[TUT] TrueCrypt - Wherefore and How To

[JackThursby]

Inhalt:

• 1. TrueCrypt
  
  • -Warum & mit was?
  • -Algorithmen
  • -Sicherheit und Unterschiede
  
  
• 2. Download & Installation
• 3. Einen Container erstellen
• 4. Eine Partition Verschlüsseln
• 5. Einen Container mounten
• 6. Eine Festplatte/Partition mounten
• 7. Automatisierung
• 8. Nachwort

Stand: 03.01.12

1. TrueCrypt

TrueCrypt ist ein Kryptographie Tool.
Das Wort Kryptographie kommt vom altgriechischen und bedeutet in etwa "geheim" bzw. "verborgen". Das beschreibt in etwa auch noch die heutige Definition, nämlich das Verbergen von Informationen durch Verschlüsselung.
Eine Urversion der Verschlüsselung ist beispielsweise die Caesar Verschlüsselung oder ROT13. Die Caesar Verschlüsselung wurde vom gleichnamigen römischen Feldherr erfunden. Bei ihr wird das gesamte Alphabet um eine oder mehrere Stellen Versetzt. So wird aus A ein B, aus dem B ein C usw.
ROT13 funktioniert im Endeffekt genau gleich, ausgeschrieben bedeutet ROT13 "Rotate by 13" was auch schon den einzigen unterschied von der Caesar Variante beschreibt: Statt einer Stelle werden 13 verwendet. Ein A wird ein N, ein B zu einem O. ROT13 wird (lustigerweise ) heute immernoch von Windows an manchen Stellen in der Registry verwendet.
Doch genug der historischen und heute absolut unbedeutenden Verschlüsselungen, denn beide haben eine Schwäche: sie sind unheimlich leicht zu knacken.

TrueCrypt verschlüsselt Daten um sie vor ungewollten oder unerlaubten Blicken zu schützen. Somit kann bei entsprechendem Passwort (eigtl sollte ich das ja noch unterstreichen, wenn ich so manche Kiddys hier sehe) niemals jemand erfahren was sich innerhalb des Verschlüsselten Bereiches befindet.
Es bindet den Verschüsselten Bereich nahtlos ins System ein (unter Linux, unter Windows lediglich als Wechseldatenträger bzw. Festplatte), während das System wie gewohnt auf die Dateien zugreifen kann. Doch dazu später mehr.
Ebenfalls ist es möglich die Systempartition, also die Festplatte auf der euer System läuft, zu verschlüsseln.

Sämtliche Ver- und Entschlüsselungsvorgänge finden on-the-fly statt, das bedeutet das nirgendwo Daten unverschlüsselt gelagert werden (ausser wenn Programme darauf zugreifen und Daten aus dem verschlüsselten Bereich in einen unverschlüsselten auslagern).
Somit sind alle Vorgänge die mit der Verschlüsselung zu tun haben definitiv sicher verstaut. Denn sobald der Arbeitspeicher nicht mehr mit Strom versorgt wird, sind alle Daten im RAM weg. Auf diese weise ist es an sich unmöglich den Verschlüsselten Bereich ohne das zugehörige Passwort zu öffnen.

TC unterstützt dabei die folgenden Verschlüsselungsmethoden (allesamt symmetrische Systeme):

-AES
-Twofish
-Serpent

-AES:
Als AES ("Advanced Encryption Standard") bezeichnet man heute den Rijndael-Algorithmus. Er wurde im Oktober 2000 zum Nachfolger der Standards DES und 3DES ernannt und basiert auf einer Blockgröße von 128 Bit und einer Schlüssellänge von 128, 192 oder 256 Bit. Durch letzteres unterscheidet man die drei Varianten AES-128, AES-192 und AES-256. Die Einstufung während des AES Wettbewerbes lag durch die mathematische Struktur bei "nur hinreichend sicher".
Viele öffentliche Einrichtungen und Behörden verwenden AES zur verschlüsselung brisanter bis hochgeheimer Daten. Das DoD beispielsweise für Dinge wie die Baupläne für Atombomben.
Der Algorithmus hinter AES ist unter einer freien Lizenz veröffentlicht worden und kann somit für jeden Zweck verwendet und implementiert werden.

-Twofish:
Twofish ist der Nachfolger der Blowfish Verschlüsselung und basiert auf dem gleichen Prinzip wie AES. Es kam in die engere Auswahl für den AES Standard, doch verlor. Der Algorithmus basiert ebenfalls auf einer Schlüssellänge von 128, 192 oder 256 Bit. Beim AES Wettbewerb wurde Twofish als "hoch-sicher" eingestuft.
Es wurde unter Public Domain veröffentlicht, das bedeutet die Autoren haben sämtliches Eigentums und Urheberrecht abgelegt und entspricht somit einer freien Lizenz.

-Serpent:
Serpent ist ebenfalls einer der drei Finalisten für den AES Wettbewerb gewesen und ist von der Architektur her scheinbar sicherer als AES. Serpent basiert auf einer Blockgrösse von 128 Bit und kann mit jeder schlüssellänge bis 256 bit umgehen. Serpent wurde ebenfalls als "hoch-sicher" eingestuft.
Serpent steht ebenfalls unter Public Domain.

-Kaskadierung
In TrueCrypt ist es möglich, eine kaskadierte Verschlüsselung zu verwenden. In den meisten Fällen reicht eine AES Verschlüsselung zwar aus, aber der ein oder andere hat eventuell wirklich Daten, die niemand sehen sollte...
Bei der kaskadierenden Verschlüsselung werden die Daten nicht nur einfach, sondern mehrfach in beliebiger kombination und Reihenfolge verschlüsselt. Beispielsweise zuerst mit AES, Die AES-Version mit Serpent verschlüsselt und letztlich die AES-Serpent Version der Datei noch einmal mit Twofish verschlüsselt. Bei gutem Password und ner Keyfile ist diese Kombination _GARANTIERT_ nicht brechbar!
Doch das gibts natürlich nicht umsonst. Eine so hohe Verschlüsselung kostet CPU Leistung und ebenfalls Schreibgeschwindigkeiten an der Platte.
Bevor ich mich in erklärungen verliere zeige ich euch lieber folgendes Bild eines TrueCrypt Benchmarks auf meinem Notebook (ArchLinux x64, 2,2 GHz Dual core, 4 GB RAM, ohne GPU Beschleungung)

-Sicherheit dieser Methoden:
Die Sicherheit der Verschlüsselung wird natürlich nicht nur alleine durch das Passwort gewährleistet. Denn wenn der Algorithmus fehler aufweist oder nicht ausreichend wirkt, wird nicht einmal ein Passwort benötgt. Das könnt ihr euch in etwa vorstellen als würdet ihr verschiedene Gleichungen lösen. Bei einer benötigt ihr den Wert X um zu einem Ergebniss zu kommen, bei anderen ist er das Ergebniss.

AES:
-Im August 2011 stellten Andrey Bogdanov, Dimitry Khovratovich und Christien Rechberger auf der CRYPTO-Konferenz den ersten Angriff vor, der gezielt gegen den gesamten Algorithmus geht. Er funktioniert auch, doch für die Praxis ist er recht irrelevant, denn bei AES-128 werden bereits 2^126,1 Schritte benötigt (Bei AES-192 sind es 2^189,7 und bei AES-256 ganze 2^254,4). Den rest könnt ihr euch ja denken.
-2002 und 1999 wurde je ein XSL Angriff veröffentlicht, doch beide sind ebenfalls irrelevant, das nicht genügend (der 1999 veröffentlichte) bzw. zu große (die 2002 Variante des Angriffs) Gleichungen erzeugt werden können um den Algorithmus zu brechen.
-Es existieren noch weitere Theoretische Angriffe wie die oben genannten, doch alle scheitern an den selben Problemen und sind daher in der Praxis genauso irrelevant wie obige.

Twofish:
Hier lässt sich nur sagen, dass laut den Kryptoanalytikern Moriai & Yin in einem vorgestellten Theoretischen Angriff mindestens 32 Petabyte eines Twofish Verschlüsselten Datensatzes benötigt werden, um Rückschlüsse auf das Passwort ziehen zu können. Doch dabei wurden nur einige Hypothesen der differentiellen Analyse beachtet. Aus praktischer Sicht bedeutet das, dass es faktisch nicht im Entferntesten möglich ist die Verschlüsselung zu brechen.

Serpent:
-Auch hier existiert ein theoretischer Angriff, entwickelt von den Kryptoanalytikern Courtois und Pieprzyk, der jedoch aufgrund seiner Komplexität nicht in der Realität verwendet werden kann. Es ist daher auch nicht bestätigt ob der Angriff funktioniert. Viele Kryptographen sind der Meinung, dass sie nicht funktionieren würde.

TrueCrypt:
Dezember 08 wurde vom LKA eine Methode vorgestellt mit der man die Verschlüsselung durch Programme aushebeln kann. Hierfür wird allerdings ein FireWire Anschluss am Rechner benötigt.
Konkret funktioniert das ganze folgendermaßen:
Der Computer muss eingeschaltet sein und der verschlüsselte Bereich muss eingehängt sein. Das Passwort muss also bereits eingegeben worden sein. Über den FireWire Port des Computers wird ein spezielles Gerät angeschlossen mit dem der RAM in ein Image kopiert wird. Dann wird der Computer im laufenden Betrieb vom Stromnetz getrennt. Anschließend wird auch von der Festplatte ein Image erstellt.
Nun hat man eine 1:1 Kopie des Gerätezustandes zur Zeit des laufenden Betriebes. Mit dessen Hilfe lässt sich aus den noch geöffneten (hierzu dient der Crash) Datenstreams der Festplatte nachvollziehen, von welchem Bereich innerhalb des RAMs die Kryptografie ausgeht und können rückschlüsse auf das Passwort gezogen werden.
Daher rate ich jedem: (falls) ein FireWire Anschluss an eurem Rechner ist, in im BIOS Direkt zu deaktivieren. Nur zur Vorsicht.

[JackThursby]

2. Download & Installation

Ihr benötigt in erster Linie TrueCrypt, es ist für Linux, Windows (ab 2000) und Mac OS X (ab 10.4) verfügbar.
Optional noch ein deutsches Sprachpaket. Das bleibt aber jedem selbst überlassen.

TrueCrypt Download

Sprachpakete

Jetzt stellt sich nur die Frage, welche Verschlüsselungsart benötigt wird.
Also ob ein Container erstellt werden soll, eine Festplatte, eine Partition oder das komplette Betriebssystem (Nur Windows, Linux kennt da ganz andere Sachen, Stichwort LVM bzw. LUKS). Wenn eine Partition verschlüsselt werden soll ist es nicht zwangsläufig nötig sie formatieren zu lassen, die Dateien können ebenfalls mitverschlüsselt werden. Dieser Vorgng benötigt aber einige Zeit (i.d.R etwas über 5 Stunden).

3. Einen Container erstellen

Spoiler:

Die Liste die ihr seht zeigt alle freien oder von TrueCrypt belegten Laufwerksbuchstaben an.
ich habe (wie man leicht erkennt) Die erste Partition meiner Zweiten Festplatte auf Laufwerk G gemountet. \Device\Harddisk0\Partition1 wäre dann meine System Platte.

Klickt auf "Create Volume" und startet den Assistenten.

Ihr könnt hier auswählen was ihr wollt:
-Einen Container erstellen
-Eine Festplatte verschlüsseln, die nicht die System Platte ist.
-Die System Partition verschlüsseln

Der Haken stet bereits auf Container, also klickt auf „Next“.



hier könnt ihr nun auswählen ob es sich um ein normales TC Volume handelt oder um ein hidden TC Volume, bei einem hidden TC wird in den "leeren" Sektoren eines normalen TC Volumes geschrieben, hierbei besteht allerdings die Gefahr,
dass diese überschreiben wird, wenn ihr den normalen TC Container auch nutzt. Die Daten in den leeren Sektoren zu schreiben hat den Vorteil, das falls jemand die Festplatte sehr genau durchsucht (Cluster für Cluster) sieht er hier nur freien Speicherplatz. Bei einem normalen TC Container sieht die Person zwar das da was ist, das ist aber wenig hilfreich, da beim Auslesen nur die Verschlüsselten Bits übertragen werden. Das sieht für ohn dann aus wie eine Haufen Datenmüll. Wir bleiben im Tut mal bei einem normalen Container. Der einfachheit halber.



Wählt nun aus, wo die Datei (also der Container) liegen soll, ihr könnt als Datei Endung alles nehmen was ihr wollt, es ist allerdings sehr unglaubwürdig wenn "HotTeen.jpg" 60 GB groß ist. Die Datei kann ebenfalls auch überall liegen. Ihr müsst euch die Datei wie einen Ordner vorstellen.



hier wählt ihr nun die Verschlüsselungsmethode aus, ich empfehle AES, bzw. wenn jemand etwas paranoider ist kann er auch mehrere Methoden nacheinander nehmen. Im ersten Bild sieht man das ich bei meiner zweiten internen eine Serpent-Twofish-AES verschlüsselung habe. Etwas paranoid ich weiss . Das könnt ihr bei allen Laufwerken machen wie ihr wollt. Bei eurer System Platte empfehle ich euch allerdings lediglich AES zu verwenden, denn je komplexer die Verschlüsselung ist, desto länger braucht das System natürlich auch um die Dateien zu crypten. Im Beispiel Serpent-Twofish-AES wir zuerst jeder Block mit Serpent verschlüsselt, der verschlüsselte Block dann mit Twofish, und der bereits 2mal Verschlüsselte Block noch einmal mit AES. Also eine 3 Fach verschlüsselung.
den Hash Algorithmus könnt ihr so lassen. RIPEMD-160 ist gut und schnell.



Hier wählt ihr die Größe des Containers aus.
ich nehme mal 50 MB. Das heisst mein Container hat die Größe von 50 MB, und eben nicht mehr. Will ich mehr als 50 MB darauf speichern -> fail, und ich darf nen neuen Container erstellen. Daher solltet ihr euch vorher schon überlegen was alles Verschlüsselt werden soll, damit ihr später kein Platz Problem bekommt.



Hier kommt ihr nun zu euerer Passwort wahl..
Selbst die beste Methode bringt nichts wenn euer Passwort "geheim" ist und auf einem zettel auf eurem Monitor klebt.
ein gutes Passwort wäre zum bespiel
g3h3!m1std4sj3tztw!rkl!ch
alternativ könnt ihr auch eine Schlüsseldatei erstellen, oder beides
dazu einfach den haken bei "Use Keyfile" setzen und nun unter "Keyfile" eine Datei erstellen. Ihr müsst bedenken das gegen einen BruteForce Angriff TrueCrypt keinen Schutz bieten kann. Denn dafür wird die Festplatte ausgebaut und an ein anderes System gehängt. Wenn euer Passwort dann "geheim" lautet dauert es vil. ne halbe Stunde bis der Angreifer es hat. Bei nem Passwort wie "g3h3!m1std4sj3tztw!rkl!ch" kanns sein das er in 100 Jahren immer noch dran sitzt. Also nehmt ein möglichst langes Passwort mit mindestens 20 Stellen + Zahlen + Sonderzeichen. Wenn ihr jetzt noch ne Keyfile dazu tut kommt auf das System NIEMAND mehr. Außer ihr. Vorrausgesetzt natürlich die Schlüsseldatei verändert sich nicht und ihr vergesst das PW nicht.



nun wählt ganz oben statt FAT, NTFS aus wenn ihr innerhalb des Containers Dateien mit einer Größe von über 4 GB speichern wollt. Denn FAT ist so aufgebaut das Dateien ab 4 GB nicht mehr auf die Platte geschrieben werden können.
als letztes fahrt innerhalb des Fensters so lange wie ihr wollt zufällig mit der Maus herum, das verbessert die kryptische stärke der
Verschlüsselung um einiges! ~10 Minuten sollten ausreichend sein
falls ihr fertig seid klickt auf "Format"
nun wird das dateisystem erstellt, das kann je nach Größe und Leistung des Computers einige Stunden dauern (bei 250 GB etwa 1 Stunden bei meinem Laptop)
die Verschlüsselungsmethode selbst sollte diesen Vorgang überhaupt nicht bis kaum merkbar verlangsamen.

Glückwunsch, ihr habt alles geschafft.
Später erkläre ich euch wie ihr diesen Container mountet.
aber zuerst wie ihr eine komplette Partition verschlüsselt.

4. Eine Partition verschlüsseln

Spoiler:

So, Um eine Partition zu verschlüsseln wählt ihr nun
-Encrypt a non-System Partition/Drive aus.



klickt auf next, lasst den haken auf "Standard TrueCrypt Volume und drückt wieder next.
nun klickt ihr auf "Select Device..." um eine Partition auszuwählen.



wichtig ist nun das ihr eine Partition auswählt.
Also nicht die Harddisk1 (beispielsweise) sondern \Device\Harddisk1\Partition1
um herauszufinden welche genau welche ist müsst ihr euch entweder am Laufwerksbuchstaben orientieren, oder aber an der Größe der Partition.
wenn ihr das getan habt bestätigt die Meldung klickt ok.



falls ihr Daten auf der Partition habt wählt ihr Encrypt partition in place aus, das dauert dann allerdings länger beim erstellen der Partition, da jeder Sektor gelesen, verschlüsselt, geschrieben und wieder geprüft wird.
Falls ihr keine wichtigen Files drauf habt wählt ihr die obere Box aus. Hierbei wird die Festplatte komplett formatiert und gleich am Anfang das verschlüsselte Dateisystem drauf geschrieben.



hier wählt ihr nun die Verschlüsselungsmethode aus, ich empfehle AES, bzw. wenn jemand etwas paranoider ist kann er auch mehrere Methoden nacheinander nehmen. Im ersten Bild sieht man das ich bei meiner zweiten internen eine Serpent-Twofish-AES verschlüsselung habe. Etwas paranoid ich weiss . Das könnt ihr bei allen Laufwerken machen wie ihr wollt. Bei eurer System Platte empfehle ich euch allerdings lediglich AES zu verwenden, denn je komplexer die Verschlüsselung ist, desto länger braucht das System natürlich auch um die Dateien zu crypten. Im Beispiel Serpent-Twofish-AES wir zuerst jeder Block mit Serpent verschlüsselt, der verschlüsselte Block dann mit Twofish, und der bereits 2mal Verschlüsselte Block noch einmal mit AES. Also eine 3 Fach verschlüsselung.
den Hash Algorithmus könnt ihr so lassen. RIPEMD-160 ist gut und schnell.



Hier kommt ihr nun zu euerer Passwort wahl..
Selbst die beste Methode bringt nichts wenn euer Passwort "geheim" ist und auf einem zettel auf eurem Monitor klebt.
ein gutes Passwort wäre zum bespiel
g3h3!m1std4sj3tztw!rkl!ch
alternativ könnt ihr auch eine Schlüsseldatei erstellen, oder beides denn Schlüsseldatein funktionieren nicht nur bei einem Container, sondern auch bei der Platte. Allerdings nicht bei eurer System Platte!
dazu einfach den haken bei "Use Keyfile" setzen und nun unter "Keyfile" eine Datei erstellen. Ihr müsst bedenken das gegen einen BruteForce Angriff TrueCrypt keinen Schutz bieten kann. Denn dafür wird die Festplatte ausgebaut und an ein anderes System gehängt. Wenn euer Passwort dann "geheim" lautet dauert es vil. ne halbe Stunde bis der Angreifer es hat. Bei nem Passwort wie "g3h3!m1std4sj3tztw!rkl!ch" kanns sein das er in 100 Jahren immer noch dran sitzt. Also nehmt ein möglichst langes Passwort mit mindestens 20 Stellen + Zahlen + Sonderzeichen. Wenn ihr jetzt noch ne Keyfile dazu tut kommt auf das System NIEMAND mehr. Außer ihr. Vorrausgesetzt natürlich die Schlüsseldatei verändert sich nicht und ihr vergesst das PW nicht.



nun wählt ganz oben statt FAT, NTFS aus wenn ihr innerhalb des Containers Dateien mit einer Größe von über 4 GB speichern wollt. Denn FAT ist so aufgebaut das Dateien ab 4 GB nicht mehr auf die Platte geschrieben werden können.
als letztes fahrt innerhalb des Fensters so lange wie ihr wollt zufällig mit der Maus herum, das verbessert die kryptische stärke der
Verschlüsselung um einiges! ~10 Minuten sollten ausreichend sein
falls ihr fertig seid klickt auf "Format"
nun wird das dateisystem erstellt, das kann je nach Größe und Leistung des Computers einige Stunden dauern (bei 250 GB etwa 1 Stunden bei meinem Laptop)
die Verschlüsselungsmethode selbst sollte diesen Vorgang überhaupt nicht bis kaum merkbar verlangsamen.



Das dauert wieder je nach Hardware...

Aber Gratz, ihr habt’s wieder geschafft.
und nun gleich weiter:

5. Den Container Mounten

Spoiler:

Wieder das Hauptfenster von TC vor uns...

klickt nun auf "Select File" und wählt euren Container aus...

nun sieht das ganze so aus:



Nun müsst ihr in der oberen liste noch irgendeinen Buchstaben anklicken, egal welchen, Hauptsache er ist frei.
und klickt unten auf "Mount"



tragt euer Passwort ein und eventuell noch euere Keyfile:



und da ist ja euer Container
Unter dem Arbeitsplatz/Computer seht ihr das Volumen nun als Festplatte mit dem Buchstaben G:.

6. Eine Festplatte Mounten

Spoiler:

klickt hier im Hauptmenü rechts unten aufn "Select Device..."


ihr seht hier eine Auflistung aller angeschlossenen Festplatten. ihr müsst wissen welche eure verschlüsselte platte ist.
wählt die Partition aus und drückt auf "Ok"
Wählt nun aus der oberen liste irgendeinen freien Buchstaben aus und klickt links unten auf "Mount"



hier tragt ihr nun euer Passwort ein und klickt abermals auf "Ok"
so, und da ist unser Baby ja auch schon in der Liste, bzw. im Arbeitsplatz als Laufwerk G:

7. Automatisierung (Scripts)

Spoiler:

Aus Bequemlichkeitsgründen kann man sich natürlich leicht dazu verführen lassen sein Passwort irgendwo zu vergessen, in dem Falle kann man es sich natürlich aufschreiben, aber das birgt ein ziemliches Risiko. Daher eine Warnung! Scripts um TC Container / Festplatten zu mounten, sind grundsätzlich gefährlich! Denn in ihnen steht im Klartext das PW und die KeyFile! Also solltet ihr den Speicherort bereits mit Truecrypt einer Komplettverschlüsselung unterzogen haben, oder das Script sicher verwahren (USB, Container, CD etc.)!!
Nun, wie auch immer. Es liegt in eurer Hand.

Also, Truecrypt lässt sich über die Konsole sehr gut bedienen, das bedeutet ihr könnt ebenfalls sehr leicht Scripts schreiben um eure Externen/Container zu mounten oder zu erstellen!.
Hier habe ich zwei Script Templates, eines für Windows und eines für Linux.

Windows

Code:

@echo off
title TC Mount
:Start
"C:\Program Files\TrueCrypt\TrueCrypt.exe" /q /v \Device\Harddisk1\Partition1 /l m /keyfile "Deine Keyfile" /password "Dein PW"
exit /B

Linux

Code:

#!/bin/bash

if [[ `whoami` != root ]]; then
  echo -e " Bitte mit sudo $(basename $0) starten!"
  exit 1
fi

 echo -e "-----------------------------------------------------"
echo -e ":: Please enter the Partition you'd like to mount. (e.g. /dev/sda1): ::"
read locate

sudo truecrypt $locate -p "PASSWORT" -k /fad/zur/KeyFile --slot=1

Btw, beide Scripts sind von mir, lassen sich nach belieben verändern und verschönern (ich selbst habe ein Auswahlmenü für 4 verschiedene Festplatten ) und dürfen verwendet werden wie ihr wollt.

8. Nachwort

Quellen:
Wikipedia.org.
Truecrypt.org

//E
Go for Pin?

//E²
Werde das alles mal überarbeiten...

//E³
So, Spoiler Tags für mehr Übersicht reingepackt + Texte ergänzt/umgeschrieben.Und ein Bild musste entfernt werden aufgrund der 25-Bilder regel^^

//E4
19.04.11
Post in 2 geteilt, da die maximale Zeichenbegrenzung erreicht wurde.
Added: FireWire Sicherheitslücke + Wie man sich schützt.

//E5
06.10.11
Added: Kaskadierung, yay!
Added: 7. Automatisierung!

//E6
03.01.12
Complete Overhaul.

[JackThursby]

Inhalt aus vorherigem Post:

Info:
Für alle die glauben das dieses Tut geklaut ist:

Spoiler:

Ich bin ISee. Proof:

Ich habe dieses Tutorial vor einiger Zeit geschrieben

#1


#2


#3

[AFU]

Hi, ich nutze bereits seit langem einen TrueCrypt-Container. Da du hier der Fachmann bist, habe ich mir gedacht ich frage dich mal direkt:

• Kann ich eine komplette Partition nachträglich verschlüsseln? (ohne dass ich das Betriebssystem neu installieren muss?)
• Geht das auch mit mehreren Partitionen auf einer Platte? (Bei mir sieht das so aus: 1. Win7 2. Win7 ultimate)
• Wie wir mounte ich denn ein Betriebssystem oder wird einfach beim Hochfahren ein Passwort verlangt?
• Angenommen ich vergesse aus irgendeinem Grund das Passwort, gibt es dann noch eine Möglichkeit an die Daten ranzukommen? Wenn ja, wie?

[JackThursby]

1. Ja, du kannst die komplette Systempartition sogar nur verschlüsseln falls darauf bereits ein OS läuft
2. Ebenfalls Ja, wobei das mit Multi Boot (hab ich richtig interpretiert?) dann etwas komplex wird, müsstest grub als bootloader verwenden und dann per chainload den TC Bootloader laden. Wie gesagt ist das aber ne ziemliche fummel arbeit, aber auch durchaus machbar.
3. Beim Hochfahren wird vom TC bootloader dann ein PW verlangt, nachdem du das eingegeben hast arbeitet das OS als wäre keien verschlüsselung vorhanden.
4. TC verlangt von dir eien Rescue Disk zu brennen falls du dein OS verschlüsselst. Diese CD darfst du dann unter keinen umständen verlieren, da nur diese eine Rescue CD funzt, also falls du keine hast kannst du keine von einem anderen computer brennen.

[AFU]

So, am Laptop wird gerade alles verschlüsselt, das schaut gut aus.
Habe hier das System:
C:Winxp
D:Win7
E: Daten

Habe jetzt mal C: verschlüsselt, beim Hochfahren kommt pwd. Heißt das jetzt, dass wenn jemand die Festplatte ausbaut, er genauso das Passwort braucht und sonst mit dem Datenträger (C: ) nix anfangen kann?
Wenn ich E: verschlüsseln will, muss ich zwingend einen Container erstellen oder geht das auch ohne?

Problem was ich am StandPC habe ist, dass ich einen alternativen _Bootloader habe, weil gecracked.
Kreuze ich das an, in den Multi Boot Optionen in TC, dann sagt er, er kann das nicht...

[JackThursby]

Jop. C ist unbrauchbar ohne pw.
Kannst dich mit dem dual boot an das hier halten: https://wiki.archlinux.de/title/Dual...ows_einrichten
Das is zwar für linux, funzt aber auch für win

[lettek]

Kann man da auch nur gewisse Ordner crypten?
Oder nur die ganze festplatte

[AFU]

@Sq252: Gleich mal ein Thanks erhalten Du warst ja jetzt lange nicht on, hast du ne PN Benachrichtigung per Mail oder wars Zufall, dass du eben on bist?

Habs jetzt so gemacht:
C: full encrypted
D: Durch das Full Encrypted, hats mir leider den gecrackten Bootloader von Win7 zerschossen, egal. D: formatiert und speicher aufgeteilt.
E: Formatier ich gerade und mach dann da auch für die Daten statt dem Container eine komplett encryted Partition, die ich dann gleich automatisch mounten lasse.

Schaut dann nacher so aus:
C: WinXp encrypted
E: Daten encrypted

@UnderGround: Klar, du erstellst einfach einen Container in beliebiger Größte und dann packst du da Dateien rein. Jedes mal, wenn du drauf zugreifen willst, musst halt erstmal TC starten, deine Datei(=Container) einlesen und hast du Zugriff darauf, wie auf ein ganz normales Laufwerk.

[JackThursby]

Oder die zweite Festplatte komplett crypten und eine Batch Datei mit Mount Befehl in den Autostart
Bei Full System Encryption ist es relativ unproblematisch die Datei mit PW so im Klartext abzulegen
:

Code:

@echo off
title TC Mount
:Start
"C:\Program Files\TrueCrypt\TrueCrypt.exe" /q /v \Device\Harddisk1\Partition1 /l m /keyfile "Deine Keyfile" /password "Dein PW"
exit /B

Das Script is für Keyfile und PW. Falls du nur ne KF oder nur n PW nutzt, musst du die entsprechenden Parameter streichen Parameter für Harddisk und Partition nicht vergessen ebenfalls anzupassen.
Das ganze hab ich auch iwo für Linux...

Code:

#!/bin/bash
sudo truecrypt /dev/sdx1 -p "dein Password" -k "/pfad/zu/deiner/Keyfile" --slot=1

Natürlich auch dieses anpassen