True Crypt Festplattenverschlüsselung

Easytiger · 01.01.11

Hallo!

Ich wollte jetzt mal das Unterfangen angehen und meine vorhandenen Festplatten (Extern als auch intern) verschlüsseln. True Crypt erscheint mir dafür die beste Software.
Leider stoße ich direkt nach der Installation auf das erste Problem. In vielen Screenshots sehe ich folgende Option "Encrypt System Partition / Drive". Die sehe ich leider bei mir nicht. Habt ihr irgendeine Idee woran das liegen kann?

Habt ihr Erfahrung mit TrueCrypt und kompletter Systemverschlüsselung? Könnt ihr mir ein paar Tips geben was zu beachten ist? Wie gehe ich am besten vor?

Am liebsten ist mir eine pre-boot Verschlüsselung (wenn man das so sagt).

Danke Euch und natürlich allen ein frohes Neues!

OllallO · 04.01.11

Geht nicht. Funktioniert nur unter Windows. Alternative ist evt. MacGPG2, damit hab ich allerdings keine Erfahrung.

deloco · 04.01.11

…oder einfach FileVault… Wobei, damit kann man nur das Home-Verzeichnis verschlüsseln…

weasel77 · 05.01.11

Oder PGP Desktop. Ja, das kostet. Aber wenn einem Sicherheit so wichtig ist, dass man Whole Disk Encrpytion benötigt, dann ist einem das vermutlich auch einen kleinen Betrag wert.

Bananenbieger · 05.01.11

Unabhängig verschlüsselte Disk-Images sind da aber sowohl sicherer als auch unproblematischer.

MacAlzenau · 05.01.11

Komplett verschlüsselte Systeme haben sowieso eine theoretische Sicherheitslücke: Man weiß ja bei recht großen Teilen, wie sie unverschlüsselt aussehen. Mit dem Trick haben die Briten damals schon den deutschen U-Boot-Code geknackt.

Bananenbieger · 05.01.11

Oder man macht es sich noch einfacher und greift beim Booten direkt das Passwort ab.

weasel77 · 05.01.11

MacAlzenau schrieb:
Komplett verschlüsselte Systeme haben sowieso eine theoretische Sicherheitslücke: Man weiß ja bei recht großen Teilen, wie sie unverschlüsselt aussehen. Mit dem Trick haben die Briten damals schon den deutschen U-Boot-Code geknackt.

Das lese ich in Foren immer wieder mal. Bis dato habe ich aber noch kein einziges konkretes Beispiel gesehen, bei welchem wirklich eine Verschlüsselung mit dieser Methode geknackt worden wäre.

Man sollte nicht vergessen, Systeme wie PGP WDE verschlüsseln nicht einfach "dumm" eine komplette Harddisk, die Algorithmen sind da schon etwas komplexer und sollten genau solchen Problemen eigentlich vorbeugen. Auch gerade eben, weil man aus den Fehlern von Enigma gelernt hat.

Also wenn jemand ein konkretes Beispiel hat: her damit! :-D

weasel77 · 12.01.11

Nach einer Woche noch keine Beispiele - damit würde ich dann die vermeintliche Sicherheitslücke bei Whole Disk Encryption Systemen mal ins Reich der Gerüchte verbannen....

Bananenbieger · 12.01.11

Die Beispiele sind auch schwer zu finden, da man sich bei WDE die Mühe sparen kann und einfach direkt das Passwort abgreift.

Ich zitiere einfach mal den weisen Rastafari:

Rastafari schrieb:
Nein. Der Schlüssel des Benutzers kommt auf die Chiffreblöcke überhaupt nicht zur Anwendung. Dieser "Ur-Schlüssel" wird genau ein einziges mal benutzt, um den Seedwert für eine automatisch generierte Abfolge von zigtausenden Folgeschlüsseln zu erhalten. Zigtausende Folgeschlüssel, für die ich in den Rainbow Tables mit ebenso zigtausendfach höherer Wahrscheinlichkeit eine bereits vorausberechnete Kollision auffinden kann.
Finde ich davon (von tausenden Kandidaten!) lediglich sechs direkt aufeinanderfolgende, braucht ein aktueller Consumer-PC für den Rest der gesamten Kette nur noch wenige Tage, mit etwas Glück findest du sieben, dann sind es nur noch wenige Minuten. Bei acht aufeinanderfolgenden Volltreffern gehts schon schneller als ein Wimpernschlag, den Rest des Weges mit purem "Brute Force" zu absolvieren. Das ist zwar bisher immer noch weit unwahrscheinlicher als ein Sechser im Lotto, aber von "sicherer Krypto" zu reden ist hierfür einfach nicht angebracht.

weasel77 · 12.01.11

Dafür braucht man aber zuerst einmal Zugriff auf das System um entsprechende Software zu installieren.
Diese Gefahr fällt also zum Beispiel beim Diebstahl von Festplatten oder Laptops weg und primär dafür sind WDE Systeme ja gemacht.

Klar, wenn ich Zugriff auf die Büros und Computer von meinem "Ziel" habe, dann ergeben sich diverse Möglichkeiten. Aber das ist kein Schwachpunkt von Festplattenverschlüsselung an sich sondern eine Frage der physischen Sicherheit meiner Geräte.

Zudem, wenn sich WDE Systeme tatsächlich so einfach mit bekanntem Plaintext knacken lassen könnten, dann wäre dies vermutlich sogar noch einfacher als Boot Passwörter abfangen zu müssen.

Bananenbieger · 12.01.11

Software? Da ist gar keine Software im Spiel!

Möglichkeiten gibt es da übrigens viele. Vom versteckten USB-Modul bis hin zur Frozen-RAM-Attacke.

Physisch sichere Computer brauchen gar keine FDE. Wofür auch?

"Einfach" heißt nicht, dass es schnell geht.

Viel sinnvoller ist der Einsatz von verschlüsselten Images. Die lassen sich einzeln "abschließen" und bereiten keinerlei Probleme.

flostere · 12.01.11

Noch mal für Dumme? Wieso genau ist ein einzelnes Container File Sicherer als eine WDE?

weasel77 · 12.01.11

Bananenbieger schrieb:
Software? Da ist gar keine Software im Spiel!

Möglichkeiten gibt es da übrigens viele. Vom versteckten USB-Modul bis hin zur Frozen-RAM-Attacke.

Ähm ja. Das USB Modul macht die Arbeit dann auch ganz alleine, ohne dass Software auf dem Modul wäre....

Ob du nun Software auf dem Computer installieren oder ein USB Modul anschliessen musst macht keinen wirklichen Unterschied. Du brauchst physischen Zugriff auf den Computer, bevor der Benutzer sein Passwort eingibt. Das dürfte bei gestohlenen Geräten wie erwähnt schwierig werden.

Und auch eine Frozen RAM Attacke ist eher ein theoretisches Problem. Ohne Kühlung verlieren die Bausteine den Speicherinhalt zu schnell, als dass man praktischen Nutzen daraus ziehen könnte. Und den Computer genügend schnell auseinander zu bauen um die Speichermodule zu kühlen dürfte praktisch auch eher schwierig sein. All dies müsste ja unmittelbar nach einer Nutzung durch den eigentlicher Besitzer geschehen. Unmittelbar = innert Sekunden.

Theoretisch im Labor möglich, ja. Praktisch insofern zu Vernachlässigen, als dass man seinen Computer nach dem Herunterfahren einfach noch einige Sekunden physisch sicher halten muss. Problem gelöst.

Aber wie gesagt, wenn jemand derart physischen Zugriff auf die Systeme hat, dann gibt es meistens einfachere Möglichkeiten (Kameras etc.)

Bananenbieger schrieb:
Physisch sichere Computer brauchen gar keine FDE. Wofür auch?

Eben. Für solche Geräte ist FDE auch nicht gedacht, sonder eher für Laptops, und die verschwinden halt schon mal. Sei es durch Unachtsamkeit oder durch böse Absichten von Dritten.

Für stationäre Geräte würde ich mich auch zuerst mal um andere Absicherungsmöglichkeiten kümmern, das stimmt schon.

Bananenbieger · 12.01.11

flostere schrieb:
Noch mal für Dumme? Wieso genau ist ein einzelnes Container File Sicherer als eine WDE?

Weil der Container nur dann aufgeschlossen wird, wenn man an die Dateien darin heran will: Die Container funktionieren wie ein Safe in der Wohnung.

Full-Disk-Encryption funktionert eher wie eine verstärkte Wohnungstür. Die Verstärkung bringt aber vielfach nichts, da die Tür oft genug offen steht, da man ja irgendwie in die Wohnung rein und raus muss.

weasel77 schrieb:
Ähm ja. Das USB Modul macht die Arbeit dann auch ganz alleine, ohne dass Software auf dem Modul wäre....

Software ist auf dem Modul: Ja. Aber das Modul macht die Arbeit alleine. Und zwar ohne die von Dir angesprochene Installation auf dem System.

weasel77 schrieb:
Du brauchst physischen Zugriff auf den Computer, bevor der Benutzer sein Passwort eingibt. Das dürfte bei gestohlenen Geräten wie erwähnt schwierig werden.

Das geht oftmals recht einfach. Gerade in öffentlichen Bereichen wie Kongressgebäuden oder Flughäfen.

weasel77 schrieb:
Aber wie gesagt, wenn jemand derart physischen Zugriff auf die Systeme hat, dann gibt es meistens einfachere Möglichkeiten (Kameras etc.)

Auch das ist eine simple Möglichkeit, um an die entsprechenden Passwörter heranzukommen. Oder man kitzelt einfach das Passwort aus einem User heraus. Auch das ist eine beliebte Masche.

weasel77 schrieb:
Und auch eine Frozen RAM Attacke ist eher ein theoretisches Problem. Ohne Kühlung verlieren die Bausteine den Speicherinhalt zu schnell, als dass man praktischen Nutzen daraus ziehen könnte.

Also bei Lebensmitteln funktioniert die Kühlkette prima.

weasel77 schrieb:
Eben. Für solche Geräte ist FDE auch nicht gedacht, sonder eher für Laptops, und die verschwinden halt schon mal. Sei es durch Unachtsamkeit oder bösen Absichten von Dritten.

Und für Laptops macht eine FDE durch Vorhandensein besserer Alternativen, die auch laufende Geräte schützen, auch recht wenig Sinn.

flostere · 12.01.11

Bananenbieger schrieb:
Und für Laptops macht eine FDE durch Vorhandensein besserer Alternativen, die auch laufende Geräte schützen, auch recht wenig Sinn.

DIe da wären?

Bananenbieger · 12.01.11

Die angesprochenen verschlüsselten Disk-Images. Gerne auch in Form von Knox und ähnlichen Tools, die das Handling der Images erleichtern.

weasel77 · 12.01.11

Bananenbieger schrieb:
Software ist auf dem Modul: Ja. Aber das Modul macht die Arbeit alleine. Und zwar ohne die von Dir angesprochene Installation auf dem System.

Auch das Anschliessen von Hardware wie einem USB Modul bezeichne ich als Installation. Aber da nutzen wir wohl einfach unterschiedliche Terminologien, ich weiss schon was du meinst. Der springende Punkt ist, dass man physischen Zugriff braucht auf das System.

Bananenbieger schrieb:
Also bei Lebensmitteln funktioniert die Kühlkette prima.

Joghurt ist aber nicht so leicht verderblich wie RAM Daten... :-D

Aber du hast das wichtigste schon angetönt. Die grösste Schwachstelle ist und bleibt sowieso der Mensch. Ob Unachtsamkeit in unsicheren Umgebungen oder was auch immer.

flostere · 12.01.11

Bananenbieger schrieb:
Die angesprochenen verschlüsselten Disk-Images. Gerne auch in Form von Knox und ähnlichen Tools, die das Handling der Images erleichtern.

Ok, verstanden. Wenn der User sein Passwort trotzdem mit einer Sticky Note an seinen Bildschirm pflastert, dann hilft auch das herzlich wenig...

Der Mensch der Mensch...

Bananenbieger · 12.01.11

weasel77 schrieb:
Auch das Anschliessen von Hardware wie einem USB Modul bezeichne ich als Installation.

...und Hardware bezeichnest Du als Software.

weasel77 schrieb:
Aber du hast das wichtigste schon angetönt. Die grösste Schwachstelle ist und bleibt sowieso der Mensch. Ob Unachtsamkeit in unsicheren Umgebungen oder was auch immer.

Ja, das ist der springende Punkt. Gestern ist hier im Forum wieder eine "Viruswarnung" aufgetaucht, weswegen wieder einige nach einem Virenscanner geschriehen haben. Ich habe mir mal das Ding angesehen und mir gedacht, dass eigentlich niemand blöde genug ist, sich so etwas einzufangen... Aber Einstein hat ja schon so schön gesagt: "Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit, aber bei dem Universum bin ich mir noch nicht ganz sicher."

True Crypt Festplattenverschlüsselung

Carola

Idared

Weißer Winterkalvill

Schöner von Nordhausen

Golden Noble

Golden Noble

Golden Noble

Schöner von Nordhausen

Schöner von Nordhausen

Golden Noble

Schöner von Nordhausen

Golden Noble

Finkenwerder Herbstprinz

Schöner von Nordhausen

Golden Noble

Finkenwerder Herbstprinz

Golden Noble

Schöner von Nordhausen

Finkenwerder Herbstprinz

Golden Noble

Wir schützen Ihre Privatsphäre

Informationen auf einem Gerät speichern und/oder abrufen

Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen (Optionale Cookies)

Datenübermittlung an Partner in anderen Staaten (Drittanbieter-Cookies)