Truecrypt: Wie konfigurieren?

Hoeze

Lieutenant
Dabei seit
Juni 2010
Beiträge
668
Hi,
ich hab vor ca. zwei bis drei Monaten meinem PC mal wieder ein Upgrade gegönnt:

Er bekam eine 256GB Samsung SSD 830 und eine neue 2tB "Datenhalde" sowie Windows 8 Pro.
Jetzt nutze ich die SSD für's OS, meine alte 1tB-Platte für alle größeren Sachen wie MS Office oder Spiele, die nicht unbedingt die höhere Geschwindigkeit der SSD benötigen und die neue 2tB-Platte zur Recovery und Datenablage.
Als CPU hab ich einen i5-2500 verbaut, er hat also AES-Acceleration.

Jetzt zu meinem Vorhaben:

Ich will mein komplettes System AES-verschlüsseln, d.h. meine erste Frage wäre, ob sich Truecrypt mit Win 8 verträgt.
2. hat Win 8 ja einen speziellen Hibernate-Modus. Gibt's da ne Möglichkeit, evtl. in mein System zu kommen, wenn ich im Energiesparmodus bin? (Mein PC besitzt keinen FireWire-Anschluss, aber eSata, USB 3.0, etc.)
3. Da ich meinen PC so gut wie nie abschalte: Gibt es ein Programm, das sämtliche Keys aus dem RAM löscht, wenn ich in den Energiesparmodus oder Ruhezustand wechsle? Normalerweise erledigt das ja Truecrypt, aber eben nur wenn ich es beende...
4. Ich habe noch eine externe Festplatte mit einem TC-Container, den ich auf fremden Systemen mit Truecrypt-portable mounte.
Auf meinem eigenen System kann ich den Container natürlich auch so einbinden, aber ich fände es bescheuert, wenn ich mir einen Trojaner einfange, der mir dann den Key stiehlt. Gibt es da ne Möglichkeit das zu verhindern? Keyfiles sind da nicht allzu nützlich, da man diese kopieren kann...

Bitte meine Fragen genau lesen :)

Danke schon mal im Voraus :D
 

SymA

Captain
Dabei seit
Apr. 2006
Beiträge
3.346
1. Da hättest dir lieber die 840er geholt mit HW-AES Unterstützung. SW-Verschlüsselung bei der SSD nimmt dir einen Teil der Performance ;)
2. Du meinst n RAM-Dump erzeugen? Geht nur per FireWire soweit ich weiß und auch nur wegen DMA und einem "Exploit"
3. Nein - wie denn, wenn es on the fly Encryption ist und der Key im Ram liegt? Andernfalls kannst du einen USB-Stick nehmen mit nem Keyfile - aber musst du dann halt immer abziehen und ich glaube beim System macht das wenig Sinn bzw. nur Probleme.
4. Hirn benutzen und nicht wahllos deine Platte an jedem PC anschließen?!
 

Bogeyman

Banned
Dabei seit
März 2012
Beiträge
3.876
Würde Bitlocker benutzen.

2. hat Win 8 ja einen speziellen Hibernate-Modus. Gibt's da ne Möglichkeit, evtl. in mein System zu kommen, wenn ich im Energiesparmodus bin? (Mein PC besitzt keinen FireWire-Anschluss, aber eSata, USB 3.0, etc.)
Wenn der Ram unter Spannung bleibt dann gibt es schon Möglichkeiten. Ist aber eher akedemischer Natur. Wirklich praktikabel ist das nicht, daher würde ich mir da kein Kopp drum machen.

Man muss überlegen wovor man die Daten schützen will in den meisten Fällen ist das:

- Diebstahl durch Personen
- Bei RMA durch eventuelle Einblicke des Herstellers auf die Daten
- Beim Weiterverkauf vor der Neugier des neuen Besitzers

Backdoors KANN es bei Bitlocker geben. Bei Truecrypt aber genauso, weil sie auch nicht alles preisgeben. Wer wirklich panische Angst vor Backdoors hat der muss sich dann Truecrypt auch selber kompilieren aus dem Quellcode. Wenn du irgendne setup.exe lädst kann da auch alles mögliche drin sein, auch wenn TrueCrypt dran steht.

Daher denke ich nciht dass es in Bitlocker Backdoors gibt. MS wird wohl kaum das Firmenimage aufs Spiel setzen weil irgendne Behörde jemanden wegen Steuerhinterziehung oder nen paar Raubkopien belangen will.

Mit Bitlocker to Go kannst du deine Laufwerke auch problemlos unter Windows 7 Systemen nutzen. Gibt sogar nen Tool womit zumindest der Lesezugriff unter XP möglich ist.


Da hättest dir lieber die 840er geholt mit HW-AES Unterstützung. SW-Verschlüsselung bei der SSD nimmt dir einen Teil der Performance
Nur die 840pro soweit ich weiß. Die 840er sind beim schreiben auch ne Ecke langsamer als die 830er. Merken tut man das wohl eher net. Ansonsten tut sich zwischen 830 und 840 nix, sodass es eigentlich egal ist was man da kauft.
 
Zuletzt bearbeitet:

Hoeze

Lieutenant
Ersteller dieses Themas
Dabei seit
Juni 2010
Beiträge
668
1. Da hättest dir lieber die 840er geholt mit HW-AES Unterstützung. SW-Verschlüsselung bei der SSD nimmt dir einen Teil der Performance ;)
2. Du meinst n RAM-Dump erzeugen? Geht nur per FireWire soweit ich weiß und auch nur wegen DMA und einem "Exploit"
3. Nein - wie denn, wenn es on the fly Encryption ist und der Key im Ram liegt? Andernfalls kannst du einen USB-Stick nehmen mit nem Keyfile - aber musst du dann halt immer abziehen und ich glaube beim System macht das wenig Sinn bzw. nur Probleme.
4. Hirn benutzen und nicht wahllos deine Platte an jedem PC anschließen?!

3. Anders ausgedrückt: Ich möchte nach dem Kopieren des RAM-Abbildes eine Cold-Boot-Attacke verhindern.
4. Ich will nur verhindern, dass eine auf meinen PC gerichtete Attacke mit einem Virus mir das KeyFile + das PW stiehlt.
Dass ein Virus auf einem fremden PC ausgerechnet mein KeyFile + PW mitliest, halte ich für relativ unwahrscheinlich... (Was hat bspw. ein Botnet oder ein Stealer davon, ein fremdes TC-PW zu kennen?)
 

Simpson474

Fleet Admiral
Dabei seit
Sep. 2006
Beiträge
12.654
Hi,Ich will mein komplettes System AES-verschlüsseln, d.h. meine erste Frage wäre, ob sich Truecrypt mit Win 8 verträgt.

Nur falls MBR verwendet wird, es gibt keinerlei GPT-Unterstützung.

2. hat Win 8 ja einen speziellen Hibernate-Modus. Gibt's da ne Möglichkeit, evtl. in mein System zu kommen, wenn ich im Energiesparmodus bin? (Mein PC besitzt keinen FireWire-Anschluss, aber eSata, USB 3.0, etc.)
Hibernation ist so lange sicher, wie die Datei zum Speichern des Zustandes auf dem verschlüsselten Laufwerk liegt - der Energiesparmodus wird jedoch von TrueCrypt nicht behandelt und die Daten sind nach dem Aufwecken sofort unverschlüsselt. Bezüglich DMA-Attacken über externe Schnittstellen gibt es hier ein schönes Dokument.

3. Da ich meinen PC so gut wie nie abschalte: Gibt es ein Programm, das sämtliche Keys aus dem RAM löscht, wenn ich in den Energiesparmodus oder Ruhezustand wechsle?
Nein.

4. Ich habe noch eine externe Festplatte mit einem TC-Container, den ich auf fremden Systemen mit Truecrypt-portable mounte.
Auf meinem eigenen System kann ich den Container natürlich auch so einbinden, aber ich fände es bescheuert, wenn ich mir einen Trojaner einfange, der mir dann den Key stiehlt. Gibt es da ne Möglichkeit das zu verhindern?
So lange das Volume eingebunden ist, liegt der Key unverschlüsselt im RAM - von daher ist es für einen Trojaner kein großes Problem, den Key auszulesen.

4. Ich will nur verhindern, dass eine auf meinen PC gerichtete Attacke mit einem Virus mir das KeyFile + das PW stiehlt.
Es dürfte viel einfacher sein, den AES-Schlüssel zu klauen als das PW und KeyFile - und der Schlüssel ist halt so lange zugreifbar, wie das Volume in TrueCrypt eingebunden ist.
 
Zuletzt bearbeitet:

SymA

Captain
Dabei seit
Apr. 2006
Beiträge
3.346
Ich glaube kaum, dass du solch wertvollen und sensiblen Daten auf deinem Rechner besitzt, dass Jemand mit teurer Hardware / Aufwand dein Passwort auslesen will. :freak:
 

Hoeze

Lieutenant
Ersteller dieses Themas
Dabei seit
Juni 2010
Beiträge
668
Ich finde es nicht allzu aufwändig, jemandem mit einem verschlüsselten System einen Trojaner unterzujubeln und sein PW auszulesen :D

Aber danke sehr für eure Hilfe :daumen:
=> Mein Fazit: Den RAM zu schützen ist nicht ohne weiteres möglich :(
 

Bogeyman

Banned
Dabei seit
März 2012
Beiträge
3.876
Ich will nur verhindern, dass eine auf meinen PC gerichtete Attacke mit einem Virus mir das KeyFile + das PW stiehlt.
Dann musste TPM einsetzen und solche Geschichten soweit ich weiß. Aber die meisten dieser "Szenarios" hier sind ziemlich weit hergeholt. Wenn jemand in dein System reingekommen ist, dann kann er sich die Sachen auch gleich übers Internet runter kopieren von deinem Rechner. Wieso dann den Key klauen, um dann anschließend zu dir zu fahren um eh noch die Platte mitzunehmen?
 

Hoeze

Lieutenant
Ersteller dieses Themas
Dabei seit
Juni 2010
Beiträge
668
Es dauert relativ lange, ca. 4tB an Dateien zu kopieren, deswegen :D
 

Bogeyman

Banned
Dabei seit
März 2012
Beiträge
3.876
Man kann aber einsehen was es für Daten sind ohne sie zu kopoeren oder sind es 4TB reine Dokumente?
Niemand muss erst nen Film von dir runterkopieren um dann zu sagen dass du ihn hast, da würden auch Screenshots etc reichen.

Ansonstn würde ich Bitlocker nehmen. Bei TrueCrypt tut sich auch schon seit über 2 Jahren nix mehr, und in dem Forum werden desöfteren auf mal Accoutns und Threads gelöscht.
 

Hoeze

Lieutenant
Ersteller dieses Themas
Dabei seit
Juni 2010
Beiträge
668
Ich kann auch irgendwelche Familienbilder in "Kinderporno.jpg" umbenennen ;)
Aber ich werd mir auf jeden Fall mal Bitlocker etwas näher ansehen...
Ergänzung ()

Andere Frage: Wie würdet ihr die SSD verschlüsseln?
Würdet ihr bei meiner SSD noch etwas Speicher unpartitioniert lassen?

Wenn ich unter Win 8 "Energie sparen" deaktivieren möchte (also nur noch den Ruhezustand wegen erneuter PW-Abfrage), genügt es da unter den erweiterten Eergieoptionen den Hybrid-Modus zu deaktivieren?
 
Zuletzt bearbeitet:

Bogeyman

Banned
Dabei seit
März 2012
Beiträge
3.876
Ich würde alles Partionieren aber nur den benutzen Speicherplatz verschlüsseln wenn du Bitlocker nimmst.

Bei TrueCrypt könnte es unter Umständen hilfreich sein einen Teil unpartioniert zu lassen, weil hier soweit ich weiß immer die gesamte Partition verschlüsselt wird und es so eine Option wie in Bitlocker da nicht gibt.
 

Simpson474

Fleet Admiral
Dabei seit
Sep. 2006
Beiträge
12.654
TrueCrypt leitet jedoch den TRIM-Befehl durch - Windows 8 trimmt jetzt auch im festen Zeitplan bei SSDs alle ungenutzten Bereiche (Windows 7 machte das nur bei Löschanforderungen), von daher sollte TrueCrypt ebenfalls nur den genutzten Speicherplatz verschlüsseln, der Rest wird getrimmt.
 

Hoeze

Lieutenant
Ersteller dieses Themas
Dabei seit
Juni 2010
Beiträge
668
Ich hab gerade etwas über den Truecrypt-Ableger Diskcryptor gelesen.
Was haltet ihr davon? Er soll wegen eine GPL-Lizenz freier sein und auf einer SSD ein Stück schneller arbeiten als TC.
 

Xhool

Cadet 4th Year
Dabei seit
März 2007
Beiträge
88
Bei der Sicherheit kann man natürlich nur Vermutungen anstellen, Truecrypt hat schon zahllose Versuche überlebt, Diskcryptor ist eher noch ungetestet. Da Diskcryptor aber ein Truecrypt Derivat ist, kann man der Software schon zutrauen, sicher zu sein. Zudem spricht ja nichts dagegen, die SSD mit Diskcryptor und die HDD(s) mit Truecrypt zu verschlüsseln.

Die Performance von Diskcryptor bei SSDs ist überragend, bei Diskcryptor merkt man kaum einen Unterschied, bei Truecrypt ist ein deutlicher Performanceverlust vorhanden, der sowohl spürbar als auch messbar ist!
 

Bogeyman

Banned
Dabei seit
März 2012
Beiträge
3.876
Verstehe nur nich wieso man nicht Bitlocker nimmt wenn es eh schon dabei ist.

Wenn jetzt wieder das Argument wegen Backdoors kommt dann müsst ihr euch aber auch bei TC und DC das Programm aus dem Quellcode selber compilieren, wer macht das schon?

Wenn ihr ne .exe runterläd kann da genauso was weiß ich nicht drin sein. Ich mein woher nimmt man die Gewissheit dass nicht noch paar Zeilen hinzugeproggt wurden zu dem veröffentlichen Code bevor die Jungs es compiliert und dann hochgeladen haben?
 
Zuletzt bearbeitet:
Top