SSD Disk Encryption (Truecrypt vs Bitlocker vs DiskCryptor)

Mit welchen Tool (am besten Freeware) kann ich von einer DC verschlüsselten platte ein Image erstellen? Da es hierbei ja oft Probleme gibt. Wie Spiele ich im Notfall ein solches image wieder ein? Muss die neue platte ebenfalls wieder verschlüsselt werden oder ist dies in dem image mit drin? Damit die Frage: ist das image selbst verschlüsselt?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Zumindest mit dem Klonen einer DC verschlüsselten Platte um es von einer Festplatte auf eine andere zu übertragen hatte ich in der Vergangenheit keinen Erfolg. Windows schien zwar zu starten ist dann aber beim Wechsel in den Windows-Mode immer mit einem Bluescreen gecrasht. Ich wäre also mit verschlüsselten Images recht skeptisch, aber vielleicht hat da jemand bessere Erfahrung gemacht.
 
Benchmark Review DiskCryptor 1.0.757.115

Setup:

64TB

3HE 19" Rack no name ??
Seasonic passive 400W
Asrock Z77 Extreme6 Gen3
Intel I5 2500k
Stock cooler
2x 4GB g.Skill Sniper DDR3 1866
Areca 1880ix 4GB DDR Memory 1.51 Firmware storsys. driver
16 x Seagate Barracuda 5900 ST4000DM000
Windows 2012 Server Essential x64bit

Ziel: Großes ausfallsicheres Array im Raid6 das effizient verschlüsselt werden sollte.
Build des Raid6 Arrays mit 64TB über Areca Controller 64k Stripe Size = 8h + 30h für das verschlüsseln mit DiskCryptor

Zuvor wurde ein ReFs Volume auf das Lufwerk gelegt. Dann 30h mit Diskcryptor Encrypted.

Performance zum original 50% Leistungsverlust, bei Truecrypt 66% Leistungsverlust.

 
ne doofe frage mal von mir.
Wenn ich ein TPM nutze brauche ich ja keinen Token mehr.
Da wird der Key ja sofort im Ram gespeichert bevor ich mich anmelde (?) also müsste man ja nur Booten -> den Ram auslesen -> ergo hat man zugriff auf das Gerät? :stupid:
 
Hat eigentlich schon jemand DiskCryptor bei Installationen mit 100 MB Startpartitionenen verwendet? Wie sollte man da vorgehen, erst die kleine Partition verschlüsseln und anschließend die Hauptpartition mit dem gleichen Kennwort? Oder anders herum?
 
Wollte auch alles verschlüsseln. Leider kommt da Server 2008 R2 drauf, das anders als Windows 7 beim Setup auch bei bereits vorher eingericheteten Partitionen seine doofe 100 MB-Partition extra anlegt.
Bei TrueCrypt gibt es ja die Möglichkeit den gesamten Datenträger und nicht nur einzelne Partitionen zu verrschlüsseln, bei DiskCryptor leider nur letzteres. Und da wollte ich besser nachfragen, wie hier die saubere Vorgehensweise mit der 100 MB-Partition ist, da man sich ja sonst ganz gut den Startvorgang zerschießenen kann.
 
Das problem ist eben egal bei welcher Software es muss einen unverschlüsselten Teil geben damit das OS auch booten kann!
Bei einer Hardware verschlüsselung dagegen ist alles 100% verschlüsselt ohne Angriffspunkte (wenn das teil ausgeschaltet ist).
 
Es ist mir bewusst, dass irgendwo ein unverschlüsselter Boot Loader liegen muss - geht mir ja nur darum, wie man mit DiskCryptor Windows und seine extra 100 MB-Partition richtig verschlüsselt ohne die Startvorgang zu zerstören...
 
Boy2006 schrieb:
garnicht weil er eben genau dort liegt.
Zum Vergrößern anklicken....
Als ich mal Diskcryptor getestet habe, hatte ich die 100MB-Partition einfach mit dem selben Passwort verschlüsselt (so wie die Partition auf der anderen Platte). Damit werden sie beim Booten automatisch gemountet. Wichtig ist nur hier das Passwort identisch einzugeben (englisches Tastaturlayout, falls du das auch beim "Master"-Passwort so gemacht hast).

Kannst du ja auch mit einer VM testen, wenn du Erfahrungen sammeln willst. Hatte mir selbst auch das eine oder andere mal eine VM mit DC in einen nicht bootbaren Zustand gebracht...
 
Und wie bewerkstelligt das dann TrueCrypt, bei dem man bei der Betriebssystemverschlüsselung zwischen den einzelnen Partitionen und der kompletten Festplatte wählen kann? Dachte hier wäre alles bis auf den TC Boot Loader verschlüsselt und dieser ermöglicht dann den Zugriff auf die 100 MB- und Windows-Partition.
 
Gut, nicht die absolut gesamte Festplatte, der TC Boot Loader setzt sich ganz am Anfang hin, allerdings werden eben alle sonstigen Partitionen verschlüsselt.
 
Und da kann man ihm auch wieder angreifen.
Das problem ist eben egal bei welcher Software es muss einen unverschlüsselten Teil geben damit das OS auch booten kann!
Bei einer Hardware verschlüsselung dagegen ist alles 100% verschlüsselt ohne Angriffspunkte (wenn das teil ausgeschaltet ist).
Zum Vergrößern anklicken....
 
Das bestreitet ja keiner, es ging mir lediglich um die "sauberste" Software- bzw. DiskCryptor-Lösung. Als "schlampig" würde ich es sehen, wenn die Haupt-Windows-Partition verschlüsselt jedoch die dazugehörige 100 MB-Start-Partition unverschlüsselt ist.
 
Zuletzt bearbeitet:
Wie iamunknown schon geschrieben hat, mit selbem Passwort verschlüsseln und es wird beim Booten auch gemeinsam entsperrt. Das gilt auch für mehrere Laufwerke.
 
JohnnyBGoode schrieb:
Und wie bewerkstelligt das dann TrueCrypt, bei dem man bei der Betriebssystemverschlüsselung zwischen den einzelnen Partitionen und der kompletten Festplatte wählen kann? Dachte hier wäre alles bis auf den TC Boot Loader verschlüsselt und dieser ermöglicht dann den Zugriff auf die 100 MB- und Windows-Partition.
Zum Vergrößern anklicken....

Bei TrueCrypt kann man wie du schon geschrieben hast entweder die Windows-Partition oder die gesamte Festplatte, auf der die Windows-Partition liegt, verschlüsseln. Nur die Systempartition + die 100/350 MB-Partition (Vista + 7/8) mit dem Windows-Bootloader + den Reparatur-Tools ist mit TC nicht möglich. Warum weiß ich nicht, evtl. werden hier die Partitionen nicht so früh wie bei DC gemountet ;).

Boy2006 schrieb:
Und da kann man ihm auch wieder angreifen.
Zum Vergrößern anklicken....
Ich kenne da die eine oder andere Hardware-Lösung, die ist so sicher wie eine offene Haustür. Ich sage nur Mifare Classic :angel:. Und vor allem: Wenn jemand die entsprechenden Mittel hat bzw. die "notwendige" Motivation wird das Passwort bekannt werden.
 
Zuletzt bearbeitet:
iamunknown schrieb:
Ich kenne da die eine oder andere Hardware-Lösung, die ist so sicher wie eine offene Haustür. Ich sage nur Mifare Classic :angel:. Und vor allem: Wenn jemand die entsprechenden Mittel hat bzw. die "notwendige" Motivation wird das Passwort bekannt werden.
Zum Vergrößern anklicken....
Wenn ein Angreifer die Zeit und die Motivation hat den Rechner zu manipulieren, sind sicherlich extrem viele Angriffsmöglichkeiten denkbar (selbst ohne Folter ;)). Keyboardlogging in Hardware, Überwachungskamera, Trojaner via Email mit 0-day exploit etc. Angesichts der Probleme mit dem "Bundestrojaner" wäre ich mir aber gar nicht mal so sicher wie weit deutsche Behörden da gehen? Gibts da irgendwelche Berichte? Ziemlich sicher scheint auf jeden Fall ein verschlüsselter Rechner gegen spontane Verluste (Diebstahl, Beschlagnahmung, ...) zu sein, solange er ausgeschaltet ist.
 
JohnnyBGoode schrieb:
[...] Leider kommt da Server 2008 R2 drauf, das anders als Windows 7 beim Setup auch bei bereits vorher eingericheteten Partitionen seine doofe 100 MB-Partition extra anlegt. [...]
Zum Vergrößern anklicken....
Ich korrigiere mich, bei Server 2008 R2 kann man der 100 MB-Partition noch durch eine bereits vor dem Windows-Setup angelegte Installationspartition ausweichen, dagegen erstellt Server 2012 auch in diesem Fall die separaten Partitionen.
Ist das dann bei Windows 8 auch so?
 
Keyboardlogging in Hardware
Zum Vergrößern anklicken....
Gut sieht man normal recht schnell.
Überwachungskamera
Zum Vergrößern anklicken....
kann man zuhause auch schnell erkennen.
Angesichts der Probleme mit dem "Bundestrojaner" wäre ich mir aber gar nicht mal so sicher wie weit deutsche Behörden da gehen?
Zum Vergrößern anklicken....
Klar ein wenn OS "normal" drauf lauft kann man auch mit einen Trojaner oder ähnlichen alle Daten abgreifen.

Ich habe einen "trick" wenn jemand bei mir Läutet boote ich einfach von einer XP Disk und dan führe ich ein Tool aus das bei meinen Raid Controller einfach den Key duch einen neuen ersetzt = die Daten sind 256Bit schrott. :banana:
 
JohnnyBGoode schrieb:
Ich korrigiere mich, bei Server 2008 R2 kann man der 100 MB-Partition noch durch eine bereits vor dem Windows-Setup angelegte Installationspartition ausweichen, dagegen erstellt Server 2012 auch in diesem Fall die separaten Partitionen.
Ist das dann bei Windows 8 auch so?
Zum Vergrößern anklicken....
Nach einem kurzen Test per VM: Nein. Habe vorher mit Linux eine Partition, welche die komplette Platte belegt angelegt und diese mit dem Windows8-Installer formatiert. Solange kein freier Platz auf der Platte ist hat bei mir auch noch kein Windows-Setup eine zusätzliche Partition angelegt.

Boy2006 schrieb:
Gut sieht man normal recht schnell.
Zum Vergrößern anklicken....
Nicht wenn es richtig gemacht wurde (in Tastatur eingebaut z.B.).

Boy2006 schrieb:
kann man zuhause auch schnell erkennen.
Zum Vergrößern anklicken....
Du durchsuchst täglich mit einem Suchgerät deine Wohnung? Wie gesagt, mit entsprechenden Mitteln ist das kein Problem. Für einen "Kopierer" wird der Aufwand wohl nicht getrieben.

Wie gesagt, für die meisten Anwendungsfälle sind die Daten sicher. Wenn ein Geheimdienst oder entsprechend böse Buben ins Spiel kommen hat man normalerweise verloren. Das sind nicht solche Idioten, wie die eine oder andere News vermuten lässt...
 
Ich frage hier einfach mal rein, wie ich verhindern kann, dass ein Keylogger zum Einsatz kommt, der sich im Bootloader eines Systems befindet.
Das System ist mit TrueCrypt verschlüsselt, eine 100MB Partition existiert nicht.

Reicht es, wenn ich von der TC Rescue Disk boote, um den Bootloader "ausreichend" zu umgehen, oder kann es trotzdem sein, dass der Logger aktiv wird?



Grüße
 
Ja, auf einen Hardwarelogger müsste man noch achten, stimmt.
Aber du meinst, dass der Logger im Bootloader dann nicht angesprochen wird, richtig?

Ich würde nur einmalig von der CD booten, alles runter holen, was benötigt wird und dann wird alles normal formatiert....
Wegen möglichen Hardwareloggern wird die Platte natürlich in ein anderes Gerät gebaut.



Grüße
 
Ich weiß ja nicht welche Panik du schiebst, aber wer bitteschön soll dir einen HW-Keylogger eingebaut haben...?

Ansonsten: Der Bootloader auf der Platte kann natürlich manipuliert werden. Wenn du von CD startest nicht, der Key für die Verschlüsselung (der bleibt auch nach einer Passwortänderung identisch!) kann jedoch von laufenden Programmen (im Kernelkontext) ausgelesen werden.
 
Zuletzt bearbeitet:
Noch das gewünschte Ergebnis:


vor Verschlüsselung:

as-ssd-bench SanDisk SDSSDP12 21.04.2013 16-28-44.png

nach Verschlüsselung:

as-ssd-bench SanDisk SDSSDP12 21.04.2013 19-35-43.png

nach 1,5 Monaten vollgeknallt und im Betrieb:

as-ssd-bench SanDisk SDSSDP12 08.06.2013 12-54-00.png
 
Hallo,

ich habe mal wieder eine Frage.
Ich möchte meine SSD wieder verschlüsseln. Es ist eine 840 Basic, und sie ist ein MBR-Datenträger.
Installiert ist Windows 7 Ultimate x64, mit einer 100 MB Partition.

Nun wollte ich die Partition mit Windows drauf verschlüsseln, bekomme aber nur folgenden Fehler:
DiskCryptor.png

Eingestellt ist, dass der Bootloader auf die SSD installiert werde soll.
Liegt der Fehler bei der 100 MB Partition?



Grüße.
 
Hallo,

wie soll ich das denn aber machen? Wenn ich versuche, die 100 MB Partition zu verschlüsseln, dann bekomme ich auch diesen Fehler.
Oder meinst du, ich soll die 100 MB Partition auflösen?
 
Mit welcher Software verschlüsselst du?
 
Anmelden, um zu antworten.

Ähnliche Themen

M
[User-Review] LG gram 17 17Z90S-G.AA78G
Antworten
7
Aufrufe
1K
mz_z
M
Kabs1982
[User-Review] Lesertest mit Synology - Mein Testbericht zur DS224+
Antworten
5
Aufrufe
8K
Man-in-Black
Man-in-Black
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh