Gastbeitrag: Backup eines TrueCrypt-verschlüsselten Systems

Benötigt wird:

  • EASEUS Disk Copy (verwendete Version 2.3)
    Die zip-Datei herunterladen, entpacken und die enthaltene .iso mit dem Brennprogramm eurer Wahl brennen.
  • Ein mit TrueCrypt verschlüsseltes Betriebssystem.
    Zwei schöne (bebilderte) Anleitungen dazu finden sich bei Caschy und fixmbr.
  • Eine zweite Festplatte, die mindestens so groß ist wie die Quell-Festplatte.
    Wenn man so will der Haken an der Sache. Bei kleinen Systemplatten, wie einer SSD, kein Problem. Bei einer Terabyte-Platte sieht das schon ganz anders aus.


Hintergrundwissen:

Das Backup einer verschlüsselten Partition muss gemacht werden, wenn die jeweilige Partition nicht aktiv genutzt wird. Denn sobald das Betriebssystem läuft, liegen die Daten unverschlüsselt vor. Backup-Programme wie Macrium Reflect FREE Edition oder EASEUS Todo Backup, die innerhalb des Betriebssystems ausgeführt werden, sichern die Daten also unverschlüsselt! (Für normale Backups kann ich Macrium Reflect übrigens weiterempfehlen.)

Ist die verschlüsselte Partition nicht aktiv, sieht jede Software, TrueCrypt ausgenommen, nur Datenmüll. Eine solche TrueCrypt-Partition lässt sich beispielsweise mit GParted (Linux Partitionsprogramm) nicht verändern bzw. kopieren. Die meisten Partitions- und Backup-Programme arbeiten auf diese Weise: Unbekannte Dateisysteme/Partitionen können “bestenfalls” neu formatiert werden.

Bei TrueCrypt kann man zwischen Verschlüsselung der ganzen System-Festplatte oder Verschlüsselung der System-Partition wählen.
GParted-Ansicht, wenn nur die System-Partition verschlüsselt wird:

TrueCrypt verschlüsselte Partition in GParted Ansicht

  • unallocated
    1 MiB frei, was bei einer SSD für richtiges Alignment sorgt und bei einer HDD (anscheinend) keine Nachteile hat.
  • /dev/sda1 ntfs
    100 MiB für die Boot-Informationen von Windows 7. Diese Partition ist bei laufendem Windows nicht sichtbar.
  • /dev/sda2 unknown
    Der Rest, in unserem Fall 9,90 GiB, für Windows 7. Unverschlüsselt würde hier als Dateisystem (File System) ntfs stehen. GParted sieht aber nur den oben erwähnten Datenmüll.

GParted-Ansicht, wenn die gesamte System-Festplatte verschlüsselt ist:

TrueCrypt verschlüsselte Festplatte in GParted Ansicht

Einziger Unterschied: Auch die kleine 100 MiB Partition mit den Boot-Informationen ist hier verschlüsselt. Hätte man noch zusätzliche Daten-Partitionen wären diese wahrscheinlich (nicht getestet!) auch einzeln verschlüsselt worden.

Noch mehr Hintergrundwissen:

Um solche unbekannten Partitionen sichern zu können braucht es ein Programm, das das Backup nicht Dateisystem-basierend sondern Sektor-für-Sektor durchführt. Bisher habe ich nur zwei kostenlose Programme gefunden, die das können: Das eingangs erwähnte EASEUS Disk Copy und G4L (Ghost for Linux). G4L findet man im Parted Magic-Paket, ist aber etwas komplizierter als EASEUS Disk Copy.

Die Backup-Festplatte muss mindestens so groß wie die Quell-Festplatte sein, da bei einer Sektor-Kopie keine Kompression stattfinden kann. Es entsteht ein absolut identischer Klon.
Durchführung des Backups:
Screenshots bei denen man nur “Next” oder ähnliches auswählen muss, habe ich ausgelassen! Mit grundlegenden Englisch-Kenntnissen sind das Programm bzw. die Screenshots selbsterklärend.

  1. Nach dem Klick auf Proceed läuft das Klonen. Danach das Programm beenden, den PC herunterfahren und die Backup-Festplatte sicher verwahren: Ausbauen oder zumindest den Stromstecker heraus ziehen :)
  2. Zum Testen des Klons am Besten den Stromstecker des Originals entfernen und den Rechner mit dem Klon booten.
  3. Beide Systeme sollten nicht unverschlüsselt nebeneinander laufen, da ich ehrlich gesagt nicht weiß, wie sie aufeinander reagieren. Ausprobieren auf eigene Gefahr.
Vorteil des Ganzen:

Man hat immer einen Klon zur Hand und muss nur die Festplatte austauschen.

Nachteil:

Die Backup-Platte ist für sonst nichts zu gebrauchen.

Abschließend noch der Screenshot einer etwas größeren Klon-Festplatte. Wie ihr seht, bleibt am Ende noch etwas freier Speicher, da das Original eben nur 10 GiB hatte.

Extrem wichtig dabei ist, dass die Positionen der einzelnen Partitionen erhalten bleiben!

Feedback, Anmerkungen, etc. sehr erwünscht. Auch Hinweise auf eventuelle (Rechtschreib-)Fehler ;)

Gastbeitrag von Volker

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

14 Kommentare

  1. Du schreibst Seitenweise ueber Hintergruende und warum man was verwendet aber der eigentliche Backupprozess wird in nur 6 Bildern abgehandelt. Mal abgesehen davon kommst du mit einem Standardbackup welches nachtraeglich verschluesselt wird sicher besser bist flexibler.

  2. Ich kopier meine Backups immer aus der offenen Partition in einen Container aufer externen mit TrueCrypt Portable drauf.. so kann ich truecrypt aufer festplatte haben und das verschlüsselte backup auch.

  3. Hmm, ich halte das Verfahren für etwas umständlich. Logisch ist, das bei laufendem System die Daten nicht mehr verschlüsselt sind und wenn man sie nun einfach „irgendwo“ hinkopiert, die Daten eben auch unverschlüsselt und für jedermann lesbar im Ziel(-laufwerk) landen.

    Dank VHD-Boot komme ich aktuell nicht mehr in den Genuss einer TC-verschlüsselten Systempartition, hatte das Konstrukt aber vorher in Betrieb. Ich habe meine Backups (unter Windows 7) mit dem hauseigenen wbadmin erledigt (Image-Backup). Das Backup wurde dabei wahlweise auf einer TC-verschlüsselten und für das Backup gemounteten USB-Platte abgelegt oder auf einem Share auf dem NAS, auf das ausschliesslich _ich_ Zugriff habe (genau dort landen meine Backups auch jetzt noch).

    Theoretisch wäre es sogar möglich, einen TC-verschlüsselten Container auf dem NAS abzulegen, diesen zu mounten und dann mit wbadmin dort hinein zu sichern (Image).

    Hat u.a. auch den Charme, das man keine riesige Backupplatte benötigt, die sonst für nix zu gebrauchen ist. 😉

  4. @Volker
    Danke für die Anleitung!

    Leider ist die eigentliche Beschreibung viel zu kurz gekommen und für mich nicht nachvollziehbar. Könntest du die Bildreihe noch mit etwas Text beschreiben ?

    Wie kann ich das Backup (was sich zB auf einer externen Platte befindet) wieder zur Wiederherstellung auf meinen PC aufspielen?

    Gruß Markus

  5. Erst einmal Vielen Dank fürs posten! 🙂

    @Martin & paradonym
    Natürlich ist es einfacher und schneller eine offene Partition zu sichern und dieses Backup danach zu verschlüsseln. Nur was passiert bei der Wiederherstellung?
    Erst müssen die Daten auf einem anderen Computer entschlüsselt werden um überhaupt das Backup einspielen zu können. Bei normalen Daten kein großes Problem, bei einer Systempartition schon. Außerdem muss das wiederhergestellte System schließlich wieder neu verschlüsselt werden. Mir ging es hauptsächlich darum die Systempartition schnellst möglich wiederherzustellen zu können.

    @Markus leider ist die Reihenfolge der Bilder etwas durcheinander geraten. Eigentlich dachte ich, dass diese ausreichen, aber ich werden den Artikel bei mir (http://bit.ly/ahhv13) bis morgen noch einmal etwas überarbeiten.
    Die Wiederherstellung ist eigentlich ganz einfach: Man klont den Klon 🙂
    Wie beschrieben, hat man mit dieser Methode immer eine 1:1 Kopie zur Hand die sofort das Original ersetzen kann. Dafür büßt man eine komplette Festplatte ein, die eben nur diesem einen Zweck dient.

  6. naja, im alltag möchte ich sowas nicht anwenden. hab backup auf externen platten, da is nix mit schnell einbauen im notfall. also backup nachträglich verschlüsseln

    trotzdem danke für den beitrag, hab mich schon lang gefragt ob das so in der richtung theoretisch auch gehen würde. ist damit geklärt

  7. Hab den Artikel bei mir kurz überarbeitet.

    dragoon, darum hab ich das Ganze ausprobiert. Ich hatte ein verschlüsseltes System und ein extra verschlüsseltes Backup. Nur bei der Wiederherstellung benötigte ich einen zweiten Rechner, der vorher erstmal das Backup entschlüsselt. War eher suboptimal 🙂

  8. Fragenkatalog says:

    systembackup mit acronis true image und die backupcontainer mit aes-256 passwort verschlüsseln. sehe da kein problem? gut, man braucht acronis, aber dieser hier beschriebene weg ist zu umständlich

  9. Das wäre eine Möglichkeit, aber nachdem ich die schlechten Bewertungen bei Amazon (http://amzn.to/9VWR6A) zur aktuellen True Image Version gelesen habe, habe ich nach einer Freeware Lösung gesucht.

  10. Also ehrlich gesagt finde ich deine Vorgehensweise auch umständlich. Ich handhabe das schon seit über einem Jahr so:

    Backup:
    – Mit Snapshot im Windows Betrieb von der entschlüsselten Partition ein Image machen (Vorteil: nicht Sektor für Sektor) und zwar auf eine externe Platte – die ebenfalls verschlüsselt ist.

    Wiederherstellen:
    – BartPE vom bevorzugten Medium booten (USB-Stick, CD)
    – Ein Doppelklick am Desktop (BAT File) bindet mir nach Passwortabfrage die verschlüsselte Systempartition und die externe Platte als Laufwerksbuchstaben ein
    – Snapshot starten, Imagefile auswählen und wiederherstellen
    – Geht ruck zuck da nicht Sektor für Sektor geschrieben werden muss

  11. Auch BartPE habe ich probiert 🙂 Aber damit wurden meine Festplatten nicht erkannt. Soweit ich in Erfahrung bringen konnte, funktioniert BartPE nur wenn die Festplatten im (veralteten) IDE-Modus laufen. BartPE basiert ja auf Windows XP und das hat von Haus aus auch keine richtige AHCI-Unterstützung.

    Habe aber gerade entdeckt, dass auf der Parted Magic CD auch TrueCrypt enthalten ist. Wenn ich die Tage Zeit finde, schau ich mir das einmal genauer an 🙂

  12. @Volker
    BartPE bietet die Möglichkeit Controller Treiber beim Erstellen der bootfähigen CD einzubinden. Das war auch bei mir notwendig, ich arbeite mit einem zusätzlichen SATA Controller und natürlich im AHCI Modus und musste die Treiber dieser Geräte einbinden – dann erkennt auch BartPE problemlos alle Platten.

  13. Sehr umständlich. Mit der TrueImage Recover CD kann ich auch verschlüsselte Partitionen/Fastplatten sichern. Da wird dann einfach Bit für Bit gelesen und weggespeichert. Die Wiederherstellung funktioniert dann genauso Bit für Bit und das System läuft danach auch wieder. Alles recht einfach… Das einzige Hintergrundwissen, dass man haben muss ist, dass verschlüsselte Partitionen (sofern sie als genaues Abbild gesichert werden sollen – sinnvoll bei Systemplatten) komplett verschlüsselt und 1:1 gesichert werden müssen.
    TrueImage ist es dann übrigens auch egal welche Veschlüsselung vorliegt. Wird das Dateisystem nicht erkannt, wird Bit für Bit gesichert…

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.