TrueCrypt Container vs. komplette Verschlüsselung

[Flintstone555]

Hab mich mit dem Programm schon etwas auseinander gesetzt.
Bei mir sind noch folgende Fragen offen:

1. Wenn ich den Inhalt einer Festplatte mit 500 GB verschlüsseln möchte, wo ist der unterschied ob ich nen Container mit 500 GB anlege oder ob ich die gesamte Platte verschlüssel? Was ist bei einem solchen Vorhaben zu empfehlen?

2. Als Encryption Alg. wollte ich AES nehmen. Welchen Hash Alg. soll ich verwenden? Bedeutet das 512 sicherer als 160 ist?

3. Welche Probleme könnten auftreten, wenn ich so viele Daten verschlüsseln möchte? Wenn ein kleiner Teil der Festplatte physikalisch beschädigt wird, kann ich dann auf keine Daten mehr zugreifen oder nur auf den betroffenden?

 

[~Lunes~]

1.) Der Unterschied dürfte wohl sein, dass du das eine mal dein komplettes Betriebssystem mit verschlüsselst ;D Die Frage ist um was für einen Rechner handelt es sich und welche Daten willst du sichern. Bei einem Laptop das ggfs. gestohlen / verloren gehen kann macht meiner Meinung nach ne komplett Verschlüselung Sinn. Bei Desktop PCs eher nicht, sofern die sicherungswürdigen Daten überschaubar sind. Schließlich wirkt sich eine Verschlüsselung auch immer auf die Gesamtperformance des Systems aus.
2.) Im Grunde sind alle Verslüsselungs Methoden bei Truecrypt für den hausgebrauch hinreichend sicher und man sollte lieber ein Mittelmaß aus Performance und Sicherheit wählen.
3.) Meines Wissens können Defekte an der HDD oder direkt an den Truecrypt Dateien zum komplett Verlust der Daten führen.

Und immer bedenken, eine Verschlüsselung bedarf auch eines Konzepts zur Datensicherung. So können z.B. Backupprogramme keine Änderungen in den Containern erkennen, d.h. bei inkrementellen Backups usw. werden Änderungen in den Containern nicht mitgesichert.

 

[Simpson474]

Wenn ich den Inhalt einer Festplatte mit 500 GB verschlüsseln möchte, wo ist der unterschied ob ich nen Container mit 500 GB anlege oder ob ich die gesamte Platte verschlüssel? Was ist bei einem solchen Vorhaben zu empfehlen?

Falls du einen Container verwendest, dann musst du für diesen Container eine Partition erstellen, die mit NTFS läuft. Auf dieser Partition liegt dann eine Datei, die das verschlüsselte Dateisystem enthält. Dadurch verlierst du natürlich 2x den Speicherplatz, der für das NTFS-Dateisystem benötigt wird. Verschlüsselst du eine ganze Partition so erscheint diese für Windows als unformatierte Partition. Das kann schnell mal ins Auge gehen, wenn man vergisst, dass es sich hierbei um eine TrueCrypt Partition handelt und man einfach drüber formatiert

2. Als Encryption Alg. wollte ich AES nehmen.

Was anderes macht auch kaum einen Sinn wenn du ein bisschen Performance haben willst - der AES-Algorithmus ist in Assembler geschrieben und gerne mal mehr als doppelt so schnell als die anderen Algorithmen.

Welchen Hash Alg. soll ich verwenden? Bedeutet das 512 sicherer als 160 ist?

Nein! Es ist ziemlich egal, welchen Hash-Algorithmus du verwendest - die erfüllen ihre Aufgabe alle recht zuverlässig.

Wenn ein kleiner Teil der Festplatte physikalisch beschädigt wird, kann ich dann auf keine Daten mehr zugreifen oder nur auf den betroffenden?

Wenn der TrueCrypt-Header beschädigt ist, kannst du auf keine Daten mehr zugreifen. Der Header ist jedoch nur ein kleiner Block ganz am Anfang der verschlüsselten Daten. Dieser kann mit TrueCrypt auch gesichert werden. Ansonsten verhält sich das verschlüsselte Dateisystem fast wie ein nicht verschlüsseltes - nur die Blockgrößen könnten größer sein und damit etwas mehr Daten verloren gehen.

 

[Medizinmann99]

Hallo Simpson 474,

danke das mit dem Header ist interessant.

Verändert sich der Header oder bleibt der immer gleich, sobald der Truecrypt Container einmal erstellt wurde? Ich nehme an der Header bleibt immer gleich, egal was für Daten im Container sind, oder? D.h. wenn man am Anfang direkt nach der Containererstellung den Header sichert, dann sollte der auch nach 3 Jahren immer noch derselbe sein, auch wenn sich die DAten im Container x-mal geändert haben, oder?

Ich denke ich werde jetzt gleich mal meine gesamten Truecrypt Headerdateien sichern und auf CD brennen zusammen mit maximaler Quickpar Redundanz (und das dann wieder hin und herkopieren für noch größere Redundanz weil die Header sind ja winzig).

Wie ist es mit komplett verschlüsselten Festplatten, gibt es da ein Äquivalent zum Header das man sichern sollte? Und wenn das die Partitionstabelle ist, wie sichere ich die PArtitionstabelle (mit welchem Programm) und wie spiele ich sie ZUVERLÄSSIG wieder zurück? (insbesondere wie spiele ich sie wieder zurück wenn das Betriebssystem nicht mehr funktionieren sollte)

Liebe Grüße

Medizinmann99

 

[Simpson474]

Der Header ist natürlich konstant - er wird beim Erstellen des Containers bzw. des verschlüsselten Volume angelegt. Die neueren TrueCrypt Versionen verwenden außerdem automatisch noch einen zweiten Header um die Daten auch bei Verlust des ersten Headers die Daten zu entschlüsseln. Allerdings sollte der Header aus Sicherheitsgründen immer noch gesichert werden.

Egal welche Art der Verschlüsselung gewählt wird, der Header ist immer vorhanden. Bei einer komplett verschlüsselten HDD (ohne Partitionen) liegt dieser meines Wissens jedoch im MBR-Bereich. Die Sicherung kann man jedoch auch per TrueCrypt machen. Zurückspielen braucht man die Sicherung eigentlich nie - man kann beim Mounten eines Volumes angeben, dass ein gesicherter Header verwendet werden soll.

 

[BasCom]

also ich habe mir mein ne truecrypt partition zerstört, als windows den datenträger initialisiert hatte. das war böse.

 

[Simpson474]

Das ist eben der Nachteil, wenn man eine ganze Partition oder sogar ein ganzes Laufwerk verschlüsselt und keinen Container verwendet. Für Windows erscheint die Partition bzw. das Laufwerk leer und daher ist die Gefahr groß, dass man irgendwann entweder eine neue Partitionstabelle schreibt oder aber aus Versehen die Partition formatiert.

 

[mensch183]

wo ist der unterschied ob ich nen Container mit 500 GB anlege oder ob ich die gesamte Platte verschlüssel?

Beim Container ist eben nur das Zeug in dem Container verschlüsselt. Du mußt aufpassen, daß von den dort liegenden Dateien nicht irgendwo im System noch unverschlüsselte Kopien rumschwirren, die z.B. als temporäre Dateien beim Bearbeiten entstanden sind und danach nicht wirklich auf der Platte gelöscht wurden.

Auch Verweise auf Dateinamen u.ä. im verschlüsselten Container können kompromittierend sein. Wenn sich z.B. deine Textverarbeitung die zuletzt bearbeiteten Dateinamen merkt und sich darunter eine im Container verschlüsselte wie-vergifte-ich-meine-oma.txt befindet, hast du ggf. ein Problem obwohl den Inhalt der Datei kein anderer zu Gesicht bekommt. Gerade Windows und die dort üblichen Programmen speichern an unendlich vielen Stellen Kopien von und Verweise auf bearbeitete Daten. Wenn alles verschlüsselt ist, muß man sich darüber keine Gedanken machen.

Die Container-Variante erfordert also viel mehr Mitdenken und ein tiefes Verständnis vom System und der laufenden Software, was Otto Normalverbraucher nahezu nie hat. Ich rate dir deshalb zur Komplettverschlüsselung. Lesen von bzw. Schreiben auf die Festplatte ist selten so zeitkritisch, daß die komplette Verschlüsselung der Platte störend ins Gewicht fällt. Nur wenn man große Dateien bearbeitet und gleichzeitig viel Rechenleitung benötigt (Video-Verarbeitung z.B.) macht sich eine Verschlüsselung stark negativ bemerkbar.

Gegen Datenverlust schützt nur ein Backup, was natürlich ebenfalls verschlüsselt werden muß.