Bei Vollverschlüsselung bitte nur die Systempartition verschlüsseln

[natbornkiller]

Da das immer wieder auftaucht, mit jedem Vollverschlüsselungssystem Drive Cypt Plus Pack DCPP, Safeguard Easy sge oder auch Compusec (Freeware), sollte man wirklich nur die Startpartition verwenden, weitere Partitionen, kann man zwar damit verschlüsseln, aber im Falle eines zerstören der Systempartition hat man ein Problem, speziell wenn man es versäumt hat, die Rettungscd/-Diskette zu erstellen oder diese nicht mehr lesbar ist.

Die Programme erzeugen beim installieren einen eindeutigen und einmaligen Schlüssel, womit sie die Festplatte ver- und entschlüsseln, dass heisst beim zweiten Mal wird entsprechend ein neuer Schlüssel erstellt, so dass man so nicht mehr an die andere Patitionen herankommt.

Andere Programme wie truecrypt (Open Source) oder Drive Crypt haben sich darauf spezialisiert alle anderen Partitionen zu verschlüsseln und man kann auch nach der Neuinstallation der Programme, vorausgesetzt man hat noch Schlüsseldatei (falls eingerichtet) und sein Passwort vorliegen, wieder auf die Dateien zugreifen.

Probleme, falls man sich nicht an meinen Hinweis hält, lässt sich im diesem Forum immer wieder nachlesen.
mfGr

[samba681]

Mal angenommen, du verschlüsselst nur LW C.
Deine Programme sind aber alle auf LW D installiert.

Weiter angenommen, LW D ist ein TC-LW.
Wie soll denn nun Windows ordnungsgemäß hochfahren?

Es findet je keinerlei benötigte Daten, seien es Treiber, DLL´s etc.

Das funzt nie im Leben.

Und wer kein Backup hat, ist selber schuld!

[TimJim]

Gemeint ist wohl eher die Trennung System/Programme von privaten Daten/Dokumente.

D.h. es müsste dann doch z.B. folgendes funktionieren, um auf dein Beispiel zurückzukommen:

System (ohne Programme): C:\ > vollverschlüsselte Partition
Programme (ohne Daten) : D:\ > vollverschlüsselte Partition
Daten/Dokumente: E:\ > verschlüsselt z.B. mit Truecrypt

C: und D: bräuchte man nicht extra sichern, weil wieder rekonstruierbar aus Installationsdateien. Und auf E: hat man jederzeit Zugriff, auch wenn die Systempartition mal abschmiert.

[Crypter]

Das „Problem“ ist doch in diesem Fall meist der User selbst, denn jeder zweite hier will mittlerweile sein gesamtes System verschlüsseln – aber nur die wenigsten lesen die Anleitungen, die den Programmen beiliegen; zudem ist es ja viel leichter, einfach hier hier im Forum nachzufragen, statt selbst mal die Anleitung oder Google zu bemühen. Wenn die entsprechenden User sich auch nur ein wenig mit dem Thema/dem Programm beschäftigen würden, könnte man das Risiko eines Systemausfalls erheblich reduzieren.

Das Ganze hier wird aber vermutlich eher dafür geschrieben worden sein, dass es nicht mehr zu diesen Ausmaßen an Threads zu dem Thema kommt.

MfG
Crypter

[natbornkiller]

Ja, es geht hier darum, dass sich solche Anfrage immer wiederholen, fragt man tnach haben sie kein Rettungsmedium.

Ich trenne hier Systempartion nicht von c: D: oder sonstwas, schliesslich kann man Windows auf jeder Partition installieren, die es im system findet.

Ich trenne nicht zwischen Betriebssystem und Programmordner, das gehört dür mich zusammen.
Schmiert ein syem ab und hat man kein Komplettbackup, muss man eh alles neu installieren.

Liegen die Daten alle in einem Truecrypt/drivecrypt Container/Partition, installiert man schnell die software und kommt so schnell wieder an die Daten ran(falls man die Schlüsseldateien sofern benutzt separat gespeichert hat)

Liest man sich hier im forum die threads zu den Leuten um die ihr gesammtes system verschlüsselt haben, so bleibt Ihnen nur die Datenpartitionen noch mal separat zu entschlüsseln, Spielchen mit externen Platten an andere Rechner noch nicht mal eingeschlossen.

Das ist hier wirklich nur als hinweis zu verstehen, jeder soll machen was er will.

Backups und Rettungsmedien sind unverzeichtbar, wenn man seine Festplatten verschlüsselt.
mfGr

[pillars]

Ich habe mich schon umgehend mit Verschlüsselungssoftware, insbesondere für die Systempartition belesen. Die Trennung in System und Daten, oder System, Programme und Daten ist schonmal gut. So einfach umsetzbar ist das aber nicht, bei CompuSec kann man nur ganze Platten verschlüsseln und nicht nur partitionsweise. Brauch man also eine zweite Festplatte, USB Stick oder Cd/Dvd oder so zur Datensicherung.

Aber da gibt es noch einige Probleme. Für Windows gibt es um die Systemplatte verschlüsseln zu können nur Closed Source Software was schonmal total scheiße ist.

Nächstes Problem ist der Preis. CompuSec ist das einzige kostenlose aber wenn ich erwischt werde, dann will ich nicht das die mir eins reindrehen weil ich eine gecrackte Verschlüsselungssoftware wie DriveCrpyt Plus Pack habe oder Securestar oder PGP Whole Disk oder was auch immer.

Also bleibt für Windows nur CompuSec. Das ist aber dermaßen überladen mit Features die man auch besser lösen kann wie beispielsweise SaveLAN oder VPN oder SingOn. Eine Sicherheitssoftware muss einen schlanken und übersichtlichen Code habe. Viel Code = viele mögliche Fehler und Sicherheitslücken. Falls man wirklich solche Zusatzfunktionen bräuchte könnte man sich ja andere Software besorgen.

Wichtige Features wie eine Notfall Boot Cd oder von Cd booten und Festplatte on the fly entschlüsseln wurden allerdings nicht integriert. Außerdem hat es nur AES126 und nur Passwörter mit 16 Zeichen was sehr schlecht ist.

Dann ist noch das Problem das beim Preboot der Bootsektor logischerweise nicht verschlüsselt ist. Wenn der Rechner eingezogen/geklaut wird ist es ok. Aber wenn jemand ernsthaft Datenspionage betreiben will könnte der Angreifer den Bootsektor modifizieren. Also nicht Bios -> CompuSec -> Windows, sondern Bios -> Keylogger -> CompuSec -> Windows. Es wäre also sehr viel sinnvoller den Bootloader auf einer Cd oder einem USB Stick aus zu starten, da diese leichter sicher verwahrt werden kann und die Platte dann bei Modifikation unbrauchbar wird aber man nie ausgespäht werden kann. Sowas umsetzen kann man aber bisher nut unter Linux. Unter Linux gibts auch Open Source Verschlüsselung, aber dafür hat Linux leider genügend andere Nachteile.

Großbritanien:
Hier gibt es schon Gesetze die dazu zwingen Schlüssel rauszugeben. Unsere Politiker kommen vieleicht auf ähnliche Ideen könnten sein Schlüsselherausgabe erzwingen, Herausgabe von Masterpassword erzwingen, Herausgabe an Sourcecode an Behörden erzwingen.

Denkbar:
Das Firmen wie beispielsweise die Hersteller von CompuSec ein Masterpassword eingebaut haben. Nicht um es der NSA zu geben, sondern für deren Support. Ein Supporter könnte jederzeit verschlüsselte Daten wiederherstellen gegen Geld.

Noch weiter spinnen:
Was nützt mir eine Closed Source Verschlüsselung wie CompuSec? Nicht sehr viel... Angenommen heute wird mein Rechner eingezogen. Dann passiert erstmal ein halbes Jahr lang nichts, dann komme ndie Gesetze das CompuSec den Schlüssel rausgeben muss (falls vorhanden, man kann ja nicht prüfen ob es nicht so ist und im Zweifel sollte man misstrauisch sein). Arschkarte.

[stormrider74]

Ok ich habe mir damals günstig SafeGuard Easy gekauft, aber ich denke mal, das es, wenn der PC irgendwann mal eingezogen wird eh nicht nachzuvollziehen ist, ob das Programm geklaut oder original ist..wie soll das gehen, man kommt eh nicht über die PBA hinaus, wenn man das Passwort nicht hat?!

Und der andere Punkt mit dem Backdoor..ich weiss nicht, kann es mir nicht vorstellen, trotz closed source..wenn das Produkt von Mickeysoft käme, dann würd ich dem Frieden nicht trauen, aber so..wenn da mal rauskäme, das man einfach so die Verschlüsselung umgehen kann, dann wär das das Ende für diese Firma, egal ob Utimaco oder sonstwer.

[Crypter]

Bei Open Source hat man wiederum auch das Problem, dass nicht sehr viele Leute wirklich etwas mit dem Quellcode anfangen können, geschweige denn irgendwelche Fehler im Programm finden; hinzu kommt noch, dass der offene Quellcode auch von potentiellen Angreifern dazu benutzt werden könnte, Schwachstellen zu finden. Irgendwo hatte ich zu dem Thema „Sicherheitssoftware – Open- oder Closed-Source“ im Internet auch mal eine ausführliche Diskussion gefunden; sollte ich den Link nochmals finden, werde ich ihn hier posten.

MfG
Crypter

[stormrider74]

..hinzu kommt noch, dass der offene Quellcode auch von potentiellen Angreifern dazu benutzt werden könnte, Schwachstellen zu finden..

Interessanter Gesichtspunkt, so habe ich das selbst noch nicht gesehen..ist aber was dran

[pillars]

Interessanter Punkt. Ich frage mich nur wie es möglich ist auch in Closed Source so zahlreiche Bugs zu finden. Bestes Beispiel ist der IE und Windows.

Eigentlich wäre ich froh wenn es keine Compu Sec Free gegeben hätte. Dann wäre vieleicht mehr Anreiz gewesen für eine Communty so etwas selber zu programmieren.

Ich denke das die erhöhte Sicherheit auch erst mit der Beliebtheit und Verbreitung kommt. Da dann mehr Programmierer sich den Code anschauen.

Würdest Du sagen des es Mangel an Programmierern gibt? Oder mehr Angreifer als Patcher?

[Physicist]

Da das immer wieder auftaucht, mit jedem Vollverschlüsselungssystem Drive Cypt Plus Pack DCPP, Safeguard Easy sge oder auch Compusec (Freeware), sollte man wirklich nur die Startpartition verwenden, weitere Partitionen, kann man zwar damit verschlüsseln, aber im Falle eines zerstören der Systempartition hat man ein Problem, speziell wenn man es versäumt hat, die Rettungscd/-Diskette zu erstellen oder diese nicht mehr lesbar ist.

Hm.. sorry wenn ich das so sage, aber das ist schwachsinn...
Um dem vorzubeugen braucht man bei DCPP doch nur den Keystore irgendwo sichern wo man ihn auch wiederfindet. Ich hab ihn z.B. Auf meinem Handy, Kamera, MP3-Player etc.
Damit läst sich die Partition jederzeit wieder entschlüsseln. Wenns die Systempartition war und der MBR flöten gegangen ist notfalls eben auf einem anderen PC. (oder im falle des MBRs mit den rettungsdisketten)

Noch praktischer wie ich finde ist eine Windows-PE CD.
Ich hab mir einfach diese erstellt von www.ubcd4win.com .
DCPP draufgepackt, meinen keystore und backups von meinem MBR sowie partitionstabelle. Fertig. Sollte mein laufwerk C: jemals den MBR verlieren komm ich trotzdem noch an alle Daten ran und kann den MBR auch einfach neu schreiben.

[natbornkiller]

Das ist selbst verständlich kein Schwachsinn, ich könnte dir jetzt ein paar threads dazu heraussuchen, wo die Problematik aufgetaucht ist und weil das nicht so selten vorkommt, gibt es diesen thread.

Pillars, du kannst nur nach aktueller Rechtslage verurteilt werden, wenn Dein Pc eingezogen ist, dann können Dir neue Gesetze nichts anhaben, es wird nur nach dem verurteilt was zum Zeitpunkt der Einziehung Aktuell war.

Das mit England und Beugehaft für zwei Jahre ist afaik nur ein Vorschlag gewesen und noch kein Gesetz.

Compusec hat keinen Masterkey, gäbe es den würde das mit sicherheit schon gefunden haben.

Was den Tc sourcecode angeht, so sitzen da Programmierer, Mathematiker usw. vor die schauen sich das ganze sehr genau an, ein einzelner hätte keine Chance, aber da das ganze vielen Sicherheitsexperten zur Untersuchung vorgelegen hat, bin ich mir schon sehr sicher das da an Lückennicht viel zu finden ist, wenn wird das schnell Public, denn das macht bekannt, das ist wichtig wenn man Fördergelder oder Sponsoren finden möchte.

Bei Rputern sind Lücken zu finden, etwas einfacher man bombdiert sie einfache mit Raw Packete, kommt es zu absturz kann man versuchen zu varieren.

Analog geht das bei programmen, stürzt es ab, schaut an sich mit dem debugger was da genau passiert.

Bei source code gibt es bereits Programme die automatisiert, nach Bugs suchen, wobei man bei nicht initialisierten Variablen oder wenn Eingabe nicht überprüft werden, halt den Source code durcsuchen muss, nur schaut man sich die vielen Seiten Source code an, so ist die Suche schwierig.

Als Programmierer ist es schwierig, man muss sich immer wieder neuen code aus den Fingern saugen und halt nur selten validierten Code zur Verfügung den man verwenden kann und so kommt es das, wenn man sein erstes Hello word programm verlassen hat, schnell in die eine oder andere Falle tabt.
mfGr

[pillars]

Übrigens würde ich jedem raten bevor man eine Vollverschlüsselungssoftware einsetzt diese erstmal in einer virutellen Umgebung zu testen. VmWare fand ich zu recourcenlastig und buggy, die zwei freien Alternativen waren zu langsam und kompliziert. Jetzt bin ich auf VirtualBox gestoßen und das hat mir auf Anhieb gefallen.

Ich teste innerhalb von VirtualBox gerade mal nebenbei DriveCrypt Plus Pack und später vieleicht mal noch SafeGuard Easy. Die Programme sind vieleicht besser als CompuSec weil ich dort nur ganze Festplatten veschlüsseln kann und ordentlich lange Passwörter wählen kann.

So habe ich min. 2 Partitionen. Wenn das System nicht mehr geht bügel ich einfach über c: drüber und installiere neu. Die Daten auf d: bleiben erhalten.

Pillars, du kannst nur nach aktueller Rechtslage verurteilt werden, wenn Dein Pc eingezogen ist, dann können Dir neue Gesetze nichts anhaben, es wird nur nach dem verurteilt was zum Zeitpunkt der Einziehung Aktuell war.

Meine könnte ja auch vorher schon illegal gewesen sein. Das was ich ausgemalt habe ist wenn das Gesetz dazu kommen kommt das den Hersteller von Verschlüsselungssoftware daz zwingt ihre Source rauszurücken. Dann wäre ich auch noch dran wenn ich illegale Daten gehabt hätte. Die Taten wären ja genau so illegal nur die Ermittlungsverfahren haben sich verbessert.

Compusec hat keinen Masterkey, gäbe es den würde das mit sicherheit schon gefunden haben.

Warum? So beliebt ist Vollverschlüsselung nicht, insbesondere bei Programmierern. Als Programmierer gebe ich normalerweise nicht viel auf proprietäre Programme wenn ich die Sachen die ich selber brauche mir auch selbst schreiben kann.

Reverse engineering wird wohl wegen dem imensen Aufwand keiner so intensiv betrieben haben.

Ich habe bisher auch noch keinen Brutforce Attacker publik (! heißt nicht das es keinen gibt) gesehen. Ein direktes Masterpassword wäre ja auch zu einfach und dumm, eine bestimmte Tastenkombination und Passwort wäre da schon geistreicher.

[natbornkiller]

Alle Verschlüsselungsprogramm werden überprüft, auf bekannte Lücken,ob als Doktorarbeit oder nur zum spass.

Seit Jahren werden ominöse Masterkeys prognostiziert und buslang ist keiner gefunden worden.
mfGr

[Chronoton]

Jetico (http://www.jetico.com/ ) hat jetzt ein vollverschlüsselungsprogramm rausgebracht.
BestCrypt Volume Encryption for Windows 2000/2003 Server/XP/Vista
leider scheint keiner der hersteller an linux zu denken

mfg
chronoton

[pillars]

Für Linux gibts doch Open Source Verschlüsselung direkt im Kernel eingebaut. (suche dm-crypt luks) Der lässt glaub ich kaum Wünsche offen, ausser vieleicht das es kein Frontend gibt aber das ist mir 1000x lieber als ein Closed Source Produkt das gut aussieht und dafür unsicher ist oder sogar Backdoors hat.

[natbornkiller]

Closed Source Produkt das gut aussieht und dafür unsicher ist oder sogar Backdoors hat.

Welche bislang noch nicht enzdeckt wurden...
mfGr

[Chronoton]

Für Linux gibts doch Open Source Verschlüsselung direkt im Kernel eingebaut

ich habe bereits eine vollverschlüsselung meines ubuntu rechners bewerkstelligen können. leider ist das für einen leihen eher umständlich und mit allerlei fummelei verbunden.
es wäre natürlich für den endbenutzer besser, wenn er mit wenig aufwand sein ziel erreichen kann. in windows klappts selbst für den noob recht gut. bei linux ist es eher etwas für geübte benutzer.

mfg
chronoton

[natbornkiller]

ich habe bereits eine vollverschlüsselung meines ubuntu rechners bewerkstelligen können.

Machst Du dazu mal eine Anleitung?
mfGr

[Chronoton]

Machst Du dazu mal eine Anleitung?

willst du dir das wirklich antun und ein tutorial von mir lesen ?

hier gibts aber ein tutorial das bei mir funktioniert hat.
http://wiki.ubuntuusers.de/System_ve...3%BCsselung%29
nach einer neuinstallation hab ich es aber nicht mehr hinbekommen, weil probleme mit dem kernel für mich nicht mehr lösbar waren.
momentan läuft meine ubuntu-kiste mit einer teilweisen verschlüsselung nach diesem tutorial. http://wiki.ubuntuusers.de/Daten_ver...3%BCsselung%29
läuft bis jetzt ohne probleme.

mfg
chronoton