Die Systempartition komplett verschlüsseln
von caschy | 64 Kommentare
Es gibt mehrere Gründe seine Festplatte zu verschlüsseln. Geheimhaltungswürdige Dokumente, Fotos und Videos könnten das zum Beispiel sein. Wer in Ruhe arbeiten möchte und keine Angst haben will, dass seine Daten eingesehen werden, der verschlüsselt gleich die komplette Systempartition. Die Verschlüsselung der Systempartition ist natürlich nur sinnvoll, wenn sich auf dieser auch zusätzlich die schützenswerten Daten befinden. Wie man seine seine Festplatte (die Systempartition) mit TrueCrypt verschlüsselt, wird hier in wenigen Schritten – dafür mit vielen Bildern – für jeden nachvollziehbar erklärt.
Der erste Schritt zu unserem verschlüsselten Betriebssystem ist die Installation von TrueCrypt. Zum Zeitpunkt dieses Beitrags ist die Version 6.0a aktuell. Ladet es euch herunter und installiert es. Falls ihr nicht mit merkwürdigen Problemen kämpfen wollt, dann deaktiviert die Option “Disable Windows Paging Files”.
Startet nun TrueCrypt und wählt unter System den Punkt Encrypt System Partition aus.
Im nächsten Punkt wählt ihr Normal aus. Der Punkt Hidden mag interessant wirken, doch dafür ist Vorarbeit notwendig, die in einem anderem Beitrag beleuchtet wird.
Nun könnt ihr auswählen, ob das komplette Laufwerk oder nur die Systempartition verschlüsselt werden soll. Wer zum Beispiel eine Festplatte mit zwei Partitionen hat kann so auswählen ob nur C:\ oder auch die andere Partition verschlüsselt werden soll. Hier im Beispiel wähle ich nur die Partition mit dem Betriebssystem.
Gerade Besitzer eines Notebooks mit Recoverypartition sollten nun aufpassen – im nächsten Schritt wird abgefragt, ob diese auch verschlüsselt werden soll. Faustregel: hast du keine CD und keine Ahnung, dann wähle NO aus. So bleibt deine Recoverypartition und ähnliches unangetastet.
Sofern du mehr als ein Betriebssystem auf deinem Rechenknecht installiert hast, solltest du dir den nächsten Punkt anschauen – hier wird abgefragt, was zu tun ist.
Wir gehen hier von einem Betriebssystem aus und begeben uns zum nächsten Punkt – dem Verschlüsselungsalgorithmus. Wer mehr über die auszuwählenden Algorithmen wissen möchte sucht die Wissensdatenbank seiner Wahl auf.
Dein Passwort. Logisch – lang genug und nicht leicht zu erraten.
Die Rettungs-CD. TrueCrypt fordert dich nun auf, eine Rettungs-CD zu brennen. Erst wenn du diese gebrannt hast und durch TrueCrypt hast verifizieren lassen, kannst du zum nächsten Schritt gelangen.
Nachdem also sichergestellt wurde dass deine Rettungs-CD existiert kannst du dir nun aussuchen, wie der alte Speicherplatz überschrieben wird. Man muss sich das bildlich vorstellen. TrueCrypt packt deine Daten, die bisher verstreut herumliegen alle in einen Karton und verwischt alle Spuren. Entscheide selber wie sensibel deine Daten sind.
Der Testlauf. TrueCrypt übernimmt jetzt die Macht über den Bootloader und testet dies natürlich vorab.
Log dich mit deinem Passwort ein.
TrueCrypt hat also alles getestet und nun ist dein System bereit zur Verschlüsselung. Je nach Datenmenge und Verschlüsselungsgrad kann dies lange Zeit dauern.
Nach erfolgter Verschlüsselung gibt TrueCrypt die Erfolgsmeldung aus.
Gratulation. Deine Systempartition ist nun verschlüsselt. Bei jedem Start des Computers muss erst das Passwort eingegeben werden. Deine Daten sind sicher.
Viel Spass. Wer mehr über TrueCrypt wissen möchte, der schaut sich einfach die Beiträge an, in denen TrueCrypt hier im Blog erwähnt wurde.
Wird geladen ...
Was mir bei TC noch irgendwie fehlt ist die Funktion, die Sys-Partition zu verschlüssel und beliebige andere Partitionen, die dann vor dem Windows Start automatisch gemountet werden.
Das geht bei TC glaube ich nur mit primärpartitionen
Vor dem Windows-Start geht das nicht. Wie ich weiter oben schon schrieb – TrueCrypt start erst, wenn ein Benutzer am System angemeldet ist. Ist der Anmeldevorgang abgeschlossen, startet TrueCrypt. Danach lassen sich andere Partitionen automatisch mounten. Darum ja mein Tipp (siehe oben :D) die gesamte Festplatte zu verschlüsseln. Alle darauf angelegten Partitionen (via Datenträgerverwaltung von Windows) sind dann (man korrigiere mich eines besseren) automatisch auch verschlüsselt, und brauchen nicht extra gemountet zu werden.
Das Problem ist nur, dass ich genau eine Partition eben nicht verschlüsselt haben möchte…
evt ringe ich Faultier mich irgendwann mal doch dazu rum, diese eine Partition auch zu verschlüsseln, dann ist Ruhe und ich kann mir meinen Lappi ruhigen gewissens Klauen lassen 😉
@caschy:
Danke für das kurze Truecrypt Tutorial!
Hast Du zufällig schon einmal xB Machine getestet?
Ich glaube das wäre Mal einen Beitrag wert.
LG
@phil: ja, habe ich. Ist nix anderes als Firefox und Tor. Gibt es auch mit Opera. Kam mit vor wie in Zeiten des 14.4er-Modems.
Danke für die Anleitung und die vielen Bildchen! 😉
Was mach ich denn, wenn ich ein Dual-Boot System einsetze:
http://j-sys.de/index.php/2008/07/16/dual-boot-system-mit-xp-und-vista
Ich hab leider grad keinen Spielrechner zum Ausprobieren und mein Produktivsystem wollt ich nun net grad zum Testen hernehmen.
@caschy:
xB Machine soll ein einziges portables, auf Linux basierendes Betriebssystem sein.
xB Browser (früher TorPark) ist nur ein Browser. Dieser ist, wie Du gesagt hast, ohne zu zahlen leider extrem lahm.
Mhh, ein System, was von einer CD bootet, auf Linux basiert – und 362 Megabyte wiegt. Da kann ich ja fast jede Live-CD nehmen.
Ich bin gerade auf das hier gestoßen (habe mir jetzt nicht die Mühe gemacht, im Netz danach zu suchen):
Guckst du
So viel zum Thema Sicherheit. Für Daheim mag’s ja noch reichen, aber wenn man das sieht…
Schöne Grüße
Joni
Hallo,
ich möchte ja nicht drängen, nur mal fragen, wann es ungefähr die Anleitung für das hidden operating system gibt.
Ich habe nämlich schon mal damit angefangen und hänge an einem Problem fest.
Danke schon mal im voraus.
Hallo,
kann ich die Systemverschlüsselung getrost anwenden, wenn ich ein „installiertes und eingerichtetes“ System habe? Sprich alle Pgramme, Einstellungen etc pp. vorgenommen habe und dann nur die Festplatte verschlüssele? Formatiert wird diese doch nicht? Bzw. was hat es mit dem wipe-mode auf sich?
Danke.
@Klaus:
Backup ist vor der Verschlüsselung immer ratsam, aber ja, dein komplettes System, so wie du es eingerichtet hast, wird verschlüsselt und sollte dann sofort wie gewohnt funktionieren. Bei mir hat es einwandfrei geklappt.
Man kann die Verschlüsselung auch jederzeit pausieren, Computer neustarten, fortsetzten, alles kein Problem. (Trotzdem: besser Backup machen!)
Beim Wipe-Modus kannst du quasi einstellen, wie sehr das ursprüngliche, unverschlüsselte System noch „durchscheint“: Theoretisch kann ohne Wipe dein System (im Zustand in dem es sich vor der Verschlüsselung befunden hat) wiederhergestellt werden, ohne die Verschlüsselung umgehen zu müssen. Praktisch ist diese Wiederherstellung aber so aufwendig (teuer), dass du getrost auf Wipe verzichten kannst. Das Verschlüsseln geht dann auch viel(!) schneller…
Danke atreiu.
Ich habe vor, meine komplette Festplatte und nciht nur die Systempartition zu verschlüsseln. Auf der Festplatte sind laut Datenträgerverwaltung drei Partitionen, wovon eine C samt Windows ist und eine D für Programme. Dann ist da noch ein unpartitionierter Bereich mit 133 MB Fehlerfrei (EISA-Konfiguration) – was könnte das sein? (Ist ein Dell Notebook). Ist das so eine Host Protected Area, wo ich auf „No“ klicken sollte (siehe oben das Bild im Artikel) oder kann ich fröhlich verschlüsseln?
Danke.
@Joni:
Cold Boot Attacs: Don’t Panic
http://secude.com/htm/801/en/White_Paper%3A_Cold_Boot_Attacks.htm
@Klaus: ich weiß natürlich auch nicht, was das für freier Bereich sein könnte und kann dir dabei nicht helfen. Wenn du eine Möglichkeit hast, die komplette Festplatte vorher zu sichern, würde ich an deiner Stelle es einfach mal ausprobieren, dann kannst du ja nur ein bisschen Zeit verlieren.
Wenn du allerdings nicht alles sichern kannst (zuwenig externer Speicherplatz oder kein Vertrauen in deine „Sicherungskünste“ 😉 ), dann würde ich erstmal versuchen rauszubekommen, was für eine Partition das ist. Vielleicht steht im Handbuch was über eine „Recovery-Funktion“ oder so? Aber 133MB ist dafür fast ein bisschen klein… Ich schätze mal du müsstest dir dann jemanden suchen, der dir vor Ort helfen kann.
Also die EISA-Konfiguration ist im Normallfall das komplette CD/DVD Image des Betriebssystem oder sie dient zum erstellen einer Recovery CD oder beinhaltet Systemdiagnose-Tools. Meine EISA-Konfiguration ist jedoch 133 MB groß, wvon 133MB frei sind !? Soll ich denn jetzt bei „Host Protected Area“ Yes oder No klicken?
Nochmal: ich weiß es leider nicht 😀
Müsste ich raten, würde ich „No“ sagen.
Hallo,
ich habe mir ein Netbook zugelegt und möchte nun von Anfang an auf Verschlüsselung setzen. Beim Durcharbeiten dieses Beitrages bin ich gleich auf ein Problem gestoßen, was ich nicht auf Anhieb lösen kann: Es wird verlangt, das iso auf CD zu brennen – nur hat mein Netbook natürlich keins. Wie kann ich mit truecrypt trotzdem meine Systempartition verschlüssen?
danke.
foxo
@foxo:
ISO zum überprüfen per ISO-Software mounten.
Hallo
Was ist wenn man nur die Systempartition verschlüsselt und dann immer mehr Daten in meinem Fall in C verschiebt.
Werden die automatisch mitverschlüsselt ?