Full System Encryption - Free CompuSec - TrueCrypt - Update 09.03.08

[Mr.Mito]

EDIT: Ich frag doch lieber vorher nach.

Ich hoffe mal CE-Infosys hat nichts gegen die Veröffentlichung der Fragen/Antworten.

 

[akte.x]

Und das System wird ja, im laufenden Betrieb, on the fly entschlüsselt. Dadurch sollte auch das Image unverschlüsselt sein. Wenn ich unter Windows irgendwelche Files auf ne Diskette kopiere, sind die ja auch unverschlüsselt (es sei denn ich sag er solls verschlüsseln).

PS:
Das Rückspielen des verschlüsselten Images scheint den CompuSEC MBR zu killen, zumindest laut akte.x.
EDIT: Nen MBR Backup kann man sich allerdings anlegen und es gibt auch nen Tool zum rückspielen, laut der Yahoo Compusec Techgroup.

Danke hierfür an Akte.X!

Also müsste folgender Ablauf funktionieren:

- Acronis Backup einspielen
- MBR wiederherstellen mit dem CompuSEC MBR Backup

Ist zwar stressig, aber nen Image braucht man auch nur seeeehr selten.

Habe es leider nicht geschafft den MBR wiederherzustellen, da ich kein Backup hatte.

Daher sollte jeder der ein IMAGE-Tool einsetzt und mit Verschlüsselung arbeitet dringend den MBR sichern.

Wie schon im Yahoo-Forum mehrmals gerügt fehlt ein Recovery Tool wie es andere Tools haben.

 

[Thoreau]

okk ich benutz ja selbst truecrypt weiter

aber wie gesagt nix schützt perfekt

 

[Mr.Mito]

@akte.x:

Weist du ob man den MBR auch später noch in die Disk einbinden kann? Das Tool der Techgroup will ja ne Bootdisk anlegen, aber kann ich auch später mit dem Tool und nem MBR Backup ne Disk anlegen?

 

[Mr.Mito]

Fragen & Antworten an/von CE-Infosys: (Der Veröffentlichung der Mailinhalte wurde seitens CE-Infosys zugestimmt.)

Kurze Fakten der letzten Mail:

- HASH-Funktion: propriotäre HASH-Funktion
- User-Passwort ändern - keine Umschlüsselung der Platte
- Passwort-Rücksetzcode kann nicht gewechselt werden bei der
Einzelplatzinstallation.
Bei der Installation über GLobalAdmin kann der Code gewechselt werden.
- Zu den Paswortzeichen: die Verwendung aller zugelassenen Zeichen wird
in der config.dbf aktiviert.

Sonderzeichen sind laut CE-Infosys, trotz Warnmeldung, erlaubt! Wer es beim Masterpasswort mal testen will, nur zu. Ne Bestätigung diesbezüglich wäre recht sinnvoll.

1. Wieso ist die Hintergrundverschlüsselung laut FAQ *viel *schneller
als die "pre boot" Verschlüsselung?

CEI: weil unter Windows z.B ein ganzer Zylinder gelesen, verschlüsselt
und wieder geschrieben werden kann
In Preboot ist das so nicht möglich, da die Ressourcen vom BIOS
nicht bereitgestellt werden können.



2. Wie kann die Hintergrundverschlüsselung überhaupt ein System
verschlüsseln, welches gerade in Verwendung ist? (Files exklusiv
gesperrt usw.)

CEI: Tja, dass es geht beweisen wir und sind ziemlich stolz darauf - das
ist Firmen Know How!



3. Welche Daten stehen in der SecurityInfo.dat? Ist das der
Volumeheader?

CEI: Schlüssel, Benutzer ID, Startpasswort etc. und das alles im
Klartext - ist also sensitiv!!



4. Wieso sind im Masterkennwort keine Sonderzeichen zulässig und wieso
kann man nur 16 Stellen verwenden?

CEI: 16 Zeichen ist so festgelegt; Sonderzeichen: die lt. Handbuch sind
natürlich möglich. Der Hinweis ist nur zur Vorsorge, da einige
Anwender und Rechner damit Probleme haben können. Ansonsten
gibt es kein Masterpasswort, sondern nur ein Startpasswort, dass
zwingend geändert werden muss.



5. Wieso steht nur AES-128 und kein AES-256 oder, noch besser, twofish
zur Verfügung?

CEI: AES 256 steht nur den Anwendern mit GLobalAdmin-Verwaltung zur
Verfügung. AES 128 ist trotzdem absolut sicher



6. Welche Hash Funktion benutzt CompuSEC? SHA-1? Whirlpool?

CEI: keine Aussage möglich. SHA-1 ist auf jedenfall verwendbar. Nachtrag von mir: Die spätere Aussage war: Zitat „propriotäre HASH-Funktion“



7. Wieso geben sie so wenige Infos zur genauen Funktionsweiße Ihres
Programmes heraus? (Z.B. wegen dem Masterkennwort ... Solch eine
Funktion bietet Truecrypt eben nicht, also wie kann man ein PW,
"zurücksetzen", wenn normal das PW zum ver/entschlüsseln gebraucht wird?!)

CEI: wir bieten für diesen Fall den Passwortrücksetzcode, den sie selbst
definieren können. Der Rest ist Firmen Know How und tabu.
Wir liefern professionelle Verschlüsselungslösungen und darüber
wird eben nur unbedingt Notwendiges veröffentlicht.



8. Wann erscheint ein deutsches Handbuch, das nicht so spärlich ist,
wie die englische Version?

CEI: es gibt ein deutsches Handbuch zur Version 4.18. Nicht ganz
aktuell, gibt aber einen guten Überblick und behandelt das Wesentliche.
Handbücher sind leider ein Stiefkind bei uns!

Das deutsche Handbuch ist (ab jetzt ) hier zu finden: http://rapidshare.com/files/16302979/Free_CompuSec_4183_HB_dt.zip.html

 

[Huettenknecht]

Für was braucht man "Hidden Container"?
Mach einfach einen "normalen" Container, erfüllt doch voll seinen Zweck.
Und man hat das Ganze auch schnell wieder gelöscht.

Na der hidden container ist doch nicht schlecht. Wenn dir mal Gewallt angedroht wird...kannst das Passwort für den "offenen Container" rausrücken und der hidden bleibt unendeckt.

Ich weiß...bei uns nicht wichtig..aber es soll Leute geben, da kann sowas über Leben und Tod entscheiden. Nicht alle sind so unbedarft wie wir.


BTW hab ich mir auch Gedanken über die Voll-Systemverschlüsselung gemacht und den Threat schon vor ein paar Wochen gefunden. Allerdings mich noch nicht wirklich getraut es in die Tat umzusetzen. Das mit dem Backup über nen Image muß ich mir dann auch noch rein tun weil sowas ist ja nützlich.

Aber vielleicht mache ich das die Tage mal.

 

[Mr.Mito]

CompuSEC hat (noch?) nen paar nervige kleine Bugs.

Beispiele:

- TotalCommander + Winrar macht Probleme / Workarround "run as" nutzen dann gehts (ka wieso)

- ANKH Herz der Osiris kann nicht speichern udn auch keine Einstellungen ändern -> Kann auf C den Ordner nicht anlegen.

Die Probleme hängen wahrsch. miteinander zusammen. Meine Mail an CE-Infosys ist auch schon raus. Evt. haben die ja ne Lösung parat.

 

[akte.x]

@akte.x:

Weist du ob man den MBR auch später noch in die Disk einbinden kann? Das Tool der Techgroup will ja ne Bootdisk anlegen, aber kann ich auch später mit dem Tool und nem MBR Backup ne Disk anlegen?

Keine Ahnung. Hatte dann irgendwie die Schnauze voll von Compusec.

Habe mir dann von Securstar DriveCrypt Plus Pack 3.9 als Testversion gezogen. Installation, Handhabung sehr gut. Genial ist, das man vorab die Bootauthentifizierung testen kann und dies sehr einfach mit fdisk /mbr rückgängig zu machen ist ohne sich das System zu zerschiessen.

Anfangs dachte ich das es an der vorherigen Installation von Compusec lag, weshalb RAID0 nicht läuft (Fehler beim laden des Betriebssystem). Aber nach auflösen-formatieren und neu erstellen des 500 GB RAIDs musste ich enttäuscht aufgeben.

Bei der weiteren Suche bin ich dann auf PGP Desktop 9.5 gestossen. Kostenlose Trial Version gezogen. Installation und Handhabung auch sehr einfach. Nur die Sache mit der Wiederherstellung ist mir etwas unschlüssig, da man nur eine Boot-CD erstellen kann die Sicherung eines Keys aber nicht angeboten wird.

Über einen Tipp zu Securstar DriveCrypt Plus Pack und RAID0 wäre ich sehr dankbar, da mich dieses Produkt am meisten überzeugt hat. Mir ist bekannt das DriveCrypt Plus Pack offiziell RAID nicht ünterstützt.

 

[kingpombär]

ich hab mich auch ein bisschen in das Thema PGP eingearbeitet. Soweit ich das richtig verstanden habe, kannst du eine Diskette oder eine CD erstellen, davon booten, dein Passwort eingeben und ganz einfach so deine Festplatte decrypten.

Ich werds mal ausprobieren, wenn ich mein neues System komplett durchgetestet hab. Die Testversion kann inzwischen auch die Whole Disk Encryption, oder?

 

[Madnex]

Anfangs dachte ich das es an der vorherigen Installation von Compusec lag, weshalb RAID0 nicht läuft. Aber nach auflösen-formatieren und Neu erstellen des 500 GB RAIDs musste ich enttäuscht aufgeben.

Wenn CompuSec auf dem System war und wieder entfernt wurde und auch wenn das Betriebssystem danach neu installiert wird, gibt es definitiv Probleme mit dem MBR, was zu Folge hat, dass sich das OS nicht richtig installieren lässt oder es sich nach der Neuinstallation komisch verhält und instabil ist. Irgendwie bleiben Reste im MBR zurück, die stören.

Lösen kann man dieses Problem indem man die erste Spur der Festplatte, in der auch der MBR liegt, komplett überschreibt, z.B. mit dem Programm S0kill. Dabei werden allerdings alle Partitionen auf dieser Festplatte gelöscht.

Auch wenn die Platten in einem RAID-Verbund gelaufen haben, würde ich diese Prozedur mal durchführen und erst dann die Festplatte bzw. den Verbund und das System neu einrichten.

 

[akte.x]

ich hab mich auch ein bisschen in das Thema PGP eingearbeitet. Soweit ich das richtig verstanden habe, kannst du eine Diskette oder eine CD erstellen, davon booten, dein Passwort eingeben und ganz einfach so deine Festplatte decrypten.

Ich werds mal ausprobieren, wenn ich mein neues System komplett durchgetestet hab. Die Testversion kann inzwischen auch die Whole Disk Encryption, oder?

Das habe ich auch so verstanden. Wobei die anderen Tools das entschlüsseln nur mit der Keydatei ermöglichen.
Wie macht das PGP???

Ja, du kannst entweder die komplette Bootplatte oder einzelne Partitionen verschlüsseln.
Hinzugefügter Post:

Wenn CompuSec auf dem System war und wieder entfernt wurde und auch wenn das Betriebssystem danach neu installiert wird, gibt es definitiv Probleme mit dem MBR, was zu Folge hat, dass sich das OS nicht richtig installieren lässt oder es sich nach der Neuinstallation komisch verhält und instabil ist. Irgendwie bleiben Reste im MBR zurück, die stören.

Lösen kann man dieses Problem indem man die erste Spur der Festplatte, in der auch der MBR liegt, komplett überschreibt, z.B. mit dem Programm S0kill. Dabei werden allerdings alle Partitionen auf dieser Festplatte gelöscht.

Auch wenn die Platten in einem RAID-Verbund gelaufen haben, würde ich diese Prozedur mal durchführen und erst dann die Festplatte bzw. den Verbund und das System neu einrichten.

Sprichst du aus Erfahrung????

Möchte nicht 500 GB entschlüsseln, sichern und dann nochmal von vorne beginnen.

Vor den Tests habe ich jeweils ein Image zurückgespielt.

 

[godlike]

Ist es eigentlich auch möglich Netzwerkfestplatten (NDAS) zu verschlüsseln, mit TrueCrypt zb?

 

[chris_te]

Jap. Erstellst eine primäre Partition mit Windows. Anschließend mit TrueCyrpt einen Container in die Partition.

Falls du eine genaue Anleitung brauchst, frag einfach.

 

[fo$$i]

Meinen MBR hats angeblich zerschossen. Jetzt kann ich nicht mal mehr meine UserID eingeben. Gibts noch Hoffnung auf das Win und die Daten?

 

[Mr.Mito]

Wenn du nen Backup vom MBR hast, dann ja, ansonsten wohl eher nein.

Zu CompuSEC:

Um so länger ich damit arbeite, um so mehr Bugs treten auf, wobei_alle_am selbsten Problem hängen dürften. Das Programm kommt mit dem "Dokumente und Einstellungen" Folder einfach nicht klar.

Nero 7 Update -> Geht nicht ...
So langsam wirds nervig.

@Madnex:
Wieso sollte da im MBR was zurückbleiben? Vor allem wenn man neuinstalliert? XP schreibt den MBR doch dann eh neu.

 

[fo$$i]

Wenn du nen Backup vom MBR hast, dann ja, ansonsten wohl eher nein.

 

[ElGrande-CG]

Die Links zu ce-infosys im ersten Posting sind nicht mehr gültig und führen auf eine Fehlerseite. Bitte korrigieren

 

[kingpombär]

Die Links zu ce-infosys im ersten Posting sind nicht mehr gültig und führen auf eine Fehlerseite. Bitte korrigieren

Danke

Dürften nun wieder gehen!

 

[Mr.Mito]

@fo$$i:

Wie ist das mittem MBR denn passiert?

 

[Madnex]

@Madnex:
Wieso sollte da im MBR was zurückbleiben? Vor allem wenn man neuinstalliert? XP schreibt den MBR doch dann eh neu.

XP dürfte eigentlich nur den Boot-Loader neu schreiben und nicht den gesamten MBR. Die Partitionstabelle, die ebenfalls im MBR gespeichert ist, muss nicht verändert werden, solange an der Partitionsaufteilung nichts geändert wurde.

Das komische bei CompuSec ist, dass, wenn die Festplatte noch nicht vollständig partitioniert war (man beispielsweise vorerst nur die Systempartition eingerichtet hat und den Rest später unter Windows machen wollte) und die Verschlüsselung bereits durchgeführt hat, das nachträgliche Partitionieren des noch unzugeordneten Speicherplatzes nicht funktioniert. Man kann die Partitionen zwar erfolgreich unter Windows anlegen, sofort nutzen und Daten darauf speichern. Nach einem Neustart sind diese Partitionen allerdings plötzlich verschwunden. CompuSec lässt das nachträgliche Partitionieren nicht zu. Also verankert es sich anscheinend sehr stark in den MBR und beeinflusst sogar die Partitionstabelle.

Am besten man macht, bevor man CompuSec installiert und die Festplatte damit verschlüsselt, eine Sicherungskopie vom MBR.

@akte.x
Ja, ich spreche aus eigener Erfahrung. Allerdings habe ich damals keine Images benutzt. Wie es sich da verhält, ob der MBR auch gesichert und wiederhergestellt oder nur vom Image-Programm entsprechend angepasst wird, weiß ich nicht.

 

[fo$$i]

@fo$$i:

Wie ist das mittem MBR denn passiert?

Nach dem Bootvorgang kam glaube ich ein Windowsseitiger Bluescreen. Nach anschließendem Restart sagt jetzt CompuSec MBR Error.

Jetzt nochmal angemacht und jetzt komm ich ins Windows trotz des MBR Errors gestern. Was soll ich jetzt machen, damit mir der Fehler nicht ein zweites Mal kommt???

 

[akte.x]

Hi,

registriere dich bitte auf der Seite http://tech.groups.yahoo.com/group/CompuSec hier kannst du viele Tools rund um CompuSec downloaden.

Da gibt es auch ein Tool zum sichern des MBR`s.

 

[SeraX]

bin gerade dabei compusec zu installieren wollte aber ermstmal nur mein raid 0 damit schützten und danach die andere platte. geht das vom Programm aus in Windows dann einfach oder?

 

[Mr.Mito]

Das geht nicht. CompuSEC verschlüsselt alle Platten im System! Du kannst die Platte abziehen und später wieder anklemmen, dann wird CompuSEC aber beim booten nen BSOD bringen.
Wenn du die Platte ers unter Windows wieder anklemmst, funktioniert es.

Ist sau dumm gemacht, ich weiß.

 

[SeraX]

na toll jetzt hab ich mein raid verschlüsselt und die andere platte nich... also noma deinstallieren das prog alles wieder entschlüsseln und dann komplett verschlüsseln oder wie?!

Wenn ja is das wirklich absolut dumm!

 

[Mr.Mito]

Probiers einfach aus. Wenn dein System jetzt mit der einen unverschlüsselten Platte noch bootet, ist es ja ok. Und unter Win nachverschlüsselt geht glaub ich doch, mit dem Datacrypt Feature.

Wenn ich halt ne zusätzliche S-ATA Platte dran hänge, bekomm ich beim booten nen BSOD. Wenn ich se unter Win anschliese funzt es.

 

[SeraX]

Habe gestern abend ne Email an Computec geschrieben und vor ner knappen Stunde schon ne antwort bekommen

Ein nachträgliches Verschlüsseln weiterer Festplatten ist ohne Deinstallation möglich.
Voraussetzung ist, dass Ihre neue Festplatte vom System bzw. von CompuSec korrekt erkannt wird!
Sollte dies der Fall sein, können Sie im "CompuSec Service\Service und Updates\HD-Verschlüsselung einstellen"
den Verschlüsselungsstatus verändern. Und nach dem nächsten Reboot die Verschlüsselung starten.

Mir ist bisher garnicht aufgefallen das der Ordner Security erstellt wurde sonst hätte ich da natürlich einfach mal rein geschaut ^^

Wie sicher ist die Computec Freeware eigentlich? Ich meine ne 128bit Verschlüsselung und ein 12 Zeichen langes Kennwort mit Buchstaben und Zahlen (zb blabla345237) sollte doch fast nicht mehr zu kacken sein oder?

 

[Mr.Mito]

blabla2321312 wäre für den Eimer. Du musst die Zahlen ins Wort mit einbringen, Groß & Kleinschreibung verwenden und am besten noch Sonderzeichen einbauen.

z.B. Dn(nd3$x"(Xm oder so. Noch besser sind altgr Sondernzeichen wie ~²³³| ect., wobei die je nach Programm Probleme bereiten können. Bei Compusec hab ich ka obs funzt. Hast du beim Masterpasswort auch Sonderzeichen verwendet?

Und da CompuSEC ne propietäre Hashfunktion verwendet und niemans weiß, wie der Schlüssel genau verwaltet wird, kann auch niemand etwas zur Sicherheit sagen.

 

[akte.x]

Bei mir hat die nachträgliche Verschlüüselung einer Festplatte mit CompuSec nicht funktioniert.

 

[SeraX]

ging bei mir problemlos. Pw hab ich geändert mit einigen zahlen zwischen drin und groß und kleinschreibung allerdings sonderzeichen hab ich keine eingebaut. achja die Transfairraten der festplatte gehen wirklich runter werde morgen mal ein paar screenies meiner 3 platten vorher/nachher machen!