Die Systempartition komplett verschlüsseln
von caschy | 64 Kommentare
Es gibt mehrere Gründe seine Festplatte zu verschlüsseln. Geheimhaltungswürdige Dokumente, Fotos und Videos könnten das zum Beispiel sein. Wer in Ruhe arbeiten möchte und keine Angst haben will, dass seine Daten eingesehen werden, der verschlüsselt gleich die komplette Systempartition. Die Verschlüsselung der Systempartition ist natürlich nur sinnvoll, wenn sich auf dieser auch zusätzlich die schützenswerten Daten befinden. Wie man seine seine Festplatte (die Systempartition) mit TrueCrypt verschlüsselt, wird hier in wenigen Schritten – dafür mit vielen Bildern – für jeden nachvollziehbar erklärt.
Der erste Schritt zu unserem verschlüsselten Betriebssystem ist die Installation von TrueCrypt. Zum Zeitpunkt dieses Beitrags ist die Version 6.0a aktuell. Ladet es euch herunter und installiert es. Falls ihr nicht mit merkwürdigen Problemen kämpfen wollt, dann deaktiviert die Option “Disable Windows Paging Files”.
Startet nun TrueCrypt und wählt unter System den Punkt Encrypt System Partition aus.
Im nächsten Punkt wählt ihr Normal aus. Der Punkt Hidden mag interessant wirken, doch dafür ist Vorarbeit notwendig, die in einem anderem Beitrag beleuchtet wird.
Nun könnt ihr auswählen, ob das komplette Laufwerk oder nur die Systempartition verschlüsselt werden soll. Wer zum Beispiel eine Festplatte mit zwei Partitionen hat kann so auswählen ob nur C:\ oder auch die andere Partition verschlüsselt werden soll. Hier im Beispiel wähle ich nur die Partition mit dem Betriebssystem.
Gerade Besitzer eines Notebooks mit Recoverypartition sollten nun aufpassen – im nächsten Schritt wird abgefragt, ob diese auch verschlüsselt werden soll. Faustregel: hast du keine CD und keine Ahnung, dann wähle NO aus. So bleibt deine Recoverypartition und ähnliches unangetastet.
Sofern du mehr als ein Betriebssystem auf deinem Rechenknecht installiert hast, solltest du dir den nächsten Punkt anschauen – hier wird abgefragt, was zu tun ist.
Wir gehen hier von einem Betriebssystem aus und begeben uns zum nächsten Punkt – dem Verschlüsselungsalgorithmus. Wer mehr über die auszuwählenden Algorithmen wissen möchte sucht die Wissensdatenbank seiner Wahl auf.
Dein Passwort. Logisch – lang genug und nicht leicht zu erraten.
Die Rettungs-CD. TrueCrypt fordert dich nun auf, eine Rettungs-CD zu brennen. Erst wenn du diese gebrannt hast und durch TrueCrypt hast verifizieren lassen, kannst du zum nächsten Schritt gelangen.
Nachdem also sichergestellt wurde dass deine Rettungs-CD existiert kannst du dir nun aussuchen, wie der alte Speicherplatz überschrieben wird. Man muss sich das bildlich vorstellen. TrueCrypt packt deine Daten, die bisher verstreut herumliegen alle in einen Karton und verwischt alle Spuren. Entscheide selber wie sensibel deine Daten sind.
Der Testlauf. TrueCrypt übernimmt jetzt die Macht über den Bootloader und testet dies natürlich vorab.
Log dich mit deinem Passwort ein.
TrueCrypt hat also alles getestet und nun ist dein System bereit zur Verschlüsselung. Je nach Datenmenge und Verschlüsselungsgrad kann dies lange Zeit dauern.
Nach erfolgter Verschlüsselung gibt TrueCrypt die Erfolgsmeldung aus.
Gratulation. Deine Systempartition ist nun verschlüsselt. Bei jedem Start des Computers muss erst das Passwort eingegeben werden. Deine Daten sind sicher.
Viel Spass. Wer mehr über TrueCrypt wissen möchte, der schaut sich einfach die Beiträge an, in denen TrueCrypt hier im Blog erwähnt wurde.
Wird geladen ...
Hallo Caschy,
ich bin dabei nach Deiner Anleitung die Systempartion zu verschlüsseln; ich hänge an dem Punkt: Rescue Disc erstellen.
Das TrueCrypt erstellt mir eine TRD-Datei mit 1.792 kb, das ist aber doch nicht die Rescue-Disc. Wie kann ich die Rescue-Dist erstellen?
Also ich bekomme eine Iso-Datei, du nicht? Kurios…
Fein, dass Du online bist:-)
vielleicht habe ich irgendwas falsch gemacht; an dem Punkt, wo es heisst „Rescue-Disk erstellen“ schreibt er mir nur eine TRD-Datei, sonst nix…
Da entsteht also eine Datei ohne Endung?
ja, genau – und die TRD-Datei hat auch nur 1.792 kb
TRD ist die Rescue-Disk. Wahrscheinlich lässt du dir keine Dateiendungen anzeigen. Brenne das Iso mal mittels Nero oder anderem Programm. Wichtig – nicht die Datei brennen sondern das ISO-File (ich behaupte, dass das bei dir nicht anders ist als bei anderen).
Entschuldige bitte, wenn es sich dumm anhört; welche Endung müsste die TRD-Datei denn haben? Und wie mache ich daraus eine Iso?
TRD.iso. Solltest du am System nix geändert haben, so musst du gar nichts machen. Wirf Nero an und brenn die Datei als Iso. Sollte es tatsächlich keine Iso sein, so wird Nero es dir schon sagen 😉
Nero erkennt die Datei nicht als iso; wenn ich die Datei in TRD.iso umbenenne ist es eine rar-file
Ich habs hinbekommen; die Datei-endung .ISO musste nur grossgeschrieben werden; ist jetzt mit Nero gebrannt u. von TrueCrypt „successfully veryfied“- Vielen Dank anyway.
Hey bin das erste mal hier – ein freund und regelmäßiger blog-leser
hat mich auf diese seite hier aufmerksam gemacht.
kann mir jemand sagen, ob ich beim verschlüsseln von ganzen laufwerken mit mehreren partitionen irgendwas beachten muss?
zb. ob meine systempartition oder die datenpartition eine logische/primäre/ etc partition sein muss?
such schon seit wochen im web und find nichts
danke
@Daniel
Ja
1.) Nimm eine Trennung vor von Datentresor und Systempartition auf einem Laufwerk (HDD o. SSD).
2.) Die kleine Systempartition (Primäre Partition / NTFS) (max. 30 GB) verschlüsselst Du mit Pre-Boot Authentication in True-Crypt. Verwende ein Passwort mit über 16 Zeichen, weil die Forensik das Auslesen vom Tastaturpuffer als Angriff wiederentdeckt hat.
3.) Der Rest der Platte (Logisches Laufwerk / RAW) verschlüsselst Du mit TrueCrypt als Partition (nicht Container!) mit einem Passwort und Keyfiles. Doppelter Schutz – bombensicher gegen Forensik vorausgesetzt es gibt keine TrueCrypt Hintertür (nichts bekannt) oder Masterpasswort (nichts bekannt) für Behörden.
Achtung! Seit Dezember 2008 darf per Gesetz die deutsche Polizei direkt über Deinem Monitor in Deiner Wohnung heimlich eine versteckte Kamera installieren. Das ist leider 2009 zulässig.
Keyfiles – warum Passwort und Keyfiles beim Datentresor? Keyfiles besiegt unzählige Attacken.:
a.) Beobachten des Monitors sinnlos. Keine Passworteingabe in irgendwelche Felder / Boxen / Formulare.
b.) Keylogger / Tastaturpuffer – Keyfiles haben nichts mit der Tastatur zu tun. Keine einzige Taste wird gedrückt.
c.) Cold Boot erschwert – Info über Google.
d.) Sämtliche Arten von Brute-Force Attacken unwirksam.
Und, und, und …
4.) Keyfile ausserhalb auf nen USB Stick speichern. Nicht auf einen Server legen. Nicht Key oder Keyfile benennen.
5.) TrueCrypt bietet an den Pre-Boot Anmeldetext verändern zu können. Mach das!: BOOT DISK FAILURE
Das wars – keine Chance für FTK, Sleuth KIT, Encase, X-Ways, DeepSpar usw.
6.) Frustrationserhöhung für die Forensik indem Du nochmals im Datentresor verschlüsselte .7z Archive anlegst.
😉
@TrackBack
Hey super danke! g
Nur zur ursprünglichzen Frage: Ist es egal ob die Datenpartition eine erweiterte oder logische Partition ist.
Ich will nämlich nicht alle Daten auf meiner Datenpartitio nverlieren, wenn ich mit Truecrypt die gesamte HDD mit pre-boot authentification verschlüssel. (Das kann man ja unter dem Punkt „systempartition/laufwerk verschlüsseln“ als zweiten schritt auswählen.
Verschlüsselt TC also im nachhinein die beiden Partitionen und beide partitionen werden durch preboot-passwort entschlüsselt? ohne datenverlust?
Hat mir sehr geholfen danke.
@Daniel
A.) Wie willst Du mit einer erweiterten Partition arbeiten? Sobald NTFS, FAT32 als Dateisystem funktionieren soll wird es zwangsläufig als logisches Laufwerk von XP, Vista, WIN7 eingebunden.
B.) Du baust nach meiner Kurz-Anleitung zuerst eine verschlüsselte Systempartition mit Pre-Boot auf und erst danach einen Datentresor (Rest der Festplatte) als Volume auf Partitionsbasis mit einem Passwort und Keyfiles.
Die Forensik kann nicht erkennen, dass Dein logisches Laufwerk ein TrueCrypt Volume (Partition – kein Container) ist. Sie entdeckt aber die vollverschlüsselte Systempartiton mit Pre-Boot. Ist diese umgangen oder „geknackt“ oder das Passwort eingetippt ist der Datentresor nicht eingebunden und bleibt geschützt.
Der Datentresor hat hier kein Pre-Boot und kann von der Forensik 1:1 (Image) kopiert werden. Damit anfangen können sie nichts ohne Passwort und Keyfile (Doppelschutz).
C.) Datenverlust – den Standard kennst Du. Immer ein Backup irgendwo aufbewahren. USB Stick? Tipp: Auch den USB Stick als Partitions-Volume und nicht als mobiles Container-Volume aufbauen.
Tipp: gibt allgemein Probleme mit Hidden Volumes – lass es – konzentrier Dich lieber auf das Thema Keyfiles.
D:) Entdecken sie Dein Passwort brauchen sie noch Dein Keyfile – haben sie Dein Keyfile brauchen sie noch das Passwort. Das Eine sichert das Andere. Egal welche Software – nimm alles, was beide Techniken zusammen verwenden kann – manuelle Eingabe (Passswort) + Keyfiles.
🙂
@TrackBack:
Danke für deine ausfürhliche Antwort.
Ich habe vor, meines Systempartition zusammen mit meiner Datenpartition zu verschlüsseln. Inkl. Keyfile damit es sicher ist.
Mir ist es nämlich zu umständlich, zweimal das Paawort einzugeben etc…
Ich will, dass nach Eingabe des Passwortes (und Keyfile auf USB-Stick zB. – weiß noch nicht wie das genau geht) alles (Boot inkl Daten) entschlüsselt sind.
Dazu möchte ich die Methode in TrueCrypt verwenden:
„Systempartition verschlüsseln“ dann „gesamtes Laufwerk verschlüsseln (nicht NUR systempartition“
Geht das? Und vor allem:
Werden bei der Verschlüsselung meine vorhandenen Daten auf der Datenpartition überschrieben????
Nochmals VIELEN DANK!
ist meine theorie richtig?
z.b.:
die hdd aus PC #1 (500GB win xp truecrypt vollverslüsselung) an PC #2 (1000gb win vista vollverschlüsselung) anzuschließen und von dort aus zu mounten oder umgekehrt?
liebe grüße <3
axel
Suche eine Möglichkeit zwei primäre Partitionen zu verschlüsseln und diese mit einem Bootloader (z.B. http://gag.sourceforge.net/) zu starten. Wenn ich das mit TC versuche ersetzt TC den Bootloader.
Jemand Ideen? Die Partitionen sollten voneinander unabhängig und nicht vom jeweils anderen zugreifbar sein.
Hallo,
ich nutze TrueCrypt seit der Version 4.3. Dabei aber bislang ausschließlich die Container.
Kürzlich habe ich ein Netbook gekauft. Das habe ich so konfiguriert, dass ich die folgenden drei Partitionen habe.
C:\ – SYSTEM (Betriebssystem samt Programme)
D:\ – DATA (persönliche Daten, Schriftstücke, Bilder)
E:\ – MULTIMEDIA (mp3s, Filme, etc.)
Das hätte ich nun gerne so verschlüsselt wie es mein geschäftliches Notebook ist. Boot-Passwort ohne das das System nicht startet. Außerdem ist es aber so, dass bei einem Ausbau der Festplatte diese vollständig geschützt ist.
Wenn ich das System verschlüssele wie oben beschrieben wird das Betriebssystem – wenn ich es richtig verstanden habe – erst gestartet, wenn wie das Passwort vor dem Start richtig eingebe. Soweit so gut.
Aber jetzt meine Frage: Wenn jemand die Festplatte ausbaut und z.B. als sekundäre an einen PC hängt, kann man dann auf die beiden anderen Partitionen zugreifen, oder sind die auch automatisch geschützt? Oder anders gefragt: Ist es mit TrueCrypt möglich – OHNE für alles Container anzulegen!!! – die Festplatte zu schützen wie von mir beschrieben?
Vielen Dank schon mal für eure Hilfe.
Viele Grüße
aus Freiburg
Daniel
Wenn du die Systempartition verschlüsselst, hat das mit den anderen (D,E) nichts zu tun.
Dann ist nur die Systempartition geschützt.
Wenn jemand die Festplatte an einen Rechner als zweite Festplatte anschließt, kann er problemlos auf „Laufwerk D und E“ zugreifen.
Die Partitionen musst du separat verschlüsseln. Dies müssen keine Container sein.
Ist deine Frage damit beantwortet ?