wie vor auf "fast alle" Daten innerhalb des Containers zugreifen?
- Zur Zeit sicherer ich die Daten in regelmäßigen Abständen über automatische Tasks mit Acronis True Image. Wenn ich die Backups dabei verschlüsseln lasse kann ja zunächst erstmal auch niemand Daten aus diesem Archiv lesen. Allerdings sehe ich hier einen möglichen "Angriffspunkt": In Acronis True Image muss ja das Passwort zum verschlüsseln des Backups irgendwo gespeichert sein, kann das auf irgendeine Art und Weise ausgelesen werden? Wenn das der Fall ist, wäre ja (bspw. wenn der Rechner gestohlen würde) die Sicherung für einen Angreifer letztendlich doch einsehbar.
- Eine weitere Frage zu der Sicherung mit True Image: Kann das Programm auf die "Inhalte" der Container zugreifen (bspw. wenn ich die Container nach dem Start von Windows per Passwort "freigebe")? Oder sind hier ohnehin nur Komplettbackups möglich (was ja in jedem Fall gehen müsste, indem True Image den Container einfach als Datei auffasst, und verschlüsselt sichert)?
Alles in allem ist mir also im großen und ganzen noch nicht ganz klar, wie ich "Datensicherheit" und "Datensicherung" miteinander vereinbaren kann, ich hoffe man versteht wo das Problem ist

MfG Anub1s

 

[starbuckzero]

- zu Frage 1, der Datenkonsistenz: aus der TC FAQ:

"In encrypted data, one corrupted bit usually corrupts the whole ciphertext block in which it occurred. The ciphertext block size used by TrueCrypt is 16 bytes (i.e., 128 bits). The mode of operation used by TrueCrypt ensures that if data corruption occurs within a block, the remaining blocks are not affected".

Der restliche Container bleibt mount- / lesbar, etwas problematischer kann es sein, wenn der Volume-Header defekt ist, den sollte man aber ohnehin gesichert haben (geht sehr simpel in Truecrypt über Volume-Tools).

- zu Acronis: Wenn du einen Truecrypt Container nutzen willst, musst du ihn mit Truecrypt als Laufwerk mit eigenem Laufwerksbuchstaben mounten. Solange der Container gemountet ist, ist der Inhalt auch für das System und sämtliche Applikationen sichtbar, wie ein normales Laufwerk. Wenn dein Container also als Laufwerk U: im System hängt und du Acronis anweist, U: zu sichern, landen die Daten erstmal unverschlüsselt im Backup.

Die Optionen:
1. Du kannst die in Acronis eingebaute AES Verschlüsselung für die Backup-Archive nutzen, um Zugriff auszuschließen. Das ist hinreichend sicher, solange man davon ausgeht, dass AES in Acronis sauber implementiert ist.
2. Du lässt du Acronis nur die Partition / Ordner mit der Container-Datei sichern (nicht das gemountete Laufwerk), die ist dann auch im Backup verschlüsselt.
3. Du benutzt die Verschlüsselung von Acronis nicht, sondern sicherst gleich auf eine mit Truecrypt verschlüsselte, externe Platte.

 

[engine]

Ich empfehle auch immer eine unverschlüsseltes Backup, wenn es sehr wertvolle Daten sind sogar im Bankschließfach (wegen Brand). Aber auch der Prozess zur Verschlüsselung und Entschlüsselung muss sicher sein und da hapert es bei fast allen Verschlüsselungsprogrammen, außer man verlässt sich nicht ausschließlich auf das Programm.

Gefährlich ist immer die Entschlüsselung und die Bearbeitung.

 

[Anub1s]

Der restliche Container bleibt mount- / lesbar, etwas problematischer kann es sein, wenn der Volume-Header defekt ist, den sollte man aber ohnehin gesichert haben (geht sehr simpel in Truecrypt über Volume-Tools).

Gut, das mit dem Header sichern werde ich mir nochmal genauer anschaun, ich nehme mal an dass man den aber nur einmalig sichern muss, und jemand mit dem Header ohne das Passwort auch nichts mit dem Inhalt anfangen kann, oder?

1. Du kannst die in Acronis eingebaute AES Verschlüsselung für die Backup-Archive nutzen, um Zugriff auszuschließen. Das ist hinreichend sicher, solange man davon ausgeht, dass AES in Acronis sauber implementiert ist.

Wenn ich das ganze wie gesagt über geplante Tasks in Acronis mache, ist ja wie gesagt das Passwort in True Image irgendwo gespeichert. Seh ich das richtig, dass dann der Schutz für das Archiv in dem Fall nutzlos ist, wenn jemand an meinen Rechner (und somit auch an True Image) kommt?

 

[starbuckzero]

ich nehme mal an dass man den aber nur einmalig sichern muss, und jemand mit dem Header ohne das Passwort auch nichts mit dem Inhalt anfangen kann, oder?

Richtig. Die Header sind wenige KB große Dateien, die einem ohne passendens Passwort nichts nützen.

Wenn ich das ganze wie gesagt über geplante Tasks in Acronis mache, ist ja wie gesagt das Passwort in True Image irgendwo gespeichert.

Nicht im Klartext, ich gehe davon aus, dass es gehasht abgelegt ist, wie genau kann ich dir aber auch nicht sagen. Wenn man auf die Implementierung nicht vertrauen will, sichert man eben auf eine verschlüsselte, externe Platte. Reicht auch, für die sensiblen Sachen einen verschlüsselten Container auf der externen zu erstellen, und den Rest auf den unverschlüsselten Teil der externen zu sichern, unterschiedliche Pfade kann man ja in Acronis recht gut einstellen.