TrueCrypt überflüssig durch Festplattenkennwort?

[love.metal]

Ich habe leider nichts konkretes gefunden über die Suche, daher hier die Frage. Kann ich mir meine TrueCrypt-Container sparen, wenn ich einfach ein Festplattenpasswort setze?

Soweit ich das verstanden habe, wird ohne das Passwort die Festplatte in jedem Rechner nicht ansprechbar sein und auch so gut wie nicht möglich die Daten auszulesen.

Ich denke es wird auch keine Unterschiede zwischen einer normalen HDD und einer SSD geben oder? Ob letztendlich meine Kingston SSD so ein Passwort unterstüzt, müsste ich erst einmal testen.

Danke für die Antworten.

 

[twisted mind]

Hast ja Recht... Also Back to Toppic!
Also klare Antwort an den TE: "Nein!"

Ein HDD Password wird wohl den Ottonormaluser abhalten an deine Daten zu kommen.
Füxe knacken es mit einer kleinen Hardware und einem Proggi in Null, nix.
Wer diese Skillz hat, wird aber wohl an TS scheitern, falls das Passwort einigermaßen clever gewählt ist.
TS ist aber für Profis auch zu knacken, wobei aber wohl stets die Verhältnismäßigkeit gewahrt bleibt.

Klaus

 

[die_matrix]

Hallo!

Wie wäre es mit Free CompuSec?




Gruß aus Trier

 

[JNS-K]

Ist das Windows-Passwort mit Bitlocker denn sicherer? Ansonsten sind Windows-Passwörter ja extrem leicht auszuhebeln *grübels*

Unter der Voraussetzung das Du dem Hersteller Deines Notebooks und Microsoft vertraust ist Bitlocker (mit TPM / Intel TXT) mit die sicherste Verschlüsselungsmöglichkeit für Firmen / Privatpersonen ohne Zugriff auf zertifizierungsfähige Hard- & Software die derzeit existiert. Denn Bitlocker ist die einzige, mir bekannte, nicht zertifizierte Software welche die Ways of Trust die die aktuelle Intel Hardware zur Verfügung stellt auch nutzt.

Durch diese Nutzung sind die bisher möglichen Angriffe wie Keylogger, Trojaner usw. nicht mehr möglich, da die gesamte Kommunikation inkl. Tastatur & Mauseingaben verschlüsselt abläuft. Auch der Angriff auf fremde Speicherbereiche ist nicht mehr möglich - somit funktioniert selbst der Bundestrojaner nicht, aber das ist nicht Bitlocker zuzuschreiben, sondern es ist ein Feature von Intel TXT - allerdings wird das Feature erst durch Bitlocker aktiviert.

Ich persönlich würde daher jedem, der nicht gerade Besuch von amerikanischen Geheimdiensten befürchtet, Bitlocker in Kombination mit Intel TXT empfehlen, da bei dieser sämtliche gängigen Angriffsmöglichkeiten bis auf B&F und SE nicht funktionieren. Des weiteren ist noch kein geglückter Angriff auf AES 256 bzw. TPM / Intel TXT bekannt. Leider muss man dabei dem viel gelobten Truecrypt negativ ankreiden, dass es diese Möglichkeiten nicht nutzt und daher für die oben genannten Angriffsmöglichkeiten anfällig ist - ein simpler Hardwarekeylogger für knapp 10 Euro reicht aus um den "Schutz" ad absurdum zu führen und im Zeitalter von heimlichen Durchsuchungen usw. wäre mir das Risiko zu groß. Allerdings ist TC in Kombination mit Bitlocker das Optimum für Privatpersonen und/oder Firmen.

Im übrigen sind seit Windows 2000 Windowspasswörter mit vernünftiger Länge und der Verwendung von Sonderzeichen bei einem entsprechend konfiguriertem System in keinem normalen Zeitrahmen mehr zu knacken und gegen physischen Zugriff hilft nur Verschlüsselung und dabei ist es gleichgültig welches OS verwendet wird.

Eine kurze offtopic-Frage:
Macht es einen Unterschied, ob in einem Passwort nur ein oder mehrere Sonderzeichen enthält? Quasi:
a) ABcde1234%
b) ABcde123&%
Entscheidend ist doch, dass Sonderzeichen vorkommen und weniger die Anzahl; oder habe ich da einen Gedankenfehler.

jepp, Du hast keinen Gedankenfehler, zumindest ist des bei den meisten B&F Tools so. Durch die Verwendung von mind. 1 Sonderzeichen erweiterst Du den möglichen Schlüsselraum und damit die Decodierzeit. Denn im Gegensatz zu den in Filmen gezeigten "Entschlüsselungen" akzeptiert so gut wie keine Software einzelne Zeichen und gibt ein Feedback zurück ob es richtig oder falsch ist. Sondern bei den meisten wird aufgrund Deiner Eingaben ein Token erzeugt der mit dem vorhandenen salted Hash verglichen wird und bei Übereinstimmung geht man davon aus dass das eingebene Passwort richtig war. Somit entscheidet dann nur noch die Länge des Passwortes mit mind. 1 Sonderzeichen in welcher Zeit es geknackt werden kann.

Frage an die Safeguard - Benutzer:
Wie kommt Ihr an Eure Daten, wenn Windows irreparabel gecrasht ist und komplett neu installiert werden muss?

Backup ... wie bei jedem System ... ob verschlüsselt oder nicht.

btT: Je nachdem vor welchem Angriffsszenario Du Dich schützen möchtest ist ein SATA Passwort ausreichend oder auch nicht. Für den Möchtegernhacker von Nebenan reicht es vollkommen aus, da man für das deaktivieren des Passwortes eine manipulierte Platine der gleichen FP benötigt, da das Passwort in einem gesonderten Bereich auf der HD gespeichert ist und jede reguläre Plattenelektronik das Passwort abfragt. Da aber die Daten unverschlüsselt auf der Platte liegen, kann jedes Datenrettungsunternehmen auf die Daten im Reinraum zugreifen - daher schützt es nicht gegen die Verfolgung durch die Staatsgewalt.

Im übrigen solltest Du beachten, falls Du in einem TP der T61 Serie ein SATA Passwort setzen solltest, kann es sein dass Du dann die Platte nur auf Geräten der gleichen Serie entsperrt bekommst denn anscheinend füllt das TP die fehlenden Zeichen auf, so dass Du auf anderen Rechnern trotz richtigem Passwort keinen Zugriff bekommst.

VG JNS

 

[Evilandi666]

da die gesamte Kommunikation inkl. Tastatur & Mauseingaben verschlüsselt abläuft.

Und wie soll das mit einer normalen PS/2 Tastatur (oder USB Tastatur) gehen, wenn die das nicht unterstützt? Da kann man Hardwaremäßig doch genauso ansetzen und das Signal abgreifen, bevor es zum PC geht.

Aber gut, gegen Spionage hilft weder TPM, noch Intel Blubb, noch TC, ...

 

[JNS-K]

Und wie soll das mit einer normalen PS/2 Tastatur (oder USB Tastatur) gehen, wenn die das nicht unterstützt? Da kann man Hardwaremäßig doch genauso ansetzen und das Signal abgreifen, bevor es zum PC geht.

selbstverständlich muss die Hardware diese Technologie unterstützen und Du hast recht bei normalen PCs wird es schwierig, aber bei Notebooks sollte das eher ein geringes Problem sein. Ein Artikel der die Möglichkeiten von Intel TXT relativ einfach erklärt - findest Du dort.

Aber gut, gegen Spionage hilft weder TPM, noch Intel Blubb, noch TC, ...

Richtig ... und daher ist der Fingerprint trotz seiner bekannten Schwächen in öffentlichen Umgebungen gar nicht mal so übel ...

VG JNS

 

[Sightus]

[...] Allerdings ist TC in Kombination mit Bitlocker das Optimum für Privatpersonen und/oder Firmen.

Solange sich die beiden Systeme nicht irgendwie stören können.

jepp, Du hast keinen Gedankenfehler, zumindest ist des bei den meisten B&F Tools so. Durch die Verwendung von mind. 1 Sonderzeichen erweiterst Du den möglichen Schlüsselraum und damit die Decodierzeit. Denn im Gegensatz zu den in Filmen gezeigten "Entschlüsselungen" akzeptiert so gut wie keine Software einzelne Zeichen und gibt ein Feedback zurück ob es richtig oder falsch ist. Sondern bei den meisten wird aufgrund Deiner Eingaben ein Token erzeugt der mit dem vorhandenen salted Hash verglichen wird und bei Übereinstimmung geht man davon aus dass das eingebene Passwort richtig war. Somit entscheidet dann nur noch die Länge des Passwortes mit mind. 1 Sonderzeichen in welcher Zeit es geknackt werden kann.

Danke, genau das wollte ich wissen :thumbsup: Bezüglich der Übereinstimmung aus salted Hash und der "Probe"; was bedeutet "geht man davon aus". Gibt es etwa die Möglichkeit zwei Passwörter zu vergeben? Ich stelle mir der gerade ein Szenario vor indem ein bestimmtes Passwort nur einen bestimmten Teil des Containers freilegt....

[...] Backup ... wie bei jedem System ... ob verschlüsselt oder nicht.

Was passiert eigentlich, wenn ich einen TC-Container auf einer Festplatte habe, die neuerdings fehlerhafte Sektoren aufweist? Wenn einer dieser defekten Sektoren "innerhalb" des Containers liegt dürfte dieser doch unbrauchbar sein, oder?

Gruß sightus

 

[Evilandi666]

Danke, genau das wollte ich wissen :thumbsup: Bezüglich der Übereinstimmung aus salted Hash und der "Probe"; was bedeutet "geht man davon aus". Gibt es etwa die Möglichkeit zwei Passwörter zu vergeben? Ich stelle mir der gerade ein Szenario vor indem ein bestimmtes Passwort nur einen bestimmten Teil des Containers freilegt....

Gruß sightus

Es kann passieren, dass 2 Passwörter (oder 2 Dateien, oder was auch immer) zufällig den gleichen Hash erzeugen, obwohl sie verschieden sind. Sowas versucht man aber zu minimieren, durch "gute" Hashfunktionen usw.

http://de.wikipedia.org/wiki/Hashfunktion

 

[Sightus]

Vielen Dank!

Hash-Algorithmen sind darauf optimiert, Kollisionen zu vermeiden. Eine Kollision tritt dann auf, wenn zwei verschiedenen Datenstrukturen derselbe Hashwert zugeordnet wird. Da der Hashwert in der Praxis meist kürzer als die originale Datenstruktur ist, sind solche Kollisionen dann prinzipiell unvermeidlich, weshalb es Verfahren zur Kollisionserkennung geben muss. Eine gute Hashfunktion zeichnet sich dadurch aus, dass sie für die Eingaben, für die sie entworfen wurde, wenige Kollisionen erzeugt. In der Kryptographie ist es zusätzlich wünschenswert, dass es nach praktischen Maßstäben nicht möglich ist, künstlich Kollisionen zu erzeugen (Kollisionssicherheit). In Sonderfällen kann auch eine perfekte (also kollisionsfreie) Hashfunktion ermittelt werden.

 

[Gelöschtes Mitglied 33511]

@Quichote

Einfach im BIOS die entsprechenden Passwörter gesetzt, und in der Fingerprint Software von Lenovo unter Einstellungen> Sicherheit bei Inbetriebnahme > Fingerabdruckscan statt Einschalt und Festplattenkennwort verwenden den Haken gesetzt, dann halt bei den einzelnen Fingerabdrücken auch die Kästchen aktiviert, dass dieser Finger für Windows-Kennwort und Einschaltkennwort genutzt wird > danach booten, alles Passwörter nochmal von Hand eingeben, und beim nächsten Mal mach ich das TP über den FP an und bin im Windows

Glaube kaum das bei meinen Schweissflossen nen vernünftiger Fingerabdruck irgendwo an TP zu finden ist :thumbsup:

 

[deltazero]

Ist das Windows-Passwort mit Bitlocker denn sicherer? Ansonsten sind Windows-Passwörter ja extrem leicht auszuhebeln *grübels*

Also das Knacken des Windows-Passworts setzt doch voraus, dass ich an das Systemlaufwerk rankomme und das geht bei Bitlocker nicht, da alles verschlüsselt ist. Selbst wenn ich abgesicheren Modus starte und vergesse Bitlocker zu pausieren, wird das System gesperrt und ich muss den elendslangen Wiederherstellungsschlüssel eingeben.

Also denke schon, dass das sicher ist.... Aber lass mich gerne eines besseren belehren. Irgendwas macht Bitlocker ja noch mit dem Security-Chip des Thinkpads...

 

[Mornsgrans]

Frage an die Safeguard - Benutzer:
Wie kommt Ihr an Eure Daten, wenn Windows irreparabel gecrasht ist und komplett neu installiert werden muss?

Backup ... wie bei jedem System ... ob verschlüsselt oder nicht.

Dein Wort in Gottes Ohren

 

[deltazero]

Backup ... wie bei jedem System ... ob verschlüsselt oder nicht.

Also zumindest beim Backup der ganzen Platte muss man bei Acronis True Image das Sektor-für-Sektor-Backup wählen, ansonsten klappt das nicht. Aber beim Dateibackup funktioniert es tatsächlich genau wie bei einem unverschlüsselten System. Das ist viel angenehmen als die (Datei-)Verschlüsselung mit EFS, bei der man beim Backup auch auf Dateiebene sicherstellen muss, dass man nachher noch Zugriff hat... Das hat mich schon ein paar Mal zum Schwitzen gebracht.

 

[terry_mccann]

Du bist mit TrueCrypt in der Lage auch die komplette Festplatte in einem Rutsch zu verschlüsseln, da stören dann auch keine Container mehr.
Die Abfrage des Passwortes für TrueCrypt ist dann sofort nach Einschalten des Thinkpads.

@Flory
Super, hat in der Tat funktioniert, die ganze Platte verschlüsselt und die Partitionen bleiben wie sie sind.....1001 Dank für den Tip. Ist ja eigentlich offensichtlich, wär ich aber ohne Deinen Hinweis nicht drauf gekommen.

Mal eine weitere Frage zu dem Thema: Ich sichere mein NB ab und zu mit einem Acronis True Image einzelner Parttitionen. Geht das jetzt noch oder muss ich nun in Acronis die ganze PLatte sichern? Das wäre dafür nämlich zu viel an Daten. Die Acronis CD-Boot-Variante kommt ja an verschlüsselte Partitionen nicht mehr ran....

 

[Adun]

Du bist mit TrueCrypt in der Lage auch die komplette Festplatte in einem Rutsch zu verschlüsseln, da stören dann auch keine Container mehr.
Die Abfrage des Passwortes für TrueCrypt ist dann sofort nach Einschalten des Thinkpads.

Wenn ich zwei Festplatten, insgesamt 2TB in einem RAID0 verschlüsseln möchte, habe ich dann große Geschwindigkeitseinbusen? Geht das Trotz RAID einfach so?

Sorry für die dummen Fragen, ich werde in den nächsten Minuten TrueCrypt zum ersten Mal benutzen und brauche einfach etwas Rat - am besten ist der Live von Menschen die Ahnung haben und nicht i-welche Anleitungen.... ^^

Mit Truecrypt komplett verschlüsselte Festplatten verursachen manchmal Probleme - wurde in einigen Threads schon hier behandelt.

Was kann den Passieren? :O

EDITh fragt:

Ein Kolleg von mir hat mal erzählt, seine Frestplatten werden beim Herunterfahren sofort Verschlüsselt, geht das mit TC auch?

 

[Joker_x61]

Frage an die Safeguard - Benutzer:
Wie kommt Ihr an Eure Daten, wenn Windows irreparabel gecrasht ist und komplett neu installiert werden muss?

Für Safeguard gibt es die Möglichkeit eine WinPE-Boot-CD mit dem Filtertreiber zu erstellen.
Im Notfall kann mit dieser gebootet werden und nach Eingabe des Passwortes (MBR muss noch iO sein oder ein Backup muß vorliegen) kann man über das WinPE oder BartPE auf die verschlüsselte platte zugreifen und Daten retten oder versuchen das System zu reparieren.

Backup macht es einfacher ;-)

 

[Adun]

Des weiteren... wenn ich jetzt auf meinem 2TB RAID 1,2TB verschlüsseln will, wie lange wird das dauern?! Allein mein Testobjekt, ein 8GB USB-Stick wird mir mit 45 Min auf, finde ich, mittleren Einstellungen und ohne WIPE mode angegeben..... o.0

Ich will nicht unbedingt 2 Jahre auf die Verschlüsselung warten

und BTW was passiert wenn wärend des Vorgangs die Stromversorgung flöten geht?!

 

[gru3n3r]

Also meine 1,5 Tb-Platten haben mit LUKS und Truecrypt so 1,5-2 Tage gebraucht, wenn ich micht nicht irre.

 

[Adun]

was hast Du da für Einstellungen verwedent? Weißt Du das evtl. noch? ^^

Und wenn der Saft auf einmal ausgeht?

Und wenn ich - wenn die Platten dann verschlüsselt sind - nochmal was Draufkopiere, das wird dann Live verschlüsselt oder beim Ausschalten des Computers? Braucht es viel Rechenleistung, soll heißen, desto schneller die Maschine desto besser (Mein x200 "langweilt" sich bei 38° Temperatur grad, also eher weniger?!)