phlox81
Bote des Lichts und Moderator
Dabei seit: 19.10.2002
Beiträge: 3.028
Herkunft: Irgendwo im Nirgendwo
|
|
Erfahrungen mit Truecrypt |
|
Hallo, beschäftige mich gerade mit TrueCrypt, welches ja zur Festplattenverschlüsselung u.a. einsetzbar ist.
Ich habe damit bisher keine Erfahrung, und daher ein paar Fragen was eure Erfahrungen damit sind.
TrueCrypt bietet 3 verschiedene "Modi" an:
- Verschlüsselungscontainer, welcher seperat jeweils gemountet wird, und im Dateisystem sonst nur eine Datei ist.
Verschlüsselung einer Partition: Es wird eine ganze Partition verschlüsselt.
Verschlüsselung der gesamten Festplatte und installation eines Bootloaders.
1. ist klar. Auch das einfachste, wobei evtl. nicht ganz nachvollziehbar für laien, und man muss halt das jeweils einbinden.
2. Ebenso, nur das man es hier halt direkt als Partition hat.
3. Bei mir (und potentiellen Kunden) ist es so, das die Installation schon vorhanden ist, gibt es Erfahrungen damit? Datensicherung ist ja klar, aber ist es empfehlenswert ein solches System dann zu verschlüsseln? Oder ist eine neuinstallation (was dann wieder die ganze Configarbeit mit sich zieht, wenn man nicht direkt ein Image erstellt) besser?
Und wie nutzt ihr TrueCrypt?
phlox
__________________ Intelligenz ist eine Illusion des Menschen
phlox81.de | codenode.de
|
|
30.12.2008 15:07 |
|
|
phoenix
Moderator
Dabei seit: 22.08.2003
Beiträge: 1.157
|
|
Also ich nutze von TrueCrypt immer nur die Datencontainer. Ein Freund von mir hat auch ganze Festplatten verschlüsselt. Je nach Rechenleistung der CPU nimmt aber die Geschwindigkeit mit der Daten geschrieben werden ab.
Das Verschlüsseln einer schon bestehenden Installation ist auch möglich. Am besten diesen Blogbeitrag mal lesen, eine Schritt für Schritt Anleitung.
|
|
30.12.2008 17:42 |
|
|
|
phlox81
Bote des Lichts und Moderator
Dabei seit: 19.10.2002
Beiträge: 3.028
Herkunft: Irgendwo im Nirgendwo
Themenstarter
|
|
Zitat: |
Original von Banur
Ich hab sowohl einen Container als auch eine Partition verschlüsselt.
Bei den Container ist die Schwierigkeit (für Kunden) eventuell die mit dem Mounten.
Bei der Partition erscheint diese als nicht formatiert im Explorer, das kann u.U. dazu führen das ein Kunde (bzw. ein unerfahrener Mitarbeiter, dem das zwischen Tür und Angel gezeigt wurde, etc.) die sensiblen Daten ausversehen formatiert. |
Das ist sowieso noch so eine Sache, wenn ich das nun als Laufwerk einbinden kann, geht das auch automatisiert? Oder muss man jedesmal über Truecrypt mounten?
Und klar, wenn man es formatiert, ist es natürlich weg, aber das ist ja nicht unbedingt meine Sorge. Werde da wohl eine Schulung zu geben.
Nur Frag ich mich, wie man ein 20 Stelliges Passwort behalten soll, was keine Wörter etc. enthält...
phlox
__________________ Intelligenz ist eine Illusion des Menschen
phlox81.de | codenode.de
|
|
02.01.2009 13:37 |
|
|
Nightwolf
BlackBoarder
Dabei seit: 17.07.2003
Beiträge: 856
Herkunft: Hessen
|
|
Ich habe meine Windows Partition mit TrueCrypt verschlüsselt, meine Linux Partition mit dm-crypt und sonstige Partitionen mit TrueCrypt. Den TrueCrypt Bootloader dann einfach in Grub eingebunden, funktioniert eigentlich problemlos. Außerdem verwende ich TrueCrypt Container für private Daten, die auch im laufenden System nicht sichtbar sein sollen (lokal, im Netz und auf externen Platten). Die Systemverschlüsselung kann man problemlos mit einem installierten System machen, dabei ist eigentlich nur darauf zu achten, ein Backup des MBR (und am besten auch von der Partition) zu machen und den Verschlüsselungsvorgang nicht zu unterbrechen. Die Verschlüsselung der gesamten Festplatte habe ich aus irgendwelchen Gründen gelassen, an die ich mich gerade nicht mehr erinnere (Probleme bei Dual-Boot?), braucht man aber ja auch nicht unbedingt.
__________________ Wir ertrinken in Informationen und hungern nach Wissen. - John Naisbitt
|
|
01.01.2009 17:35 |
|
|
Nightwolf
BlackBoarder
Dabei seit: 17.07.2003
Beiträge: 856
Herkunft: Hessen
|
|
Zitat: |
Das ist sowieso noch so eine Sache, wenn ich das nun als Laufwerk einbinden kann, geht das auch automatisiert? Oder muss man jedesmal über Truecrypt mounten? |
Du kannst einfach TrueCrypt mit den entsprechenden Parametern via Shell- / Batchscript aufrufen.
Zitat: |
Nur Frag ich mich, wie man ein 20 Stelliges Passwort behalten soll, was keine Wörter etc. enthält... |
Wieso keine Wörter enthält? Ich denke mal wenn man jetzt nicht irgendeinen Spruch o.ä. nimmt, ist man auch mit Wörtern relativ sicher, vor allem wenn man noch ein paar Sonderzeichen und Zahlen einbaut. Klar ist ein generiertes Passwort besser, allerdings eben auch schwieriger zu merken (wobei man auch das wohl relativ schnell drauf hat, wenn man es bei jedem Hochfahren eingeben muss
).
__________________ Wir ertrinken in Informationen und hungern nach Wissen. - John Naisbitt
|
|
03.01.2009 02:17 |
|
|
Zirias
BlackBoarder
Dabei seit: 11.09.2002
Beiträge: 1.217
Herkunft: /dev/urandom
|
|
Dass Truecrypt ein ewig langes Passwort braucht, um ein vernünftiges Maß an Sicherheit zu garantieren, finde ich ein bisschen daneben. Da ist LUKS (Linux Unified Key Setup) für dm-crypt etwas voraus. Der dort verwendete Key-Dervation Algorithmus garantiert auch bei vergleichsweise "popligen" Passwörtern einen sicheren Key.
Ansonsten ist Truecrypt aber klasse. Dass eine System-Partition "live" verschlüsselt werden kann, sowas ist mit LUKS/dm-crypt leider undenkbar, da musste ich zu dem Zweck eine USB-Platte bemühen. Sehr nett fand ich auch, dass Truecrypt für Linux dann die dort sowieso schon vorhandene dm-crypt Infrastruktur nutzt.
Zu den Modi: Container sind IMHO blöd, da fehlt die Transparenz der Verschlüsselung (im normalen Betrieb will ich nicht wissen, ob der Festplattenzugriff nun verschlüsselt ist). Der Unterschied zwischen Partitions- und Systemverschlüsselung dürfte eher gering sein, aber da weiß ich nichts genaues. Tatsache ist, dass die "Systemverschlüsselung" bei Truecrypt inkrementell möglich ist, sie lässt sich also jederzeit unterbrechen und fortsetzen und das System kann zwischendurch sogar rebooten. Meiner Meinung nach absolut empfehlenswert. Was leider nicht möglich ist (was ich davor unter Linux mit LUKS/dm-crypt hatte): Die komplette Platte verschlüsseln, also gar keine unverschlüsselte Partitionstabelle mehr zu haben, und IN diesem verschlüsselten Container logische Volumes anzulegen. Aber ich denke mit dieser Einschränkung kann man gut leben, immerhin bekommt man mit Truecrypt schon eine Menge sehr guter Funktionalität für Windows.
Wer es RICHTIG sicher will: Der Truecrypt MBR ist auch mit "GRUB4DOS" bootbar, das habe ich für mein Notebook gemacht, um von USB-Stick zu booten (der MBR auf der Festplatte ist genullt und der Grub bietet auch Linux zum booten an).
edit: fürs automatische Mounten weiterer Truecrypt Volumes bietet sich die Verwendung von Keyfiles an, die auf dem verschlüsselten System-Volume hinterlegt sind. Ich verwende dazu auch keine Truecrypt GUI, sondern rufe in einem System Startup Script (Group Policy Editor im MMC) das truecrypt binary mit entsprechenden Kommandozeilen-Argumenten auf. Auf Linux wird das entsprechend von einem eigenen init-Script in /etc/init.d erledigt.
__________________ palmen-it.de
GCS/MU d+(++) s+: a C++ UL++++ P+++$ L+++ !E W+++ N+ o? K? w++$ !O M-- V?
PS+ PE++ Y+ PGP++ t !5 X- R- tv b+ DI++ D+ G e++ h r y+
Dieser Beitrag wurde 2 mal editiert, zum letzten Mal von Zirias: 03.01.2009 02:58.
|
|
03.01.2009 02:54 |
|
|
|
|
|