Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Notebook Sicherheit - Truecrypt Full Disk Enryption oder nur HDD Passwort?

Frage Sicherheit Verschlüsselung & Zertifikate

Mitglied: chgr

chgr (Level 1) - Jetzt verbinden

09.02.2011 um 13:51 Uhr, 5526 Aufrufe, 12 Kommentare

Hallo zusammen,

ich möchte mein Windows XP Notebook (Core i3 M350, 2 GB RAM) bzw. die Daten darauf schützen.
Ich reise viel und bei Verlust möchte ich die Daten nicht gleich "öffentlich" wissen.

TrueCrypts Full Diskencryption scheint mir interessant. Ich bin allerdings nicht sicher ob das im Betrieb auch einigermaßen schnell und zuverlässig läuft.

Alternativ würde ich "nur" ein HDD Passwort setzen, wie ich es bisher mache. Ist das denn leicht zu knacken/entfernen?
Kann "einfach" der Controller der HDD gegen einen ohne Passwort getauscht werden?

Was sind eure Erfahrungen?
Mitglied: Phalanx82
09.02.2011 um 15:05 Uhr
Hallo,

ich rate dir zu Truecrypt. Das läuft stabil und schnell genug für so ziemlich alles
was man machen möchte.

HDD PW lässt sich umgehen, zwar nicht mit 1 oder 2 Mausklicks, aber Truecrypt bekommste
nicht geknackt sofern dein PW ausreichend stark gewählt ist.


Mfg.
Bitte warten ..
Mitglied: chgr
09.02.2011 um 15:16 Uhr
Danke für den Tipp. Welche Verschlüsselungsart sollte ich bei Truecrypt Full Disk Enryption optimalerweise denn wählen? (Sicherheit vs Performance?)

Kann es denn sein, dass z.B. Virenscanner und Truecrypt sich gegenseitig beeinflussen oder läuft Truecrypt noch "tiefer"`im System als der Virenscanner?

Noch zum HDD Passwort: Lässt sich das denn per Software aushebeln oder braucht es zumindest einen Hardwareumbau an der HDD selbst, dann würde ich ggf. die Gefahr eingehen?
Bitte warten ..
Mitglied: brammer
09.02.2011 um 16:40 Uhr
Hallo,

beim Festplattenpasswort kommt es auf die Passwort Länge an!

Hier ein Auszug aus einem Artikel (linkn am Ende)

Rechenbeispiel: Ein 6-stelliges Passwort in 6,8 Sekunden Gehen wir davon aus, dass Ihr Passwort die durchschnittliche Länge von 6 Zeichen hat und - wie oft der Fall - nur aus Kleinbuchstaben besteht. Das bedeutet, es kann aus 26 verschiedenen Zeichen bestehen, was bei 6 Zeichen Passwortlänge insgesamt 308.915.776 (also fast 309 Millionen) Kombinationen zulässt. Das hört sich zunächst nach sehr viel an, doch sind beispielsweise mit dem handelsüblichen Core 2 Quad Q6600, der auf 3 GHz übertaktet wurde, 45.423.600 Tastenanschläge pro Sekunde möglich. Schwächere CPUs mit weniger Kernen erreichen leicht immerhin die Hälfte davon. Für das 6 Zeichen lange Kennwort benötigt die Quad-CPU lediglich 6,8 Sekunden. Besteht Ihr Kennwort aber aus Klein- und Großbuchstaben und Zahlen, gibt es bei 6 Zeichen schon 56.800.235.584 Kombinationsmöglichkeiten. Um das Passwort zu knacken rechnet die Quad-CPU jetzt rund 21 Minuten. Bei 7-stelligen Passwörtern werden aus den 21 Minuten fast 22 Stunden. Für 8 Zeichen würde unsere Quad-CPU fast 2 Monate brauchen; für 10 Zeichen fast 600 Jahre. Sonderzeichen und jede weitere Stelle verlängern die Berechnung um ein Vielfaches. Warum Brute-Force trotzdem immer beliebter wird Rechner werden immer schneller und stemmen die Berechnungen in immer kürzerer Zeit. Außerdem geht der Trend hin zu Grafikkarten, die diese Aufgabe noch schneller erledigen. Zudem stellt unsere Rechnung nur die maximale Berechnungsdauer dar, wenn also die gesuchte Kombination zufällig die letzte aller berechneten Möglichkeiten ist. Der Zufall könnte bereits die erste berechnete Kombination zum Volltreffer werden lassen, was allerdings extrem unwahrscheinlich ist.

http://www.pcwelt.de/ratgeber/So-lange-dauert-das-Passwort-Knacken-Ratg ...

brammer
Bitte warten ..
Mitglied: Phalanx82
09.02.2011 um 16:41 Uhr
Zitat von chgr:
Danke für den Tipp. Welche Verschlüsselungsart sollte ich bei Truecrypt Full Disk Enryption optimalerweise denn
wählen? (Sicherheit vs Performance?)

Kann es denn sein, dass z.B. Virenscanner und Truecrypt sich gegenseitig beeinflussen oder läuft Truecrypt noch
"tiefer"`im System als der Virenscanner?

Noch zum HDD Passwort: Lässt sich das denn per Software aushebeln oder braucht es zumindest einen Hardwareumbau an der HDD
selbst, dann würde ich ggf. die Gefahr eingehen?

Hallo nochmal,

TC läuft transparent im Hintergrund, keine Software (nichtmal Windows) bekommt davon etwas mit, somit ergeben sich
auch keine Probleme mit Virenscannern etc.

Zum HDD PW: Nein Hardware muss da nicht umgebaut werden, es reicht ggf. ein physikalischer Zugriff auf die Platte (ausbauen)
und ein Hex Editor sammt nötigem Know How um das ganzen auszuhebeln.


Mfg.
Bitte warten ..
Mitglied: chgr
09.02.2011 um 16:54 Uhr
Zitat von Phalanx82:
Hallo nochmal,

TC läuft transparent im Hintergrund, keine Software (nichtmal Windows) bekommt davon etwas mit, somit ergeben sich
auch keine Probleme mit Virenscannern etc.

Zum HDD PW: Nein Hardware muss da nicht umgebaut werden, es reicht ggf. ein physikalischer Zugriff auf die Platte (ausbauen)
und ein Hex Editor sammt nötigem Know How um das ganzen auszuhebeln.


Mfg.

Also dass ein HexEditor für das HDD PW ausreicht erschreckt mich etwas

Wie läuft denn TC dann im Prinzip, wenn nicht mal Windows was merkt, ich dachte das liefe als Dienst unter Windows? Oder ist das ein anderer Modus bei Fulldiscenryption?

EDIT: Habe ich denn bei TC Fulldisk Enryption die Möglichkeit, einen USB Stick mit einer Keyfile zu nutzen, als Ergänzung zu einem Passwort?
Bitte warten ..
Mitglied: Phalanx82
09.02.2011 um 17:01 Uhr
Schau dir mal die Doku zu TC an, dort steht alles drin was du wissen willst (und musst).

Habe leider keine Zeit (und werde auch nicht dafür bezahlt, dir die Funktionsweise von TC
im Detail zu erleutern).

Naja einfach so mit dem Hex Editor rumbasteln ist es nicht, nur prinzipiell stark vereinfacht ;)
Du brauchst schon die richtigen Disk Tools dafür, die bekommt man aber, das Wissen um es
zu machen weniger einfach.

Aber wir reden hier ja nicht von Scriptkiddys gegen die man den Platteninhalt absichern will,
sondern über Profis, die wissen was sie tun, dafür gibts ja die Verschlüsselung.

PS: Eine Disk Encryption läuft im "XTS" Modus.


Mfg.
Bitte warten ..
Mitglied: DerWoWusste
12.02.2011 um 16:13 Uhr
"Lässt sich das denn per Software aushebeln oder braucht es zumindest einen Hardwareumbau an der HDD selbst, dann würde ich ggf. die Gefahr eingehen?" - Wenn es denn keine neuartige Plattenverschlüsselung ist, wie die von seagate, FDE genannt, dann schließt ein Angreifer die Platte an einen speziellen Adapter an und ist blitzschnell drauf - diese Adapter sind nicht sonderlich bekannt, aber erschreckend günstig: 80€.
Seagates FDE hingegen ist sicher und auch die Amis im DOD benutzen es.
Also: schau erst mal, mit welcher Platte Du es zu tun hast.

Zur Kennwortlänge bei Truecrypt: ich fürchte, Brammer schüchtert mit seinem Artikel zur Knackbarkeit von Windowskennwörtern unnötig ein, da die Angriffstechniken vermutlich nicht die selben sind, oder weißt Du da mehr, Brammer?
Jedenfalls bietet truecrypt keine 2-factor-Authentifizierung an mit USB-stick oder was auch immer - Kennwort muss reichen.
Bitte warten ..
Mitglied: chgr
13.02.2011 um 11:07 Uhr
Zitat von DerWoWusste:
"Lässt sich das denn per Software aushebeln oder braucht es zumindest einen Hardwareumbau an der HDD selbst, dann
würde ich ggf. die Gefahr eingehen?" - Wenn es denn keine neuartige Plattenverschlüsselung ist, wie die von
seagate, FDE genannt, dann schließt ein Angreifer die Platte an einen speziellen Adapter an und ist blitzschnell drauf -
diese Adapter sind nicht sonderlich bekannt, aber erschreckend günstig: 80€.
Seagates FDE hingegen ist sicher und auch die Amis im DOD benutzen es.
Also: schau erst mal, mit welcher Platte Du es zu tun hast.

Also es ist keine Hardwarebasierte Verschlüsselung der HDD verfügbar, nur das "normale" HDD PW über BIOS administriert.
Die Adaptersache hört sich nicht wirklich gut an, ja.

Wie sieht es denn mit der Windows Funktion (GPO) zur Verschlüsselung der Offlinedateien aus? Da die meisten wichtigen Daten bei mir Offlinedateien sind, würde ich das einfach aktivieren.

Ich nehme natürlich an, dass das nicht so sicher ist wie Truecrypt, da Pagefile etc. nicht verschlüsselt werden, aber wie seht ihr das mit Blick auf die Verschlüsselung selbst, gilt das als sicher oder ist das nur Fassade?
Bitte warten ..
Mitglied: brammer
13.02.2011 um 13:03 Uhr
Hallo,

@DerWoWusste
Sicher dienen solche Artikel zu einem Teil auch der Einschüchterung. Meine Eigentliche Absicht war aber das Sensibilisieren.
Ich sehe immer wieder das Mitarbeiter die Zugriff auf sensible System habe immer noch das Standardpasswort benutzen welches bei Auslieferung voreingestellt war.
Es werden Passwortlängen vorgegeben mit 6 Buchstaben. Laufzeit 90 - 120 Tage. Ohne Wörterbuch Einschränkung.
Das führt den Begriff Datenschutz ad absurdum.
Das Schlimmste das ich je erlebt habe war eine extrem gehäufte Passwort Zurücksetzung in einem Unternehmen in Berlin. Nicht die üblichen 5 -6 Passwort Problem am Tag sondern gleich dutzende Passwörter an einem normalen Wochentag. Das ganz konzentriert auf einen Gebäude Bereich. Ursache dafür war eine am Vortag abgehängte Werbetafel mit nur einem Wort. Diese Werbetafel war auch nur von diesem Gebäude Bereich aus zu sehen, oder eben jetzt nicht mehr zu sehen.
Diese und andere Vorfälle führen dazu das ich im Umgang mit Passwörtern mehr als sensibel bin.
Obwohl ich bei uns im Hause nicht in der Internen IT arbeite habe ich Administrative Rechte und mit unserer IT inzwischen die Absprache das ich nicht gesperrte Rechner nicht nur sperren darf sondern auch deren Passwort ändern darf. Dafür habe ich inzwischen manche Tüte Gummibärchen, Kuchen und ähnliches einkassiert.

Insbesondere bei der Anwendung von Closed Source oder schwachen Algorithmen reagiere ich daher oft eher drastisch.

Ein Passwort einer Festplatte zu knacken ist je nach Impmentierung eine Sache weniger Minuten oder Stunden.
Truecrypt gilt, nach meinem Wissen, als bisher, mit vernünftigen Mitteln in vertretbarer Zeit als nicht zu knacken.
Viele Hersteller implementieren immer noch Closed Source oder schwache Algorithmen, daher rate ich von solcher Software immer ab.

Truecrypt ist für mich das Mittel der Wahl bei Laptops der aktuellen Generation, ältere Laptops haben Probleme mit Treucrypt wegen der Performance.

Der TO will Daten schtützen, er ist viel unterwegs und macht sich Gedanken über den Schutz seiner Daten.
Wieso sollte man hier nicht zum erprobten Platzhirsch raten?

Wenn ich die Seagate FDE auf die schnelle richtig lese:

A quick glance on the
Internet shows scanner models with capabilities
ranging from 30 to 100,000 enrollees. This
translates to approximately 2^5 (5 bits) to 2^17
(17 bits). If you combine the best (17 bits) with a
good 10-character randomly generated password
(80 bits) you have a combined strength for your
authentication password of 97 bits. Keep in mind
that most BIOSs do not support this length of
authentication key, and so this 97-bit authentication
key will be reduced to some smaller number.
Quelle in den PDFs rechts

kann ich die 256 Bit AES Verschlüsselung nicht einsetzen da die meisten BIOSe bereits mit einem 10 stelligen Passwort überfordert sind.
Bei 10 Stellen bleiben 97 Bit übrig.
Ob man das selber noch als Sicher betrachtet muss jeder selber entscheiden.

brammer
Bitte warten ..
Mitglied: DerWoWusste
13.02.2011 um 16:21 Uhr
Moinmoin Brammer.

Da hast Du ja eine Menge geschrieben. Ich bin auch für Truecrypt hier, keine Frage. Nur wäre mir (falls es vorhanden gewesen wäre) FDE sicher genug gewesen. Nach Deiner Rechnung (mit Quadcore Q6600 bei ca. 45 Mio Kennwörtern/s) braucht man selbst für 80 Bit ja noch Millionen von Jahren.
Ich kenne mich mit Bruteforce-techniken nicht aus und habe nur angezweifelt, dass diese Rechenbeispiele anwendbar sind (weil ich es nicht besser weiß). Ist es also möglich, gegen ein TC-Kennwort ebenso schnell wie gegen einen Kennworthash, wie ihn frühere Windowsversionen abgelegt haben (und ein Admin ihn auslesen konnte) "anzurechnen"? Das weiß ich nicht und hatte dazu eine Antwort erhofft.

Obwohl ich bei uns im Hause nicht in der Internen IT arbeite habe ich Administrative Rechte und mit unserer IT inzwischen die Absprache das ich nicht gesperrte Rechner nicht nur sperren darf sondern auch deren Passwort ändern darf.

Dazu brauchst Du Rechte im AD - die hast Du, ohne überhaupt in der IT zu arbeiten? Das sind ja Sitten ;) Respekt.
Bitte warten ..
Mitglied: DerWoWusste
13.02.2011 um 16:24 Uhr
Wozu nur die Offlinedateien verschlüsseln? Das reicht nicht. Nimm einfach Truecrypt und gut. Die Performanceverluste merkst Du in der Regel nicht einmal.
Bitte warten ..
Mitglied: brammer
13.02.2011 um 18:01 Uhr
Hallo,

@DerWoWusste
Da ich Netzwerke für unsere Kunden konzipiere muss ich Adminrechte haben. Bei uns gibt es eine interne IT und eine für unsere Kundenprojekte. Daher die Rechte.
Da ich dazu auch AD user anlegen muss geht es nicht anders.

Brammer
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Sicherheitsgrundlagen
gelöst Admin Account ohne Passwort Sicherheit (14)

Frage von garack zum Thema Sicherheitsgrundlagen ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...