Formatieren der festplatte nach pre-boot autentifizierung

#1 kann man eine festplatte, welche nach einer verschlüsselung mit compusec oder ähnlichen programmen formatiert wurde und das beriebssystem neu installiert wurde, überhaupt noch nutzen? oder wenn das Programm nicht ordnungsgemäß deinstalliert wurde und die platte noch verschlüsselt ist. Lässt sich diese dann auch noch starten?

#2

Zitat

kann man eine festplatte, welche nach einer verschlüsselung mit compusec oder ähnlichen programmen formatiert wurde und das beriebssystem neu installiert wurde, überhaupt noch nutzen?

Klar in dem man alle Daten darauf killt

Zitat

oder wenn das Programm nicht ordnungsgemäß deinstalliert wurde und die platte noch verschlüsselt ist. Lässt sich diese dann auch noch starten?

Kenn das Programm zwar nicht aber eher wahrscheinlich, wozu wäre die Verschlüsselung sonst gut an die Daten kommt man dann jedenfalls net mehr.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#3 hehe. danke für die antwort. was meinst du mit killen?

Meine frage war so gemeint, dass ich eine platte erst verschlüssel, dann formatiere und dann windows neu drauf spielen will etc. funktioniert so etwas?

also werden alle benötigten dateien zum starten und entschlüsseln der platte im mbr gespeichert? nicht dass ich hinterher ne meldung bekomme, dass der schlüssel falsch ist oder dass die platte nicht gestartet werden kann

#4 Hallo Dey,

wenn eine Platte formatiert wurde ist sie formatiert (Windows XP schreibt so schön "fabrikneu"), d.h. es befinden sich keine Daten auf der Platte. Also kannst du sie dann ganz normal wie eine neue benutzen. Falls dennoch Probleme auftauchen sollten mußt du meist nur den MBR neuschreiben, da die Verschlüsselungsprogramme dort ihre Pre-Boot- Authentifizierung hinterlegen.


Die Daten werden im MBR gespeichert und später wird in Windows eine Art Treiber installiert, damit Windows unbemerkt weiterarbeiten kann.-

Also JA das funktioniert
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#5 aber kann mann dann nicht die daten rekonstruieren? bei der formatierung von xp werden einfach nur ein paar nullen und einsen vertauscht und das dateisystem nur hingeschrieben. nur ein low level format bietet einen 100% zigen schutz vor rekonstruktion. andere formatierungsalgorithmen bei denen die platte mehrfach mit zufälligen werten überschrieben wird, sind zwar auch sicher, aber eine rekonsturiktion ist nicht 100% ausgeschlossen. also könnte man dann die daten wiederherstellen nachdem man die platte formatiert?

#6

Zitat

hehe. danke für die antwort. was meinst du mit killen?

Die Platte überschreiben mit nullen zb.

Zitat

Meine frage war so gemeint, dass ich eine platte erst verschlüssel, dann formatiere und dann windows neu drauf spielen will etc. funktioniert so etwas?

Mit UNIX ja.

Zitat

also werden alle benötigten dateien zum starten und entschlüsseln der platte im mbr gespeichert?

Nein die müßten dem Kernel übergeben werden, im MBR ist kein Platz dafür.

@HeVTiG

Zitat

Die Daten werden im MBR gespeichert und später wird in Windows eine Art Treiber installiert, damit Windows unbemerkt weiterarbeiten kann.-

Kannst du das Beweisen bzw. Plausibel erklären? Der MBR ist dafür nicht vorgesehen, wäre ja auch doof dann könnte man die HDD ja ganz leicht wieder entschlüsseln.

Zitat

aber kann mann dann nicht die daten rekonstruieren? bei der formatierung von xp werden einfach nur ein paar nullen und einsen vertauscht und das dateisystem nur hingeschrieben. nur ein low level format bietet einen 100% zigen schutz vor rekonstruktion. andere formatierungsalgorithmen bei denen die platte mehrfach mit zufälligen werten überschrieben wird, sind zwar auch sicher, aber eine rekonsturiktion ist nicht 100% ausgeschlossen.

Nein ein low-level Format hat damit nichts zu tuen, damit kannst du deine HDD höchstens zerstören.
Nein man kann die Dateien nicht rekonstruieren wenn das Dateisystem überschrieben wird - jedenfalls nicht mit konventionellen Mitteln. Mit nullen und einsen vertauschen hat das nichts zu tuen. Das mit den Formatierungsalgorithmen stimmt natürlich aber wie gesagt es ist auch schon so schwer genug so eine HDD zu rekonstruieren da die Dateien zwar an ihre Plätze physisch liegen aber sich nicht lokalisieren lassen da das Dateisystem überschrieben wurde.

Edit:
Nochmal zum Thema low-level Formatierung damit das nicht immer verwechselt wird und hier nichts mit zu tuen hat:
http://de.wikipedia.org/wiki/Low-Level-Formatierung
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#7 naja. die normale formatierung von windows löscht nicht sauber und die daten lassen sich sehr einfach rekonstruieren. das weiß ich ganz sicher.

Wenn die dateien zum entschlüsseln der platte im kernel stecken und nicht im Mbr, dann dürfte nach einer formtierung keine aufforderung zur eingabe eines passwortes etc. kommen, seh ich das richtig? ich hab schiss dass mein rechner nach einer formatierung nicht mehr auf die sektoren der platte zugreifen kann, weil diese vl. noch verschlüsselt sind. hat einer damit erfahrungen gemacht?

ich weiß nämlich noch aus erfahrung, dass ich mal einen ordner per win xp mittel verschlüsselt habe und nach einer neuen windowsinstallation mit vorheriger formatierung der partition mit windows ließ sich dieser ordner, der auf einer anderen partition war, nicht mehr öffnen. das lag daran dass win xp irgendwo auf C:\ den schlüssel gespeichert hatte und dieser nun nicht mehr vorhanden war.

#8 @Xeper, hmm ich habe es so verstanden (mit Beispiel SafeBoot)
Bei der Installation von SafeBoot wird der Originale MBR "verschoben" und ein eigens für SafeBoot programmierter wird an seine Stelle geschrieben. Die "Credentials" liegen in einem verschlüsselten Bereich.
Wird nun die Platte gestartet, startet der SafeBoot Boot Screen und fragt user, pw ab. Die Authentifizierung wird kryptografisch validiert mittels PKCS-5. Wenn die Überprüfung erfolgreich war wird der transparente hard drive decryption Prozess gestartet, der den originalen MBR lädt und ausführt.

Ich würde sagen, daß wenn eine verschlüsselte Platte auch unter Windows formatiert ist kaum eine Möglichkeit besteht irgendwelche Daten wiederzuerlangen. Theoretisch mag es zwar eine Möglichkeit geben, die aber wohl nur mit unverhältnismäßigem Aufwand zu bewerkstelligen ist.
Denn Wenn ich den Schlüssel nicht mehr habe, dann habe ich ja eigentlich nur noch Datenschrott auf der Festplatte. Hier die Daten nochmals mit Müll oder mehrfach mit Nullen zu überschreiben macht kaum Sinn.


Man spricht doch davon, daß wenn man z.B. sein verschlüsseltes Notebook verliert, niemand an die Daten kommen soll. Und hier ist das System noch intakt!

Zitat

http://www.kai-schott.de/wiki/Advanced_Encryption_Standard
Sicherheit: AES gilt als sehr sicher. Wenn man ein einigermaßen komplexes Passwort verwendet, dann ist es bisher ohne den Schlüssel unmöglich, die Daten zu entschlüsseln. AES gilt als ein sehr sicheres Verschlüsselungsverfahren. Es ist bisher keine Methode bekannt, mit der AES bei der Wahl eines einigermaßen sicheren Passwortes geknackt werden kann. Als ebenfalls sicher gelten Blowfish, Twofish, Serpent und andere.

Das heisst doch, das intakte System kann nicht oder nur mit unverhältnismäßigem Aufwand evtl irgendwann entschlüsselt werden.

Wenn jetzt noch die Platte formatiert wird und ein neues System installiert wird ist auf den nicht überschriebenen Sektoren immer noch verschlüsselter Datenschrott.

Zitat

ich hab schiss dass mein rechner nach einer formatierung nicht mehr auf die sektoren der platte zugreifen kann, weil diese vl. noch verschlüsselt sind. hat einer damit erfahrungen gemacht?

Nach einer Formatierung liegen also noch auf den nicht neubeschriebenen Sektoren verschlüsselter Datenmüll. Da Windows das allerdings nicht weiß, da es nach seiner Partitionstabelle geht werden die irgendwann überschrieben.
Das habe ich auch schon mehrfach praktiziert.

Mit Utimaco (glaub ich) hatte ich allerdings ab und zu bei sehr alten Notebooks genau deine Fehlermeldung! Das System startete trotz Deinstallation die Pre Boot Auth und meckerte dann natürlich, daß sie nichts mit meinen Daten anfangen konnte. Da die Platte aber schon entschlüsselt war mußte ich nur den MBR neu schreiben. Damit war die Geschichte dann schon gegessen
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#9 super. danke euch beide nochmal die hilfe.

@HeVTIG: Was du schreibst klingt logisch. ich denke nicht dass die dateien für die authentifizierung im mbr stehen, denn wenn das so werde und man die platte formatiert dann müsste ja immer noch die aufforderung zur eingabe des benutzernamens und pw erscheinen. wenn die dateien allerdings irgendwo auf der platte im kernel stehen sind sie ja anschließend weg und die aufforderung kommt nicht.

#10 Hi,
der Weg zu den Daten steht im MBR
Bei einer Installation von Windows wird aber meist auch der MBR überschrieben.

http://de.wikipedia.org/wiki/Bootsektor

Zitat

MS-DOS und die auf DOS aufbauenden Windowsvarianten (also Windows 95 bis Windows ME) überschreiben den Boot-Loader im MBR bei der Installation ohne jegliche Rücksicht auf seinen bisherigen Inhalt.

Zitat

Die Microsoft-Windows-Versionen der NT-Linie (z. B. NT 4, W2K und XP) überschreiben den Boot-Loader (die ersten 446 Bytes des MBR) bei jeder Neuinstallation zwar auch, berücksichtigen aber noch vorhandene Informationen über ein anderes Betriebssystem aus dem Hause Microsoft, also MS-DOS und andere Windowsversionen. In diesem Fall wird dann ein kleiner Bootmanager mit Auswahlmöglichkeit zwischen den verschiedenen installierten Microsoft-Betriebssystemen aktiviert.

Zitat

Betriebssysteme wie Linux installieren meist auf Anfrage einen „intelligenten“ Bootmanger, der auch fremde Betriebssysteme (z. B. MS-Windowsversionen) aufnimmt (siehe auch Boot-Loader).

Mit dem Programm install-mbr, das z.B. in der Linux-Distribution Knoppix enthalten ist, kann ein funktionsfähiger Boot-Loader in den MBR geschrieben werden.

Das heißt, dass du wahrscheinlich (fast) immer den MBR auch bei einer neuen Installation überschreibst, bzw. zumindest änderst.
Daher sollte es eigentlich nie zu dem Fall kommen, daß dich das System nicht reinläßt..
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#11 stimmt. danke für die nachforschungen. das war mir völlig neu dass der auch der mbr zum großen teil bei einer formatierung bzw. neuinstallation überschrieben wird.

#12

Zitat

naja. die normale formatierung von windows löscht nicht sauber und die daten lassen sich sehr einfach rekonstruieren. das weiß ich ganz sicher.

high-level Formatierung == neues Dateisystem erstellen
Die Formatierung ist nicht dazu da um daten bis zur unendlichkeit zu überschreiben.

Zitat

Wenn die dateien zum entschlüsseln der platte im kernel stecken und nicht im Mbr, dann dürfte nach einer formtierung keine aufforderung zur eingabe eines passwortes etc. kommen, seh ich das richtig? ich hab schiss dass mein rechner nach einer formatierung nicht mehr auf die sektoren der platte zugreifen kann, weil diese vl. noch verschlüsselt sind. hat einer damit erfahrungen gemacht?

wahrscheinlich ich weiß nicht, es kommt drauf an ob das Dateisystem mit verschlüsselt wird - ist aber egal nach einem neuen FS sind alle Daten weg die verschlüsselung inklusive.

Zitat

ich weiß nämlich noch aus erfahrung, dass ich mal einen ordner per win xp mittel verschlüsselt habe und nach einer neuen windowsinstallation mit vorheriger formatierung der partition mit windows ließ sich dieser ordner, der auf einer anderen partition war, nicht mehr öffnen. das lag daran dass win xp irgendwo auf C:\ den schlüssel gespeichert hatte und dieser nun nicht mehr vorhanden war.

das ist logisch, dafür gibts ja die Verschlüsselung aber wenn du ein neues FS schreibst dann ist es egal welches Verzeichnis mal irgendwo verschlüsselt war.

@HeVTiG

Zitat

Bei der Installation von SafeBoot wird der Originale MBR "verschoben" und ein eigens für SafeBoot programmierter wird an seine Stelle geschrieben. Die "Credentials" liegen in einem verschlüsselten Bereich.
Wird nun die Platte gestartet, startet der SafeBoot Boot Screen und fragt user, pw ab. Die Authentifizierung wird kryptografisch validiert mittels PKCS-5. Wenn die Überprüfung erfolgreich war wird der transparente hard drive decryption Prozess gestartet, der den originalen MBR lädt und ausführt.

Ich würde sagen, daß wenn eine verschlüsselte Platte auch unter Windows formatiert ist kaum eine Möglichkeit besteht irgendwelche Daten wiederzuerlangen. Theoretisch mag es zwar eine Möglichkeit geben, die aber wohl nur mit unverhältnismäßigem Aufwand zu bewerkstelligen ist.
Denn Wenn ich den Schlüssel nicht mehr habe, dann habe ich ja eigentlich nur noch Datenschrott auf der Festplatte. Hier die Daten nochmals mit Müll oder mehrfach mit Nullen zu überschreiben macht kaum Sinn.

Okay das leuchtet ein.
Ich kenn das nur unter Linux, da wird einfach ein verschlüsselter Container erstellt und das FS wird durch die Verschlüsselung gefiltert heißt das Dateisystem wird verschlüsselt aber der MBR wird nicht angefaßt.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#13 Hi Xeper,

ja das ist genau der Unterschied zwischen Containerverschlüsselung und Hard Drive Encryption. Der Vorteil bei der Harddrive Encrytion ist ja, daß das System gar nicht erst bootet und somit auch nicht eine Angriffsfläche bieten kann.

Von Compusec gibt es nebenbei auch eine Linuxvariante. http://www.ce-infosys.de
Vielleicht interessiert es dich ja. Habe es unter Linux noch nicht getestet. Vielleicht hast du ja Lust drauf.
Erfahrungen damit würden mich jedenfalls auch brennend interessieren.
Auch wenn in der Windows Welt CompuSec nicht das Tool meiner Wahl ist ...
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#14

Zitat

ja das ist genau der Unterschied zwischen Containerverschlüsselung und Hard Drive Encryption. Der Vorteil bei der Harddrive Encrytion ist ja, daß das System gar nicht erst bootet und somit auch nicht eine Angriffsfläche bieten kann.

Von Compusec gibt es nebenbei auch eine Linuxvariante. http://www.ce-infosys.de
Vielleicht interessiert es dich ja. Habe es unter Linux noch nicht getestet. Vielleicht hast du ja Lust drauf.

Naja dafür bin ich nicht Paranoid genug auf sowas stehe ich nicht ich hab hier ja noch nichtmal ne HDD verschlüsselt - das einzige was ich hier verschlüsselt hab ist ne DVDRAM mehr net.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#15 welches prog würdet ihr mir empfehlen? ich hab irgendwo gelesen dass es möglich ist, dass in bestimmten verschlüsselungsprogs eine funktion eingebaut mit der man im falle des falles (z.B wenn deine platte vom fbi beschlagnahmt wird) die verschlüsselung umgehen kann. compusec soll ja ziemlich instabil sein und öfters probleme bereiten. mit welchen progs habt ihr gute erfarhrungen gesammelt?