In direkten Gesprächen mit verschiedenen Menschen – technikversiert oder nicht – ist mir aufgefallen, dass viele Menschen ihre Sicherheit nicht so ernst nehmen, wie sie sollten. Ich möchte meinen Beitrag dazu machen und stelle mein Setup vor:
Grundlage ist mein Desktoprechner mit einer Systemfestplatte und einer Datenfestplatte (eigentlich ein Raid). Jedenfalls mag ich das Gefühl nicht, wenn jemand anders einfach meinen PC nutzen kann, deshalb hatte ich schon immer ein Windowskennwort. Dies schützt aber nur den PC, nicht die Daten. Will man an diese ran kommen, genügt das Booten einer Linux-Live-CD und alle Daten liegen offen vor einem.
Ich habe deshalb Truecrypt und schon länger meine Datenpartition komplett verschlüsselt. Wichtig ist dabei, dass man eine Partition verschlüsselt und nicht das ganze Laufwerk, denn sonst denkt Windows unter bestimmten Umständen, dass die Platte leer ist und bietet das Formatieren an. Böse! Die Partition darf dabei natürlich über das komplette Laufwerk gehen.
Seit mittlerweile 2 Versionen bietet Truecrypt auch die Option, die Systemplatte zu verschlüsseln. Dies habe ich nun auch gemacht. Wenn der Rechner nun startet, läuft das Bios ganz normal ab, bevor Windows dann mit dem Starten beginnt kommt allerdings eine Passwordabfrage. Ohne das korrekte Password können die Daten auf der Platte nicht entschlüsselt werden und genau genommen könnte man nicht mal sehen, ob da überhaupt ein Windows drauf installiert ist.
Wenn ihr mir so weit gefolgt seit, dann habt ihr beim Booten eine Passwortabfrage, einen Windowslogin und eine weitere Passwortabfrage für die Datenpartition. Hier kommt jetzt der Komfortpunkt: Das Windowskennwort sollte man behalten, da man mit leerem Kennwort womöglich angreifbar übers Netzwerk wird, aber man kann Windows so einstellen, dass es automatisch einloggt (oder XP). Dies verringert die Sicherheit nicht, denn man hat ja zuvor schon durch das Truecrypt-Passwort gezeigt, dass man “berechtigt” ist. Außerdem kann man das Passwort für die Datenpartition auf der Systempartition hinterlegen und so das Freischalten der Datenpartition durch den Autostart automatisieren:
“C:\Program Files\TrueCrypt\TrueCrypt.exe” /volume \Device\Harddisk1\Partition1 /letter e /p “meinPasswordhier” /q
Diese Zeile startet Truecrypt, nimmt das angegebene Volumen und meldet es auf den Laufwerksbuchstaben E an. Das Password liegt hier im Klartext vor. /q beendet Truecrypt dann direkt wieder.
Abschließendes Fazit ist, dass ich genau wie ganz am Anfang für den Systemstart nur ein Passwort benötige, nun meine Platten aber komplett verschlüsselt sind. Neben dem Bonus der Sicherheit kommt diese Passwortabfrage nun auch am Anfang im Bootprozess statt in der Mitte! Ich kann also anschalten, gebe nach 3 Sekunden mein Kennwort ein und kann mir einen Kaffee holen, wenn ich wieder komme ist alles fertig!
Ich denke, dass ich auf diesem Wege sowohl die Sicherheit als auch den Komfort gut unter einen Hut gebracht habe!
Truecrypt benutze ich auch schon seit Jahren, an die Systempartition habe ich mich aber noch nie rangetraut. Klingt aber gut und deshalb werde ich es auch mal probieren; wenn es mir die Platte zerhaut habe ich jetzt wenigstens einen schuldigen
huhu fabse ^^
na wie gehts?
ja also mit dem thema verschlüsselung hab ich mich auch intensiv beschäftigt.
hab bei mir linux laufen und seit jeher ein benutzer login. dabei hab ich das so eingestellt das mein login pw gleichzeitig meine home- und daten-partition entschlüsselt. das system wollte ich jetzt nicht verschlüsseln aber wäre natürlich das sicherste..
noch ein gedanke zur höchsten sicherheit für deine daten.. man könnte auf der verschlüsselten systempartition ein key-file legen welches die daten verschlüsselt – somit sind die daten stärker verschlüsselt (da key-file besser als kurzes pw) und die daten brauchen kein pw um entshlüsselt zu werden. nur muss man das key-file ziemlich gut sichern.
mir ging es auch um spuren wie temp-files und die registry und sowas, von daher bin ich mit dem rundumsorglospaket sehr zufrieden
das mit dem keyfile und der höheren sicherheit stimmt schon, allerdings ist die sicherheit nicht wirklich höher, da sie ja von der sicherheit der systemplatte abhängt und da diese ja immernoch mit einem normalen passwort arbeitet, wird es nicht viel sicherer, allerdings kann ich jetzt z.b. nicht mehr ohne die systemplatte an die datenplatte, was eine unangenehme abhängigkeit aufbaut: meine datenpartition ist ein raid 5 und damit in gewissem umfang gegen hardwareausfall geschützt, meine systemplatte ist aber kein raid und wenn die jetzt ausfällt, kann ich meine daten nicht mehr entschlüsseln, wäre dumm oder? naja und über “keyfile auf usb stick” reden wir lieber erst gar nicht
ansonsten cool, nach so langer zeit mal was von dir zu hören, wie biste auf den blog gestoßen?
tjo die url kann man sich einfach (einfach) merken
und ich glaub kuni hat mich auf deinen blog aufmerksam gemacht
warum nicht das pre-boot system password cachen? spart die batchdatei…
Die Antwort ist einfach, damals gab es diese Funktion in TrueCrypt noch nicht!
vielleicht ist es so sogar sicherer, da Passwörter die beim booten gecached wurden ja via RAM auslesbar sind… via command line eher nicht