Festplatte verschlüsseln

[SledgeHammer]

Hallo liebe Gemeinde,

ich weiss ich bin neu hier und wollt auch eigentlich nicht mit einem derartigem Thema starten aber nun den starte ich trotzdem mal so.

Also ich will meine Festplatte verschlüsseln, zumindest teilweise.

Hab nun schon viel über die Programme gelesen, hab mir zwar noch keinen Favoriten aussuchen können aber das kommt vielleicht noch.

Meine Fragen:

1. Birgt es ein großes Risiko wenn ich nicht die komplette Festplatte verschlüssel ?
2. Was passiert mit meinem PC wenn er abstürzt und das Programm läuft ?
3. Wie ist das mit dem abgesicherten Modus und derartigen Sachen , kommt man darüber noch an Daten ?

Das darf für mich auch ruhig was kosten irgendwas bis 100?. Gab ja schon so das ein oder andere von securstar oder drivecript oder ähnliches.

Klar die Entscheidung welchse Programm ich dann schliesslich nehmen sollte liegt bei mir, aber der ein oder andere Tipp wäre mir schon ganz recht wenn z.B. das Programm von Firma X bereits entschlüsselt wurde bzw. eine Hintertür hat.

Mein System.
AMD 64 Athlon 3000+
512 bzw. 1024 Infineon DDR
Ati Radeon 9800 Pro 128mb
200gig Western Digital S-ATA 7.200u/min
Win 98 wird aber nochmal formatiert und XP drauf gepackt.

Steht überall das keine großen Performance Probleme auftreten, aber irgendwie kann ich mir das nicht direkt vorstellen.

ANdere Frage noch, wenn es verschlüsselt wird, wird das ganze dann größer, das ich nicht mehr soviel auf meiner Festplatte speichern kann ?

Wäre nett wenn ihr mir antworten könntet.

MfG

 

[DolphVS]

Ein gutes Programm ist CopmuSec ( Homepage , kostenlos! ):
Überblick über die Funktionen der CompuSec? Software Version:
Zugangsschutz vor dem booten des Betriebssystem (pre boot access control)
Festplattenverschlüsselung
Disketten-Verschlüsselung
Verschlüsselung von anderen Medien wie ZIP Laufwerke oder Memory-Sticks
Single-Sign-On unter Windows
VPN Client für LAN und WAN (in Vorbereitung)
Secure Remote Access für WAN (in Vorbereitung)
lokale und zentrale Administration möglich
nutzt den schnellen AES Algorythmus
Verschlüsselung von Dateien und Verzeichnissen auf Servern (SafeLan)


Zusätzliche Funktionen der CompuSec? e-Identity? Version:
2-Faktoren Authentisierung vor dem Booten
USB-Token oder SmartCard Zugang vor dem Booten
Volle PKI Integration
Transparente Datei- und Ordner-Verschlüsselung
File Server Verschlüsselung
Nutzung von Zertifikaten für das Log-On
Zertifikats basiertes Single-Sign-On am Domain-Server
Sichere Passwort Rücksetzung auch remote möglich
Zentrales Management der e-Identity Tokens und e-Identity SmartCards
Gruppen und Computer Pools möglich

Abe nur gut wenn du es echt sicher machen willst unddie ganze Festplatte verschlüsselt willst, der Verschlüsslungsvorgang hat bei mir ca 3 Std gebraucht.
Allerdings kannst du Live CD (wie Knoppix) nicht richtig nutzen, weil es die Festplatte nicht entschlüsseln kann. Kann Vor- und Nachteil sein )
Musst selber mal schaun, viel Spaß damit.
Ich kanns nur empfehlen.

DolphVS

PS: Zu 2. Lass den PC dabei lieber nicht abstürzen, es kann fatale Folgen haben.
Zu 3. Du kommst nur in den abgesicherten Modus wenn du das Pre-Boot Passwort hast.

EDIT: Ansonsten kann Ich TrueCrypt 4 nur empfehlen, näheres: Schau mal in der "News und Ankündigungen Section"

 

[t3rr0r.bYt3]

1. Birgt es ein großes Risiko wenn ich nicht die komplette Festplatte verschlüssel ?

kommt drauf an, was für dich ein risiko darstellt. grundsätzlich ist das kein problem, am besten hat man eh alle sensiblen daten auf einer partition und verschlüsselt nur diese. alternativ eine eigene festplatte oder nur ein container-file.

//edit: auf keinen fall kann man aufgrund von unverschlüsselten daten rückschlüsse auf die verschlüsselten daten ziehen.

2. Was passiert mit meinem PC wenn er abstürzt und das Programm läuft ?

ich kann nur von TrueCrypt berichten, aber bei den meisten ordentlichen OTFE-proggis sind höchstens die daten verloren, die grade gespeichert werden - was ja bei einem normalen system nicht anders ist.

3. Wie ist das mit dem abgesicherten Modus und derartigen Sachen , kommt man darüber noch an Daten ?

nein, denn die daten werden ja wirklich verschlüsselt gespeichert (physikalisch abgelegt). kein pseudo-schutz durch software, die dir access sperrt, während sie läuft oder son kram. die daten liegen auch encrypted auf der HDD.
nachteil: wenn das programm nur unter einer plattform läuft, kannste es eben auf keiner anderen installieren und benutzen

Das darf für mich auch ruhig was kosten irgendwas bis 100?.

nein, rate ich dir dringend ab. bei kommerzieller software weißt du nie, was drinsteckt. könnte ja irgendeine backdoor (nachrichtendienste) oder ne schlechte encryption sein (muss auch nich drin sein, was draufsteht) (jetz mal krass ausgedrückt). bei freeware kann sich jeder ein eigenes bild vom programm machen, es ist auch fast garantiert, dass es keine backdorrs usw gibt, denn die würden im code ja schnell auffallen..

TrueCrypt kann ich selbst nur empfehlen, werde mir die numero4 auch mal draufpacken, nutze noch ne alte. sehr interessant finde ich die idee, verschlüsselungs-algorithmen zu kombinieren bzw. aus einer großen vielfalt auswähen zu können. außerdem ist ein benchmark intergriert, damit weißt du, ob und welche performance-einbußen du bei welcher verschlüsselung hast.

weiterhin gibt es hidden volumes, etwas ganz feines, aber darüber informierst du dich mal selbst ;-)

//edit2: die boot-partitien zu verschlüsseln halte ich persönlich für keine gute idee (wenn probs auftreten, dann an diesem punkt - system muss ja booten, und wenn du hier was schießt, kannste gleich neu aufsetzen) , mit TC isses auch nicht möglich. daraus ergeben sich die probleme wie 'sensible daten unverschlüsselt im swap-file' oder 'unverschlüsselte temp-files', wie wenige posts später berichtet wird ;-)

 

[SledgeHammer]

Ok also ein Freeware ding, bleiben wir gleich mal bei Truecrypt.

Hab mir nun nicht alles durchgelesen ist ja doch ne Menge

Hiddenvolumes verstehe ich das richtig, das ich meine Festplatte verschlüsselt speichern kann mit einem weiteren Bereich der versteckt nochmal mit extra passwort versehen ist ?

Und diese Keyfiles find ich ja auch recht interessant.
Heisst das ich kann die auf ne CD/DVD USbstick packen als mp3 oder so und nur wenn die im entsprechenden laufwerk ist startet das system bzw. komme ich dazu mein passwort einzugeben ?

Whirlpool hash algorithm versteh ich noch nicht ganz

Eine Frage hätte ich noch "doppelte Sicherheit" fänd ich schon ganz nett d.h. meine Frage dazu, wenn ich dieses mit dem USB Stick mache reicht das dann als Passwort oder kann ich das auch so machen das ich noch um ein Extrapasswort gefragt werde.

MfG

 

[DolphVS]

Ja, ist so richtig, vorallem das mit den Hidden Container finde ch cool

 

[n8m]

Es gibt grundsätzlich zwei verschiedene Methoden:

1. Gesamte Festplatte verschlüsseln
2. Einzelne Partitionen verschlüsseln oder Containerfiles anlegen.

zu 1. Bei der Compusec-Lösung habe ich schon desöfteren von Problemen gehört. Alternativen wären PGP-Whole Disc oder DriveCrypt Plus Pack. Allerdings beide deutlich über 100 Euro.

2. Zum Nulltarif mit Truecrypt zu realisieren. Allerdings gibt es folgende Schwachpunkte:

1. Auslagerungsdatei (sensible Inhalte werden im Klartext auf der Platte abgelegt)
Lösung: mit Cryptoswap verschlüsseln oder Auslagerungsdatei deaktivieren

2. Hibernation (Key wird aus dem RAM im Klartext auf die Platte geschrieben)
Lösung: Hibernation deaktivieren und bei Truecrypt (ab Version 4.0) die Option TC beenden wenn Computer in den Hibernation-Zustand übergeht.

3. Programme wie etwa Word speichern Temp-dateien ausserhalb des verschlüsselten Bereichs ab.
Lösung: Mit dem Filemonitor von sysinternals die Aktivitäten des fraglichen Programms überprüfen. das Programm selbst in einem verschlüsselten Bereich installieren und zusätzlich die Benutzerdaten verschlüsseln.

4. Index.dat (speichert registry-Einträge, geöffnete Files, etc.)
Lösung: Benutzerdaten verschlüsseln

5. Registry (Informationen über geöffnete Programme/Files werden eingetragen)
Lösung: Benutzerdaten verschlüssen (verschlüselt den Registry-Zweig HKEY_CURRENT_USER) Alle Einträge in den anderen Registry-Zweigen müssen per kustomisiertem .reg-file per Hand oder automatisiert regelmässig gelöscht werden.

Die Benutzerdaten könnt ihr mit der neuesten Version von TCGina verschlüsseln, das extra von Racoon für Truecrypt programmiert wurde. Ich benutze TCGina seit Version 1.3a, und es funktioniert einwandfrei. Mittlerweile gibt es die Version 1.8 mit Setup-funktion und Einrichtungs-Wizard. Den Link zum Download finde ich gerade nicht, da das TC-Forum momentan offline ist. ich werde ihn aber demnächst posten.





EDIT: Da das Truecrypt-Forum immer noch offline ist, habe ich einfach mal einen Mirror aufgemacht:

# EDIT2: Link entfernt, da überflüssig geworden, siehe nachfolgendes Posting

Im Zip ist eine (englische) Anleitung, TCGINA-Setup-Programm und der Source-Code enthalten. Viel Spass


P.S.: Funktioniert glaube ich nur mit Truecrypt 4.0

n8m

 

[racoon]

Die TCGINA DLL kann unter http://tcgina.fws1.com heruntergeladen werden.

TCGINA V1.9 benötigt TrueCrypt 4.1

 

[mysecurity]

Drive Crypt Plus Pack

Gute Erfahrungen hab ich mit Drive Crypt Plus Pack gemacht auch!
Die Firma MAXXdefense bietet eine FestplattenverschlLsselung an die in USA bei den Security Awards 2006 gegen
allen anderen Anbietern gewonnen hat.

unter www.protect4.biz/de/disk-encryption/ kann eine Testversion angefordert werden

Die Disk-Encryption Software hat auch bei PC-Professionell 12/2005 den ersten Platz belegt.

Ich habe die Testversion im Einsatz und werde mir nun fLr meine Laptops die Vollversion kaufen.

 

[Kalmah]

Ich verwende TrueCrypt und bin zufrieden damit.

 

[SledgeHammer]

So bin jetzt nochmal etwas weiter mit meinem System.

Will das ganze so aufteilen.

80Gig Sata System Festplatte
200Gig Sata Festplatte die ich verschlüsseln möchte.

Benötige ich TCGina wenn ich nur die eine Platte verschlüsselnwill und die normalen Userdaten freigegeben lassen möchte ?

Bin gerade am testen mit ripemd und AES, laut dem Benchmarktest hab ich mit dem 27,4mb/s verschlüsseln und 24,5mb/s entschlüsseln

Wann verschlüsselt truecrypt die dateien ? on the fly ist es ja nehm ich mal an nicht oder doch ?

Wenn er die Festplatte nicht gemoutet hat steht sie als nicht formatiertes medium im system, wenn ich nun dort auf formatieren klicke sind ja bekanntlich alle daten weg, kann man das irgendwie verhindern ? sonst denkt sich person X wenn ich die daten nicht haben kann soll sie niemand haben und klick bin ich sie los...

das zur jetzigen zeit erstmal weitere frage folgenbestimmt

MfG

 

[n8m]

Original von SledgeHammer
Benötige ich TCGina wenn ich nur die eine Platte verschlüsselnwill und die normalen Userdaten freigegeben lassen möchte ?

TCGina benötigst Du nur, wenn Du auch das Bneutzerprofil verschlüsseln willst.

Original von SledgeHammer
Wann verschlüsselt truecrypt die dateien ? on the fly ist es ja nehm ich mal an nicht oder doch ?

Du "verschlüsselst" zunächst einen Bereich auf der Festplatte, indem Du einen Container oder eine Partition anlegst. Wenn Du deine Daten dann darauf verschiebst werden sie verschlüsselt. "On the fly encryption" bedeutet: http://de.wikipedia.org/wiki/OTFE

Original von SledgeHammer
Wenn er die Festplatte nicht gemoutet hat steht sie als nicht formatiertes medium im system, wenn ich nun dort auf formatieren klicke sind ja bekanntlich alle daten weg, kann man das irgendwie verhindern ? sonst denkt sich person X wenn ich die daten nicht haben kann soll sie niemand haben und klick bin ich sie los...

Und was machst Du, wenn die Platte crasht?
Das einzige Mittel gegen Datenverluste sind vernünftige Backups. Sonst nichts. Die Backups kannst und solltest Du natürlich auch verschlüsselt erstellen.

 

[silenced]

Denkt doch auch an Hardwareverschlüsselung über IDE Dongel u.ä. sollte für an die 80 ? schon mit 256 AES zu haben sein.

 

[SledgeHammer]

Hab jetzt nach den Dongles gesucht.

Wo sich aber bei mir dann das Problem stellt:

a) Meine beiden Festplatten sind SATA
b) hab ich dazu nix richtiges gefunden was für die Festplatte ausgelegt ist und nicht für wireless/bluetooth netzwerk...

Also entweder zu doof oder die falschen SUchbegriffe

MfG