[Truecrypt] Vollverschlüsselung - wie am besten vorgehen ?

[butterbloemchen]

Servus,

ich habe mittlerweile meine externe Platten mit Truecrypt verschlüsselt.
Das hat jedesmal unfassbar lange gedauert. Aber nun gut.

Der nächste logische Schritt ist natürlich, auch das "Hauptsystem" komplett zu verschlüsseln.

Wie ihr aus meinem Profil erahnen könnt, habe ich einige Festplatten - und die wollen alle verschlüsselt werden ;-)
Es ist sogar noch eine 1TB Western Digital Green power hinzu gekommen.
Unnötig zu erwähnen, dass ich die Hälfte der Platten als direktes Backup (kein RAID) der anderen Hälfte nutze - aber das tut nix zur Sache.

Wie gehe ich dabei am besten vor, was ist zu beachten ?

Ich möchte am Schluss dahin, dass ich nur noch beim starten ein Passwort eingeben muss - und alles ist wie immer.
Sprich: ich möchte auch im Windows-Explorer das gewohnte Bild mit C, D, E, F, G haben.

Die Header der einzelnen HDDs werde ich auf den externen Festplatten und auf zwei USB-Sticks sichern.
Den Header des Betriebssystemes will TC ja automatisch per Rettungs-CD sichern.

Nun ist es natürlich eine nervige Aufgabe, jede Festplatte freizuschaufel und sie zu verschlüsseln, nur um dann die Daten wieder draufzuschieben.

Wird bei den Jungs von Truecrypt eigentlich an einer "on the fly" Lösung gearbeitet ?

Und was ist von der Schnellformatierung zu halten ?
Truecrypt selbst hat mir bei den externen Platten davon abgeraten.

Danke Euch
Butterbloemchen

 

[verhohner]

Ich bin auch interessiert an dem Thema. Ich will demnächst mein Lenovo N100 neu mit XP aussetzen und ihn von Grund auf komplett mit Truecrypt verschlüsseln. Wenn möglich vielleicht noch eine ordentliche Integration den Fingerprint Readers und ich hätte nen richtig feines (recht) sicheres und trotzdem hoffentlich komfortables System.
Hat von euch schon jemand Erfahrung mit der Komplettverschlüsselung unter XP? Gibts da Guides oder worauf ist zu achten? Soweit ich weiß muss man ja schon vor der Installation von XP das entsprechende Laufwerk "inizialisieren" oder?

 

[butterbloemchen]

Ok, die Frage scheint wohl zu kompliziert - oder zu dämlich zu sein.

Ich möchte eigentlich nur, dass ich das gleiche Erscheinungsbild, wie bisher im Windows Explorer habe ...

Wie mache ich das ?

Geht das, indem ich unter Datenträgerverwaltung keine Laufwerksbuchstaben zuordne und dann mit Truecrypt "alle Datenträger einbinden" mache ?

Oder gibt es eine sichere Möglichkeit, wie ich beim Start nur einmal ein Passwort eingeben muss, um alles zu mounten ?

 

[Dark.XT]

Bei der Schnellformatierung könnten theoretisch Daten, welche vor der Festplattenverschlüsselung auf der Festplatte waren, wieder hergestellt werden.

Zum automatischen Einbinden aller Partitionen mit nur einen Passwort, wäre wohl eine Batch-Datei am besten.

z.B. die hier

Bzw. ... geht das nicht auch über Truecrypt mit Favoriten?

 

[butterbloemchen]

hmmm - so wie ic hdas verstanden habe, könnte man eine derartige batch-datei zwar laufen lassen ...

aber dann hätte man ja immernoch das passwort zweimal einzutragen.
einmal für das system udn einmal für alles andere.
das kann man ja auch über "alle laufwerke einbinden" erreichen.

hat jemand einen tipp, wie ich die festplatten so einrichte, dass ich wirklich das gewohnte bild im explorer habe ?

 

[Dark.XT]

An dem 2 mal eingeben kommst du nur herum, wenn du das Passwort für die anderen Festplatten im klartext in die Batchdatei einfügst, und diese in den Autostart legst.

Dies ist natürlich mit einen größeren Sicherheitsverlust verbunden

 

[butterbloemchen]

ok, soweit ist dann alles klar.

ich habe jedoch gelesen, dass ein paar leute probleme mit ihrem windows xp hatten, nachdem verschlüsselt wurde.

sollte man also ein frische xp nehmen ?
oder ist das ein marginales problem ?

und womit mach ich am besten ein backup meiner systempartiton ? (immerhin 8gb)

 

[starbuckzero]

sollte man also ein frische xp nehmen ?
oder ist das ein marginales problem ?

Irgendwer wird immer ein Problem mit irgendeiner Software haben, ich habe schon etliche bestehende Windows-Installationen (XP und Vista) verschlüsselt, hat immer 1a funktioniert, Neuinstallation ist nicht notwendig. Und schlimmeres verhindert auch der Bootloader-Test bevor TC die Partitition endgültig verschlüsselt.

und womit mach ich am besten ein backup meiner systempartiton ? (immerhin 8gb)

Imaging-Tool deiner Wahl auf eine zweite Festplatte, von der du zur Not dann booten kannst. Extern geht auch, dann musst du eben von einem Rescue-System starten um das Image zurückzuspielen. Drive Image XML ist kostenlos und recht zuverlässig, ansonsten ist Acronis True Image zu empfehlen.

 

[abulafia]

Zum automatischen Einbinden aller Partitionen mit nur einen Passwort, wäre wohl eine Batch-Datei am besten.

Das Problem wird mit einer der nächsten Versionen verschwinden.

Future:

# Ability to cache pre-boot authentication passwords and to use them to mount non-system TrueCrypt volumes

D.h. im Klartext, man wird mit Eingabe eines einzigen Passworts bei der PBE alle Partitionen und Volumes mounten können, ohne sich im das sichere Cachen des Passworts selbst sorgen zu müssen.

 

[FX1]

Wenn ich TrueImage verwende, sollte es keine Probleme geben?
Beim Backup ist das System ja entschlüsselt, beim Zurückspielen des Backups startet man von der TrueImage-Rettungs-CD, oder?

 

[SirSydom]

Ich benutze ein machine startup script über local group policy, dann werden die Volumes nicht erst beim Logon, sondern schon vorher gemountet.

machine startup script kannst du über die lokale Gruppenrichtlinie, (gpedit.msc) und Rechnerkonfiguration (Windows-Einstellungen) einrichten. Die Volumes werden nur mit einem keyfile verschlüsselt das auf der Systempartition liegt. Fertig.

 

[BeeHaa]

Das Problem wird mit einer der nächsten Versionen verschwinden.

# Ability to cache pre-boot authentication passwords and to use them to mount non-system TrueCrypt volumes

D.h. im Klartext, man wird mit Eingabe eines einzigen Passworts bei der PBE alle Partitionen und Volumes mounten können, ohne sich im das sichere Cachen des Passworts selbst sorgen zu müssen.

Mein Gott, ENDLICH.

"Das Problem" ist aber, daß eine der nächsten Versionen mit diesem Feature auch 2010 erscheinen kann

 

[kilem]

wenn du z.b. 2 platten hast und diese jetzt C und D haben musst du der D einfach den laufwerksbuchstaben Z geben und dann verschlüsseln. dann hast eine HD mit Z drin, welches keine speichergröße und kein dateisystem anzeigt. dann mountest das device welches Z hat als D. das machst dann mit den restlichen festplatten auch und speicherst es in den favoriten bei tc. das password musste halt mit der aktuellen version dann 2x eingeben. einmal beim preboot und einmal beim mounten.

 

[SirSydom]

man muss der physikalischen Platte bzw. der Partition GAR KEINEN Laufwerksbuchstaben geben. In TC mountest du Partitionen ja über \Device0\Partition0 (zb).

Laufwerksbuchtaben kann man in der Datenträgerverwaltung (erreichbar über Compuerverwaltung) ändern bzw löschen.

 

[kilem]

SirSydom: hast das schonmal mit tc gemacht? den gleichen denkansatz wie du hatte ich auch und es hat nicht funktioniert. nachdem die festplatten verschlüsselt waren konnte man den laufwersbuchstaben nicht mehr ändern. auf jedenfall in der 5er version.

 

[SirSydom]

äh ja, hab ich so am laufen.

Mach ich schon seit Version 4, hat auch mit 5 und 6 so funktioniert, getestet mit XP Prof. und Vista Business.

Welche Fehlermeldung kommt denn wenn du versuchst den Buchstaben zu ändern bzw. zu löschen?

 

[kilem]

sry weiß ich nicht mehr. habe es damals mit windows 2003 server getestet und da es mir zu blöd war bei 8 festplatten 16 laufwerksbuchstaben belegt zu haben (einmal für die verschlüsselte platte selber und einmal für die gemountete platte) hab ichs dann gelassen. werds aber heute abend nochmal ausprobieren.