Prinzip Truecrypt: Fragen zu allem

[Elcrian]

Hallo,
ich habe ein paar (grundlegende) Fragen zum Thema Truecrypt:
Ich sehe es richtig das ich wenn ich eine ganze Festplatte oder auch nur Ordner verschlüsseln will ich eine Datei erstelle die eine fest definierte Größe hat und diese wie eine *.iso dann je nach Bedarf aufgerufen wird wenn ich an die Daten muss? Dazu erstellt die Software eine neue Partiton die jedesmal mit den Daten der Datei gefüttert wird.

Funktioniert das dann bei einer ganzen Festplatte genauso nur das die Datei dann 500GB fasst? Stelle ich mir schwierig vor.

Rein mathematisch gesehen ist es ab einer gewissen PW-Länge sicher wenn ich es richtig erkenne - aber wie zuverlässig ist dieses System? Ich traue mich nicht meine ganzen wichtigen Daten in einen solchen Container zu packen (ggf. natürlich auf DVD brennen und zur Oma auf den Dachboden legen ) wenn diese Container kurzerhand durch Softwareprobleme unbrauchbar werden können. Ich "vertraue" immerhin z.B Urlaubsbilder und weiteres einem Programm an und muss mich darauf verlassen das es auch auf dauer funktioniert da diese logischerweise nichtmehr unverschlüsselt da wären.

Grüße

Edit: Genau sowas meine ich:

Hat leider auch nichts gebracht.
Das merkwürdige ist ja, dass die Dateien noch vollständig da sind. Einige Fotos im Verzeichnis funktionieren ja auch noch. Truecrypt muss da irgendetwas an der Dateistruktur verändert haben.
Ist es möglich die Truecrypt-Verschüsselung wieder zu entfernen?

Ach ja, es sind nicht nur Fotos betroffen. Simulationsdateien sind ebenfalls zum teil defekt.

Gruß

 

[starbuckzero]

Zunächstmal kann man Truecrypt auf 2. bzw. 3 verschiedene Arten benutzen:
- die von dir angesprochenen Container - können beliebig gross sein, sind aber eigentlich nur empfehlenswert, wenn man kleinere Datenmengen sicher transportieren / bereithalten will, z.B. Tan-Liste fürs Online-Banking, Liste mit Internet-Logins, etc. Sollte so ein Teil eines solchen Containers auf einer Platte mit defekten Sektoren liegen sieht es natürlich rel. schlecht aus und man kann das Ding u.U. nicht mehr mounten.
- verschlüsselte Partitionen - bieten sich an für Daten-Partitionen, werden nach Systemstart eingebunden. Nicht anfälliger für Datenverlust als eine normale Partition, ein Backup der Partitions-Header sollte man selbstverständlich haben.
- System-Vollverschlüsselung: dabei wird neben den Datenpartitionen auch noch die Systempartition verschlüsselt, zum Booten ist die Eingabe eines Passworts nötig. Mit der neuesten Version kann das Passwort auch im Cache abgelegt und zum Einbinden von weiteren Truecrypt Partitionen verwendet werden, insgesamt eigentlich die eleganteste Lösung.

Zur Zuverlässigkeit: ich benutze Truecrypt inzwischen seit fast 3 Jahren, seit es unterstützt wird auch die Systemverschlüsselung. Was soll ich groß sagen, ich hatte noch nie irgendein Problem damit, das Programm funktioniert, zickt nicht rum, stürzt nicht ab, schrottet die Daten nicht sondern tut was es soll und das sehr gut. Wichtig ist, dass man ein Backup der Header-Dateien anfertigt, damit einem nicht aus Versehen irgendein Tool die Partitionsheader "repariert" (die Windows Datenträger-Verwaltung macht das ja nach Klick gerne, wenn sie nur RAW-Daten sieht - wobei das mit den neueren Versionen nicht mehr so tragisch ist, weil man die Header nochmal am Ende der Partition hat.) und im Falle der Systemverschlüsselung sollte man eine Rescue-CD haben (die man mit Truecrypt erstellen kann) um im Notfall den Bootloader wiederherstellen zu können.

Ich verstehe auch deine Bedenken in Sachen "Anvertrauen" nicht wirklich. Wer von wichtigen und nicht ersetzbaren Daten kein Backup hat (das man übrigens sehr einfach auf einer ebenfalls verschlüsselten, externen Platte erstellen kann, die man dann an einem sicheren Ort aufbewahrt) hat es im worst case auch nicht besser verdient. Also sollte man sich sich eventuell erstmal grundlegende Gedanken über ein Backup-Konzept machen, bevor man mit Verschlüsselung anfängt.

 

[Elcrian]

Nein, Datensicherung habe ich in Form einiger DVDs und einer alten externen IDE-Platte wo das wichtigste lagert.
Es geht nur darum das wichtige Daten die auch mal verändert werden aufgerufen werden können insofern man neben dem Windows-PW eben ein weiteres Passwort hat. Und diese Daten sind dann eben nur in diesem Container in aktueller Form. Bzw: Wenn ich es dann nochmal halbwegs aktuell sichere hab ich ja auch nur diese Container-Datei.

Aber Systemverschlüsselung klingt durchaus interessant. Wie funktioniert das in etwa? Ich werde das nun nicht ausprobieren da ich mir ganz bestimmt nicht das System zerballern will wenn ich was falsch mache. Ja, leichte Paranoia was das angeht.
Aber kann man das nicht einfach durch Ausbauen der Platte umgehen? Müsste das doch nur ein einen anderen PC stecken.

Mir geht es im Prinzip nur um meine Datenfestplatte bzw selbst da nur um ein paar Gigabyte Daten wenn man es genau nimmt. Da wäre der Container das sinnvollste, wenngleich nicht sehr komfortabel wie ich sehe, aber muss ja wohl.
Wobei ich find das gerade unlustig: Der akzeptiert das PW nur wenn ich es direkt anzeigen lasse. ó_Ò

 

[starbuckzero]

Naja wenn es nur um ein paar Daten geht ist der Container schon keine schlechte Wahl, besser wäre es allerdings trotzdem, eine kleine Partition zu verschlüsseln, weil das zuverlässiger ist. Was den Komfort angeht - du kannst Truecrypt so einstellen, dass der Container automatisch bei Systemstart gemounted wird, sobald du das Passwort eintippst - dann liegt der wie ein normales Laufwerk vor und du kannst damit machen was du willst.

Die Systemverschlüsselung ist an sich ne recht simple Sache (die technischen Grundlagen kannst du auf der Truecrypt Website in aller Ausführlichkeit nachlesen), Truecrypt schreibt einen Bootloader, verschlüsselt die Systempartition und entschlüsselt diese on-the-fly nach Eingabe des Passworts vor dem eigentlichen Bootvorgang. Dabei kann auch nicht wirklich viel schiefgehen, bevor die Verschlüsselung endgültig durchgeführt wird macht Truecrypt auch erstmal einen Testlauf, nur wenn der problemlos funktioniert kann man die eigentliche Verschlüsselung starten. Ein Backup sollte man natürlich trotzdem haben.

Das lässt sich natürlich auch *nicht* durch Ausbau der Platte umgehen, die Systempartition wird ja verschlüsselt, ohne Passwort kommt da niemand an die Daten ran. Generell sollte man sich die Frage stellen, wieso man eigentlich nicht das komplette System inkl. aller Partitionen komplett verschlüsselt, heutige Multicore-CPUs sind leistungsstark genug, das fast ohne Performance-Verlust zu bewerkstelligen, es limitiert meistens eher die Platte als die Verschlüsselung, wenn es um die Leistung beim Lesen & Schreiben geht.

 

[BeeHaa]

Ich versuch die Fragen mal EINFACH zu beantworten. Ohne Quoten stell ich mir das aber wiederum kompliziert vor, Kollege Mod Dafür muß man mehr dazu tippern als man quotet. Friede.

Ich sehe es richtig das ich wenn ich eine ganze Festplatte oder auch nur Ordner verschlüsseln will ich eine Datei erstelle die eine fest definierte Größe hat und diese wie eine *.iso dann je nach Bedarf aufgerufen wird wenn ich an die Daten muss?

Nein das siehst du falsch. Wenn du eine ganze Festplatte verschlüsselst, wird sie selbst verschlüsselt. Bei der Boot passiert das samt Konvertierung. on thy fly also. Danach hast du eine verschlüsselte Platte. Keine Datei also.
Bei nicht-boot Partitionen kann es sein, daß man die Daten erst "wegkopieren" muß und nach der Verschlüsselung wieder drauf. Sonst löscht der Verschlüsselungsvorgang sie. Es wird so gesehen neu formatiert dafür. Von TrueCrypt selbst.

Dazu erstellt die Software eine neue Partiton die jedesmal mit den Daten der Datei gefüttert wird.

Nein auch das ist falsch Die Datei, ein s.g. Container, wird selbst als ein Laufwerk (Platte) gemountet. In diesem sieht man die Daten des Containers entschlüsselt. Alles was man mit diesem Laufwerk anstellt passiert aber in Wirklichkeit im Container selbst.

Rein mathematisch gesehen ist es ab einer gewissen PW-Länge sicher wenn ich es richtig erkenne

Ja ab 14 Zeichen ungefähr. Wenn du die Passphrase gut mischst (klein/groß Buchstaben + Sonderzeichen + Zahlen).

aber wie zuverlässig ist dieses System?

Ab 6.1a würde ich behaupten so zuverlässig wie NTFS selbst. Bei den ganzen Gurken die man sonst bekommt ist das vielleicht kein allzugroßer Lob, aber ich kenne unter Windows keine Software die so zuverlässig und stabil das tun würde was sie sollte. Sauschnell ist TrueCrypt in den letzten Versionen sowieso geworden.
Das Zitat wäre mit einem Link aber besser

Ich traue mich nicht meine ganzen wichtigen Daten in einen solchen Container zu packen (ggf. natürlich auf DVD brennen und zur Oma auf den Dachboden legen ) wenn diese Container kurzerhand durch Softwareprobleme unbrauchbar werden können.

Du sagst es doch selbst. Den Container - der ja nicht gemountet immer als verschlüsselt gilt - kannst du mit dem üblichen Backupturnus mitnehmen. Für das System ist es genauso eine Datei wie jede andere. Wenn was damit sein sollte, hast du immernoch dein Backup. Wie von deinen restlichen Sachen auch.

p.s.:
So wie ich das sehe machst du zwar Backups der Daten, aber keine Images der Platten. Das solltest du dir angewöhnen. Falls du keine Software dafür hast kannst du mal mit DriveImageXML versuchen. Das ist mehr als ausreichend. Mußt nur eine externe Platte haben wo genug Platz drauf ist
http://www.runtime.org/driveimage-xml.htm