[How To] TrueCrypt - Systemverschlüsselung ("whole-disk")

ChiefAlex

Super-Moderator
#1
Dies ist Teil 2 meiner Truecrypt-How-To's.
Die Einführung Teil 1 findet ihr hier:



Ziel dieses How-To's ist es, die Systempartition oder -Festplatte seines PC's so zu verschlüsseln, dass unberechtigter Zugriff auf das Betriebssystem unmöglich wird.

Generell hinterlässt die Benutzung eines Truecrypt-Containers, wie er in Teil 1 erklärt wird keine Spuren auf dem System - die Nutzung der Daten oder Programme in diesem Container aber unter Umständen schon. Eine Systemverschlüsselung schließt diese Lücke und macht z.B. das Auslesen von Daten in der Auslagerungsdatei und das Besichtigen des Browser-Cache und der Verläufe unmöglich. Da das System ohne Password nicht startet, wird auch die Installierung eines Keyloggers erheblich erschweret.

-) Vorbereitungen&Voraussetzungen:
-Ein CD/DVD-Brenner
-je nach Größe der Systemplatte: einige Geduld
-How-To Teil 1 zumindest lesen!

Truecrypt wird eure Systempartition mit einem oder mehreren Algorithmen eurer Wahl verschlüsseln, und zwar vollständig, freien Speicherplatz ebenso wie belegten.

Ein wichtiger Bestandteil von Truecrypt ist der sogenannte Bootloader. Ein Bootloader ist der Code, der vor dem Start eines Betriebssystem geladen wird und das Starten von Windows erst möglich macht. Bei Truecrypt sorgt der Bootloader für die Passwort-Eingabemaske beim Starten.

Um zu verhindern, dass durch eine Beschädigung dieses Bootloaders das System unbenutzbar wird, erzwingt Truecrypt die Erstellung einer CD, mit deren Hilfe sich der sogenannte Header der Verschlüsselung wiederherstellen lässt (dies umgeht aber keine Passworteingabe!). Das Programm erstellt ein .iso-Image, welches dann auf CD /DVD gebrannt wird (mit Windows7-Bordmitteln, etc).
Im Fall einer Beschädigung kann also mit dieser Rettungs-CD ein funktionsfähiger Bootloader wiederhergestellt werden.
Bei Passwordänderungen muss das .iso und die Rettungs-CD neu erstellt werden.
Achtung: Die Rettungs-CD kann das Passwordeingabe nicht umgehen, sondern nur die Eingabemöglichkeit im Fall von Beschädigungen wieder benutzbar machen!

Durchführung:
(Ich gehe von der englischen Sprachwahl aus):
  1. Startet Truecrypt, klickt oben auf den Tab "System"->"Encrypt System Partition/Drive".
    Wählt als Option "Normal". Auf die Möglichkeiten eines versteckten, verschlüsselten Betriebssystems werde ich hier nicht eingehen.
  2. Area to Enrypt: Wählt die gewünschte Option. Sinnvoll ist die Verschlüsselung der gesamten Festplatte, sofern ihr nicht parallel mehrere Betriebssysteme verwendet.
  3. Encryption of HPA: betrifft meist Fertig-PCs a la Aldi-PC. Erklärung lesen! Wenn ihr euch nicht sicher seit, "no" wählen.
  4. Nächster Schritt: Wählt die Anzahl der Betriebssysteme.
  5. Verschlüsselungs-Algorithmus: unter Benchmark könnt ihr die Ver/Entschlüsselungsgeschwindigkeit der verschiedenen Optionen ansehen. Bedenkt, dass bei einer Komplett-Verschlüsslung ALLE Daten bei Bedarf erst entschlüsselt werden müssen! Bei exotischen Kombinationen (mehrere Algorithmen zusammen) kann dies zu verlängerten Ladezeiten führen. Im Normalfall liegt die Geschwindigkeit des Entschlüsselns weit über der Geschwindigkeit, mit der Festplatten lesen, daher ist kein Geschwindigkeitsverlust spürbar.
    Ich empfehle, AES-only zu wählen. Dies ist der performanteste Algorithmus, der von modernen CPUs deutlich beschleunigt wird.
  6. Nächster Schritt: Password wählen: Dies ist die mit Abstand wichtigste Option, euer System abzusichern. Nehmt NICHT den Namen eines Haustiers, NICHT das Geburtsdatum von irgendjemandem, nicht eure Adresse mit PLZ! Wählt eine Kombination aus Buchstaben und Zahlen, sorgt dafür, dass Groß- und Kleinschreibung verwendet wird! Nehmt Sonderzeichen! Nehmt kein Password unter 20 Zeichen! Sinnvoll könnten die Anfangsbuchstaben eines jeden Wortes eines langen Satzes sein (Groß/Kleinschreibung, Satzzeichen und zahlen!). Anagramme sind NICHT sicher! Passwörter unter 6 Zeichen können innerhalb weniger Minuten bis Stunden durchprobiert werden (über diverse Programme) und bieten keinerlei Schutz. Verwendet kein Passwort, dass ihr für irgend etwas anderes benutzt!
    Sorgt dafür,dass ihr das Password nicht vergesst. Ohne es kommt ihr nie wieder an die verschlüsselten Daten heran!
    Am Ende gibt es den Link zu einem Passwort-Generator [1].
  7. Zufallsdaten sammeln: Bewegt die Maus im Feld so lange ihr sollt. Je länger, desto besser.
  8. Keys anschauen und lieb haben. Weiter klicken.
  9. Jetzt wird die eingangs erwähnte "Rescue Disk erstellt (als ISO-Image).
    Dies ist zwingend, kann und sollte nicht ignoriert werden. Brennt diese CD nach der Erstellung des Images (Link zu einer Freeware wird angezeigt), danach wieder ins Laufwerk legen, damit ihre Integrität überprüft werden kann ( wäre ja dumm, wenn sie nicht funktioniert). Nach jedem Passwortwechsel (später nach der Verschlüsselung durchaus möglich) muss eine neue Disk erstellt werden, da diese Teile des Keys enthält (erzeugt durch euer Password, erlaubt aber kein "Hacking" eures Passworts!).
  10. Nächster Schritt: Entscheidet, ob ihr den "Wipe"-Modus verwenden wollt. Dieser überschreibt die leeren Teile der Festplatte nach eingestellten Methoden, um forensische Untersuchungen unmöglich zu machen. Je mehr Durchläufe stattfinden, desto länger dauert der ganze Prozess! Dies kann bei großen Festplatten mehrere Tage dauern.
    Der Wipe-Modus ist wenn überhaupt bei bereits länger benutzten System sinnvoll, nicht bei frisch gekauften Festplatten.
  11. Nächster Schritt: Ein Test wird durchgeführt, indem der PC neu gestartet, der Truecrypt-Bootloader installiert und euer Password abgefragt wird.
    Wenn etwas davon fehlschlägt startet das System auf Tastendruck normal und entfernt den Bootloader.
  12. Wenn alles gut läuft, startet der PC nach Eingabe des Passworts und beginnt nach mehreren Hinweistexten (wenn möglich diese ausdrucken) mit der Verschlüsselung. Diese wird sehr viel Zeit in Anspruch nehmen. ihr könnt währenddessen normal mit dem PC arbeiten, spielen, TV/Video schauen etc. Wenn der PC heruntergefahren werden muss, klickt auf "Pause" und fahrt dann herunter. Der Vorgang wird beim nächsten Hochfahren fortgesetzt.
  13. Beachtet, dass der Verschlüsselungsprozess jederzeit pausiert werden kann. Der PC muss also nicht die gesamte Zeitdauer durchgängig laufen!


Dauerhaftes Entschlüsseln des Systems:
Die entsprechende Option in Truecrypt auswählen: "System-> Permanently decrypt System partition/drive" und das Programm arbeiten lassen.


Achtung: Durch die Komplettverschlüsselung wird eine Datenrettung im Fall anderer Computerprobleme massiv erschwert. Spätestens jetzt solltet ihr von allen Daten, die euch lieb sind, Backups auf einer seperaten Festplatte besitzen! Natürlich sollten die Backups ebenfalls auf einer verschlüsselten Platte oder in einem Truecrypt-Container liegen.

Es gibt Möglichkeiten, die Sicherheit von Truecrypt zu umgehen. Dazu zählen vor allem lokal angebrachte Hardware-Keylogger und das lokale Manipulieren des Bootloaders. Soweit mir bekannt, ist für alle diese Möglichkeiten physischer Zugang zum Gerät, d.h. ein Einbruch in eure Wohnung nötig, Dies nur als Hinweis.
Am Ende ist Truecrypt auch nur so stark wie eure Bereitschaft, das Passwort nicht zu nennen.
Visualisiert hat dies xkcd.



Weblinks:
[1]: Passwort-Generator: http://www.gaijin.at/olspwgen.php
Truecrypt-Website: http://www.truecrypt.org/
Das offizielle Tutorial: http://www.truecrypt.org/docs/tutorial. Sehr ausführlich und mit Screenshots jedes einzelnen Bildschirms versehen.
Der Unterbereich zur system encryption: http://www.truecrypt.org/docs/system-encryption
Wikipedia-Artikel: https://de.wikipedia.org/wiki/TrueCrypt
 
Zuletzt bearbeitet:
K

KoH

Guest
#4
gefällt mir sehr gut, habe so alle illegalen datein versteckt*hust* wichtige schuldokumente :D
 

Bitnik

New member
#7
Danke das beantwortet meine frage ausreichend.

Ganz ehrlich wieder mal ein Armutszeugnis der USA......

Greetz BitNik
 

ChiefAlex

Super-Moderator
#8
Zuletzt bearbeitet:

ChiefAlex

Super-Moderator
#11
Ich bin gerade auf diesen Thread gestoßen ! Echt ein sehr nettes HowTo. Und der letzte Hinweis von Alex ist auch sehr nett :D. Wollte noch darauf hinweisen das man TrueCrypt außer kraft setzen kann, wenn man vorher zugriff auf die Festplatte hat! Szenario plötzliche Hausdurchsuchung.

Wen es interessiert: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus!

Also immer schön Pc ausmachen ^^.
Naja Software, die vor dem OS geladen wird kann natürlich alles mitloggen...ich hätte allerdings mehr Sorge vor Hardwarewanzen IM Keyboard (oder auf dem Mainboard, eigentlich egal).
 
#12
Joa stimmt shon abre ich wollte es nur erwähnt haben ! Und er loggt das Password ja nicht mit sondern schaltet die Verschlüsslung komplett ab. Also schon etwas anderes ! Naja gib tja noch andere möglichkeiten sachen zu verschlüsseln! (Meine Tastatur gib tihren geist auf, leertaste und backspace sind schon am arsch ud die anderen tasten gehen auch langsm niht mehr daher die rechtschreibfhler...)
 

ChiefAlex

Super-Moderator
#13
Joa stimmt shon abre ich wollte es nur erwähnt haben ! Und er loggt das Password ja nicht mit sondern schaltet die Verschlüsslung komplett ab. Also schon etwas anderes ! Naja gib tja noch andere möglichkeiten sachen zu verschlüsseln! (Meine Tastatur gib tihren geist auf, leertaste und backspace sind schon am arsch ud die anderen tasten gehen auch langsm niht mehr daher die rechtschreibfhler...)
Nein, die Verschlüsselung bleibt unangetastet. Nur die zur laufzeit entschlüsselten Daten (also der RAM) sind ausspähbar. Effektiv ist es aber dasselbe. Allerdings:
Dadurch wird es letztlich möglich Daten auszuspähen, während der Anwender sein System nutzt. Allerdings muss für die Installation des Bootkits physischer Zugang zum fraglichen Rechner bestehen.
...
In diesem Fall wäre aber wohl der Einbau eines Keyloggers zum Ausspionieren des Passworts die einfachere Variante.
Imo eine interessante idee, solange aber nicht über z.B. Schwachstellen im system auch ohne diesen physischen Zugang remote der BR beschrieben werden kann recht ungefährlich.
 
#14
Wann kann man denn das ganze system verschlüssel, muss man das während der Windows installation machen oder direkt danach oder ist es egal zu welchem zeitpunkt?

10. Nächster Schritt: Entscheidet, ob ihr den "Wipe"-Modus verwenden wollt. Dieser überschreibt die leeren Teile der Festplatte nach eingestellten Methoden, um forensische Untersuchungen unmöglich zu machen. Je mehr 3/6/35 Durchläufe stattfinden, desto länger dauert der ganze Prozess! Dies kann über Tage bis hinzu Wochen (bei sehr großen Festplatten) bedeuten.
Und hierzu hab ich auch ein paar fragen.
Wenn man sich für den Wipe Modus entscheidet wird dann der Komplette freie speicher überschrieben, sodass keine Programme mehr installiert werden könne?

Welche Methoden kann man denn einstellen und welche würdest du empfehlen?

Wie wirkt sich die anzahl der durchläufe auf den verschlüsslungsprozess aus?
 

ChiefAlex

Super-Moderator
#15
Lies nochmal. Es wird leerer,d.h. nicht belegter Speicher überschrieben. Der Sinn: Datenwiederherstellungs-Tools suchen in diesen nicht belegten Speicherbereichen nach wiederherstellbaren Dateien. Wenn man diesen beschreibt, sind die Daten auch wirklich gelöscht.
Der Speicherplatz bleibt selbstverständlich nutzbar für dich.
 

ole1836

New member
#18
Sehr schönes Tut, gefällt mir gut! Nur ich habe eine Frage: Was bekommt man selbst nach dem verschlüsseln davon mit? Ich denke, beim booten muss man irgendwann sein Passwort eingeben, oder? Aber dann wird doch nicht die komplette Platte wieder entschlüsselt, oder? Werden, wenn man z.B. eine Ordner öffnet, die darin enthaltenen Daten während des Öffnens entschlüsselt, oder wie darf ich das verstehen?
 

ChiefAlex

Super-Moderator
#19
Ich denke, beim booten muss man irgendwann sein Passwort eingeben, oder?
Genau so ist es, der Truecrypt-Bootloader zeigt eine EIngabe-Maske an:


Aber dann wird doch nicht die komplette Platte wieder entschlüsselt, oder? Werden, wenn man z.B. eine Ordner öffnet, die darin enthaltenen Daten während des Öffnens entschlüsselt, oder wie darf ich das verstehen?
Es wird genau das entschlüsselt, auf das Zugriff stattfindet. Die Daten werden gelesen, in verschlüsselter Form landen sie im Arbeitsspeicher und werden dort direkt bei der "Ankunft" von Truecrypt entschlüsselt. Die Verzögerung ist minimal, und solange du keine Kaskaden nutzt (Also mehrere Verschlüsselungen hintereinander) können die Daten meist schneller entschlüsselt werden als von der Platte gelesen (mehrere 100MB/Sekunde). Die CPU-Last durch die Entschlüsselung ist ebenfalls sehr gering.
 

ole1836

New member
#20
Also gibt es keine spürbaren Performanceverluste, solange man nur eine Verschlüsselung benutzt. Das klingt echt gut, glaube, ich werde das bei meinem neuen PC mal ausprobieren. Danke!