Festplatte verschlüsseln: TrueCrypt und Windows 8
von caschy | 55 Kommentare
Mal wieder etwas aus dem Bereich der HowTos und der Verschlüsselung. Soll ja Leute geben, die ihre Festplatte mit TrueCrypt verschlüsseln. Wer wissen will, wie man TrueCrypt mit Dropbox oder portabel nutzt, der schaut sich unter diesem Beitrag die Linkliste an, hier geht es erst einmal darum, die komplette Festplatte, oder zumindest die Bootpartition von Windows 8 mit TrueCrypt zu verschlüsseln.
Damit dürfte es unmöglich sein, an eure Daten zu kommen, wenn das Gerät mal abhanden kommt. Ich gehe davon aus, dass ihr ein gewisses Vorwissen habt, versuche aber alles so einfach wie möglich zu halten. Vorher Backup machen ist natürlich Pflicht.
1. Installation von TrueCrypt und Sprachpaket installieren
TrueCrypt herunterladen und das deutsche Sprachpaket nicht vergessen. Nach der Installation von TrueCrypt öffnet ihr den Installationsordner und legt die deutsche Sprachdatei in den Ordner. Danach kann man in den Einstellungen von TrueCrypt die deutsche Sprache auswählen:
So, damit habt ihr schon die halbe Miete, TrueCrypt ist deutschsprachig installiert.
2. Die Boot-Partition verschlüsseln
Unter den Punkt System findet sich der Punkt, den wir als nächstes ansteuern müssen: Systempartition verschlüsseln.
Diesen Punkt rufen wir auf und TrueCrypt wird eine knifflige Frage stellen: normal verschlüsselt oder versteckt? Sofern ihr nicht James Bond seid, wählt ihr die normale Methode, die Unterschiede habe ich bereits in einigen Beschreibungen erklärt.
Als nächstes kommt die Frage, ob ihr das ganze Laufwerk verschlüsseln wollt, oder nur die Partition, auf der sich Windows befindet. Auch dieses Mal muss ich euch die Entscheidung überlassen, da ich eure Konfiguration nicht kenne. Ich gehe von der Windows-Partition aus.
Im nächsten Schritt erfolgt die Abfrage nach der Anzahl der Systeme. Gängig ist ein System, solltet ihr noch andere Systeme booten, dann beachtet die dazugehörige Auswahlmöglichkeit.
Die Art der Verschlüsselung. Es gibt mehrere Varianten, ich selber greife zu AES – weiterführende Informationen bietet Wikipedia, alternativ hält auch TrueCrypt zu den einzelnen Mechanismen Informationen bereit. Nach der Auswahl erfolgt logischerweise die Vergabe eines Passwortes eurerseits.
TrueCrypt generiert dann zufällige Daten zur verbesserten Verschlüsselung, gefolgt von der Anzeige des Haupt- und Headerschlüssels.
Im nächsten Schritt muss der Rettungsdatenträger erstellt werden. Eine CD, die zum Beispiel nötig ist, wenn sich der TrueCrypt-Header oder Windows zerlegt hat. Durch diese CD kann man dann den Header herstellen und das Laufwerk dauerhaft entschlüsseln, um noch Daten zu retten.
TrueCrypt ist an dieser Stelle arg Retro, da viele moderne Rechner gar kein optisches Laufwerk haben. Dies ist natürlich unschön, da so die Verschlüsselung nicht genutzt werden kann. Alternativmethode mit dem Brecheisen? Generierte ISO-Datei mittels WinCD EMU in das System einbinden und so TrueCrypt die erfolgreiche Erstellung der CD vorgaukeln, alternativ kann man unter Windows 8 die CD per Doppelklick auf die erstellte ISO-Datei einbinden. WICHTIG: nicht vergessen, hinterher eine CD oder einen bootfähigen USB-Stick zu bauen!
TrueCrypt bietet im nächsten Schritt das sichere Löschen der Festplatte an. Die Daten werden dann verschlüsselt, umgepackt und der alte Speicherort überschrieben. Je nach Sicherheitsdrang und Zeit könnt ihr wählen, ob ihr löschen wollt, oder mehrfach überschreiben. Bedenkt: bei „nur löschen“ ist unter Umständen das Wiederherstellen der Daten mit TestDisk möglich.
Im nächsten Step erfolgt der Boot-Test. Windows 8 startet neu und sollte euch die neue Passwortabfrage anzeigen. Erst nachdem dieser Test erfolgreich war, lässt sich das System auch verschlüsseln.
Nun kann es, je nach Datenbestand, ordentlich dauern. Holt euch Kaffee oder schaut einen Film, alternativ arbeitet weiter, der Rechner dürfte aber nen Ticken langsamer sein.
Nach Abschluss dieser ganzen Aktion ist euer Systemlaufwerk verschlüsselt und ist somit geschützt vor neugierigen Blicken.
Hier noch ein bisschen zusätzlicher Lesestoff:
Mit TrueCrypt unterwegs – die ultimative Anleitung für Portable TrueCrypt
Dropbox mit TrueCrypt-Containern nutzen
Vergleich TrueCrypt zu Microsofts BitLocker
TrueCrypt-Container auch unter Mac OS X automatisch mounten
Die Systempartition mit TrueCrypt komplett verschlüsseln
Wird geladen ...
@Kos: Performance geht so 10-20% runter. Ist deutlich messbar aber kaum spürbar. Wie Caschy schon geschrieben hat: Der Boot dauert länger (ist aber immer noch sehr zügig), sonst merke ich nix.
Funktionelle Probleme gibt es keine, die Verschlüsselung ist bei Beiden absolut transparent. Also sobald Windows läuft funktioniert alles wie gehabt.
Bei Bitlocker VS TC gibt es eigentlich nur: Bitlocker kann per GPOs konfiguriert werden, ist also besser für Firmen und dafür kann Truecrypt AES-NI nutzen: Ist also perfomanter/frisst deutlich weniger Rechenleistung.
Ohne Sytem-Verschlüsselung ist meine Samsung 830 schon ein wenig schneller, jedenfalls sagt das Samsung SSD Magician. Aber mir ist die Sicherheit da etwas wichtiger.
hm, mal für Blöde: warum (nur bzw. vor allem) die Systempartition verschlüsseln? Wäre die DAtenpartition nicht eigentlich viel wichtiger – gerade wegen der Daten die da drauf liegen? Oder geht es um Passwörter und co auf der Systemplatte? Mit Windows an sich kann doch jeder machen, was er will… Um Dokumente, Bilder etc. wäre es schade. Stehe gerade etwas auf dem Schlauch…
Wer nur 1 Pladde / Partition hat, der wählt die hier genannte Option. Alle anderen wählen eben dazugehörige Partitionen oder andere Platten. Rein technisch ist das für dich kein Unterschied.
Mich würde es interessieren, wie man es schafft mitsamt der Systemplatte auch eine zweite (intere) reine Datenplatte beim Windows Start mit zuentschlüsseln. Bis jetzt muss ich diese nach dem Start seperat entschlüsseln/einbinden, die wird partout nicht automatisch eingebunden obwohl als systemfavourit gewählt und obwohl ich für beide das gleiche Passwort benutze.
Sorry, für das leichte Abschweifen, aber hat sich schon mal jemand Gedanken über die Verschlüsselung bei (reinen) Tablets gemacht?
Bei TrueCrypt sehe ich das Problem bei der Passworteingabe nach dem Einschalten, die Softtastatur ist ja zu diesem Zeitpunkt noch lange nicht verwendbar.
Mal ein paar subjektive Infos aus der Praxis. Bei meinem AG sind ALLE mobilen Rechner mit TC verschlüsselt. Warum TC und nicht Bitlocker? Geiz. Warum TC? Weil es ‚Pre-Boot-Authentifikation‘ kann. Also die Pflicht das Passwort einzugeben, bevor das Betriebssystem startet. Damit werden hier primär die gespeicherten Daten gegen Verlust abgesichert. Einem ’normalen‘ Dieb oder zufälligen Finder darf es nicht möglich ein, auf die Daten zuzugreifen. Ein Profi, ggf. mit Geld, der es auf unsere Daten abgesehen hat, ist damit natürlich nicht zu stoppen. Ein kalkulierbares Restrisiko, denn hier werden nur im Kundenauftrag Programme in Perl oder Java geschrieben und keine Raketen entwickelt. Jetzt zur Geschwindigkeit. Unsere Entwickler sind teilweise Mimosen. Es muss immer das schnellste, beste, größte, wasweisich, Notebook sein. Durchschnittlich einmal im Jahr gibt es ein neues. Seit ca. 6 Monaten geben wir nur noch SSD-Notebooks raus. Ich habe zwar nie irgendeine Messung vorgenommen, es hat sich aber bisher KEIN EINZIGER Entwickler über die Geschwindigkeit beschwert. Zum UEFI-Bios: Auch damit kann man TC benutzen. Aber nur, wenn man sein OS im ‚BIOS-Emulations-Modus‘ installiert (Stichwort: MBR) und nur eine Platte verwendet, die noch nie in einem UEFI PC gesessen hat. Andernfalls bleiben trotz Neuformatierung leider Reste (Stichwort: GPT) auf der Platte, die TC durcheinanderbringen. In dem Fall muss die Platte mit gfdisk (gibt es derzeit nur für Linux) neu partitioniert werden.
Noch was vergessen: Die Einrichtung (Verschlüsselung) eines neuen Systemdatenträgers erfolgt durch das Programm ‚TrueCrypt Format.exe‘. Es liegt standardmäßig im Verzeichnis ‚C:\Program Files\TrueCrypt‘. Es gibt mehrere Aufrufparameter, die man sich auch mit /? anzeigen lassen kann. Einer davon, /noisochk, überspringt das Brennen der CD. In dem Fall liegt dann nach der Einrichtung nur das ISO-File der Rettungs-CD im Dateisystem. Die kann man sich dann manuell brennen. Was man auch tun sollte, denn wenn die verschlüsselte Platte nicht mehr bootet, ist die CD die EINZIGE Möglichkeiten um noch an die Daten heranzukommen. Das Passwort sollte man auch nicht vergessen, denn die Rettungs-CD fragt es ab. Kein Passwort – kein Daten.
Soweit ich das mitbekommen habe, benötigt man aber UEFI um Festplatten >2TB zu benutzen, oder? Es ist auf jeden Fall ein ganz schönes gefrickel um einen neuen Laptop/Rechner neu aufzusetzen … deshalb wären signierten Bootloader ein Traum.
@Caschy
Ist aufgefallen, dass Win 8 – wenn man den PC runterfährt – nicht automatisch dismounted? Bootet man erneut, ist das Laufwerk noch immer eingebunden.
Ein ganz übles Sicherheitsrisiko!
@aannddrreeaassAndreas
Kann man abstellen. Bei mir wird immer automatisch dismounted.
Jede Platte, ob HDD oder SDD ist mit TC-Verschlüsselung langsamer! Ich beziehe mich bei der Frage von SSD & TC auf die „Haltbarkeit“ der SSD, die dadurch ja (extrem) leiden soll und auf die eigentliche „Sicherheit“ durch die Verschlüsselung, wenn man wie im Heise Artikel empfohlen 10 – 20% der Platte unpartitioniert lässt – für den/das TRIM.
Hey caschy, wo du es grad mit Win8 und TC hast… wie schautn das mit Storage Pools / Storage Spaces aus, lassen die sich auch einfach als Laufwerk verschlüsseln? (geht in erster Linie um die „dynamische“ Größe, was ist wenn ich später ne weitere Platte dazuhänge?)
Weißt du da zufällig was?
Puh. Mit den Storage Spaces wird es natürlich schwierig, da TC sich vor Win hängt… Wenn ich es aber richtig kapiert habe, müsste es gehen. Ansonsten: VM ausprobieren
@Richard
Was bedeutet denn:
„Einem ‘normalen’ Dieb oder zufälligen Finder darf es nicht möglich ein, auf die Daten zuzugreifen. Ein Profi, ggf. mit Geld, der es auf unsere Daten abgesehen hat, ist damit natürlich nicht zu stoppen. Ein kalkulierbares Restrisiko, denn hier werden nur im Kundenauftrag Programme in Perl oder Java geschrieben und keine Raketen entwickelt.“?
So einfach wird es doch wohl nicht sein ein gut gewähltes Passwort zu knacken?!
Zumindest kann ich mit das nicht vorstellen wenn man so liest wie lange ein Rechner bei so einer Attacke brauchen würde.
bei der Samsung 840pro brauchts keine Verschlüsselung mehr, richtig?
@Kilian
Hast du wirklich das selbe Passwort verwendet? Bei der Passworteingabe im Bootloader ist ein englisches Layout auf der Tastatur. Ich hatte das Problem bei mir auch, bis ich auf das Tastaturlayout gekommen bin und mein Passwort für die anderen Platten entsprechend angepasst habe. Seitdem funktioniert auch das automatische Einbinden über die Systemfavoriten.
TrueCrypt schaltet das Tastaturlayout bei der Passworteingabe während der Einrichtung der Verschlüsselung der Systempartition automatisch auf Englisch um. Deswegen fällt das nicht sofort auf.
@Kilian
Mit TrueMounter kann man das Einbinden von weiteren verschlüsselten Laufwerken automatisieren.
Ich habe nun meine Festplatte (2 partitionen) verschlüsselt. Nur verstehe ich das auch nicht ganz mit dem Dis-/Mounten. Ist es nun so das wenn die Platte an ein anderes system angeschlossen wird das die 2te Partition einfach gelesen werden kann?
@morf
Wie/Wo kann man das abstellen?