Truecrypt Container und dessen Sicherung

[Bueller]

Ich möchte testweise eine Datenpartition oder einen Container auf einem privaten Server per Truecrypt verschlüsseln. Dieser Container / diese Partition soll täglich per Script auf eine externe Platte gesichert werden.

Wie setze ich das am besten um? Mir schwebt eine Containerdatei vor, die dynamisch wächst, derzeitiger Datenbestand etwa 6GB, auf absehbare Zeit nicht mehr als 10-12GB. Die Dateien bestehen vorwiegend aus Dokumenten sowohl im Office- als auch PDF-Format. Weiter finden sich darin eine Reihe von proprietären Audioformaten aus einem Bearbeitungsprogramm.

Nun sind mit die theoretischen Aspekte bei Truecrypt weitestgehend bekannt, aber welche Fallstricke lauern im praktischen Betrieb? Womit habe ich zu rechnen, was können für Fehler auftauchen?

Oder ist Truecrypt dafür vielleicht gar nicht die beste Wahl, sondern man sollte auf ein anderes Produkt setzen? Die Windows Verschlüsselung scheidet aus verschiedensten Gründen aus.

 

[impressive]

container man kopieren wie jede andere datei auch.

 

[Flo89]

Gegen TrueCrypt spricht meines Erachtens prinzipiell nichts.



Zwei Anmerkungen meinerseits:

Ich würde eine feste Größe nutzen, um eine Fragmentierung des Containers zu verhindern.


Und zur Sicherung:
Hier gibt es zwei Möglichkeiten. Entweder so wie von dir angesprochen jedes mal den kompletten Container sichern (was bei ~10 GB in einer akzeptablen Zeit möglich sein sollte) oder den Container erst Mounten und anschließend den Inhalt sichern (gegebenenfalls wieder in einen TrueCrypt-Container).
Letztere Methode hat den Vorteil, dass sie deutlich schneller geht, da nur die neuen/geänderten Dateien gesichert werden müssen.


TrueCrypt-Container lassen sich übrigens auch per Batch-Datei Mounten, dürfte die automatische Sicherung deutlich vereinfachen.

 

[Klikidiklik]

Ich halte von den Containern ehrlich gesagt nicht viel. Entweder Vollverschlüsselung der Platte oder gar nicht. Wenn die Containerdatei auf einer unverschlüsselten Platte liegt und die löscht mal jemand aus versehen... Schwups sind alle Daten weg. Na super. Aber jedem das seine.

 

[Bueller]

Wie von dir beschrieben, würde ich den Container per Batch mounten. Ich bin mir noch nicht sicher, ob ich jedes Mal den kompletten Container sichern sollte oder von einem zum anderen.

Bei Imagesicherungen schweben immer Konsistenzprobleme im Raum. Ist das bei Containern ähnlich? Wenn ja, wie kann man das verhindern? Gibt es Prüfungen, die ich nach dem Kopiervorgang ausführen kann? Ich könnte einen Hash von beiden Containern errechnen und vergleichen, was sicher aufwändig wäre, aber eine sichere Methode.

Wenn ich eine feste Größe für den Container nehme, vermute ich, wird auch jedes Mal diese Größe gesichert. Da der Datenbestand überschaubar ist, aber nach oben offen sein sollte, würde ich einen dynamischen Container bevorzugen. Performance ist mir nicht so wichtig.

 

[Sani]

@Klikidiklik: Ein Container kann aber durchaus sinnvoll sein, gerade wenn man Daten protabel halten will oder auch mit anderen austauschen möchte.

 

[Flo89]

Ein Container ist sogar sicherer als eine vollverschlüsselte Festplatte oder Partition, da man letztere gerne mal aus Versehen formatiert. Eine Datei löscht man normalerweise nicht so schnell. Und falls doch, existiert ja ein Backup.

Wobei ich selbst alle Festplatten AES-verschlüsselt habe und darauf zusätzlich noch ein paar Container liegen

 

[Sani]

Wobei ich selbst alle Festplatten AES-verschlüsselt habe und darauf zusätzlich noch ein paar Container liegen

Paranoid!

 

[Flo89]

Nicht paranoid.

Die Platten sind eben alle verschlüsselt, damit man auf nichts zugreifen kann. Die zusätzlichen Container sind für besonders sensible Daten (unter anderem Passwörter), damit die auch dann sicher sind, wenn ich den PC mal verlasse und vergesse zu sperren.

Na gut, ein bisschen paranoid vielleicht

 

[Sani]

Wenn Du den PC verlässt, wirst Du ja den passwortgeschützten Screenlock aktivieren, oder?

 

[Flo89]

Klar meistens schon, aber wenn ich nur kurz weg bin eben manchmal auch nicht.

Und bei Login-Daten für Bankkonten kann man denke ich nicht sicher genug gehen.

 

[Sani]

Schau Dir mal Roboform an. Crypted mit AES. Musst 1 x ein Passwort eingeben und kannst Dich dann überall einloggen. Mir wäre das entcrypten von Containern zu mühevoll.

 

[Flo89]

Mir ist es nicht zu mühevoll. Zumal man die wichtigsten Daten sowieso irgendwann im Kopf hat.

 

[Sani]

Aber schau Dir Roboform an...wird Dir bestimmt gefallen.

 

[Bueller]

Nach Erstellung des Containers stellt sich ein erstes Problem dar. Der Container soll abendlich auf eine wechselnde USB-Festplatte gesichert werden. Das wirft das Problem auf, dass ich den Container erst unmounten muss, um ihn zu sichern. Wer dafür eine Batch zur Hand hat, gerne. Ansonsten muss ich mir selbst eine schreiben.

Allerdings sollte der Container nachher auch wieder gemounted werden und da wird es knifflig. Es würde dem Sicherheitsgedanken völlig widersprechen, wenn der Container automatisiert wieder gemounted wird, oder? Schließlich käme so jeder an die Daten, der Zugang zum Server hat.

Wie kann ich den Benutzern (sind nur drei) ein möglichst einfaches und sicheres Mounten des Containers ermöglichen? Alle verfügen über das Passwort des Servers und des Containers, könnten sich also dort per Remote anmelden und das Mounten manuell erledigen. Nun die Frage, geht's auch anders?

Ich habe auch an eine Kombination von Passwort und Schlüsseldatei in Verbindung mit der Domänenanmeldung gedacht, aber mir ist noch nichts Vernünftiges eingefallen.

 

[Flo89]

Dismounten des Containers:

[...]
"C:\Program Files (x86)\TrueCrypt\TrueCrypt.exe" /q /dx
[...]

(Aus dem Kopf): Als erstes steht der Pfad zur TrueCrypt.exe, /q bedeutet unmounten, /d wählt das Laufwerk beziehungsweise den Buchstaben aus, x steht für den Buchstaben des gemounteten Containers.


Zum Wieder-Mounten:

Da verstehe ich deine Infrastruktur noch nicht ganz.


Wie wird auf den gemounteten Container zugegriffen?

Alle, die Zugriff haben sollen, haben das Passwort für den Server und ohne dieses können sie nicht auf den Container zugreifen. Sehe ich das richtig?


Zum Mounten des Containers gibt es prinzipiell zwei Möglichkeiten.

Die erste (unsicherere) Methode ist, dass Passwort in die Batch-Datei zu schreiben, die den Container mountet. Problem hierbei ist, das man das Passwort eben im Klartext in der Batch-Datei lesen kann, wobei auf diese eigentlich niemand zugreifen kann, da der Server passwortgeschützt ist (was sich aber natürlich umgehen lässt).


Die zweite (sicherere) Methode wäre, dass Passwort zu cachen (beim ersten Mounten die Option "Cache passwords and keyfiles in memory" aktivieren), dann kann der Container ohne Angabe des Passwortes erneut gemountet werden, sofern das System zwischenzeitlich nicht heruntergefahren wurde.
Dieses Passwort kann man praktisch nicht auslesen (der Arbeitsspeicher müsste im laufenden Betrieb in ein anderes System umgebaut werden, um Zugriff erlangen zu können), da es in einem geschützten Bereich liegt.



Batch-Befehl zum Mounten:

"C:\Program Files (x86)\TrueCrypt\TrueCrypt.exe" /v "X:\Pfad\zur\Datei\Container" /ly /m rm /e /q

Als erstes steht wieder der Pfad zur TrueCrypt.exe, nach /v folgt der Pfad zum Container, /l wählt den Buchstaben aus, den der Container bekommen soll, y ist dann dieser Buchstabe, /m rm mountet den Container im Lesen-/Schreiben-Modus, /e öffnet den gemounteten Container, /q verhindert das Anzeigen des TrueCrypt-Fensters.

Lässt sich natürlich alles noch anpassen und wird auf der TrueCrypt-Webseite auch super erklärt:
Command Line Usage

 

[Bueller]

Danke dir sehr für deine kurze Ausführung.

Das Wieder-Mounten des Containers nach der Sicherung könnte ich also theoretisch automatisiert durchführen lassen, da der Server nie heruntergefahren wird und somit das Passwort immer im Cache verbleibt?

Wenn das so wäre, wäre mein Problem gar keines mehr. Verhindert werden müsste nur, dass der Container nach einem Neustart ohne Passwort gemounted wird. Das ist ja so lange nicht möglich, wie das Passwort nirgendwo im Klartext steht.

Die drei Nutzer in der Domäne sollen so wenig wie möglich Kontakt mit der Verschlüsselung haben. Zwar kennen sie sowohl Administrator- und Containerpasswort, aber der Arbeitsalltag wird erheblich einfacher, wenn das Un- und Wieder-Mounten automatisch geschieht.

Ich schreibe mir mal eine Batch und poste die nachher gerne einmal. Vielleicht kann der ein oder andere sie ja auch gebrauchen.

Edit: Und wer sich fragt, wozu das alles, kurz folgendes. Nach einem Einbruch stellte sich die Frage, was eigentlich passiert, wenn der Dieb die Sicherung und/oder den Server mitnimmt. Mit obiger Lösung wäre das kein Problem. Bei laufendem Server kommt niemand auf das Laufwerk, da er über keine Rechte verfügt (es sei denn er kennt ein Benutzerpasswort), ausmachen kann er den Server ruhig und mitnehmen sowieso. In allen Fällen sind die Daten geschützt. Profis mag ein laufender Server als Einfallstor reichen, hier aber geht es um den Gelegenheitsdieb.