Festplatte mit Betriebssystem via Truecrypt

#1 Hallo.

Bin absoluter Neuling auf dem gebiet und habe folgende Frage:

Wie kann ich meine Startpartition (C) mit dem Betriebssystem verschlüsseln?
Oder wie kann ich es eventuell beim Booten gegegn unbefugten Zugriff schützen, auch im Sinne eines Ausbaues der Festplatte und deren Überprüfung.

DIe Frage kommt deshalb, weil ich meine persönlichen Unterlagen alle gescannt habe, mehrere GB, die natürlich nicht einem "Räuber" zugänglich sein sollen, sollte es einmal zu einem Klau kommen.

Danke für Antworten.

I.

#2 Vorab: Welches Betriebssystem nutzt du?

Zitat

Wie kann ich meine Startpartition (C) mit dem Betriebssystem verschlüsseln?

Warum möchtest du das? Das OS -im Sinne von Systempartition- verschlüsseln zu wollen, halte ich für überflüssig.
Du willst vertrauliche, private und sensitive Daten verschlüsseln aber sicher nicht irgendwelche allseits bekannten
Systemdateien.
Aber um deine Frage zu beantworten: Suche hier im Forum mal nach "Drivecrypt Plus Pack" und "Compusec".
Danach schlage ich vor, du liest dir auch ein paar Postings von Anwendern durch, die damit -aus welchen
Gründen auch immer- ihre Windows-Installation geschrottet haben.

Zitat

Oder wie kann ich es eventuell beim Booten gegegn unbefugten Zugriff schützen[..]

"Syskey.exe" mit Key auf Disk und einem Login mit komplexem Passwort. Aber das sind nur nützliche zusätzliche Optionen,
denn bei einem...

Zitat

[..]Ausbaues der Festplatte und deren Überprüfung...

schützen diese nicht gegen Einsichtnahme. Das sollen sie jedoch auch nicht. Wie du bereits richtig schlussfolgerst,
übernimmt diesen Part die einzurichtende Verschlüsselung.

Zitat

DIe Frage kommt deshalb, weil ich meine persönlichen Unterlagen alle gescannt habe, mehrere GB, die natürlich nicht einem "Räuber" zugänglich sein sollen, sollte es einmal zu einem Klau kommen.

Exakt so soll es sein. Also verschlüsselst du nur die Daten, die du es wert sind, verschlüsselt zu werden.
Das können einzelne Dateien, gesamte Verzeichnisse oder eine komplette Daten-Partition sein.

Womit wir wieder bei dem von dir benutzten OS sind...

Gruß,

Sepia

#3 Hi,

ja, ich bin auch der Meinung, daß es reichen sollte nur die Nutzdaten zu verschlüsseln.
Falls es dennoch eine Vollverschlüsselung sein soll gibt es dort mehrere Varianten.

- CompuSec
- Utimaco SafeGuard easy
- SafeBoot
- PointSec
- winmagic

um nur mal ein paar Namen zu nennen. Im Firmeneinsatz macht das durchaus Sinn solche Tools zu nutzen, gerade, wenn sie sich zentral managen lassen.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#4 Hi,

nein - reicht nicht ganz, da Windows seine Arbeitsdaten "ingendwohin" schreibt. Das Irgendwohin zu finden kostet viel forensische Arbeit die von einem Mitarbeiter schnell kaputt gemacht werden kann. Sicher ist einzig und allein die Vollverschlüsselung. Ich habe schon viele angeblich sicher versteckte Daten gefunden ;-))

Kaputte Windows-Installation sind natürlich - in der Regel ein selbst gemachtes - Problem. Du musst also abwiegen ob die Daten-Sicherheit oder Betriebs-Sicherheit für Dich wichtiger ist.

Tschüß
Yakusana

#5

Zitat

nein - reicht nicht ganz, da Windows seine Arbeitsdaten "ingendwohin" schreibt.

Ja, überwiegend in die Registrierung und teilweise ins Swap-File, seltener als Datei in das Windows-Verzeichnis.
Die meistens überflüssig generierten Einträge in der Registrierung (MRU, Shell-BAGS etc.) sind leider existent.
Ebenso unter XP der Prefetch-Ordner mit allen gelisteten Programmstarts. Nur: Das alles kann man händisch
regeln und konfigurieren. Prefetching lässt sich auch nur für den Bootvorgang betreiben, lästige und geschwätzige
Registry-Einträge können automatisiert mittels 3'rd-Party Programme gelöscht werden und teilweise lässt sich Windows
auch durch seine eigene Konfiguration so hinbiegen, dass nicht alles geloggt und archiviert wird.
Last but not least wird das Swap-File beim Herunterfahren überschrieben.

Natürlich hast du in bezug auf die Erreichbarkeit von nahezu vollkommener Sicherheit ausschließlich durch
Verwendung einer Vollverschlüsselung recht. Jedoch ist für mich in diesem Fall die Grenze zwischen Paranoia
und Sicherheitsdenken erreicht. Der Aufwand ist gegenüber dem Nutzem imho nicht relevant. Besonders dann nicht,
wenn ein ONU seine Hände im Spiel hat und seine Bootpartition durch Fehlkonfiguration diverser Ver-
schlüsselungsprogramme ruiniert. Dies ist besonders ärgerlich, wenn man bedenkt, was der User letztendlich
durch diese Verschlüsselung erreicht hätte: Lediglich das Ausspähen eher unwichtiger Details über das System.
Alle oben erwähnten Einträge in der Registry mögen zwar ein Stalking und eine Analyse über das Nutzungsverhalten
ermöglichen, dies sehe ich jedoch als vollkommen sekundär an. Solange die eigentlichen Daten als solche (und nur die)
separat encrypted worden sind und demnach nicht forensisch bearbeitet werden können, ist die Nonne im Kloster.

Ich benutze ebenfalls eine verschlüsselte Daten-Partition und mache für andere Verzeichnisse ausgiebig Gebrauch
vom "EFS". Ja, auch das unnötige Schreiben von ebenso unnötigen Daten in die Registrierung verhindere ich so weit
wie möglich und mein Swap-File wird beim Herunterfahren überschrieben. Das soll's aber dann auch gewesen sein.
Sollte mein Kasten jemals durch Diebstahl entwendet werden, müsste ich mich zwar über den Hardware-Verlust ärgern,
ich bräuchte mir aber keinerlei Gedanken machen, dass sensible, private und demnach vertrauliche Daten in die Hände
(Augen) Dritter gelangen und missbraucht werden könnten.
"Knackt" der Dieb mein Anmelde-Passwort durch eine der bekannten Passwort-Rücksetz-Programme, bootet er sich zwar
in ein funktionierendes OS, alle EFS kodierten Dateien und Verzeichnisse werden ihm aber definitiv verschlossen bleiben.
Ganz zu schweigen vom Versuch, die separat mit AES verschlüsselte Daten-Partition zu entriegeln bzw. zu brechen.
Und eine andere Möglichkeit als das "knacken" des Login-Passwortes durch besagte Software hat er nicht: Soll er
meinetwegen die Registrierungs-Dateien per Knoppix (or whatever) von der Festplatte ziehen und LC5, John oder
Rainbow-Tables benutzen um das Kennwort zu finden. Aufgrund der Komplexität desselben und das Fehlen
eines LM-Hashes wünsche ich ihm viel Spass!

Und das alles, ohne die System-Partition verschlüsseln zu müssen.

Gruß,

Sepia

#6 Das sind ne ganze Menge Tipps. Auch die SWAP-Geschichte kannte ich noch nicht. Habe ich nun durch einen Eintrag in der Regestry geändert.

ich werde heute mal die Vollverschlüsselung am Ersatzrechner ausprobieren. Ich bin aber richtig in der annahme, dass bei einem Fehler die Platte einfach durch Formatierung erneut genutzt werden kann, oder?

Greets Rettungshelfer

#7 Tekaat,
schau Dich auch mal auf den Projektseiten, die unter http://www.truecrypt.org/third-party-projects/ aufgelistet sind, um.
Nur als hinweis -evtl. kannst Du mit den programmen etwas anfangen.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#8 Ich habe eben mit Compusec gearbeitet und ich finde die Anwendung ist einfach und sicher. Bin gerade dabei "C" zu verschlüsseln und warte mal ds Ergebnis ab. Ist es denn nun so, dass die Fesdtplatte dann, also nach Verschlüsselung, im Netzwerk nicht "angreifbar" ist oder muss man hierz noch etwas beachten?

LG Rettungshelfer

#9

Zitat

Ist es denn nun so, dass die Fesdtplatte dann, also nach Verschlüsselung, im Netzwerk nicht "angreifbar" ist[..]

Du hast eine ganz falsche Vorstellung über den Nutzen einer Vollverschlüsselung der System-
Partition. Um den ersten Teil der Frage zu beantworten: Nein, es ist nicht so.

Zitat

[..]oder muss man hierz noch etwas beachten?

Das übliche. Suche nach "NTFS", "Freigaben", "NetBIOS" etc.pp. hier im Board oder mit Hilfe deiner bevorzugten
Suchmaschine.

Gruß,

Sepia

#10 Hallo Sepia.

Ich meinte damit folgendes:

Wenn die Platte z.B. geklaut wird und an einen anderen Rechner angeschlossen ist, so wird ja die PW Abfrage entsprechenden Schutz bieten (nichts ist 100%, weiss ich :-) ). Jetzt könnte der Dieb einfach ein Netzwerk hochziehen, die Platte angklemmen und dann auf die Inhalt der Daten zugreifen.

Das müßte doch theoretisch bei einer verschlüsselten Platte nicht mehr gehen, so wie es unter Truescrypt ja in Containern auch nicht geht. Im Netzwerk werden die Festplatten eben nicht angezeigt.

LG
Rettungshelfer

#11

Zitat

Sepia postete

Zitat

Ist es denn nun so, dass die Fesdtplatte dann, also nach Verschlüsselung, im Netzwerk nicht "angreifbar" ist[..]

Du hast eine ganz falsche Vorstellung über den Nutzen einer Vollverschlüsselung der System-
Partition. Um den ersten Teil der Frage zu beantworten: Nein, es ist nicht so.

Zitat

[..]oder muss man hierz noch etwas beachten?

Das übliche. Suche nach "NTFS", "Freigaben", "NetBIOS" etc.pp. hier im Board oder mit Hilfe deiner bevorzugten
Suchmaschine.

Gruß,

Sepia

Was Sepia damit (wahrscheinlich) sagen will ist, dass die Vollverschlüsselung deinen PC nur dann schützt, wenn er ausgeschalten ist. Denn beim Hochfahren gibst du ja den Schlüssel ein. Auch bei Verschlüsselten Containern ist es so, dass die Daten nur solange geschützt sind, solange sie nicht gemountet sind.
Sobald also du auf die Daten zugreifen kannst, können z.B. auch Trojaner darauf zugreifen.

Gruß

Markus

#12 Hallo.

Dann hat sich das wahrscheinlich geklärt, denn ich will nur, dass bei einer MItnahme der Festplatte ohne meine Hilfe mittels PW oder so, keine Daten zugänglich sind.

Danke

Rettungshelfer

#13 Tach zusammen,

ich hab mal gehört, dass man unter Vista sämtliche Ordner einzeln verschlüsseln kann, weiss einer von euch, ob da was drann ist?? - wollte jetzt nicht extra ein neues Thema erstellen, passt doch hier ganz gut rein, finde ich...

schöne Grüße, die PURE inteligenz
__________
http://saferload.com
http://safer-tv.com

#14 Tach ebenfalls - ich kann leider nur ab und zu mal an der Diskussion teilnehmen - sorry für diesen späten Kommentar von mir.

- "ESF" bietet kein Schutz (höchstens vor Laien)
http://www.guidancesoftware.com/products/ef_modules.aspx#eds

- Unter der Voraussetzung dass sich nicht nur Diebe für den Rechner interessieren werden Zeiteinträge ("billige" Logfiles) sehr(!!) interessant.

- Das Reinigen der Registry beinhatet nicht nur das Löschen der Einträge sondern auch das Wipen der gelöschten Einträge.

- Man sollte nach der Arbeit (täglich?!) auch das Wipen des freien Bereiches der Festplatte und des cluster slack nicht vergessen.

- Beim Schreiben wird nur ein Teil der Festplatte ummagnetisiert. Dieser Magnetismus "wandert" mit der Zeit in die Tiefe und Breite. Beim erneutem Schreiben (also beim richtigen Löschen) bleibt ein alter Restbereich in der Tiefe mit den alten Daten erhalten. Ebenso verhält es sich, wenn der Kopf nicht genau auf der alten Schreibposition positioniert wird (wir er in der Regel nie). Dann verbleibt noch ein Seitenstreifen mit den alten Daten der ebenfalls - zum Glück nur mit sehr hohem Aufwand - auslesbar ist.

- und dann gibt es auch noch den Festplattendefekt - die interessanten Daten sind dann einfach nicht mehr löschbar; jedoch super einfach im Reinraum auslesbar. Oftmals braucht man auch keinen Reinraum und sieht bei der (gefundenen) defekten Platte die kalte Lötstelle...

- Achja und dann gibt es auch noch Platten mit Hardwareschlüssel oder anderen Hardwareschaltern die selbst www.ontrack.de super schnell "knackt"

Tschüß
Yakusana

#15 Du scheinst Computer-Forensiker zu sein und diesem Job nachzugehen. Wir beide sprechen übrigens über das
identische Thema, gehen jedoch komplett von verschiedenen Szenarien aus. Während du die Daten mit Hilfe von
einem riesigen Budget und durch Einsatz von "Rettungs-Laboren" in Verbindung mit enormster Rechen-
und Manpower lesbar machen möchtest, denke ich eher an den Verlust oder Diebstahl des Computers durch
einen gewöhnlichen Mehrzeller. Dieser darf jedoch auch technisch versiert sein. Egal, de facto ist beides on topic.

Zitat

"ESF" bietet kein Schutz (höchstens vor Laien)

Eine sehr gewagte Aussage, die ich bis zum Beweis des Gegenteils nicht akzeptiere. Nein, dein Link reicht mir
nicht. Ja, ich kenne Encase und demnach 'Guidance Software'. Ich selbst habe eine alte 3er Version in Bestand.
Ich weiß, dass die besagte Software nahezu die Referenz für Forensiker darstellt und von verschiedenen
staatlichen Organisationen benutzt wird.
Ich weiß auch, dass Encase ab irgendeiner 4er Version EFS "knacken" können soll, aber diese Version tat im Grunde
nichts anderes wie die Tools von Elcomsoft und Passware: Das Brechen von EFS mittels Eingabe des dazugehöigen
Passwortes. So es denn die aktuelle Version immer noch auf diesem Weg probieren sollte: Geschenkt und ab-
getütet! Brute-Force und Dictionary-Attacken? Wie ich bereits schrieb, kann man dem mit komplexen Passwörtern
und dem Fehlen des Lan-Manager Hashes vorbeugen. Mix-Alpha-Numeric mit Symbol32 Space und einer kleinen
Sauerei zusätzlich hat was!
Fazit bis hier: Auch Elcomsoft und Passware behaupten, EFS knacken zu können. Das stimmt sogar, wenn
ganz bestimmte Umstände mitspielen und gewisse Voraussetzungen vorliegen. Ansonsten ist der Ofen aus...

Sollte Encase in der aktuellen Variante jedoch einen anderen Weg zum Erreichen des Ziels benutzen, wundere
ich mich trotzdem, dass ich nach kurzer Recherche keine bestätigenden Meldungen durch irgendwelche User oder
renomierten Zeitschriften fand. Weder
im Web noch in den internationalen (und auch deutschen) relevanten Newsgruppen. Die Informationen, die
ich erurieren konnte, geben entweder nur das wieder, was auch der Link von dir aufzeigt oder benutzen ausgiebig den
Konjunktiv ("Encase soll...können").
Nicht das wir uns falsch verstehen: EFS unter Windows 2000 ist Bullshit und nicht braubar. Wir sprechen hier schon
von XP mit SP2. Wenn EFS also "nur für Laien" ein Hindernis darstellt, wundere ich mich über die vielen
Hilfe-Themen von Sysadmins diverser Firmen und auch begabten ONUs, die verzweifelt um Restauration von
EFS codierten Daten bitten. Immer noch.
Solltest du aber spezielle Informationen bzgl. Encase & EFS haben, immer her damit! Also +v bitte...

Zitat

Unter der Voraussetzung dass sich nicht nur Diebe für den Rechner interessieren werden Zeiteinträge ("billige" Logfiles) sehr(!!) interessant.

ACK! Das mag so sein, ist für mich persönlich jedoch nicht interessant. Aber du hast Recht. Ich hingegen erwarte
in absehbarer Zeit keinen unangemeldeten Besuch verbunden mit einer Beschlagnahme meines Rechners.

Zitat

- Das Reinigen der Registry beinhatet nicht nur das Löschen der Einträge sondern auch das Wipen der gelöschten Einträge.

Ist mir zu paranoid. Obwohl...Windows liest und schreibt im laufenden Betrieb sowieso immer von und in die
Registrierung. Da das Teil eine Datenbank ist, erledigt sich das ggf. von selbst.

Zitat

Man sollte nach der Arbeit (täglich?!) auch das Wipen des freien Bereiches der Festplatte und des cluster slack nicht vergessen.

Cluster- und File-Slack akzeptiere ich ja noch, wird auch automatisiert vorgenommen. Aber warum sollte ich
regelmäßig den freien Bereich wipen? Klar werden dort Fragmente von irgendwelchen temporären Dateien
zu finden sein und natürlich auch Bestände bereits gelöschter Files. Was letztzeres angeht: Sensible und
private Dokumente wipe ich tatsächlich anstatt sie nur nur zu löschen. So sollte es auch eigentlich jeder tun.

Zitat

Beim Schreiben wird nur ein Teil der Festplatte ummagnetisiert. Dieser Magnetismus "wandert" mit der Zeit in die Tiefe und Breite. Beim erneutem Schreiben (also beim richtigen Löschen) bleibt ein alter Restbereich in der Tiefe mit den alten Daten erhalten. Ebenso verhält es sich, wenn der Kopf nicht genau auf der alten Schreibposition positioniert wird (wir er in der Regel nie). Dann verbleibt noch ein Seitenstreifen mit den alten Daten der ebenfalls - zum Glück nur mit sehr hohem Aufwand - auslesbar ist.

So du denn Insider bist, würde ich mich über weitere Details sehr freuen! Problem: Es scheint konkret zwei
Ansichten bzgl. dieser Problematik zu geben. Das eine Lager behauptet, es könne gelöschte Daten, die nur
einmalig oder geringfügig mehrmalig überschrieben worden sind, restaurieren. Diese Fraktion empfiehlt nicht selten,
die "Gutmann" Methode mit 35 Durchläufen zu verwenden. Als Argument wird dabei genau das vorgetragen, was
auch du geschrieben hattest.
Die Gegenpartei ist hingegen der Meinung, das selbst einmaliges Überschreiben der Daten ausreichend ist. Sie trägt
dabei vor, dass obiges Argument nur bei sehr alten RLL-Harddisks tatsächlich haltbar war. Bei den neueren Platten
mit zig Gigabyte Kapazität liegen die Spuren zu eng beieinander als das man dort etwas verwerten könne. Des
weiteren trat die C't (ich glaube zumindest, dass sie es war) vor geraumer Zeit die Probe aufs Exempel an.
Sie setzten sich mit verschiedenen Daten-Rettern in Verbindung und wollten eine einzige Datei restauriert haben,
welche in einer Version nur einmalig überschrieben wurde, in der anderen Variante mehrmalig. Kein Datenlabor
konnte weder die einmalig überschriebene noch die mehrmalig gewipte Datei zum Leben erwecken.
Wie dem auch sei, ich stimme dir absolut zu, dass man Daten "richtig" löschen sollte.

Zitat

und dann gibt es auch noch den Festplattendefekt - die interessanten Daten sind dann einfach nicht mehr löschbar; jedoch super einfach im Reinraum auslesbar. Oftmals braucht man auch keinen Reinraum und sieht bei der (gefundenen) defekten Platte die kalte Lötstelle...

Ja, so einen Reinraum hat auch jeder zuhause bzw. die Elektronik für die verschiedenen Platten-Modelle
auch. *SCNR*
Aber du hast pauschal Recht. Deswegen encrypten wir ja auch unsere Daten. Du mit einer Voll-Verschlüsselung,
ich nicht.

Gruß,

Sepia