TrueCrypt

[Hendoul]

Hi

Ich müsste mal eine Partition verschlüsseln auf der firmenrelevante Daten lagern. Ich habe dazu TrueCrypt ausgewählt und bis jetzt das Tutorial durchgelesen und mich auch über die Verschlüsselungsmethoden schlau gemacht.

Man hat ja die Auswahl zwischen 3 Algorithmen, AES, Serpent und TwoFish. Oder eine Kombination davon. Ich denke mir eine Kombination ist sicherer, richtig? Aber dafür wird das System langsamer oder was ist der Nachteil?

Und welcher Hash-Algorithmus ist zu bevorzugen? RIPEMD-160, SHA(512) oder Whirlpool? Ich tendiere zu SHA.

Ich überlege mir ebenfalls noch meine ganze Windows-Partition zu verschlüsseln. Aber ich würde gerne vorher wissen, ob anderweitig eingesetzte Bootloader dann noch funktionieren? TrueCrypt schaltet sich ja irgendwie vor den Windows-Start bei einer Systemverschlüsselung.
Und werden Windows und sämtliche Programme durch die Verschlüsselung träger oder merkt man das nicht? (Habe noch 7200er HDDs, keine SSD).


greez
Hendoul

 

[miac]

Verschlüsselungsmethoden:
Also wenn eine nicht sicher wäre, wäre sie nicht dabei. Zweischrittverfahren etc ist eher was für Paranoiker. Aber wenn Du die Leistung hast... Im Benchmark siehst Du ja wie schnell die sind. Das muß Du dann nur mit deiner Festplatte / SSD abgleichen.
Festplatte: > 80 MB/s
SSD: > 300 MB/s (oder noch mehr, je nach System)

(streng genommen pro Festplatte, z.Bsp wenn du zwei verschlüsselte Laufwerke verwendest, kommt es natürlich zu doppelt so hoher CPU Belastung)

Wenn Du einen neuen Rechner oder Notebook bekommst, solltest du auf eine CPU achten, die Hardwareverschlüsselung unterstützt und dann AES wählen.

Systempartition verschlüsseln:
Leider sind die Informationen bzw. Nachteile sehr schlecht im Handbuch dargestellt.
Am besten fängst Du einfach mal den Assistenten an, dann wirst Du sehen, das Multiboot auf einer Platte nicht empfohlen wird, oder andere Warnungen erscheinen. Natürlich erst im 4. oder 5. Schritt.

Ich verwende übrigens Diskcryptor, da ist der Bootmanager wesentlich flexibler. Die generellen Nachteile, wie keine Partitionsänderung usw. sind natürlich die gleichen.

 

[Hendoul]

Danke für die Einschätzung.

Musste leider auch feststellen, dass durch das Verschlüsseln einer Partition deren Laufwerksbuchstaben flöten geht. Nimmt mich dann Wunder wie sich das bei meinen USB-Laufwerken verhält. Warum Windows immer noch an dem beknackten A-Z festhält ist mir ein Rätsel.

Kann ich auch eine Partition verschlüsseln auf der immer wieder Schreibvorgänge stattfinden oder muss ich sämtliche Aktivitäten auf der Partition einstellen?

 

[miac]

Na ja, die LAufwerksbuchstaben kannst Du ja über die Favoriten festlegen. Der verschlüsselten PArtition selbst mußt du keinen Buchstaben zuordnen.

Also verschlüsselt wird im Hintergrund. Du kannst dabei ganz normal weiterarbeiten. Ist dann alles aber ziemlich langsam. Meine Systemverschlüsselung (1,5 TByte) hat mehrere Tage gedauert.

 

[Hendoul]

Aber man wird doch darauf hingewiesen, dass man beim Mounten dann nicht den ehemaligen Laufwerksbuchstaben nehmen darf. Wobei der in der Liste ja sowieso nicht mehr auftaucht.

Ich habe die Laufwerksbuchstaben bis und mit G für meine Partitionen verwendet. In der Liste habe ich noch alle ab J zur Verfügung (fragt mich nicht wo H und I geblieben sind...). Ich habe 3 Partitionen verschlüsselt und will noch meine USB-Festplatten verschlüsseln. Sprich ich brauche dann etliche Laufwerksbuchstaben.

 

[marcelswietza]

Du kannst in der Datenträgerverwaltung (Start -> Ausführen -> diskmgmt.msc) der verschlüsselten Partition (Laufwerksbuchstaben verwalten) den Laufwerksbuchstaben entziehen (TC funktioniert immer noch) und dann der "gemounteten" verschlüsselten Festplatte/Partition zuweisen (natürlich dann den alten rausmachen)

EDIT: Der alte Laufwerksbuchstabe taucht dann in der TC-Liste auch wd auf

 

[Hendoul]

Du kannst in der Datenträgerverwaltung (Start -> Ausführen -> diskmgmt.msc) der verschlüsselten Partition (Laufwerksbuchstaben verwalten) den Laufwerksbuchstaben entziehen (TC funktioniert immer noch) und dann der "gemounteten" verschlüsselten Festplatte/Partition zuweisen (natürlich dann den alten rausmachen)

EDIT: Der alte Laufwerksbuchstabe taucht dann in der TC-Liste auch wd auf

Ah ok, danke für den Tip

Aber was meinst du mit "natürlich dann den alten rausmachen"?

 

[marcelswietza]

Weiss ich selber nicht mehr so genau; da ich die Dialoge jetzt nicht vor mir habe... Aber am besten mal ausprobieren; wenn's Probleme gibt einfach fragen!

 

[eklipse]

Den vereinfachten Zugriff über die Laufwerksbuchstaben der ehemaligen Datenpartitionen (jetzt verschlüsselt) würde ich Windows ohnehin entziehen. Windows kann mit den Partitionen nichts mehr anfangen. Für Windows selber ist ihr Inhalt nur Datensalat. Und um Problemen vorzubeugen, sollte man imo Windows bzw. den Benutzer erst garnicht in Versuchung führen.

Start->Einstellungen->Systemsteuerung->Verwaltung->Computerverwaltung->Datenträgerverwaltung
Und dann dort über "Laufwerksbuchstaben und -Pfade ändern" kannst du den (vereinfachten) Zugriff entziehen. Somit sollten sich einige unbeabsichtigte Unfälle (u.a. Formatierung) vermeiden lassen.

Wenn du den Laufwerkabuchstaben entfernst, wird er in den Buchstabenpool zurückgebeben. Es kann höchstens sein, daß andere Laufwerke nachrücken. Aber auch dies liese sich notfalls über die Datenträgerverwaltung korrigieren.



Wenn man die Datenträgerverwaltung und Truecrypt zusammen richtig einsetzt, sollte man eigentlich inder Lage sein, den gleichen Laufwerkszustand wie vorher herzustellen. Somit finden alle Programme ihre Daten wieder dort, wo sie sie vormals vermuteten. Was wirklilch im Hintergrund passiert, müssen sie ja nicht wissen.


$0.02

 

[marcelswietza]

genau das meinte ich ...