Systemverschlüsselung mit TrueCrypt – spiegeln der Festplatte möglich?

In den Kommentaren zum Artikel der sich mit Drive Snapshot beschäftigte stellte Mike die Frage, ob sich eine mit TrueCrypt verschlüsselte Systempartition spiegeln – und danach auch wiederherstellen ließe. Ja und nein. Liegt das Image der verschlüsselten Systempartition auf einer verschlüsselten Festplatte, so ist “das Thema durch”. Man müsste also das Image einer verschlüsselten Systempartition auf einem unverschlüsselten Laufwerk sichern (der Clou kommt noch). Komplette Festplattenverschlüsselung mit mehreren logischen Partitionen mittels TrueCrypt in einer erweiterten Partition funktioniert eh erst ab Windows Vista.

Meine Faustregel: Laufwerke einzeln verschlüsseln – alternativ nur Systempartition verschlüsseln und die Restpartitionen mit verschlüsselten Containern ausstatten. Wie man seine Systempartition verschlüsselt beschrieb ich ja hier.

Kann man in ein Image einer Systempartition schauen, die mit TrueCrypt verschlüsselt wurde (zum Beispiel mit Drive Snapshot oder Acronis)? Klares ja. Eine verschlüsselte gespiegelte Systempartition ließ sich mit Drive Snapshot als virtuelles Laufwerk einhängen – und sämtliche Inhalte waren unverschlüsselt. Noch einmal zum Mitschreiben:

– Systempartition verschlüsselt
– verschlüsselte Systempartition gespiegelt
– Image der verschlüsselten Systempartition war mit Inhalten lesbar
– Verschlüsselung durch Image ausgehebelt – dumm gelaufen

Wie kann man also seine Systempartition verschlüsseln und zusätzlich sicher spiegeln? Ohne Mehraufwand ist kaum etwas zu machen. Entweder man nutzt zusätzlich die interne Verschlüsselung des jeweiligen Programmes (Drive Snapshot, Acronis und Co) – oder man muss sich einen zusätzlichen Rechner als kleinen Backupserver basteln – der wiederum die Images der anderen PCs in einem verschlüsselten Container bereit hält – welche bei Bedarf über das Netzwerk geschaufelt werden – was zusätzliche Konfiguration und Arbeit bedeutet.

Wer sich jetzt noch wundert warum so wenig Leute verschlüsseln – ihr habt eben die Antwort gelesen.

Mein Fazit: ohne Mikes Frage hätte ich den Umstand gar nicht wahrgenommen. Das Image einer verschlüsselten Partition ist unverschlüsselt. Hausaufgabe für mich: neues Konzept der sicheren Datenverwahrung überlegen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

32 Kommentare

  1. öhm, du redest aber vom Backup wenn man sich im Betriebssystem befindet und daraus ein Image erstellt und nicht von dem Boot-Image?
    Weil ich die Problematik nicht ganz verstehe. Wenn ich Dateien entschlüsselt habe und die sicher, sicher ich die verschlüsselt, sichere ich verschlüsselte Dateien sind die danach auch noch verschlüsselt.

    Drum mache ich z.b. inkrementelle Backups von meinen TC-Containern immer so, dass ich sie erst entschlüssel und dann meine verschlüsselte Backupplatte mounte. Dadurch habe ich beide Container/Laufwerk entschlüsselt vorliegen und für das Betriebssystem sind es alles unverschlüsselte Daten. Erst wenn ich das Backup ganz normal gemacht habe und die Container/Laufwerk wieder auswerfe sind sie verschlüsselt.

  2. Also ich würd das ausm Bauch heraus so machen, dass ich das verschlüsselte Volume sichere, indem ich den PC mit einer PE-Start-CD starte (Alternativ natürlich auch Knoppix o.ä.) und die verschlüsselte Partition dann mit Ghost oder einer Software meiner Wahl oder mit einem simplen „dd“ wegsichere. Dann wird beim sichern nix entschlüsselt.
    Bin mir aber nicht sicher, ob zB Ghost verschlüsselte Volumes überhaupt erkennt…

  3. @Matze
    seh ich auch so. Einziges Problem ist die Grösse des Images, da es genauso gross ist wie die Partition selbst. Aber bei den Plattenpreisen heute für die meisten vertretbar.
    @Caschy
    das du dich das wundert, wundert mich. Ist doch eigentlich logisch…

  4. Mich hat es aber eben auch verwundert, dass es Caschy verwundert, dass die verschlüsselte Partition unverschlüsselt gespeichert wird 😉
    Allerdings ergibt sich bei der angesprochenen Methode wieder ein anderer Nachteil:
    Viele wollen mit Zeitplänen arbeiten. Immer den Rechner neu starten, CD rein, Backup laufen lassen, Betriebssystem starten ist schon eine Sache, die nicht jeder will.
    Allerdings fällt mir spontan auch keine Möglichkeit ein das Ganze zu umgehen. Die Möglichkeit die genannt wurde (unverschlüsseltes Image auf verschlüsselte Partition) finde ich eigentlich schon gut. Nicht optimal, aber gut.

  5. Hey,
    Abhilfe für dein Problem.
    Ich würde Easeus Disk Copy V2.0 benutzen.
    http://www.easeus.com/disk-copy/
    Runterladen -> iso brenne -> von CD Booten
    jetzt deine gewünschte Partition/Festplatte spiegeln
    rein theoretisch muss die Verschlüsselung erhalten bleiben denn es läuft nicht mit Windows sondern als eigenes Betriebssystem.

  6. @celsius77: Danke für den Link , werde mal schauen. Wenn das Programm funktioniert, würde damit nicht nur mir geholfen sondern etliche andere TrueCrypt Verschlüsseler auch! Aber Problem, ich kann es halt nicht 100% Testen, da ich „NOCH“ Kein Systembackup habe. Wenn das Programm dann nicht zurücksichert, ist mein Vista platt und ich mit den Nerven fertig! Evtl. testet ja jemand anderes, ob es i.V.m. verschlüsselter TC Platte funzt, also sichern der „nur“ Betriebssystem (Vista 32bit Home Premium) Partition und wiederherstellen, das wäre super nett, und ich hätte eine Sorge weniger. Danke

    Muss dann bei EASEUS Disk Copy auch Sektor für Sektor gesichert werden?

  7. @lapsi und @souli:
    Wo steht denn, dass ich mich wundere? =)

    @celsius77: Jau, alternativ eben trotzdem Drive Snapshot oder Acronis. Was man halt mag. Man sollte nur nicht direkt unter Windows spiegeln 😉

    Das man trotzdem über die Thematik spricht ist klasse – wer sich mal alle Kommentare zu hier geschriebenen TrueCrypt-Themen durchliest weiss warum 😉

  8. Ich finde ein Link sollte hier auf keinem Fall fehlen!
    Die Backup-Anleitung von den TrueCrypt Entwicklern:
    http://www.truecrypt.org/docs/?s=how-to-back-up-securely

    Einfach ist sicherlich was anderes, aber wer so sichert sollte dafür auf der sicheren Seite sein, und kann dann andere Sicherungsmethoden mit Sicherheit sicher testen. Sicherlich ein Blick wert. 😉

  9. Der sich fragende says:

    Für mich ist der Denkansatz falsch angesetzt.

    Wenn ich eine Platte entschlüssle und ein Backup ziehe, ist das Backup logischerweise auch nicht verschlüsselt.

    Mich würde der Ansatz betreffend verschlüsselte Systempartition in einem Raid interessieren, auf die Schnelle hab ich nix gefunden (bin am Arbeiten). Hier noch 2 Links betreffend dem Thema, einmal die offizielle „Lösung“ von Truecrypt und einmal ein Denkansatz eines Users des Truecryptforums.

    http://www.truecrypt.org/docs/?s=how-to-back-up-securely

    http://forums.truecrypt.org/viewtopic.php?t=12011

  10. Ach ja, mein eigener Senf noch: Für mich fallen Sektoren-weise Backups aus, denn ich möchte häufig nicht das gesamte Backup sondern nur einzelne Ordner wiederherstellen. Das ginge dann ja nicht, oder irre ich mich?

  11. @celsius77: EASEUS Disk Copy 2, funktioniert auch nicht nach Booten, ich kann meine 2 anderen Partitionen (D+E) auf der ich dann das zu sichernde „C“ ablegen will(E=für Backups) nicht auswählen, gleiches bei TrueImage 11+12. Ich verzweifel noch. Bin echt am überlegen alles zu decrypten und dann nicht mehr zu verschlüsseln, denn ein Backup meines Systemes ist mir doch lieber.

    Die Links von “ der sich fragende“ sind leider alle in Englisch= Amtssprache Deutsch

  12. @Mike

    Ich habe ja die ganze Platte in einem Rutsch(3Partitionen) verschlüsselt und per Acronis Boot CD gestartet, wenn ich dann eine Sektor für Sektor Sicherung machen möchte, und den Speicherort auswählen will hab ich keine Auswahl der anderen 2 Partitionen auf der Platte, worunter die eine ja nur dem Backupspeichern dienlich sein sollte.

    Wenn Du die anderen Partitionen, auf welche Du sichern willst, auch verschlüsselt hast, ist es doch logisch, das diese vom einem Backupprogramm nicht gesehen werden. Woher sollen diese Programme denn wissen, das und welche Verschlüsselung vorhanden ist.

    Gruß Rainer

  13. Mein Ansatz ist, alle relevanten Daten auf eine seperate, mit TrueCrypt verschlüsselte Partition zu spielen. Dafür muss man natürlich auch sämtliche Programme so konfigurieren.

    Die Systempartition bleibt unverschlüsselt, da sie ja keine Daten mehr enthält. Von dieser kann man dann ganz normal ein Image ziehen.

    Die Daten der verschlüsselten Partition sichere ich mit einem normalen Backup Programm auf eine externe USB-Festplatte, die ebenfalls mit TrueCrypt verschlüsselt ist.

  14. @Andiministrator: Dir ist schon klar, dass das sehr unsicher sein kann? Auf der Systempartition werden dann nämlich eine MENGE der Daten, die vermeintlich sicher verschlüsselt sind, unverschlüsselt gespeichert.
    Stichworte: Temporäre Dateien, Profil-Dateien, Cache, Systemwiederherstellung, Virtueller Speicher (!), … Da können sich eine Menge Daten und ganze Dateien ansammeln.
    Theoretisch könnte es vielleicht möglich sein, deine Methode sicher zu machen, aber der Aufwand ist immens: Man müsste beim Herunterfahren alle oben genannten Daten ausfindig machen und wipen (nicht nur löschen).

    Ich kann das nicht empfehlen, höchstens wenn es nur um einen Schutz vor unqualifizierten Mitbenutzern des Computer geht.

  15. @atreiu: Sicher sollte man abwägen, wie vertraulich die Daten sind. Passwörter, etc. liegen bei mir extra noch einmal in einem Passwortsafe. Andere Daten sind bei mir nun nicht so sensibel. Bei sehr vertraulichen Daten hast Du natürlich recht, dann sollte diese Methode nur von einem erfahrenen Benutzer angewandt werden, der weiß, wie man Profil-Daten, Schatten-Kopien, Systemwiederherstellung, etc. umgehen kann.

  16. @RainerM: Zur Kenntnis, ich habe von dieser ganzen Materie keine Ahnung, drum meine ganzen Anmerkungen und Fragen. Es ist mir auch ehrlich gesagt zu kompliziert und umständlich über 10 Umwege ein verschlüsseltes System 1:1 zu sichern. Ich bin am Überlegen ob ich Rohos Logon Key mal teste

  17. In diesem zusammenhang hab ich mich gefragt: Ich habe zwei Platten im Raid 1 (Mirroring). Die eine Platte, welche aktiv nutzbar ist (nur diese sieht man unter Windows, die Spiegelplatte jedoch nicht) habe ich mit TC verschlüsselt. Da es ein Hardware-Raid ist wird pausenlos der Datenbestand abgeglichen. Werden denn die Daten ver verschlüsselten Festplatte auf die andere „verschlüsselt“ gespiegelt oder liegen die dort in Klartext vor? (Sprich man könnte einfach die Mirror-Platte ausbauen und hat alle Daten unverschlüsselt).

    Nutze Vista Ultimate x64

  18. Caschy hat doch die Lösung schon angedeutet:
    Systemsicherungen (z.B. mit Acronis) passwort-geschützt durchführen.
    So ist es absolut unmöglich Inhalte der Sicherung einzusehen, genau, wie wenn die verschlüsselte Partition verschlüsselt gesichert worden wäre.
    Denn wer die Verschlüsselung macht (Acronis oder TrueCrypt) ist doch egal

  19. Ich hab mir heute mal wieder nach gute nem halben Jahr TC geschnappt und wollte es nochmal testen. Ein Freund wollte per se seine Daten schützen und so kam er dann auch vorbei.

    Jeder Versuch, den wir gestartet haben, endete mit der Meldung: „Die Sperre des Segments ist bereits aufgehoben.“ Egal was ich getan habe, die Platte in verschiedene Größen eingeteilt, andere Dateisysteme versucht, etliche male neu formatiert. Aber ich erhalte immer und immer wieder diese besch. Meldung.

    Im Netz bin ich auf ähnliche Probleme gestossen, aber auch ohne Lösung.

    Könnte hier jemand etwas wissen?

    Ich nutze TC 6.0a und ein Windows XP Pro.

    EDIT:
    Ich habe noch folgendes in der Ereignisanzeige stehen:

    Ereignistyp: Fehler
    Ereignisquelle: Disk
    Ereigniskategorie: Keine
    Ereigniskennung: 11
    Datum: 02.10.2008

    Beschreibung:
    Der Treiber hat einen Controllerfehler auf DeviceHarddisk2D gefunden.

  20. Einfach mit der Acronis-CD booten und die verschlüsselte Partition als Datei sichern. In der Datei selber steht dann nur verschlüsseltes Kauderwelsch, mit dem niemand was anfagen kann. Kann sein, dass Acronis rummeckert, weil kein Dateisystem drauf ist (was von da aus ja auch so aussieht). Komprimieren sollte man das ganze auch nicht, erstens wirds nicht wirklich keiner, braucht aber extrem Rechenleistung.

  21. @C.G.:
    Hast Du das schonmal gemacht und das Backup auch wiederhergestellt?
    Wenn ja, mit welcher Acronis-Version?
    Ich traue mich das nämlich nicht, weil im Internet einige Meldungen kursieren, nach denen Acronis‘ Sektorenweise Backups in einigen Versionen das TrueCrypt-System schreddern. Es wird gemutmaßt, dass Acronis in diesem Fall eben doch keine 100%ige 1:1 Kopie und Restore hinkriegt.

    Anschlussfrage: Erkennt Acronis beim Boot über die eigene CD externe USB-Festplatten? Sonst wüsste ich ja gar nicht wohin mit dem Backup 😀

  22. OT-Frage:
    Welche kompakte und fokussierte Lektüre würdet Ihr mir empfehlen, wenn ich mir das Thema „Schutz des USB-Sticks“ (nix Festplatte oder gar Systempartition etc.) einverleiben will?

    Von Truecrypt hab ich schon gehört, klar, was mir fehlt ist eine wirklich einfache Dummy-Anleitung nur für USB-Sticks. Sorry, mag für viele einfach sein, aber ich steig da nicht so richtig durch.

    Kennt jemand eine einfache Anleitung?

  23. @atreiu: Mit Acronis schon, da war die Platte aber nicht mit TrueCrypt verschlüsselt, sondern mit SafeGuard Easy (war ein Firmennotebook) Hat aber auch geklappt mit der sektorenweisen Wiederherstellung. Müsste damals Acronis 10.irgendwas gewesen sein, ist schon ein bisschem her.

  24. Eigentlich ist das ganz einfach: Man macht das Backup auf Dateisystemebene (also ein Programm nehmen, das das unterstüzt, z.B. Cobian Backup). Dieses Backup lässt man auf einem ebenfalls verschlüsselten Volume speichern. Falls man nun Windows nichtmehr booten will, muss man ein anders Windows Booten(Entweder auf ner andren Partition installieren oder halt ne Windows BootCD (ich empfehle UBCD4win, aber die sollte man natürlich bereits vorm Gau erstellen, Truecrypt nicht vergessen!). Dann bindet man beide Partitionen ein und entpackt das Backup da wos hinsoll(Cobian packt das als 7z). Tadaaa: schon sollte alles wieder gehn.

    Etwas schwieriger ists, wenn die Festplatte sich komplett verabschiedet, dann braucht man nämlich nen neuen Bootsektor. Das geht dann am einfachsten, indem man Windows auf der neuen Platte installiert, das Backup wie oben beschrieben zurückspielt und zum Schluss muss man bei diesem Vorgehen die SystemPartition/Platte neu verschlüsseln.

  25. @Info+de: Danke.

  26. Ich finde das Ganze auch völlig logisch: die Verschlüsselung ist transparent – damit ist das Image unverschlüsselt. Man kann es ganz einfach auf eine verschlüsselte ext. Platte schreiben und hat wieder den Schutz. (wobei die Frage ist, ob das Restore klappt, da die 0815-Restorebootcd kein Trucrypt kennt)

  27. Am einfachsten kann man ein 1:1 backup mit einer Linux Live CD erstellen, einfach folgenden Befehl ausführen(Pfade anpassen nicht vergessen):

    dd if=/dev/sda1 bs=1M | gzip > /media/sda2/backup.img.gz

    Wiederherstellen:
    gunzip -c /media/sda2/backup.img.gz | dd of=/dev/sda1 bs=1M

    Bei dieser Methode sind die Daten die ganze Zeit über verschlüsselt egal wo man sie hinpackt.

  28. Na schon ein neues Konzept in Bezug auf die Datensicherung in Aussicht?

  29. Tja, ich hab auch gedacht das ist doch einfach. System komplett verschlüsseln und im entschlüsselten Zustand mit Drive Snapshot ein Image machen. Dann mit BartPE booten, TrueCrypt starten und „Mount without Pre-Boot-Authentification“. Geht auch, man kann alle Partitionen mit einem eigenen Laufwerksbuchstaben einbinden und lesen/schreiben. Aber man kann nicht Drive Snapshot starten, den entschlüsselten Laufwerksbuchstaben auswählen und das Image zurückspielen. Drive Snapshot erkennt natürlich nur das physikalisch vorhandene Laufwerk, welches ja verschlüsselt ist und nicht das über TrueCrypt gemountete entschlüsselte. Gibts da überhaupt eine Lösung wenn man im Windowsbetrieb bequem sichern will??

  30. Kommando zurück!! Es geht doch, ich fass es nicht! Snapshot ist das Tool des Jahres.

  31. Cryptiplikation says:

    Hallo Leute,
    danke für die angeregte Diskussion!
    Hat den schon mal jemand den Vorschlag von M.A. ausprobiert.
    Mit Knoppix die Spiegelung 1:1 zu machen?
    Ergebnisse würden mich interessieren.
    Danke!

  32. Nö, ich bin seit fast 3 Monaten glücklich mit TrueCrypt in Kombination mit BartPE und Snapshot. Hab schon mehrfach gesichert und wiederhergestellt – keine Probleme bisher. Die Snapshot Lizenz war es auf jeden Fall Wert!