Portable BitLocker vs. TrueCrypt
von caschy | 26 Kommentare
Tjoa, da habe ich ja nun die Ultimate-Variante von Windows 7 auf meinem PC laufen. In eben jenem Windows 7 ist auch die Möglichkeit enthalten, USB-Sticks direkt per BitLocker zu verschlüsseln (nennt sich BitLocker To Go). Doch wie funktioniert das Ganze überhaupt und vor allem: wie schlägt es sich im Vergleich zu TrueCrypt?
Die Einrichtung geht schon einmal einfacher von der Hand, als mit TrueCrypt. Dies liegt allerdings sicherlich daran, dass BitLocker integraler Bestandteil des Systems ist.
Per Rechtsklick wird einfach per Konextmenü die Verschlüsselung aktiviert. Die Vorgehensweise ist eigentlich selbst erklärend, sodass die Screenshots eigentlich keiner weiteren Erklärung bedürfen.
Nun zu meinem Fazit: BitLocker ist eine tolle Sache für Leute, die es einfach mögen. Wer nur einen PC hat, der ist damit sogar mehr als gut bedient. Der große Nachteil ist allerdings, dass der verschlüsselte USB-Stick nur unter Windows genutzt werden kann. Während man unter Windows 7 vollen Zugriff hat (lesen /schreiben), muss man unter XP oder Vista auf das Schreibrecht verzichten. Nur lesen ist möglich. Eigentlich schade dass Microsoft hier nicht per automatischen Updates die Schreibfunktion nachrüstet. Allerdings muss man BitLocker To Go zugute halten, dass zum Entsperren des USB-Sticks keine Administratorrechte benötigt werden. Auch muss beachtet werden, dass keine Container angelegt werden können wie bei TrueCrypt. BitLocker To Go verschlüsselt das komplette Laufwerk. Letztendlich heißt es (zumindest bei mir) immer noch TrueCrypt. Oder nutzt von euch jemand BitLocker?
Wird geladen ...
gibt es bei truecrypt nicht momentan ne sicherheitslücke die es einem ganz leicht ermöglichen soll an die verschlüsselten daten zu kommen? bin der meinung da letztens was mitbekommen zu haben..
Nö. Dazu muss physikalischer Zugriff auf den PC bestehen und / oder eine Datei ausgeführt werden. Leider kann man momentan auch keine Container unter Snow Leopard erstellen, das ist viel schlimmer.
Ich bin auch TC User… auch wegen der Container! Ich will doch nicht meinen ganzen USB Stick sicher/langsam haben, sondern nur ein paar Dateien die keine was angehen!
Auch überzeugter TC User. Der Opensource Gedanke gibt mir Sicherheit, bei BL weiß man nicht, was noch unter der Haube steckt 😉
Wo haste denn das Windows her?
Von einem MVP bekommen.
Ich nutze ja auch Win7 RC1, respektive Ultimate, respektive zukünftig W7 Ultimate SB. Allerdings wegen der Möglichkeit das BS als VHD anzulegen. Ich brauche weder TC noch Bitlocker. Für die wenigen wichtigen Daten nutze ich Locknote. Und ich kann sagen, dass das meine mehr als reduntant gesicherten Daten sind. Verlust oder unbefugte Nutzung wäre katastrophal. Locknote ist allerdings nur eine auf das nötigste reduzierte Textdatei.
D.h. du installierst dein 7 in eine VHD auf der Platte?
@caschy
Ja, ganz recht. Ich habe nach dem Erscheinen des RC1 nach einer Möglichkeit gesucht das parallel zu XP laufen zu lassen. VirtualBox war noch nicht soweit, als das man es hätte anständig zum Laufen bringen können, z. b. kein Ton. Also habe ich weiter gesucht und bin auf dieses Tutorial gestoßen. Seit dem habe ich verschiedenste Möglichkeiten einer Installation als VHD getestet. Und ich bin mehr als zufrieden damit. Die VHDs können wahllos gesichert, kopiert, getauscht und sonst was werden. Es könnte sogar die Installation auf eine externe HDD möglich sein, das muss ich noch probieren.
Letztendlich ist XP runtergeflogen, Win7 läuft allein auf VHD und vor zwei Stunden habe ich eine gesicherte VHD nach der (erfolglosen) Erprobung verschiedener Nero Versionen nach Löschung der damit belasteten auf c: kopiert. Das war nicht das erste Mal und es funktioniert sehr gut. Natürlich -und/oder/oder auch nicht leider- nur extern. Dafür nutze ich Puppy-Linux, sonst hat man keinen solchen Zugriff auf eine VHD.
@Lutz
Hm, OpenSource ist ein dehnbarer Begriff. 😉 Hast du schon mal versucht, in den Source-Code von TC hineinzusehen, also so, wie es üblich wäre? Ein auf ein SVN zuzugreifen? Wie gesagt, OpenSource ist ein dehnbarer Begriff. Ansonsten nutze ich TrueCrypt auch, neben KeepPass (auch open-Source), und für die ganz harten Sachen verschlüssle ich die Daten dann noch mal selber. Ganz paranoid. lol
Weder Bitlocker (habe 7 wieder runtergeworfen wegen Fehlern in der Vmware Netzwerkunterstützung) noch Truecrypt. Wahrscheinlich bin ich der einzige in diesem Blog, der Diskcryptor nutzt. Es ist einfach ruckzuck installiert und läuft zumindest unter Win Xp bis Win 7 wunderbar. Für Sachen auf dem Stick reicht ein rar/7zip Archiv mit Passwort. Und wenn es etwas sensibler ist, dann wird die Datei noch durch eine selbstgeschriebenen crypter gezogen (RIPEMD-160 mit XTEA im OFB-Modus).
Muss das nicht Schreibfunktion lauten?
Bitlocker ist aber Ultimate und Enterprise vorenthalten, was den Nutzen schon wieder sehr weit eingrenzt, Unis kriegen nur Pro, Firmen werden wohl auch eher zu Pro tendieren schätze ich mal und somit bleibt das 2go nur für ein paar wenige interessant….
Hi mich interessiert die Option wie man mit Bitlocker Win7 komplett die Startpartition C: per Key (ohne Stick) verschlüsselt..
dies war mit Vista nicht der Fall, aber mit Win7 soll es gehen ..
@Fornax: mal gelesen und verstanden – oder nur mal eben schnell hier nen Link rein gehauen? 😉
Ich lasse TrueCrypt auf meinen Sticks immer per Autorun einen Container einbinden. Problem bei Vista war, mit aktiver Benutzerkontensteuerung wurde der TrueCrypt Container als readonly eingebunden. Hat man die TrueCrypt.exe so konfiguriert, dass sie mit Administratorrechten ausgeführt wird, war zwar eine weitere Bestätigung notwendig, doch hatte man danach wenigstens Schreibrecht im Container. Unter 7 hat mir der Trick nicht mehr geholfen. Da wird die TrueCrypt.exe einfach nicht mehr gestartet und ich muss mühsam den Container selber einbinden.
Hat jemand eine Lösung dafür?
@Fornax
Daß das „Bootkit“ die Verschlüsselung von Truecrypt aushebelt ist absoluter Quatsch. Zur Installation benötigt man physikalischen Zugang zum Rechner. Und falls jemand anderes als DU Zugang zu deinem Rechner hat, ist das Ding verbrannte Erde. Dann kann man auch einfach einen Hardware-Keylogger dranklemmen und hat auch das Truecrypt-Passwort. Leider hat der Ösi, der das besagte Bootkit programmiert hat, dieses Problem auch nicht verstanden. In manchen „Fachmagazinen“ wird wegen des Bootkits nun Truecrypt als unsicher dargestellt. Schwachsinn…
Ach, Diskcryptor kann seinen Bootloader auf einen USB-Stick installieren… Dann bootet man einfach von USB-Stick seine Festplatte und hat zumindest keine Bootkit-Problem 😉
Truecrypt ist mir unersetzlich, weil ich es mit einer verschlüsselten Partition unter Linux und Windows nutze. Dabei ist mir neben der Verschlüsselung auch wichtig, Dateien zwischen den Systemen auszutauschen, bzw. für Programme zu nutzen, die auf beiden Plattformen laufen. Es gibt z.Z. wohl immer noch keinen Treiber zum Zugriff von Windows auf ext4-Dateisysteme.
Andere Möglichkeiten, wie USB-Stick oder WebDAV kommen auch zum Einsatz, sind aber für große Dateien zu langsam.
@Jack:
Du kannst die Verknüpfung im Autostart durch einen geplanten Task mit adminrechten ersetzen, der als Auslöser „Benutzeranmeldung“ benutzt 😉
Desweiteren fällt die Frage nach Adminrechten beim start weg wenn du truecrypt ganz normal installierst (und dabei für die Sicherheit der Treiber mit deinen Adminrechten bürgst, die dann bis zur nächsten Änderung der Treiber für diese weiter gelten…)
@Fornax:
Das lässt sich mit einem Safe vergleichen:
Wenn du deine sachen in einem noch so sicherem Safe versteckst nützt dir das nichts wenn jemand eine kamera in den Raum stellt und dir beim eingeben der Kombination zuguckt…
Die Truecrypt-Container sind mehrfach gesichert und alleine das generieren der Passphrasen (3 stück) aus dem eingegebenen Passwort benötigt mehr als 20000 einzelne berechnungen. Nachdem die Passphrasen mit allen bekannten Methoden generiert wurden, werden sie eine nach der anderen zum entschlüsseln des headers eingesetzt, bis das magic byte UND die prüfsummen stimmen oder klar ist dass das PW nicht stimmt.
Erst danach werden mit der nun bekannten richtigen Passphrase und den entschlüsselten Daten aus dem header sowie dem ursprünglich eingegebenem Passwort die nötigen daten erstellt und algorithmen gewählt, um das volume zu entschlüsseln. Dieses System ist an sich völlig sicher und durch die vielfältige und rechenintensive erstellung und neuberechnung der passphrasen durch algorithmus-konkatenation nicht einmal durch bruteforcing in annehmbarer Zeit (<10.000 Jahre) zu lösen.
@Cashy:
TC ist das Tool der Wahl 😉
@Eric
TrueCrypt ist bei mir auf allen Rechnern installiert, aber nicht immer im gleichen Verzeichnis. Das heißt im Autorun-Eintrag am Stick wird die EXE nicht lokal gestartet sondern im Portable-Verzeichnis am Stick. Diese installiert dann auch den Treiber neu, auch wenn dieser schon vorhanden wäre.