Anzeige

Systemverschlüsselung mit TrueCrypt – spiegeln der Festplatte möglich?

In den Kommentaren zum Artikel der sich mit Drive Snapshot beschäftigte stellte Mike die Frage, ob sich eine mit TrueCrypt verschlüsselte Systempartition spiegeln – und danach auch wiederherstellen ließe. Ja und nein. Liegt das Image der verschlüsselten Systempartition auf einer verschlüsselten Festplatte, so ist “das Thema durch”. Man müsste also das Image einer verschlüsselten Systempartition auf einem unverschlüsselten Laufwerk sichern (der Clou kommt noch). Komplette Festplattenverschlüsselung mit mehreren logischen Partitionen mittels TrueCrypt in einer erweiterten Partition funktioniert eh erst ab Windows Vista.

Meine Faustregel: Laufwerke einzeln verschlüsseln – alternativ nur Systempartition verschlüsseln und die Restpartitionen mit verschlüsselten Containern ausstatten. Wie man seine Systempartition verschlüsselt beschrieb ich ja hier.

Kann man in ein Image einer Systempartition schauen, die mit TrueCrypt verschlüsselt wurde (zum Beispiel mit Drive Snapshot oder Acronis)? Klares ja. Eine verschlüsselte gespiegelte Systempartition ließ sich mit Drive Snapshot als virtuelles Laufwerk einhängen – und sämtliche Inhalte waren unverschlüsselt. Noch einmal zum Mitschreiben:

– Systempartition verschlüsselt
– verschlüsselte Systempartition gespiegelt
– Image der verschlüsselten Systempartition war mit Inhalten lesbar
– Verschlüsselung durch Image ausgehebelt – dumm gelaufen

Wie kann man also seine Systempartition verschlüsseln und zusätzlich sicher spiegeln? Ohne Mehraufwand ist kaum etwas zu machen. Entweder man nutzt zusätzlich die interne Verschlüsselung des jeweiligen Programmes (Drive Snapshot, Acronis und Co) – oder man muss sich einen zusätzlichen Rechner als kleinen Backupserver basteln – der wiederum die Images der anderen PCs in einem verschlüsselten Container bereit hält – welche bei Bedarf über das Netzwerk geschaufelt werden – was zusätzliche Konfiguration und Arbeit bedeutet.

Wer sich jetzt noch wundert warum so wenig Leute verschlüsseln – ihr habt eben die Antwort gelesen.

Mein Fazit: ohne Mikes Frage hätte ich den Umstand gar nicht wahrgenommen. Das Image einer verschlüsselten Partition ist unverschlüsselt. Hausaufgabe für mich: neues Konzept der sicheren Datenverwahrung überlegen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei LinkedIn, Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

32 Kommentare

  1. @C.G.:
    Hast Du das schonmal gemacht und das Backup auch wiederhergestellt?
    Wenn ja, mit welcher Acronis-Version?
    Ich traue mich das nämlich nicht, weil im Internet einige Meldungen kursieren, nach denen Acronis‘ Sektorenweise Backups in einigen Versionen das TrueCrypt-System schreddern. Es wird gemutmaßt, dass Acronis in diesem Fall eben doch keine 100%ige 1:1 Kopie und Restore hinkriegt.

    Anschlussfrage: Erkennt Acronis beim Boot über die eigene CD externe USB-Festplatten? Sonst wüsste ich ja gar nicht wohin mit dem Backup 😀

  2. OT-Frage:
    Welche kompakte und fokussierte Lektüre würdet Ihr mir empfehlen, wenn ich mir das Thema „Schutz des USB-Sticks“ (nix Festplatte oder gar Systempartition etc.) einverleiben will?

    Von Truecrypt hab ich schon gehört, klar, was mir fehlt ist eine wirklich einfache Dummy-Anleitung nur für USB-Sticks. Sorry, mag für viele einfach sein, aber ich steig da nicht so richtig durch.

    Kennt jemand eine einfache Anleitung?

  3. @atreiu: Mit Acronis schon, da war die Platte aber nicht mit TrueCrypt verschlüsselt, sondern mit SafeGuard Easy (war ein Firmennotebook) Hat aber auch geklappt mit der sektorenweisen Wiederherstellung. Müsste damals Acronis 10.irgendwas gewesen sein, ist schon ein bisschem her.

  4. Eigentlich ist das ganz einfach: Man macht das Backup auf Dateisystemebene (also ein Programm nehmen, das das unterstüzt, z.B. Cobian Backup). Dieses Backup lässt man auf einem ebenfalls verschlüsselten Volume speichern. Falls man nun Windows nichtmehr booten will, muss man ein anders Windows Booten(Entweder auf ner andren Partition installieren oder halt ne Windows BootCD (ich empfehle UBCD4win, aber die sollte man natürlich bereits vorm Gau erstellen, Truecrypt nicht vergessen!). Dann bindet man beide Partitionen ein und entpackt das Backup da wos hinsoll(Cobian packt das als 7z). Tadaaa: schon sollte alles wieder gehn.

    Etwas schwieriger ists, wenn die Festplatte sich komplett verabschiedet, dann braucht man nämlich nen neuen Bootsektor. Das geht dann am einfachsten, indem man Windows auf der neuen Platte installiert, das Backup wie oben beschrieben zurückspielt und zum Schluss muss man bei diesem Vorgehen die SystemPartition/Platte neu verschlüsseln.

  5. @Info+de: Danke.

  6. Ich finde das Ganze auch völlig logisch: die Verschlüsselung ist transparent – damit ist das Image unverschlüsselt. Man kann es ganz einfach auf eine verschlüsselte ext. Platte schreiben und hat wieder den Schutz. (wobei die Frage ist, ob das Restore klappt, da die 0815-Restorebootcd kein Trucrypt kennt)

  7. Am einfachsten kann man ein 1:1 backup mit einer Linux Live CD erstellen, einfach folgenden Befehl ausführen(Pfade anpassen nicht vergessen):

    dd if=/dev/sda1 bs=1M | gzip > /media/sda2/backup.img.gz

    Wiederherstellen:
    gunzip -c /media/sda2/backup.img.gz | dd of=/dev/sda1 bs=1M

    Bei dieser Methode sind die Daten die ganze Zeit über verschlüsselt egal wo man sie hinpackt.

  8. Na schon ein neues Konzept in Bezug auf die Datensicherung in Aussicht?

  9. Tja, ich hab auch gedacht das ist doch einfach. System komplett verschlüsseln und im entschlüsselten Zustand mit Drive Snapshot ein Image machen. Dann mit BartPE booten, TrueCrypt starten und „Mount without Pre-Boot-Authentification“. Geht auch, man kann alle Partitionen mit einem eigenen Laufwerksbuchstaben einbinden und lesen/schreiben. Aber man kann nicht Drive Snapshot starten, den entschlüsselten Laufwerksbuchstaben auswählen und das Image zurückspielen. Drive Snapshot erkennt natürlich nur das physikalisch vorhandene Laufwerk, welches ja verschlüsselt ist und nicht das über TrueCrypt gemountete entschlüsselte. Gibts da überhaupt eine Lösung wenn man im Windowsbetrieb bequem sichern will??

  10. Kommando zurück!! Es geht doch, ich fass es nicht! Snapshot ist das Tool des Jahres.

  11. Cryptiplikation says:

    Hallo Leute,
    danke für die angeregte Diskussion!
    Hat den schon mal jemand den Vorschlag von M.A. ausprobiert.
    Mit Knoppix die Spiegelung 1:1 zu machen?
    Ergebnisse würden mich interessieren.
    Danke!

  12. Nö, ich bin seit fast 3 Monaten glücklich mit TrueCrypt in Kombination mit BartPE und Snapshot. Hab schon mehrfach gesichert und wiederhergestellt – keine Probleme bisher. Die Snapshot Lizenz war es auf jeden Fall Wert!

Bevor du deinen Kommentar abschickst:
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.