---

Geschrieben von phlox81 am 30.12.2008 um 15:07:

  Erfahrungen mit Truecrypt

Hallo, beschäftige mich gerade mit TrueCrypt, welches ja zur Festplattenverschlüsselung u.a. einsetzbar ist.

Ich habe damit bisher keine Erfahrung, und daher ein paar Fragen was eure Erfahrungen damit sind.

TrueCrypt bietet 3 verschiedene "Modi" an:
- Verschlüsselungscontainer, welcher seperat jeweils gemountet wird, und im Dateisystem sonst nur eine Datei ist.

Verschlüsselung einer Partition: Es wird eine ganze Partition verschlüsselt.

Verschlüsselung der gesamten Festplatte und installation eines Bootloaders.

1. ist klar. Auch das einfachste, wobei evtl. nicht ganz nachvollziehbar für laien, und man muss halt das jeweils einbinden.

2. Ebenso, nur das man es hier halt direkt als Partition hat.

3. Bei mir (und potentiellen Kunden) ist es so, das die Installation schon vorhanden ist, gibt es Erfahrungen damit? Datensicherung ist ja klar, aber ist es empfehlenswert ein solches System dann zu verschlüsseln? Oder ist eine neuinstallation (was dann wieder die ganze Configarbeit mit sich zieht, wenn man nicht direkt ein Image erstellt) besser?

Und wie nutzt ihr TrueCrypt?

phlox

---

Geschrieben von phoenix am 30.12.2008 um 17:42:

 

Also ich nutze von TrueCrypt immer nur die Datencontainer. Ein Freund von mir hat auch ganze Festplatten verschlüsselt. Je nach Rechenleistung der CPU nimmt aber die Geschwindigkeit mit der Daten geschrieben werden ab.

Das Verschlüsseln einer schon bestehenden Installation ist auch möglich. Am besten diesen Blogbeitrag mal lesen, eine Schritt für Schritt Anleitung.

---

Geschrieben von Banur am 31.12.2008 um 01:25:

 

Ich hab sowohl einen Container als auch eine Partition verschlüsselt.
Bei den Container ist die Schwierigkeit (für Kunden) eventuell die mit dem Mounten.
Bei der Partition erscheint diese als nicht formatiert im Explorer, das kann u.U. dazu führen das ein Kunde (bzw. ein unerfahrener Mitarbeiter, dem das zwischen Tür und Angel gezeigt wurde, etc.) die sensiblen Daten ausversehen formatiert.

---

Geschrieben von Nightwolf am 01.01.2009 um 17:35:

 

Ich habe meine Windows Partition mit TrueCrypt verschlüsselt, meine Linux Partition mit dm-crypt und sonstige Partitionen mit TrueCrypt. Den TrueCrypt Bootloader dann einfach in Grub eingebunden, funktioniert eigentlich problemlos. Außerdem verwende ich TrueCrypt Container für private Daten, die auch im laufenden System nicht sichtbar sein sollen (lokal, im Netz und auf externen Platten). Die Systemverschlüsselung kann man problemlos mit einem installierten System machen, dabei ist eigentlich nur darauf zu achten, ein Backup des MBR (und am besten auch von der Partition) zu machen und den Verschlüsselungsvorgang nicht zu unterbrechen. Die Verschlüsselung der gesamten Festplatte habe ich aus irgendwelchen Gründen gelassen, an die ich mich gerade nicht mehr erinnere (Probleme bei Dual-Boot?), braucht man aber ja auch nicht unbedingt.

---

Geschrieben von phlox81 am 02.01.2009 um 13:37:

 

Zitat:

Original von Banur Ich hab sowohl einen Container als auch eine Partition verschlüsselt. Bei den Container ist die Schwierigkeit (für Kunden) eventuell die mit dem Mounten. Bei der Partition erscheint diese als nicht formatiert im Explorer, das kann u.U. dazu führen das ein Kunde (bzw. ein unerfahrener Mitarbeiter, dem das zwischen Tür und Angel gezeigt wurde, etc.) die sensiblen Daten ausversehen formatiert.

Das ist sowieso noch so eine Sache, wenn ich das nun als Laufwerk einbinden kann, geht das auch automatisiert? Oder muss man jedesmal über Truecrypt mounten?
Und klar, wenn man es formatiert, ist es natürlich weg, aber das ist ja nicht unbedingt meine Sorge. Werde da wohl eine Schulung zu geben.

Nur Frag ich mich, wie man ein 20 Stelliges Passwort behalten soll, was keine Wörter etc. enthält...

phlox

---

Geschrieben von Nightwolf am 03.01.2009 um 02:17:

 

Zitat:

Das ist sowieso noch so eine Sache, wenn ich das nun als Laufwerk einbinden kann, geht das auch automatisiert? Oder muss man jedesmal über Truecrypt mounten?

Du kannst einfach TrueCrypt mit den entsprechenden Parametern via Shell- / Batchscript aufrufen.

Zitat:

Nur Frag ich mich, wie man ein 20 Stelliges Passwort behalten soll, was keine Wörter etc. enthält...

Wieso keine Wörter enthält? Ich denke mal wenn man jetzt nicht irgendeinen Spruch o.ä. nimmt, ist man auch mit Wörtern relativ sicher, vor allem wenn man noch ein paar Sonderzeichen und Zahlen einbaut. Klar ist ein generiertes Passwort besser, allerdings eben auch schwieriger zu merken (wobei man auch das wohl relativ schnell drauf hat, wenn man es bei jedem Hochfahren eingeben muss ).

---

Geschrieben von Zirias am 03.01.2009 um 02:54:

 

Dass Truecrypt ein ewig langes Passwort braucht, um ein vernünftiges Maß an Sicherheit zu garantieren, finde ich ein bisschen daneben. Da ist LUKS (Linux Unified Key Setup) für dm-crypt etwas voraus. Der dort verwendete Key-Dervation Algorithmus garantiert auch bei vergleichsweise "popligen" Passwörtern einen sicheren Key.

Ansonsten ist Truecrypt aber klasse. Dass eine System-Partition "live" verschlüsselt werden kann, sowas ist mit LUKS/dm-crypt leider undenkbar, da musste ich zu dem Zweck eine USB-Platte bemühen. Sehr nett fand ich auch, dass Truecrypt für Linux dann die dort sowieso schon vorhandene dm-crypt Infrastruktur nutzt.

Zu den Modi: Container sind IMHO blöd, da fehlt die Transparenz der Verschlüsselung (im normalen Betrieb will ich nicht wissen, ob der Festplattenzugriff nun verschlüsselt ist). Der Unterschied zwischen Partitions- und Systemverschlüsselung dürfte eher gering sein, aber da weiß ich nichts genaues. Tatsache ist, dass die "Systemverschlüsselung" bei Truecrypt inkrementell möglich ist, sie lässt sich also jederzeit unterbrechen und fortsetzen und das System kann zwischendurch sogar rebooten. Meiner Meinung nach absolut empfehlenswert. Was leider nicht möglich ist (was ich davor unter Linux mit LUKS/dm-crypt hatte): Die komplette Platte verschlüsseln, also gar keine unverschlüsselte Partitionstabelle mehr zu haben, und IN diesem verschlüsselten Container logische Volumes anzulegen. Aber ich denke mit dieser Einschränkung kann man gut leben, immerhin bekommt man mit Truecrypt schon eine Menge sehr guter Funktionalität für Windows.

Wer es RICHTIG sicher will: Der Truecrypt MBR ist auch mit "GRUB4DOS" bootbar, das habe ich für mein Notebook gemacht, um von USB-Stick zu booten (der MBR auf der Festplatte ist genullt und der Grub bietet auch Linux zum booten an).

edit: fürs automatische Mounten weiterer Truecrypt Volumes bietet sich die Verwendung von Keyfiles an, die auf dem verschlüsselten System-Volume hinterlegt sind. Ich verwende dazu auch keine Truecrypt GUI, sondern rufe in einem System Startup Script (Group Policy Editor im MMC) das truecrypt binary mit entsprechenden Kommandozeilen-Argumenten auf. Auf Linux wird das entsprechend von einem eigenen init-Script in /etc/init.d erledigt.