Vollverschlüsselung win7 inkl. boot? sicher?

[selfmade01]

Hallo,
ich möchte folgendes System aufsetzen wobai dann alles verschlüsselt sein soll.

- ssd-1 (Basisbetriebssystem Windows 7)

unter dem BasisBs soll Vmware Player installiert werden

unter VmWare Player soll 1x Win7 und 1 x Linux installiert werden

dachte mir, dass wenn ich das Basisbetriebsystem verschlüssele dass dann auch alles aneder sicher ist.

Jetzt lass ich was (unter Linux) das es mit dem Bootsektor Problene geben könnte)

ist bei dem Ganzen was ich vorhabe was zu beachten?
Gibt es drastische Geschwindigkeitsnachteile bei Programmen wie office etc?

Viele Grüße und danke schonmal
Thomas

 

[Madman1209]

Hi,

nochmal zum Verständnis: Du verschlüsselst deine komplette SSD mit Windows 7 als "Basis", richtig? Was du dann darin an VM's machst spielt dann keine Rolle, verschlüsselt ist verschlüsselt. Ist also sicher und unproblematisch, was du da in den VMs vorhast ist nicht wirklich entscheidend. Das Linux in der VM kriegt von der Verschlüsselung des "übergeordneten" Systems ja gar nichts mit.

Geschwindigkeitseinbußen hast du praktisch keine.

VG,
Mad

 

[selfmade01]

Ok, Danke,

nur ist es denn wirklich so, dass tatsächlich alles verschlüsselt wird?
meine Frage zielt hier mehr auf den Bootsektor ab

Gibt es eine Seite mit einem HowTo zum Komplettverschlüsseln einer Platte die mit win7 dann laufen soll?

Ich frage deshalb da ich hörte das es unter Linux probleme geben soll... nun frage ich mich ob es mitz Win7 ähnlich sein könnte

hab was ein paar interessante Seiten dazu gefunden

Danke nochmals

 

[Whiskey]

Nimm Truecrypt, läuft in Vollverschlüsselung (System Encryption) bei mir seit Jahren auf diversen rechnern ohne Probleme - nur den Bootsector musst Du sichern (allerdings fordert Dich Truevrypt dazu sowieso auf - ist also idiotensicher).

 

[menace1337]

ich habe schon einige WIN 7 Systeme mit TrueCrypt ohne Probleme voll verschlüsselt.
Allerdings nur auf normalen HDDs, wie`s hier bzgl. SSD aussieht weiß ich nicht.

 

[Madman1209]

Hi,

mit welchem Programm willst du denn verschlüsseln? Wenn du mit Truecrypt verschlüsselst und wirklich die komplette Platte verschlüsselst dann ja, dann ist alles "safe" und du musst vor dem Booten ein Kennwort eingeben.

Absolut keine Probleme mit Windows 7, läuft bei mir auf sämtlichen Systemen so, auch auf denen mit SSD.

VG,
Mad

 

[selfmade01]

cool ich bin begeistert das zu lesen.

super Sache.
Ja ich war gerade auf einer Page mit einer Anleitung zu TruCrypt... da gibt es ja sogar eine Hardwarebeschleunigung für aktuellere CPU's. scheint ein komfortables Tool zu sein.

ich dachte immer das der Bootsektor aussen vor bleibt...

es ist demnach also so, dass sich zuerst Trycrypt dort hinsetzt, beim Booten nach dem Bios ein Trycrypt-login kommt und dann erst Windows startet und seinen eigenen Bootsektor nimmt?

Empfehlung zur Bit-Verschlüsselung ?
kann man die auswählen?
sind 128 Bit ausreichend?

Sollte man tatsächlich ein Passwort in der Art verwenden
"imWinter2012zieheichlangeHosenmitderGröße40an"
oder müssen da noch x Somnderzeichen mit rein?
das kann sich ja dann keiner merken und aufschreiben? na ja?

 

[SoDaTierchen]

Es wird alles AUßER dem Bootsektor verschlüsselt. Irgendwer muss die Platte ja noch entschlüsseln können!

Theoretisch ist es möglich auch den Bootsektor zu verschlüsseln, nur ist die Platte dann nicht mehr Bootfähig. Das ist aber an sich vollkommen egal, weil du im Bootsektor eh nur extrem schwierig schützenswerte Daten unterbringen kannst (und der Nutzen solch einer Aktion ist mit NULL noch zu hoch angesetzt).

Nachtrag: Du verwechselst da glaube was. Der Bootsektor (oft auch MBR genannt) ist das, was beim Systemstart geladen wird. Der hat sagenhafte 512Byte Größe und wird stets und ständig von der CPU ohne Wissen über das Rest-System ausgeführt. Von dort fangen dann Betriebssysteme an zu laden. Bei einer Vollverschlüsselung wird dieser Bootsektor überschrieben mit einer Software, die alles andere Entschlüsselt (wenn das Kennwort stimmt) und von dort dann die sonst üblichen Routinen gestartet.
Dein Bootsektor selbst ist unverschlüsselt - Es ist aber nicht möglich, von außen davon einen Nutzen zu ziehen. Ohne Kennwort kommt man nicht an die Platte ran.

 

[selfmade01]

die Frage mt dem Bootsektor kam nicht aus dem Grund das dort nicht realvante Daten liegen sondern aus dem Grund, da ich irgendwo was aufgeschnappt habe das ein verschlüsseltes System über den nichtverschlüsselten Bootsektor angreifbar wäre...

ich kenne mich mit der Verschlüsselung zu wenig aus um das beurteilen zu können, deshalb hier die Frage.

was meint ihr... ist das so... kann das sein?
odser betrifft es tatsächlich nur den Bootsektor und selbst wenn da einer dran kommt is es dort dann auch schon schluss und er kommt nicht weiter?

 

[Basti__1990]

bei der Passwortlänge von "imWinter2012zieheichlangeHosenmitderGröße40an" brauchst du keine Sonderzeichen. Jedoch solltest du dir das Kennwort wirklich gut merken und eventuell doch irgendwo hinterlegen wo niemand sonst hinkommt. z.b bei der Tante im Telefonbuch oder bei Mutter hinter einem Bild.

Du kannst auch einfach ein simpels Wort nehmen wie "Pferd" und dann "1Pferd2Pferd3Pferd4Pferd5Pferd.." usw.. Anstatt der Zahlen kannst du natürlich auch die entsprechenden Sonderzeichen nehmen.

 

[SoDaTierchen]

Ich kann dich beruhigen: Der Bootsektor wird zwar nicht verschlüsselt, aber das einzige, was man dort rauslesen kann, ist: "Bitte Passwort eingeben" und ein Paar von der Funktion schwierig zu begreifende Anweisungen.

Wenn du den unverschlüsselten Bootsektor ausliest und analysierst ist die mächtigste Information die du gewinnen kannst die, dass das System verschlüsselt ist und du ein Passwort eingeben sollst. Das PW selbst ist auch hinterlegt, zwar nicht dort, man findet aber heraus wo. Nur hast du davon keinen Nutzen - das PW ist verschlüsselt.

Über den Bootsektor ist so ein System nicht angreifbar, also keine Sorge. Verschlüsselt wird der Bootsektor aber auch nicht - Sonst wüsste dein PC nicht, was er tun soll. Das wäre so, als würdest du in ner unbekannten Stadt zu einem Ort sollen, dessen Namen du aber nicht erfährst^^ Es ist also gut, dass der nicht verschlüsselt wird und trotzdem sicher, da er keine Angriffsfläche bietet.

 

[selfmade01]

super, wirklich super.

Bin total begeistert das dies so easy funktioniert.

Eine kleine Frage hätte ich noch.

um eine Systemplatte zu verschlüsseln (ist ja in diesem Zustand noch kein BS drauf)
wo ist da das Trucrypt-tool was trauf gespielt werden soll?
wie startet man das?
vom USB-Stick aus?

 

[SoDaTierchen]

Laut TrueCrypts Homepage kannst du während des laufenden Betriebs dein System verschlüsseln

Ansonsten gibt es die Möglichkeit TrueCrypt von USB-Stick oder CD zu starten.

 

[selfmade01]

ich möchte halt die sauberste Methode verwenden und denke mal das ich zuerst die Platte verschlüssle und dann Win7 installiere.
wenn dme so ist das ich Tru-Crypt vom Stick aus starte so müsste ja der erste Bootvorgang vom Stcik erfolgen oder täusche ich mich da.. also müsste dort ein Mini-Bs liegen was auch startet
Gibts dazu eine Anleitung hab nur Anleitungen gefunden die anscheinend drauf abzielen im Nachhinein zu verschlüsseln

 

[UsarXF]

Auf einer verschlüsselten Partition Windows installieren funktioniert meines Wissens nach nicht.

Und "sauber" oder "unsauber" gibt es beim verschlüsseln nicht. Entweder es ist verschlüsselt oder halt nicht. Aber wenn du es unbedingt "sauber" haben möchtest...

Formatier, Installier Windows, Installier TrueCrypt, Verschlüssel

PS: RESCUE DISK ERSTELLEN(!!!!!!!!!!), am besten gleich 2

 

[selfmade01]

ach das geht gar nicht!

dachte mir schon, wie soll ich blos trucrypt starten wenn noch gar kein BS läuft.
und das sich Win7 gar nicht auf eine bereits verschlüsselte Platte installieren lässt wusste ich auch nicht.

Danke, da hätte ich lang probieren können...

 

[Madman1209]

Hi,

nein, das geht nicht. Einfach Windows installieren, Truecrypt drauf, Vollverschlüsseln, ein bisschen warten (geht bei SSD mit ein wenig Rechenleistung sehr flott) und fertig

VG,
Mad

 

[Whiskey]

Und wichtig ist auch: Daten erst nach dem verschlüsseln auf die SSD kopieren, sonst könenn sensible Daten durch die mechanismen in der SSD noch ungeschützt auf der Platte liegen.
Also:
- Windows installieren
- SSD verschlüsseln
- alle weitern daten / VMs usw. auf die SSD kopieren
- Spaß haben :-)

 

[selfmade01]

Hi,

so nun bin ich gerade über der Installation... habe mein Win7-64 bit neu aufgesetzt.
dann Treiber geladen usw.
Anschliessend aktuellste Trucryp-Software runtergladen und installiert. Languagepack auch.

Shit, jetzt passt ihm wohl mein neuer MBR nicht da er was von
System kann nicht.... GUID... (GPT) installieren

Bitte sagt mir jetzt net ich muss alles nochmal machen... lach

Viele Grüße
Thomas

Ergänzung (11. Oktober 2012)

keiner online der m ir helfen könnte?

 

[Madman1209]

Hi,

man könnte dir vielleicht helfen wenn man wüsste was es genau für ein Fehler ist.

VG,
Mad