Frage zu Truecrypt und Verschlüsselung der gesamten Platte

[Chibi88]

Hallo ,

ich habe mich dazu entschieden, meine Festplatte komplett mit Truecrypt zu verschlüsseln.

Ich besitze nur eine Festplatte, habe aber 2 Partitionen drauf. Auf dem einen ist mein Betriebssystem, Programme, Spiele installiert und auf dem anderen habe ich Sicherungen gespeichert.

Im Truecrypt Handbuch habe ich gelesen, dass man die Platte ganz verschlüsseln sollte und nicht nur die "Startpatition" - encrypt whole disc. Vorallem bei Windows 7. Schön und gut, aber wie sieht das denn aus, wenn ich nun die Platte komplett verschlüssel, also "encrytpt whole disc wähle, aber meine andere Partition, wo meine Sicherungen drauf sind, seperat verschlüsselt worden ist? Gibt es da Probleme und wird die Sicherungspartition mit der neuen Verschlüsselung überschrieben und möglicherweise nicht mehr nutzbar sein?

Liebe Grüße
Chibi88

 

[ryan_blackdrago]

Bei der Verschlüsselung wird die ganze Platte (sprich : sämtliche Partitionen der Platte) mit verschlüsselt.
Anleitung : http://www.fixmbr.de/truecrypt-anleitung-verschlsselung-der-systempartition/
Innerhalb der Partition könnten wieder Contaierdateien erstellt werden. Sollte daher auch andersrum auch funktionieren?! Um sicher zu gehen => Decrypt Partition und einen encrypt auf die gesamte Platte danach ausführen.

 

[Chibi88]

Kann die Partition mit den Sicherungen nicht entschlüsseln? Bekomme die Meldung "Die Systempartition/ das Systemlaufwerk ist offenbar nicht verschlüsselt (weder teilweise noch vollständig).

 

[ryan_blackdrago]

https://www.computerbase.de/forum/threads/truecrypt-festplatte-wieder-entschluesseln.393377/

 

[Chibi88]

Okay, die von dir verlinkte Lösung funktioniert .

Wie sieht das denn nun mit der Sicherheit aus, wenn ich unter Truecrypt nur die Windows Startpatition verschlüssel und die andere so belasse? Ich möchte mit der anderen Partition, die verschlüsselt ist, eine Sicherung besitzen, worauf ich zugreifen kann um nicht jedes Mal DvD's oder CD's zu verschwenden, wenn ich mal was sichern möchte. Ist es unsicherer als "encrypt the whole drive"? Wenn ja, wieso? Windows kann ja nur von der Windows Partition starten, richtig?

 

[Alrik]

Wenn ich dich richtig verstehe willst du die zweite Partition dann unverschlüsselt lassen?
Darauf kann dann jeder zugreifen, der an deinen Rechner kommt, z.B. mit einer Linux Live CD, USB Stick...

 

[Chibi88]

Ich habe ja zwei Partitionen. Auf der einen, C, ist mein Windows Ordner, wovon gestartet wird. Auf der anderen ist nichts außer meinem Backup mit Musik, Programmen etc. Die zweite Partition, wo meine Programme drauf sind und welche nicht bootfähig ist, ist mit Twofish verschlüsselt. Die andere, wovon gestartet wird, also mit dem Windows Ordner, ist unverschlüsselt.

Jetzt wollte ich meine C Partition mit dem Windowsordner auch noch verschlüsseln. Wenn ich das nicht ganz verpeilt habe und falsch verstanden habe, muss ich unter Truecrypt auf "Windows Start Partition verschlüsseln" anstatt auf "Die gesamte, encrypt the whole drive, Partition verschlüsseln". Ich wollte jetzt wissen, wie das mit der Sicherheit ist. Ich habe im Internet gelesen, dass man, wenn man denn mit Truecrypt eine Komplettverschlüsselung vornimmt, die gesamte Platte verschlüsseln sollte. Jetzt habe ich ja nur meine Backup Partition verschlüsselt und weiß nicht, wie das mit der Sicherheit ist, wenn ich nur "Die Startpartition verschlüsseln" wähle. Kann ich die ohne großen Sicherheitsverlust verschlüsseln?

Außerdem: Wie kann man denn per Linux live CD auf die Partition zugreifen, wenn sie nicht startfähig ist?

Ums einfacher zu formulieren: Ist es möglich die Windows Startpartition zu verschlüssen und parallel dazu eine andere Verschlüsselung aktiv zu haben, wie in meinem Fall z.B die Partition, wo das Backup drauf ist, ohne das dort, wenn ich die Startpartition verschlüssel, Daten gelöscht werden?

 

[feivelda]

Also, natürlich ist es kein Problem, Teile des Systems unverschlüsselt zu lassen.
Besonders solltest du dir vorher schon mal Gedanken darüber machen, ob und wieso du die Verschlüsselung brauchst. Weil du musst dir im Klaren darüber sein, dass du Sicherheitskopien anlegen musst. Ist der Header und der Sicherungsheader zerstört oder sonst ein Teil der Platte defekt oder du vergisst das Passwort/verlierst die Schlüsseldatei, sind die Daten weg. Futsch. Keine Chance mehr, dranzukommen.
Selbiges gilt dann auch in Verbindung mit einer LiveCD (ob nun Linux, BSD oder BartPE ist da egal).
So lange alles in Ordnung ist, kannst du eine LiveCD benutzen, um auf die Daten zuzugreifen. Vorraussetzung ist, dass Truecrypt darauf installiert ist. Mir fällt jetzt keine ein, aber ein Ubuntu kann man meist modifizieren und dann neu brennen.

Um dein Problem jetzt genau zu beantworten: Verschlüsselst du die Systempartition, musst du vor dem Bootloader von Windows schon das Passwort eingeben. Hier musst du vorsichtig sein, wenn du auf der selben Platte Grub installierst, damit er dir den Truecrypt Booloader nicht aus dem MBR wirft. Da bin ich mir aber nicht sicher, deshalb solltest du diesen Fall separat prüfen, falls die Notwendigkeit besteht.
Wenn du dann zum Start das richtige Passwort eingibst, fährt Windows hoch und du merkst keinen Unterschied zu einem unverschlüsselten System. Jedoch wirst du für die zweite Platte das Passwort getrennt eingeben müssen.
Die Sicherheit ist gleich, ob du nun die Partition normal oder als Systempartition verschlüsselst.

Noch zu deiner Nachfrage: Die zwei verschlüsselten Partitionen sind verschlüsselte Container. Diese beeinflussen sich nicht.

 

[Chibi88]

Danke! Gut und ausführlich erklärt

Ich hätte da noch eine Frage zur Passwordsicherheit: Gehen wir mal davon aus ich hätte ein 20 Zeichen + Password. Dieses besteht teils aus Zahlen, Buchstaben (Groß -und klein) sowie Sonderzeichen. Ein Wort wäre z.B auch drin enthalten. In wie weit beeinflusst das die Sicherheit, wenn ein Teil des Wortes bekannt ist, der Rest aber nicht?

 

[feivelda]

So weit ich weiß, versuchen die meisten Wörterbuchangriffe die Worte selbst und dann mit 1 und 2 Zeichen davor und/oder dahinter. Wenn ich aber zum Beispiel wüßte, dass ein Wort im Passwort in seiner Buchstabenfolge versteckt ist, würde ich den Algorithmus natürlich entsprechend abändern. Weiterhin ist natürlich die Sprache des Wortes mitentscheidend. Bei einem Passwort von einem Deutschen würde wahrscheinlich so schnell keiner ein südafrikanisches Wort erwarten.
Für eine reine Brute-Force Attacke ist das Wort an sich auch egal. Vorraussetzung dafür ist natürlich wieder, dass die Position im Wort nicht bekannt ist, sonst wäre eine Vereinfachung der Brute-Force für diese Stelle möglich.