Systemverschlüsselung mit TrueCrypt – spiegeln der Festplatte möglich?
von caschy | 32 Kommentare
In den Kommentaren zum Artikel der sich mit Drive Snapshot beschäftigte stellte Mike die Frage, ob sich eine mit TrueCrypt verschlüsselte Systempartition spiegeln – und danach auch wiederherstellen ließe. Ja und nein. Liegt das Image der verschlüsselten Systempartition auf einer verschlüsselten Festplatte, so ist “das Thema durch”. Man müsste also das Image einer verschlüsselten Systempartition auf einem unverschlüsselten Laufwerk sichern (der Clou kommt noch). Komplette Festplattenverschlüsselung mit mehreren logischen Partitionen mittels TrueCrypt in einer erweiterten Partition funktioniert eh erst ab Windows Vista.
Meine Faustregel: Laufwerke einzeln verschlüsseln – alternativ nur Systempartition verschlüsseln und die Restpartitionen mit verschlüsselten Containern ausstatten. Wie man seine Systempartition verschlüsselt beschrieb ich ja hier.
Kann man in ein Image einer Systempartition schauen, die mit TrueCrypt verschlüsselt wurde (zum Beispiel mit Drive Snapshot oder Acronis)? Klares ja. Eine verschlüsselte gespiegelte Systempartition ließ sich mit Drive Snapshot als virtuelles Laufwerk einhängen – und sämtliche Inhalte waren unverschlüsselt. Noch einmal zum Mitschreiben:
– Systempartition verschlüsselt
– verschlüsselte Systempartition gespiegelt
– Image der verschlüsselten Systempartition war mit Inhalten lesbar
– Verschlüsselung durch Image ausgehebelt – dumm gelaufen
Wie kann man also seine Systempartition verschlüsseln und zusätzlich sicher spiegeln? Ohne Mehraufwand ist kaum etwas zu machen. Entweder man nutzt zusätzlich die interne Verschlüsselung des jeweiligen Programmes (Drive Snapshot, Acronis und Co) – oder man muss sich einen zusätzlichen Rechner als kleinen Backupserver basteln – der wiederum die Images der anderen PCs in einem verschlüsselten Container bereit hält – welche bei Bedarf über das Netzwerk geschaufelt werden – was zusätzliche Konfiguration und Arbeit bedeutet.
Wer sich jetzt noch wundert warum so wenig Leute verschlüsseln – ihr habt eben die Antwort gelesen.
Mein Fazit: ohne Mikes Frage hätte ich den Umstand gar nicht wahrgenommen. Das Image einer verschlüsselten Partition ist unverschlüsselt. Hausaufgabe für mich: neues Konzept der sicheren Datenverwahrung überlegen.
Wird geladen ...
öhm, du redest aber vom Backup wenn man sich im Betriebssystem befindet und daraus ein Image erstellt und nicht von dem Boot-Image?
Weil ich die Problematik nicht ganz verstehe. Wenn ich Dateien entschlüsselt habe und die sicher, sicher ich die verschlüsselt, sichere ich verschlüsselte Dateien sind die danach auch noch verschlüsselt.
Drum mache ich z.b. inkrementelle Backups von meinen TC-Containern immer so, dass ich sie erst entschlüssel und dann meine verschlüsselte Backupplatte mounte. Dadurch habe ich beide Container/Laufwerk entschlüsselt vorliegen und für das Betriebssystem sind es alles unverschlüsselte Daten. Erst wenn ich das Backup ganz normal gemacht habe und die Container/Laufwerk wieder auswerfe sind sie verschlüsselt.
Also ich würd das ausm Bauch heraus so machen, dass ich das verschlüsselte Volume sichere, indem ich den PC mit einer PE-Start-CD starte (Alternativ natürlich auch Knoppix o.ä.) und die verschlüsselte Partition dann mit Ghost oder einer Software meiner Wahl oder mit einem simplen „dd“ wegsichere. Dann wird beim sichern nix entschlüsselt.
Bin mir aber nicht sicher, ob zB Ghost verschlüsselte Volumes überhaupt erkennt…
@Matze
seh ich auch so. Einziges Problem ist die Grösse des Images, da es genauso gross ist wie die Partition selbst. Aber bei den Plattenpreisen heute für die meisten vertretbar.
@Caschy
das du dich das wundert, wundert mich. Ist doch eigentlich logisch…
Mich hat es aber eben auch verwundert, dass es Caschy verwundert, dass die verschlüsselte Partition unverschlüsselt gespeichert wird 😉
Allerdings ergibt sich bei der angesprochenen Methode wieder ein anderer Nachteil:
Viele wollen mit Zeitplänen arbeiten. Immer den Rechner neu starten, CD rein, Backup laufen lassen, Betriebssystem starten ist schon eine Sache, die nicht jeder will.
Allerdings fällt mir spontan auch keine Möglichkeit ein das Ganze zu umgehen. Die Möglichkeit die genannt wurde (unverschlüsseltes Image auf verschlüsselte Partition) finde ich eigentlich schon gut. Nicht optimal, aber gut.
Hey,
Abhilfe für dein Problem.
Ich würde Easeus Disk Copy V2.0 benutzen.
http://www.easeus.com/disk-copy/
Runterladen -> iso brenne -> von CD Booten
jetzt deine gewünschte Partition/Festplatte spiegeln
rein theoretisch muss die Verschlüsselung erhalten bleiben denn es läuft nicht mit Windows sondern als eigenes Betriebssystem.
@celsius77: Danke für den Link , werde mal schauen. Wenn das Programm funktioniert, würde damit nicht nur mir geholfen sondern etliche andere TrueCrypt Verschlüsseler auch! Aber Problem, ich kann es halt nicht 100% Testen, da ich „NOCH“ Kein Systembackup habe. Wenn das Programm dann nicht zurücksichert, ist mein Vista platt und ich mit den Nerven fertig! Evtl. testet ja jemand anderes, ob es i.V.m. verschlüsselter TC Platte funzt, also sichern der „nur“ Betriebssystem (Vista 32bit Home Premium) Partition und wiederherstellen, das wäre super nett, und ich hätte eine Sorge weniger. Danke
Muss dann bei EASEUS Disk Copy auch Sektor für Sektor gesichert werden?
@lapsi und @souli:
Wo steht denn, dass ich mich wundere? =)
@celsius77: Jau, alternativ eben trotzdem Drive Snapshot oder Acronis. Was man halt mag. Man sollte nur nicht direkt unter Windows spiegeln 😉
Das man trotzdem über die Thematik spricht ist klasse – wer sich mal alle Kommentare zu hier geschriebenen TrueCrypt-Themen durchliest weiss warum 😉
Ich finde ein Link sollte hier auf keinem Fall fehlen!
Die Backup-Anleitung von den TrueCrypt Entwicklern:
http://www.truecrypt.org/docs/?s=how-to-back-up-securely
Einfach ist sicherlich was anderes, aber wer so sichert sollte dafür auf der sicheren Seite sein, und kann dann andere Sicherungsmethoden mit Sicherheit sicher testen. Sicherlich ein Blick wert. 😉
Für mich ist der Denkansatz falsch angesetzt.
Wenn ich eine Platte entschlüssle und ein Backup ziehe, ist das Backup logischerweise auch nicht verschlüsselt.
Mich würde der Ansatz betreffend verschlüsselte Systempartition in einem Raid interessieren, auf die Schnelle hab ich nix gefunden (bin am Arbeiten). Hier noch 2 Links betreffend dem Thema, einmal die offizielle „Lösung“ von Truecrypt und einmal ein Denkansatz eines Users des Truecryptforums.
http://www.truecrypt.org/docs/?s=how-to-back-up-securely
http://forums.truecrypt.org/viewtopic.php?t=12011
Ach ja, mein eigener Senf noch: Für mich fallen Sektoren-weise Backups aus, denn ich möchte häufig nicht das gesamte Backup sondern nur einzelne Ordner wiederherstellen. Das ginge dann ja nicht, oder irre ich mich?
@celsius77: EASEUS Disk Copy 2, funktioniert auch nicht nach Booten, ich kann meine 2 anderen Partitionen (D+E) auf der ich dann das zu sichernde „C“ ablegen will(E=für Backups) nicht auswählen, gleiches bei TrueImage 11+12. Ich verzweifel noch. Bin echt am überlegen alles zu decrypten und dann nicht mehr zu verschlüsseln, denn ein Backup meines Systemes ist mir doch lieber.
Die Links von “ der sich fragende“ sind leider alle in Englisch= Amtssprache Deutsch
@Mike
Wenn Du die anderen Partitionen, auf welche Du sichern willst, auch verschlüsselt hast, ist es doch logisch, das diese vom einem Backupprogramm nicht gesehen werden. Woher sollen diese Programme denn wissen, das und welche Verschlüsselung vorhanden ist.
Gruß Rainer
Mein Ansatz ist, alle relevanten Daten auf eine seperate, mit TrueCrypt verschlüsselte Partition zu spielen. Dafür muss man natürlich auch sämtliche Programme so konfigurieren.
Die Systempartition bleibt unverschlüsselt, da sie ja keine Daten mehr enthält. Von dieser kann man dann ganz normal ein Image ziehen.
Die Daten der verschlüsselten Partition sichere ich mit einem normalen Backup Programm auf eine externe USB-Festplatte, die ebenfalls mit TrueCrypt verschlüsselt ist.
@Andiministrator: Dir ist schon klar, dass das sehr unsicher sein kann? Auf der Systempartition werden dann nämlich eine MENGE der Daten, die vermeintlich sicher verschlüsselt sind, unverschlüsselt gespeichert.
Stichworte: Temporäre Dateien, Profil-Dateien, Cache, Systemwiederherstellung, Virtueller Speicher (!), … Da können sich eine Menge Daten und ganze Dateien ansammeln.
Theoretisch könnte es vielleicht möglich sein, deine Methode sicher zu machen, aber der Aufwand ist immens: Man müsste beim Herunterfahren alle oben genannten Daten ausfindig machen und wipen (nicht nur löschen).
Ich kann das nicht empfehlen, höchstens wenn es nur um einen Schutz vor unqualifizierten Mitbenutzern des Computer geht.
@atreiu: Sicher sollte man abwägen, wie vertraulich die Daten sind. Passwörter, etc. liegen bei mir extra noch einmal in einem Passwortsafe. Andere Daten sind bei mir nun nicht so sensibel. Bei sehr vertraulichen Daten hast Du natürlich recht, dann sollte diese Methode nur von einem erfahrenen Benutzer angewandt werden, der weiß, wie man Profil-Daten, Schatten-Kopien, Systemwiederherstellung, etc. umgehen kann.
@RainerM: Zur Kenntnis, ich habe von dieser ganzen Materie keine Ahnung, drum meine ganzen Anmerkungen und Fragen. Es ist mir auch ehrlich gesagt zu kompliziert und umständlich über 10 Umwege ein verschlüsseltes System 1:1 zu sichern. Ich bin am Überlegen ob ich Rohos Logon Key mal teste
In diesem zusammenhang hab ich mich gefragt: Ich habe zwei Platten im Raid 1 (Mirroring). Die eine Platte, welche aktiv nutzbar ist (nur diese sieht man unter Windows, die Spiegelplatte jedoch nicht) habe ich mit TC verschlüsselt. Da es ein Hardware-Raid ist wird pausenlos der Datenbestand abgeglichen. Werden denn die Daten ver verschlüsselten Festplatte auf die andere „verschlüsselt“ gespiegelt oder liegen die dort in Klartext vor? (Sprich man könnte einfach die Mirror-Platte ausbauen und hat alle Daten unverschlüsselt).
Nutze Vista Ultimate x64
Caschy hat doch die Lösung schon angedeutet:
Systemsicherungen (z.B. mit Acronis) passwort-geschützt durchführen.
So ist es absolut unmöglich Inhalte der Sicherung einzusehen, genau, wie wenn die verschlüsselte Partition verschlüsselt gesichert worden wäre.
Denn wer die Verschlüsselung macht (Acronis oder TrueCrypt) ist doch egal
Ich hab mir heute mal wieder nach gute nem halben Jahr TC geschnappt und wollte es nochmal testen. Ein Freund wollte per se seine Daten schützen und so kam er dann auch vorbei.
Jeder Versuch, den wir gestartet haben, endete mit der Meldung: „Die Sperre des Segments ist bereits aufgehoben.“ Egal was ich getan habe, die Platte in verschiedene Größen eingeteilt, andere Dateisysteme versucht, etliche male neu formatiert. Aber ich erhalte immer und immer wieder diese besch. Meldung.
Im Netz bin ich auf ähnliche Probleme gestossen, aber auch ohne Lösung.
Könnte hier jemand etwas wissen?
Ich nutze TC 6.0a und ein Windows XP Pro.
EDIT:
Ich habe noch folgendes in der Ereignisanzeige stehen:
Ereignistyp: Fehler
Ereignisquelle: Disk
Ereigniskategorie: Keine
Ereigniskennung: 11
Datum: 02.10.2008
Beschreibung:
Der Treiber hat einen Controllerfehler auf DeviceHarddisk2D gefunden.
Einfach mit der Acronis-CD booten und die verschlüsselte Partition als Datei sichern. In der Datei selber steht dann nur verschlüsseltes Kauderwelsch, mit dem niemand was anfagen kann. Kann sein, dass Acronis rummeckert, weil kein Dateisystem drauf ist (was von da aus ja auch so aussieht). Komprimieren sollte man das ganze auch nicht, erstens wirds nicht wirklich keiner, braucht aber extrem Rechenleistung.