PDA

Vollständige Version anzeigen : TrueCrypt und HDD Verschlüsselung


Sneaker
05.07.2008, 20:00
Moin zusammen,

ich überlege schon einige Zeit, ob ich die Festplatte meines Acer Travelmate 5720 mittels TrueCrypt PBA verschlüssel oder halt nicht.

Folgende Fragen konnte ich bisher auch mit Hilfe des Internet nicht beantworten:

1. Was passiert mit der versteckten Acer-Recovery-Partition? Wird diese auch verschlüsselt, wenn man die gesamte Festplatte verschlüsselt? Welche Auswirkungen hat das dann?

2. Ich las in einem Forum, dass ein Notebookuser sich darüber beschwerte, dass nach der kompletten Verschlüsselung seiner Festplatte eine permanente Festplattenaktivität eintrat (bedingt durch Zugriffe zum Ver- und Entschlüsseln). Kann das jemand bestätigen? Das würde sich dann ja gewaltig auf die Akku-Laufzeit negativ auswirken.

Gerade mit der gestern erschienen Version 6 von TC wird ja auch der Einsatz bei Mehrkernprozessoren besonderts interessant.

Vielen Dank für Eure Beiträge.

Siggi!
11.07.2008, 14:25
Darf ich mal fragen, welche Infos Du auch Deinem NB hast, dass Du die gesamte HDD verschlüsseln willst? Ich mache das so: Die Verzeichnisse mit sensitiven Informationen, die Buchhaltung, Angebote, etc. werden verschlüsselt über EFS. Besonders sensitive Informationen (z.B. das Excel Sheet in dem sich eine Aufstellung aller Geldanlagen mit Pin etc. befindet) ist über Office mit RC4 verschüsselt und liegt zusätzlich in einem EFS verschlüsselten Verzeichnis. Die Performance-Einbußen durch Verschlüsselung dergesamten HDD möchte ich nicht! (Mein Rechner soll ja schließlich noch schnell complieren können!)

Gruß
Siggi

Herb74
11.07.2008, 16:11
ja, es macht an sich keinen sinn, die gesamte platte zu verschlüsseln. es ist ja so: man "gründet" eine truecrypt-datei, und die taucht dann, wenn man den schlüssel hat, wie ein eigenes laufwerk unter windows auf.

aber alles zu verschlüsseln: wozu?

Sneaker
11.07.2008, 17:58
Hi,

ja, warum alles verschlüsseln?

Ich bin relativ viel mit meinem Noti unterwegs, da kann es vielleicht mal passieren, dass es, warum auch immer, abhanden kommt. In diesem Falle möchte ich KEINE Daten auf dem System in irgendwelcher anderer Hände gelangen. Gleichzeitig soll der Aufwand der Verschlüsselung so gering wie nur möglich sein. Da bietet sich halt die Gesamtverschlüsselung geradezu an.

Und bitte keine Diskussion, ob die Daten wirklich wichtig sind, oder nicht. Das entscheidet letztlich immer der Nutzer selbst und ist in der Thematik der IT-Sicherheit ohnehin schon lange kein Thema mehr.

Herb74
11.07.2008, 18:27
Hi,

ja, warum alles verschlüsseln?

Ich bin relativ viel mit meinem Noti unterwegs, da kann es vielleicht mal passieren, dass es, warum auch immer, abhanden kommt. In diesem Falle möchte ich KEINE Daten auf dem System in irgendwelcher anderer Hände gelangen. Gleichzeitig soll der Aufwand der Verschlüsselung so gering wie nur möglich sein. Da bietet sich halt die Gesamtverschlüsselung geradezu an. nö, da bietet sich einer verschlüsselung des ordners "eigene dateien" oder" arbeit" oder so viel eher an. halt irgendein ordner, in dem du deine dateien speicherst. mehr brauchst du doch gar nicht zu verschlüsseln.

und ich weiß eh gar nicht, ob man ALLES verschlüsseln kann. dann müßte ja vor dem booten schon trucrypt laufen - geht dann denn?

Sneaker
11.07.2008, 20:35
nö, da bietet sich einer verschlüsselung des ordners "eigene dateien" oder" arbeit" oder so viel eher an. halt irgendein ordner, in dem du deine dateien speicherst. mehr brauchst du doch gar nicht zu verschlüsseln.

und ich weiß eh gar nicht, ob man ALLES verschlüsseln kann. dann müßte ja vor dem booten schon trucrypt laufen - geht dann denn?
Naja, die von Dir vorgeschlagene Art der Nutzung widerspricht meinem Nutzungsprofil. Ich speichere halt nicht in einem einzigen Verzeichnis, sondern projektbezogen an verschiedenen Orten. Deshalb will ich ja am liebsten auch komplett verschlüsseln.

Und ja, das Verschlüsselungsprogramm läuft direkt nach Rechnerstart und noch vor Windows, dieses Feature nennt sich "Pre Boot Authentification - PBA" und ist ein recht gängiges Verfahren. IMHO war Safe Guard Easy das erste Programm dieser Art, dann gibt es noch Compusec und halt TrueCrypt.

Herb74
12.07.2008, 01:30
gut, dann musst du entweder in kauf nehmen, dass die platte dauernd läuft (was nun wirklich nicht sooo viel beim akku ausmacht), oder du gewöhnst dir ein verschlüsseltes stammverzeichnis an (man kann in jedem programm den standand-speicherort festelegen) oder du passt halt immer auf dein NBook auf ;)

Siggi!
13.07.2008, 07:27
Unter Vista ist eine solche Verschlüsselung des gesamten LW mittels Bitlocker auch möglich. Was man aber beachten sollte, damit die Verschlüsselung (egal ob mit Bitlocker oder TrueCrypt) auch wirklich nicht umgangen werden kann: Sleep und Hibernate sind verboten! Allein der dadurch entstehende Komfortnachteil wäre mich ein Grund, mir gründlich zu überlegen, ob ich diese Grundverschlüsselung auch wirklich benötige. Auch sollte man ganz deutlich auf regelmäßiges Backup achten, denn im Falle eines Problems, sind die auf der HDD verbliebenen Daten durch die Verschlüsselung nicht rekonsturierbar. Auch sollte man sich überlegen, ob man das Backup ebenso verschlüsselt oder wie man dies anderweitig vor Diebstahl sichert.

Gruß
Siggi

Sneaker
13.07.2008, 17:32
Hi Siggi,
Was man aber beachten sollte, damit die Verschlüsselung (egal ob mit Bitlocker oder TrueCrypt) auch wirklich nicht umgangen werden kann: Sleep und Hibernate sind verboten!
Sicher? Lt. TrueCrypt Foren und Anleitungen soll es keine Probleme mit Sleep und Hibernate geben. Und zumindest die im Dienst verwendeten Thinkpads mit SafeGuard Easy haben damit auch keine Probleme.

Ich seh´ schon, ich werde es einfach mal selbst ausprobieren, wenn ich wieder etwas mehr Zeit habe.

Siggi!
13.07.2008, 20:01
Funktionieren tut es schon, nur gibt es Angriffsflächen:
http://www.heise.de/security/Moegliche-Schwachstelle-in-TrueCrypt-5-1--/news/meldung/104992
http://www.fixmbr.de/unsichere-festplattenverschluesselung/

Dort steht es sehr schön erklärt
Die beschriebene Angriffsmethode setzt gegen laufende PCs an. Wenn das Gerät ausgeschaltet wird, ist der Inhalt des Hauptspeichers innerhalb von Sekunden gelöscht und nicht mehr zugänglich. Jedoch ist ein PC, der sich im Sleep-Zustand befindet, nicht wirklich ausgeschaltet, sondern ein laufendes System und damit angreifbar
http://blogs.technet.com/dmelanchthon/archive/2008/02/22/sicherheit-von-bitlocker-gegen-offline-angriffe.aspx

Gruß
Siggi

Sneaker
15.07.2008, 14:53
Hi Siggi,
Funktionieren tut es schon, nur gibt es Angriffsflächen:
http://www.heise.de/security/Moegliche-Schwachstelle-in-TrueCrypt-5-1--/news/meldung/104992
http://www.fixmbr.de/unsichere-festplattenverschluesselung/
http://blogs.technet.com/dmelanchthon/archive/2008/02/22/sicherheit-von-bitlocker-gegen-offline-angriffe.aspx

Interessante Lektüre, werde ich mir mal zu Gemüte führen. Vielen Dank!!

snoggi
31.08.2008, 22:02
Hat nun jemand schon getestet wie sich eine Vollverschlüsselung auf die Akkulaufzeit auswirkt?

Desweiteren würde ich gern wissen, ob es überhaupt prinzipiell möglich wäre, seinen kompletten Profilordner (dieser sollte ja alle wichtigen Daten beinhalten) zu verschlüsseln, da die PW-Abfrage ja auch schon sehr früh kommen müsste, da Windows ja zB beim Systemstart auf den Desktopordner zugreifen muss, der schon dann ja nicht mehr verschlüsselt sein darf. Oder greift die PBA auch hier bei einer Nichtsystempartition?