Administrator Startseite

Apple

iOS, iTunes, Mac OS X

Entwicklung

BASIC, C und C++, Assembler, Batch & Shell, Bibliotheken & Toolkits, CSS, Datenbanken, HTML, IDE & Editoren, Installation, Java, JavaScript, KiXtart, Lizenzierung, Pascal & Delphi, Perl, PHP, Python, VB for Applications, Visual Studio, Webentwicklung, XML

Hardware

Benchmarks, Cluster, CPU, RAM, Mainboards, Drucker und Scanner, Festplatten, Raid, Grafikkarten & Monitore, LAN, WAN, Wireless, Multimedia & Zubehör, Notebook & Zubehör, Router & Routing, SAN, NAS, DAS, Server-Hardware, Sonstige Peripheriegeräte, Speicherkarten, Switche und Hubs

Internet

Blogs, CMS, Domain Registrierung, E-Books, E-Business, E-Mail, Flatrates, Hosting & Housing, Informationsdienste, Instant Messaging, Onlinedienste, SEO, Server, Soziale Netzwerke, Utilities, Webbrowser

Linux

Apache Server, Debian, Desktop, Netzwerk, OpenOffice, LibreOffice, RedHat, CentOS, Fedora, Samba, Suse, Tools & Utilities, Ubuntu, Userverwaltung

Microsoft

Exchange Server, Hyper-V, Installationsprobleme, Netzwerk, Office, Outlook & Mail, Systemdateien, Tools & Utilities, Userverwaltung, Visual Studio, Windows 7, Windows 8, Windows 10, Windows Phone, Windows Server, Windows Vista, Windows XP

Multimedia

Audio, Digitiales Fernsehen, Grafik, Icons, Schriftarten, Video

Netzwerke

Cluster, DNS, DSL, VDSL, Groupware, Grundlagen, ISDN & Analoganschlüsse, LAN, WAN, Wireless, Monitoring, Netzwerkmanagement, Netzwerkprotokolle, Router & Routing, TK-Netze & Geräte, UMTS, EDGE & GPRS, Voice over IP

Off Topic

Administrator.de Feedback, Humor (lol), Papierkorb

Sicherheit

Backup, Erkennung und -Abwehr, Firewall, Grundlagen, Informationsdienste, Rechtliche Fragen, Sicherheits-Tools, Tipps & Tricks, Verschlüsselung & Zertifikate, Viren und Trojaner

Sonstige Systeme

Google Android, MikroTik RouterOS, Novell Netware, Sun Solaris

Virtualisierung

Hyper-V, KVM, Vmware, Xenserver

Weiterbildung

Aus- und Weiterbildung, Ausland, Schulung & Training, Studentenjobs & Praktikum

Zusammenarbeit

Suche Projektpartner
Weniger Werbung?
Cover IT-Administrator
Sie ist aufwendig, kostet Geld und bringt in der Regel keinen unmittelbar sichtbaren Nutzen: Die Client-Security. Dabei ist das richtige Absichern von Rechnern für Unternehmen wichtiger denn je, nehmen doch zielgerichtete Angriffe auf Firmen immer weiter zu. Im Oktober dreht sich im IT-Administrator alles rund um den Schwerpunkt 'Client-Sicherheit & Management'. Darin erfahren Sie unter anderem, wie Sie dank Dateisystemverschlüsselung vertrauliche Daten schützen und mit ... mehr
Mitglied: apranet
21.02.2012 um 19:45 Uhr, 5314 Aufrufe, 17 Kommentare

GELÖSTFestplattenverschlüsselung

Hallo,
wie funktioniert eine Festplattenverschlüsselung z.B. von TrueCrypt oder safeguard easy (Pre-Boot Authentication) ?

Die Verschlüsselung dauert ca. einige Stunden (je nach HD Größe) und vor dem Hochfahren (nach dem BISO) gebe ich ein Passwort ein.
Und dann ist mein Betriebssystem wie vor der Verschlüsselung Einsatzbereit jeder könnte mit einem USB Stick oder über das Netzwerk zugreifen.
Ist die Festplatte dann nicht mehr verschlüsselt ? d.h. wird sie beim hochfahren entschlüsselt ? wieso dauert dann das beim ersten verschlüsseln so lange
und beim hochfahren nicht.
Mir ist schon klar das die Verschlüsselung beim Diebstahl was bringt aber was passiert da genau -
technisch gesehen. Wird beim hochfahren irgendwo ein flag gesetzt und dann ist die Platte entschlüsselt ?
Ist der Computer gesperrt, ist die Platte verschlüsselt ?

Ich würde mich sehr freuen, wenn mir jemand das verständlich erklären kann. Ich hane auch gegoogelt aber nichts gefunden bzw. nach Antworten.

Danke
Mitglied: LordGurke
21.02.2012 um 19:54 Uhr
Die Festplatte ist und bleibt verschlüsselt.
Bei der ersten VERSCHLÜSSELUNG dauert es halt ewig lange, weil alle Daten verschlüsselt werden müssen.
Beim Hochfahren werden aber natürlich nur die Teile von der Festplatte gelesen (und live entschlüsselt) die auch gebraucht werden, wie bei einer unverschlüsselten Festplatte auch.
Und es dauert natürlich deutlich weniger lange eine 200 KB große Datei zu entschlüsseln als 500 GB zu verschlüsseln face-wink
Bitte warten ..
Mitglied: apranet
21.02.2012 um 20:03 Uhr
d.h. wenn ich nach dem booten irgendeine Datei z.B. ein 12MB Bild öffne wird sie vor dem öffnen entschlüsselt !?
Und umso grösser die Datei desto länger dauert das entschlüsseln.
Deswegen kann das auch jemand über das Netzwerk machen, weil ich ja das Passwort vor dem Booten eingegeben habe.
Jetzt verstehe ich langsam.
Ich muss sagen dann ist die Performance bei meinem Rechner mit Truecrypt gut.
Bitte warten ..
Mitglied: LordGurke
21.02.2012 um 20:08 Uhr
Sie wird nicht vor dem Öffnen entschlüsselt, sondern live während sie von der Platte gelesen wird.
Deshalb gibt es bei halbwegs aktueller Hardware nur eher messabare Verzögerungen und nur leicht erhöhte Systemlast.
Bitte warten ..
Mitglied: apranet
21.02.2012 um 20:18 Uhr
Und wenn ich die Datei schließe, wird sie dann wieder verschlüsselt oder erst nach einer gewissen Zeit.
Bitte warten ..
Mitglied: ovu-p86
21.02.2012 um 20:25 Uhr
Hallo,

kleine Zusatz-Verständnisfrage:

Gibt es bei einem "Image-Backup" einer mit TrueCrypt verschlüsselten Boot-Partition
etwas zu beachten?

Mache meine Image-Backups i.d. Regel bei laufenden Windows mit entspr. Imageprogramm (Macrium Reflect).
Beim Rückspeichern lasse ich dann auch den alten MBR rückschreiben.

Da ich auch überlege auf meinem Notebook eine verschlüsselte Partition anzulegen, habe ich vorab folgende Fragen:
Kann man bei einer mit TrueCrypt verschlüsselten Boot-Partition auch so vorgehen?
Gibts da noch was zu beachten?



Gruß
Uwe
Bitte warten ..
Mitglied: LordGurke
21.02.2012 um 20:26 Uhr
Alle Änderungen an der Datei werden bereits verschlüsselt auf der Festplatte angelegt.
Du musst dir das etwa so vorstellen: Zwischen der physikalischen Festplatte und dem Betriebssystem gibt es jetzt die Schicht "TrueCrypt". Wenn etwas von der Festplatte gelesen werden soll muss es erst durch TrueCrypt durch und wird dabei entschlüsselt, soll etwas auf die Platte geschrieben werden muss es auch erstmal durch TrueCrypt um verschlüsselt zu werden. Windows weiß garnicht, dass die Daten auf der Festplatte verschlüsselt sind face-wink
Da alle Daten durch TrueCrypt durch müssen, hast du niemals auf der Festplatte unverschlüsselte Daten liegen.
Bitte warten ..
Mitglied: apranet
21.02.2012 um 20:29 Uhr
Gute Frage.
Ich würde es auch so machen aber mit Drive Snapshot. Auf jedenfall komm ich mit dem Image an meine Daten ran.
Bitte warten ..
Mitglied: LordGurke
21.02.2012 um 20:30 Uhr
@ovu-p86: Ich kenne die Software nicht, weiß daher leider auch nicht wie sie genau arbeitet.
Allerdings wird die Software auch nur die unverschlüsselte resp. entschlüsselte Version der Festplatte sehen, wenn sie unter Windows ausgeführt wird - ergo wird sie auch die unverschlüsslten Daten ins Image schreiben.
Beim Zurücksichern hast du dann zwar den TC-Bootloader, der wird aber mit den unverschlüsselten Daten vermutlich wenig anfangen können.
Anders sieht es aus, wenn du ein Offline-Image erzeugst (also z.B. nach dem Boot von CD) - da habe ich zumindest mit Acronis-Images ein lauffähiges System problemlos zurücksichern können. Allerdings wie gesagt nur das Image, welches Offline angefertigt wurde.
Bitte warten ..
Mitglied: ovu-p86
21.02.2012 um 20:39 Uhr
Hallo maxi89,

jetzt wo du´s sagst, ist es natürlich einleuchtend.
Das heißt, es geht nur "Offline".
Weiß jetzt Bescheid. Danke.

(Übrigens "Macrium-Reflect leistet das gleiche wie Acronis. Ist nur nicht so überladen
und hat bei mir seit Jahren zuverlässig, ohne Komplikationen funktioniert )


Gruß
Uwe
Bitte warten ..
Mitglied: C.R.S.
21.02.2012 um 20:42 Uhr
Für die Festplattenverschlüsselung ist die logische Einheit "Datei" genau genommen nicht von Bedeutung.
Die Verschlüsselung erfolgt i.d.R. durch einen Filtertreiber zwischen Dateisystemtreiber und Volume-Management. D.h. unter Windows ist die Verschlüsselung schon für den NTFS-Treiber transparent, er liest also aus seiner Perspektive durch den Filtertreiber nicht anders als von einer unverschlüsselten Platte.
Der Filtertreiber seinerseits ver- und entschlüsselt sektorweise. Beim Lesen einer Datei werden vom Dateisystem die Sektoren, die von der Datei belegt werden, angefordert, vom Filtertreiber gelesen, entschlüsselt und geliefert. Diese Architektur ermöglicht daher auch Implementierungen, bei denen die Verschlüsselung an einer Sektorgrenze angehalten und später fortgesetzt werden kann.
Zudem ist die Anwendung eines bestimmten Algorithmus auf die Sektoreinheit für die kryptografische Stärke der Verschlüsselung entscheidend. Eine reine AES-Verschlüsselung verwendet für jeden Block denselben Schlüssel und führt innerhalb des Sektors eine Verkettungsoperation wie z.B. CBC aus. Daraus ergeben sich theoretische Angriffsmöglichkeiten gegen die Verschlüsselung, die sich vor allem auf der Vielzahl der gleichartig verschlüsselten Sektoren beruhen. Deshalb setzt bspw. Bitlocker noch einen Diffuser-Algorithmus ein, der mit einem individuellen Sektorschlüssel die AES-Verkettung weiter verschleiert.

Grüße
Richard
Bitte warten ..
Mitglied: ovu-p86
21.02.2012 um 21:34 Uhr
Hallo C.R.S,

interessanter Aspekt.

Da Trucrypt ja auch Verschlüsselungs-Kombinationen anbietet (ich aber nie verstanden habe was
dahintersteht), wäre ich dankbar, wenn du mal deine Meinung äußerst.

Welche Verschlüsselungsart / Kombination stellt den besten Kompromiss zwischen
Sicherheit und Komfort (Schnelligkeit) dar?


Als Verschlüsselungs-Algorithmen stehen zur Verfügung:

Name Rel. Geschw. MB/s
AES 173 MB/s
Twofish 105
Serpent 87
AES - Twofish 62
Twofish - Serpent 61
Serpent - AES 55
Serpent - Twofish - AES 38
AES - Twofish - Serpent 37
(die Geschw. sind natürlich relativ, geben aber die Tendenz an)

Als Hash-Algorithmen stehen zur Verfügung:
RIPEMED-160
SHA-512
Whirlpool

Eine Antwort wäre hilfreich.


Gruß
Uwe
Bitte warten ..
Mitglied: C.R.S.
23.02.2012 um 08:11 Uhr
Hallo Uwe,

im Gegensatz zu Bitlocker mit (AES-)CBC verwendet Truecrypt bei allen Algorithmen XTS als Verkettungsoperation. Alle Algorithmen haben 256 Bit Schlüssellänge.
XTS gilt als fortschrittlicher und sicherer als CBC und erfordert nativ einen zweiten 256-Bit-Schlüssel, so dass man den Sinn des Elephant-Diffusers mit Sektorschlüssel von Bitlocker als gleichwertig kompensiert ansehen kann.

Das Kaskadieren der drei Algorithmen bedeutet einfach, dass der Kryptotext des einen als Klartext in den anderen Algorithmus eingegeben wird. Dabei werden jeweils eigens aus dem Passwort und einem Salt generierte Schlüssel bzw. XTS-Schlüssepaare verwendet, also maximal 6 Einzelschlüssel. Das stellt kryptografisch natürlich eine Härtung dar. Praktisch sehe ich aber keine Notwendigkeit einer Kombination, da ein Angreifer aus dem headerlosen Trucrypt-Volume weder auf den Hash- noch auf den Verschlüsselungsalgorithmus schließen kann und zudem ein verstecktes Volume in Betracht ziehen muss.
Das wirtschaftliche Risiko eines sehr gezielten Angriffes auf ein Verfahren wäre bei den insgesamt 48 möglichen Kombinationen hoch. Man würde ihn daher vermutlich am gewöhnlichen Entschlüsselungsprozess von Truecrypt ausrichten, also von Anfang an alle Verfahrenskombinationen pro Schlüssel ausprobieren und eben nicht nacheinander die Schlüssel für jedes Verfahren. Solange der richtige Schlüssel nicht gefunden ist, ist dann der Zeitaufwand unabhängig vom Ziel gleich.

Grüße
Richard
Bitte warten ..
Mitglied: ovu-p86
24.02.2012 um 01:32 Uhr
Hallo Richard,

danke für die ausführliche Erklärung.
Das heißt, ich kann die komfortabelste, schnellste Lösung "AES" nehmen.
(Absolute Sicherheit gibts eh nicht)

Sollte ich das falsch verstanden haben, melde dich bitte nochmal.


Ansonsten, dank noch mal für die Erklärung.

Gruß
Uwe
Bitte warten ..
Mitglied: CrashOver
16.04.2012 um 13:27 Uhr
Hallo an alle,

ich will euch nicht enttäuschen mit der Software TrueCrypt und Festplatten verschlüsselung falls man so es nennen kann mit der Software.

Ich erkläre es ganz schnell:
TrueCrypt HD verschlüsselung = Erstellte Partition (versteckt) encrypted mit was ihr es wollt, wenn ich mit einer Linux Live CD die plötzliche angezeigte partition lösche =~ 9GB = Vollzugriff auf deine Dateien.

Ich sage es nur weill ich das schon offt gemacht habe wenn mal jemand das Passwort vergessen hat oder wenn ich einen neuen Betriesystem installieren will kann ich einfach Windows CD eingelegen partitionen löschen und neu installieren ohne das die Festplatte gesperrt wird.

ABER es gibt auch was Sicheres wenn man von Festplattenverschlüsselung redet. "Trusted Platform Module" oder Fritz Chip/TPM
Dieser verschlüsselung läuft über das BIOS (Ich meine nicht das BIOS admin Passwort) meine eine option "Festplattenverschlüssen" und kommt aus den frühren IBM Notebooks die Heute noch verwendet wird an DELL Notebooks und anderen marken (die mir bekann ist).
Also diese verschlüsselung wird nicht an eine versteckte partition gespeichert, es wird in den Chip Controller der Festplatte gespeichert (Das heisst, wenn das Passwort vergessen wird kannst es vergessen es selbst oder ein normalen IT-Fachmann darum betten auf deine daten zu greifen, nicht mal über linux kommst da drauf oder Festplatte in einen anderen Rechner / gerät anschliessen).

Wenn das Passwort vergessen wurde kann mann die nicht formatieren oder Daten wiederherstellen, und ich kenne keine leute / firmen (Es gibt warscheinlisch einige aber der spaß kostet viel geld) die sie entschlüsselt.

Die einzige möglischkeit die Festplatte zu entschlüsseln währe so ungefähr:

http://www.rkawakami.net/ibm_600x/bios_pass/

Also beim Kauf eines Notebook schauen ob das BIOS die Fesplatteverschlüsseln kann.

Grüße
Bitte warten ..
Mitglied: LordGurke
17.04.2012 um 00:36 Uhr
Ohne darauf weiter eingehen zu wollen:
a) Wenn das bei dir so funktioniert ist etwas beim Anlegen der verschlüsselten Partitionen schiefgelaufen oder der Verschlüsselungsvorgang wurde nie vollständig abgeschlossen - z.B. weil der Benutzer das System nur einmal die Woche für 30 Minuten einschaltet...
Abgesehen davon ist Festplattenverschlüsselung nichts für Menschen die dazu neigen in regelmäßigen Abständen ihr Passwort zu vergessen.

b) Was ist vertrauenswürdiger: Eine vom Festplattenhersteller implementierte On-Chip-Verschlüsselungstechnik die in chinesischen / thailändischen Werken gefertigt wird und von der niemand weiß ob es nicht vielleicht doch ein geheimes Master-Passwort gibt? Oder vielleicht doch lieber die stark verbreitete Software deren Quellcode jeder einsehen kann und wo du selbst prüfen kannst dass keine Backdoors drin sind?
Das mit dem löschen irgendeiner geheimen Partition kann ich zu 100% NICHT bestätigen - auch wenn ich mich fast schäme es überhaupt probiert zu haben ist dieses Verhalten nicht nachvollziehbar. Die gesamte Festplatte ist unlesbar, es wird nichtmal eine Partitionstabelle gefunden.
Ich bin gerne bereit meine Meinung zu ändern, wenn man mir Belege dazu vorlegt, sonst fällt es unter die Kategorie "Habe mal vom Schwager des Bekannten eines Arbeitskollegen vom Nachbarn der Freundin gehört..." und kursiert in Sachen Glaubwürdigkeit irgendwo zwischen Bild-Zeitung und dem Wahlprogramm der FDP.

c) Was du über TPM erzählst ist ja toll und innovativ - aber auch ich befinde mich im Besitz von Hardware die sowohl mit TPM-Chips als auch der Option der Festplattenverschlüsselung daherkommt. Es gibt jedoch etwas, das mich stört - was mache ich mit den Daten auf der Festplatte wenn die Hardware drumherum mal über die Wupper geht? Da es sich um ein Notebook handelt welches mitgenommen werden will kann ich nur selten Datensicherungen vor Ort fahren und würde unter Garantie genau die Daten verlieren die ich gerade dringend brauche.
Bei Truecrypt baue ich die Festplatte halt aus und lese sie an einem anderen Rechner mit dem richtigen Passwort aus...
Bitte warten ..
Mitglied: CrashOver
17.04.2012 um 21:28 Uhr
Hallo maxi89,

Gibst da gute gründe wegen der Verschlüsselung,

- aber wenn ich die Festplatte verschlüssele mit TrueCrypt wird die ganze Festplatte verschlüsselt (im boot menu taucht nicht die möglischkeit "Esc" zu drücken um mit dem System fort zu setzen);

- Wenn man was haben will man hat es komplet verschlüsselt oder nicht verschlüsselt;
- Ich muss nicht nachweisen wie das gemacht wird oder es dir es prüfen das es geht;
- Als System Administrator SOLLTET MAN die Software die man anwendet gut kennen so wie auch wie sie arbeitet;

Falls du mich fragst ob die Verschlüsselung methode TMP-Chips oder TrueCrypt vertraue, sage icht dir gleich nein;
Das mit dem controller/ CHIP ausfall hast meine 100% zustimmung wo ich lieber TrueCypt software nehmen würde da habe ich eine größere Sicherheit auf meine daten zugreifen.

Wenn du mich fragen würdest welsche methode ich nehmen würde für mich ich sage es dir TPM (können wir sagen erfahrung, geschmack oder wille).

zu dem passwort vergessen und viele anderes zeug, sag man aus meiner zeit von der Schule "90% der IT-Probleme liegen vor dem PC".

Wir könnten hier unsere erfahrungen austauchen, jeder wendet an was er es für richtig hält, zum glück gibt es viele software für jeden geschmack und ziel.

Grüße
Bitte warten ..
Neuester Wissensbeitrag
Microsoft
Information: Hallo Administrator User, für IT-Professionals und Softwareentwickler im Microsoft-Umfeld bieten sich derzeit viele interessante Themen: Cloud OS, Big Data, Enterprise Mobility Suite, BYOD, Cloud-Umgebungen oder die neuesten Windows- ... von Frank, in Microsoft
Diese Inhalte könnten dich auch interessieren
Verschlüsselung & Zertifikate
Frage: Hallo zusammen, ich habe ein EliteBok 8770w von HP und möchte gerne die Festplatte verschlüsseln. Wie es mir scheint, habe ich da 3 Möglichkeiten: 1. Die SSD ist ... von MaximilianMaier, in Verschlüsselung & Zertifikate
Heiß diskutierte Inhalte
Hardware
Frage: Hallo, ich bin ein kleiner Tüftler und baue mir gerne aus SEHR alter Hardware Computer zusammen. Jetzt habe ich wieder alle Teile zusammen und habe ihn schon zusammengebaut ... von DasJulian, in Hardware
iOS
Frage: Ich habe ein exchange Email Konto auf dem iPhone angelegt.jetzt kommt immer die Meldung das die Account Infos nich überprüft werden konnten und es kommt die Meldung das ... von Karin1981, in iOS
Notebook & Zubehör
Frage: Hallo Ist eines dieser Laptops zu empfehlen: Acer Aspire E5-731-P26N und Acer Aspire E5-571-36CL beides bei Amazon zu finden: Suche kein Gaming Notebook,für Unterwegs gedacht, da ich einen ... von ThierryHenry, in Notebook & Zubehör
Aus- und Weiterbildung
Frage: Hallo liebe Gemeinschaft, ich bin gelernter "Elektroniker/in für Informations- und Systemtechnik" und überlege den Meister für Informationstechnik zu machen. Nun habe dazu folgende Fragen: Wie sehen "derzeit", sowie ... von Joby-Jim, in Aus- und Weiterbildung
Office
Frage: Hey Leute, Eine Frage; wie kann ich in Excel eine Summe herausfinden? Sprich ich habe : Summe 1: 6.081,45 € Summe 2: 10.513,64 € und folgende Zahlen zur ... von Questionmark93, in Office