Dies ist Teil 2 meiner Truecrypt-How-To's.
Die Einführung Teil 1 findet ihr hier:
Ziel dieses How-To's ist es, die Systempartition oder -Festplatte seines PC's so zu verschlüsseln, dass unberechtigter Zugriff auf das Betriebssystem unmöglich wird.
Generell hinterlässt die Benutzung eines Truecrypt-Containers, wie er in Teil 1 erklärt wird keine Spuren auf dem System - die Nutzung der Daten oder Programme in diesem Container aber unter Umständen schon. Eine Systemverschlüsselung schließt diese Lücke und macht z.B. das Auslesen von Daten in der Auslagerungsdatei und das Besichtigen des Browser-Cache und der Verläufe unmöglich. Da das System ohne Password nicht startet, wird auch die Installierung eines Keyloggers erheblich erschweret.
-) Vorbereitungen&Voraussetzungen:
-Ein CD/DVD-Brenner
-je nach Größe der Systemplatte: einige Geduld
-How-To Teil 1 zumindest lesen!
Truecrypt wird eure Systempartition mit einem oder mehreren Algorithmen eurer Wahl verschlüsseln, und zwar vollständig, freien Speicherplatz ebenso wie belegten.
Ein wichtiger Bestandteil von Truecrypt ist der sogenannte Bootloader. Ein Bootloader ist der Code, der vor dem Start eines Betriebssystem geladen wird und das Starten von Windows erst möglich macht. Bei Truecrypt sorgt der Bootloader für die Passwort-Eingabemaske beim Starten.
Um zu verhindern, dass durch eine Beschädigung dieses Bootloaders das System unbenutzbar wird, erzwingt Truecrypt die Erstellung einer CD, mit deren Hilfe sich der sogenannte Header der Verschlüsselung wiederherstellen lässt (dies umgeht aber keine Passworteingabe!). Das Programm erstellt ein .iso-Image, welches dann auf CD /DVD gebrannt wird (mit Windows7-Bordmitteln, etc).
Im Fall einer Beschädigung kann also mit dieser Rettungs-CD ein funktionsfähiger Bootloader wiederhergestellt werden.
Bei Passwordänderungen muss das .iso und die Rettungs-CD neu erstellt werden.
Achtung: Die Rettungs-CD kann das Passwordeingabe nicht umgehen, sondern nur die Eingabemöglichkeit im Fall von Beschädigungen wieder benutzbar machen!
Durchführung:
(Ich gehe von der englischen Sprachwahl aus):
Dauerhaftes Entschlüsseln des Systems:
Die entsprechende Option in Truecrypt auswählen: "System-> Permanently decrypt System partition/drive" und das Programm arbeiten lassen.
Achtung: Durch die Komplettverschlüsselung wird eine Datenrettung im Fall anderer Computerprobleme massiv erschwert. Spätestens jetzt solltet ihr von allen Daten, die euch lieb sind, Backups auf einer seperaten Festplatte besitzen! Natürlich sollten die Backups ebenfalls auf einer verschlüsselten Platte oder in einem Truecrypt-Container liegen.
Es gibt Möglichkeiten, die Sicherheit von Truecrypt zu umgehen. Dazu zählen vor allem lokal angebrachte Hardware-Keylogger und das lokale Manipulieren des Bootloaders. Soweit mir bekannt, ist für alle diese Möglichkeiten physischer Zugang zum Gerät, d.h. ein Einbruch in eure Wohnung nötig, Dies nur als Hinweis.
Am Ende ist Truecrypt auch nur so stark wie eure Bereitschaft, das Passwort nicht zu nennen.
Weblinks:
[1]: Passwort-Generator:
Truecrypt-Website:
Das offizielle Tutorial:
Der Unterbereich zur system encryption:
Wikipedia-Artikel:
Die Einführung Teil 1 findet ihr hier:
Ziel dieses How-To's ist es, die Systempartition oder -Festplatte seines PC's so zu verschlüsseln, dass unberechtigter Zugriff auf das Betriebssystem unmöglich wird.
Generell hinterlässt die Benutzung eines Truecrypt-Containers, wie er in Teil 1 erklärt wird keine Spuren auf dem System - die Nutzung der Daten oder Programme in diesem Container aber unter Umständen schon. Eine Systemverschlüsselung schließt diese Lücke und macht z.B. das Auslesen von Daten in der Auslagerungsdatei und das Besichtigen des Browser-Cache und der Verläufe unmöglich. Da das System ohne Password nicht startet, wird auch die Installierung eines Keyloggers erheblich erschweret.
-) Vorbereitungen&Voraussetzungen:
-Ein CD/DVD-Brenner
-je nach Größe der Systemplatte: einige Geduld
-How-To Teil 1 zumindest lesen!
Truecrypt wird eure Systempartition mit einem oder mehreren Algorithmen eurer Wahl verschlüsseln, und zwar vollständig, freien Speicherplatz ebenso wie belegten.
Ein wichtiger Bestandteil von Truecrypt ist der sogenannte Bootloader. Ein Bootloader ist der Code, der vor dem Start eines Betriebssystem geladen wird und das Starten von Windows erst möglich macht. Bei Truecrypt sorgt der Bootloader für die Passwort-Eingabemaske beim Starten.
Um zu verhindern, dass durch eine Beschädigung dieses Bootloaders das System unbenutzbar wird, erzwingt Truecrypt die Erstellung einer CD, mit deren Hilfe sich der sogenannte Header der Verschlüsselung wiederherstellen lässt (dies umgeht aber keine Passworteingabe!). Das Programm erstellt ein .iso-Image, welches dann auf CD /DVD gebrannt wird (mit Windows7-Bordmitteln, etc).
Im Fall einer Beschädigung kann also mit dieser Rettungs-CD ein funktionsfähiger Bootloader wiederhergestellt werden.
Bei Passwordänderungen muss das .iso und die Rettungs-CD neu erstellt werden.
Achtung: Die Rettungs-CD kann das Passwordeingabe nicht umgehen, sondern nur die Eingabemöglichkeit im Fall von Beschädigungen wieder benutzbar machen!
Durchführung:
(Ich gehe von der englischen Sprachwahl aus):
- Startet Truecrypt, klickt oben auf den Tab "System"->"Encrypt System Partition/Drive".
Wählt als Option "Normal". Auf die Möglichkeiten eines versteckten, verschlüsselten Betriebssystems werde ich hier nicht eingehen. - Area to Enrypt: Wählt die gewünschte Option. Sinnvoll ist die Verschlüsselung der gesamten Festplatte, sofern ihr nicht parallel mehrere Betriebssysteme verwendet.
- Encryption of HPA: betrifft meist Fertig-PCs a la Aldi-PC. Erklärung lesen! Wenn ihr euch nicht sicher seit, "no" wählen.
- Nächster Schritt: Wählt die Anzahl der Betriebssysteme.
- Verschlüsselungs-Algorithmus: unter Benchmark könnt ihr die Ver/Entschlüsselungsgeschwindigkeit der verschiedenen Optionen ansehen. Bedenkt, dass bei einer Komplett-Verschlüsslung ALLE Daten bei Bedarf erst entschlüsselt werden müssen! Bei exotischen Kombinationen (mehrere Algorithmen zusammen) kann dies zu verlängerten Ladezeiten führen. Im Normalfall liegt die Geschwindigkeit des Entschlüsselns weit über der Geschwindigkeit, mit der Festplatten lesen, daher ist kein Geschwindigkeitsverlust spürbar.
Ich empfehle, AES-only zu wählen. Dies ist der performanteste Algorithmus, der von modernen CPUs deutlich beschleunigt wird. - Nächster Schritt: Password wählen: Dies ist die mit Abstand wichtigste Option, euer System abzusichern. Nehmt NICHT den Namen eines Haustiers, NICHT das Geburtsdatum von irgendjemandem, nicht eure Adresse mit PLZ! Wählt eine Kombination aus Buchstaben und Zahlen, sorgt dafür, dass Groß- und Kleinschreibung verwendet wird! Nehmt Sonderzeichen! Nehmt kein Password unter 20 Zeichen! Sinnvoll könnten die Anfangsbuchstaben eines jeden Wortes eines langen Satzes sein (Groß/Kleinschreibung, Satzzeichen und zahlen!). Anagramme sind NICHT sicher! Passwörter unter 6 Zeichen können innerhalb weniger Minuten bis Stunden durchprobiert werden (über diverse Programme) und bieten keinerlei Schutz. Verwendet kein Passwort, dass ihr für irgend etwas anderes benutzt!
Sorgt dafür,dass ihr das Password nicht vergesst. Ohne es kommt ihr nie wieder an die verschlüsselten Daten heran!
Am Ende gibt es den Link zu einem Passwort-Generator [1]. - Zufallsdaten sammeln: Bewegt die Maus im Feld so lange ihr sollt. Je länger, desto besser.
- Keys anschauen und lieb haben. Weiter klicken.
- Jetzt wird die eingangs erwähnte "Rescue Disk erstellt (als ISO-Image).
Dies ist zwingend, kann und sollte nicht ignoriert werden. Brennt diese CD nach der Erstellung des Images (Link zu einer Freeware wird angezeigt), danach wieder ins Laufwerk legen, damit ihre Integrität überprüft werden kann ( wäre ja dumm, wenn sie nicht funktioniert). Nach jedem Passwortwechsel (später nach der Verschlüsselung durchaus möglich) muss eine neue Disk erstellt werden, da diese Teile des Keys enthält (erzeugt durch euer Password, erlaubt aber kein "Hacking" eures Passworts!). - Nächster Schritt: Entscheidet, ob ihr den "Wipe"-Modus verwenden wollt. Dieser überschreibt die leeren Teile der Festplatte nach eingestellten Methoden, um forensische Untersuchungen unmöglich zu machen. Je mehr Durchläufe stattfinden, desto länger dauert der ganze Prozess! Dies kann bei großen Festplatten mehrere Tage dauern.
Der Wipe-Modus ist wenn überhaupt bei bereits länger benutzten System sinnvoll, nicht bei frisch gekauften Festplatten. - Nächster Schritt: Ein Test wird durchgeführt, indem der PC neu gestartet, der Truecrypt-Bootloader installiert und euer Password abgefragt wird.
Wenn etwas davon fehlschlägt startet das System auf Tastendruck normal und entfernt den Bootloader. - Wenn alles gut läuft, startet der PC nach Eingabe des Passworts und beginnt nach mehreren Hinweistexten (wenn möglich diese ausdrucken) mit der Verschlüsselung. Diese wird sehr viel Zeit in Anspruch nehmen. ihr könnt währenddessen normal mit dem PC arbeiten, spielen, TV/Video schauen etc. Wenn der PC heruntergefahren werden muss, klickt auf "Pause" und fahrt dann herunter. Der Vorgang wird beim nächsten Hochfahren fortgesetzt.
- Beachtet, dass der Verschlüsselungsprozess jederzeit pausiert werden kann. Der PC muss also nicht die gesamte Zeitdauer durchgängig laufen!
Dauerhaftes Entschlüsseln des Systems:
Die entsprechende Option in Truecrypt auswählen: "System-> Permanently decrypt System partition/drive" und das Programm arbeiten lassen.
Achtung: Durch die Komplettverschlüsselung wird eine Datenrettung im Fall anderer Computerprobleme massiv erschwert. Spätestens jetzt solltet ihr von allen Daten, die euch lieb sind, Backups auf einer seperaten Festplatte besitzen! Natürlich sollten die Backups ebenfalls auf einer verschlüsselten Platte oder in einem Truecrypt-Container liegen.
Es gibt Möglichkeiten, die Sicherheit von Truecrypt zu umgehen. Dazu zählen vor allem lokal angebrachte Hardware-Keylogger und das lokale Manipulieren des Bootloaders. Soweit mir bekannt, ist für alle diese Möglichkeiten physischer Zugang zum Gerät, d.h. ein Einbruch in eure Wohnung nötig, Dies nur als Hinweis.
Am Ende ist Truecrypt auch nur so stark wie eure Bereitschaft, das Passwort nicht zu nennen.
Du hast keine Berechtigung, den Link zu sehen, bitte Anmelden oder Registrieren
.Weblinks:
[1]: Passwort-Generator:
Du hast keine Berechtigung, den Link zu sehen, bitte Anmelden oder Registrieren
Truecrypt-Website:
Du hast keine Berechtigung, den Link zu sehen, bitte Anmelden oder Registrieren
Das offizielle Tutorial:
Du hast keine Berechtigung, den Link zu sehen, bitte Anmelden oder Registrieren
. Sehr ausführlich und mit Screenshots jedes einzelnen Bildschirms versehen.Der Unterbereich zur system encryption:
Du hast keine Berechtigung, den Link zu sehen, bitte Anmelden oder Registrieren
Wikipedia-Artikel:
Du hast keine Berechtigung, den Link zu sehen, bitte Anmelden oder Registrieren
Zuletzt bearbeitet:
