Notebook Sicherheit - Truecrypt Full Disk Enryption oder nur HDD Passwort?

Hallo zusammen,

ich möchte mein Windows XP Notebook (Core i3 M350, 2 GB RAM) bzw. die Daten darauf schützen.
Ich reise viel und bei Verlust möchte ich die Daten nicht gleich "öffentlich" wissen.

TrueCrypts Full Diskencryption scheint mir interessant. Ich bin allerdings nicht sicher ob das im Betrieb auch einigermaßen schnell und zuverlässig läuft.

Alternativ würde ich "nur" ein HDD Passwort setzen, wie ich es bisher mache. Ist das denn leicht zu knacken/entfernen?
Kann "einfach" der Controller der HDD gegen einen ohne Passwort getauscht werden?

Was sind eure Erfahrungen?

Content-Key: 160455

Url: https://administrator.de/contentid/160455

Ausgedruckt am: 01.12.2021 um 10:12 Uhr

Mitglied: Phalanx82
Phalanx82 09.02.2011 um 15:05:12 Uhr
Goto Top
Hallo,

ich rate dir zu Truecrypt. Das läuft stabil und schnell genug für so ziemlich alles
was man machen möchte.

HDD PW lässt sich umgehen, zwar nicht mit 1 oder 2 Mausklicks, aber Truecrypt bekommste
nicht geknackt sofern dein PW ausreichend stark gewählt ist.


Mfg.
Mitglied: chgr
chgr 09.02.2011 um 15:16:09 Uhr
Goto Top
Danke für den Tipp. Welche Verschlüsselungsart sollte ich bei Truecrypt Full Disk Enryption optimalerweise denn wählen? (Sicherheit vs Performance?)

Kann es denn sein, dass z.B. Virenscanner und Truecrypt sich gegenseitig beeinflussen oder läuft Truecrypt noch "tiefer"`im System als der Virenscanner?

Noch zum HDD Passwort: Lässt sich das denn per Software aushebeln oder braucht es zumindest einen Hardwareumbau an der HDD selbst, dann würde ich ggf. die Gefahr eingehen?
Mitglied: brammer
brammer 09.02.2011 um 16:40:24 Uhr
Goto Top
Hallo,

beim Festplattenpasswort kommt es auf die Passwort Länge an!

Hier ein Auszug aus einem Artikel (linkn am Ende)

Rechenbeispiel: Ein 6-stelliges Passwort in 6,8 Sekunden Gehen wir davon aus, dass Ihr Passwort die durchschnittliche Länge von 6 Zeichen hat und - wie oft der Fall - nur aus Kleinbuchstaben besteht. Das bedeutet, es kann aus 26 verschiedenen Zeichen bestehen, was bei 6 Zeichen Passwortlänge insgesamt 308.915.776 (also fast 309 Millionen) Kombinationen zulässt. Das hört sich zunächst nach sehr viel an, doch sind beispielsweise mit dem handelsüblichen Core 2 Quad Q6600, der auf 3 GHz übertaktet wurde, 45.423.600 Tastenanschläge pro Sekunde möglich. Schwächere CPUs mit weniger Kernen erreichen leicht immerhin die Hälfte davon. Für das 6 Zeichen lange Kennwort benötigt die Quad-CPU lediglich 6,8 Sekunden. Besteht Ihr Kennwort aber aus Klein- und Großbuchstaben und Zahlen, gibt es bei 6 Zeichen schon 56.800.235.584 Kombinationsmöglichkeiten. Um das Passwort zu knacken rechnet die Quad-CPU jetzt rund 21 Minuten. Bei 7-stelligen Passwörtern werden aus den 21 Minuten fast 22 Stunden. Für 8 Zeichen würde unsere Quad-CPU fast 2 Monate brauchen; für 10 Zeichen fast 600 Jahre. Sonderzeichen und jede weitere Stelle verlängern die Berechnung um ein Vielfaches. Warum Brute-Force trotzdem immer beliebter wird Rechner werden immer schneller und stemmen die Berechnungen in immer kürzerer Zeit. Außerdem geht der Trend hin zu Grafikkarten, die diese Aufgabe noch schneller erledigen. Zudem stellt unsere Rechnung nur die maximale Berechnungsdauer dar, wenn also die gesuchte Kombination zufällig die letzte aller berechneten Möglichkeiten ist. Der Zufall könnte bereits die erste berechnete Kombination zum Volltreffer werden lassen, was allerdings extrem unwahrscheinlich ist.

http://www.pcwelt.de/ratgeber/So-lange-dauert-das-Passwort-Knacken-Ratg ...

brammer
Mitglied: Phalanx82
Phalanx82 09.02.2011 um 16:41:45 Uhr
Goto Top
Zitat von @chgr:
Danke für den Tipp. Welche Verschlüsselungsart sollte ich bei Truecrypt Full Disk Enryption optimalerweise denn
wählen? (Sicherheit vs Performance?)

Kann es denn sein, dass z.B. Virenscanner und Truecrypt sich gegenseitig beeinflussen oder läuft Truecrypt noch
"tiefer"`im System als der Virenscanner?

Noch zum HDD Passwort: Lässt sich das denn per Software aushebeln oder braucht es zumindest einen Hardwareumbau an der HDD
selbst, dann würde ich ggf. die Gefahr eingehen?

Hallo nochmal,

TC läuft transparent im Hintergrund, keine Software (nichtmal Windows) bekommt davon etwas mit, somit ergeben sich
auch keine Probleme mit Virenscannern etc.

Zum HDD PW: Nein Hardware muss da nicht umgebaut werden, es reicht ggf. ein physikalischer Zugriff auf die Platte (ausbauen)
und ein Hex Editor sammt nötigem Know How um das ganzen auszuhebeln.


Mfg.
Mitglied: chgr
chgr 09.02.2011 um 16:54:03 Uhr
Goto Top
Zitat von @Phalanx82:
Hallo nochmal,

TC läuft transparent im Hintergrund, keine Software (nichtmal Windows) bekommt davon etwas mit, somit ergeben sich
auch keine Probleme mit Virenscannern etc.

Zum HDD PW: Nein Hardware muss da nicht umgebaut werden, es reicht ggf. ein physikalischer Zugriff auf die Platte (ausbauen)
und ein Hex Editor sammt nötigem Know How um das ganzen auszuhebeln.


Mfg.

Also dass ein HexEditor für das HDD PW ausreicht erschreckt mich etwas :( face-sad

Wie läuft denn TC dann im Prinzip, wenn nicht mal Windows was merkt, ich dachte das liefe als Dienst unter Windows? Oder ist das ein anderer Modus bei Fulldiscenryption?

EDIT: Habe ich denn bei TC Fulldisk Enryption die Möglichkeit, einen USB Stick mit einer Keyfile zu nutzen, als Ergänzung zu einem Passwort?
Mitglied: Phalanx82
Phalanx82 09.02.2011 um 17:01:53 Uhr
Goto Top
Schau dir mal die Doku zu TC an, dort steht alles drin was du wissen willst (und musst).

Habe leider keine Zeit (und werde auch nicht dafür bezahlt, dir die Funktionsweise von TC
im Detail zu erleutern).

Naja einfach so mit dem Hex Editor rumbasteln ist es nicht, nur prinzipiell stark vereinfacht ;)
Du brauchst schon die richtigen Disk Tools dafür, die bekommt man aber, das Wissen um es
zu machen weniger einfach.

Aber wir reden hier ja nicht von Scriptkiddys gegen die man den Platteninhalt absichern will,
sondern über Profis, die wissen was sie tun, dafür gibts ja die Verschlüsselung.

PS: Eine Disk Encryption läuft im "XTS" Modus.


Mfg.
Mitglied: DerWoWusste
DerWoWusste 12.02.2011 um 16:13:05 Uhr
Goto Top
"Lässt sich das denn per Software aushebeln oder braucht es zumindest einen Hardwareumbau an der HDD selbst, dann würde ich ggf. die Gefahr eingehen?" - Wenn es denn keine neuartige Plattenverschlüsselung ist, wie die von seagate, FDE genannt, dann schließt ein Angreifer die Platte an einen speziellen Adapter an und ist blitzschnell drauf - diese Adapter sind nicht sonderlich bekannt, aber erschreckend günstig: 80€.
Seagates FDE hingegen ist sicher und auch die Amis im DOD benutzen es.
Also: schau erst mal, mit welcher Platte Du es zu tun hast.

Zur Kennwortlänge bei Truecrypt: ich fürchte, Brammer schüchtert mit seinem Artikel zur Knackbarkeit von Windowskennwörtern unnötig ein, da die Angriffstechniken vermutlich nicht die selben sind, oder weißt Du da mehr, Brammer?
Jedenfalls bietet truecrypt keine 2-factor-Authentifizierung an mit USB-stick oder was auch immer - Kennwort muss reichen.
Mitglied: chgr
chgr 13.02.2011 um 11:07:18 Uhr
Goto Top
Zitat von @DerWoWusste:
"Lässt sich das denn per Software aushebeln oder braucht es zumindest einen Hardwareumbau an der HDD selbst, dann
würde ich ggf. die Gefahr eingehen?" - Wenn es denn keine neuartige Plattenverschlüsselung ist, wie die von
seagate, FDE genannt, dann schließt ein Angreifer die Platte an einen speziellen Adapter an und ist blitzschnell drauf -
diese Adapter sind nicht sonderlich bekannt, aber erschreckend günstig: 80€.
Seagates FDE hingegen ist sicher und auch die Amis im DOD benutzen es.
Also: schau erst mal, mit welcher Platte Du es zu tun hast.

Also es ist keine Hardwarebasierte Verschlüsselung der HDD verfügbar, nur das "normale" HDD PW über BIOS administriert.
Die Adaptersache hört sich nicht wirklich gut an, ja.

Wie sieht es denn mit der Windows Funktion (GPO) zur Verschlüsselung der Offlinedateien aus? Da die meisten wichtigen Daten bei mir Offlinedateien sind, würde ich das einfach aktivieren.

Ich nehme natürlich an, dass das nicht so sicher ist wie Truecrypt, da Pagefile etc. nicht verschlüsselt werden, aber wie seht ihr das mit Blick auf die Verschlüsselung selbst, gilt das als sicher oder ist das nur Fassade?
Mitglied: brammer
brammer 13.02.2011 um 13:03:23 Uhr
Goto Top
Hallo,

@DerWoWusste
Sicher dienen solche Artikel zu einem Teil auch der Einschüchterung. Meine Eigentliche Absicht war aber das Sensibilisieren.
Ich sehe immer wieder das Mitarbeiter die Zugriff auf sensible System habe immer noch das Standardpasswort benutzen welches bei Auslieferung voreingestellt war.
Es werden Passwortlängen vorgegeben mit 6 Buchstaben. Laufzeit 90 - 120 Tage. Ohne Wörterbuch Einschränkung.
Das führt den Begriff Datenschutz ad absurdum.
Das Schlimmste das ich je erlebt habe war eine extrem gehäufte Passwort Zurücksetzung in einem Unternehmen in Berlin. Nicht die üblichen 5 -6 Passwort Problem am Tag sondern gleich dutzende Passwörter an einem normalen Wochentag. Das ganz konzentriert auf einen Gebäude Bereich. Ursache dafür war eine am Vortag abgehängte Werbetafel mit nur einem Wort. Diese Werbetafel war auch nur von diesem Gebäude Bereich aus zu sehen, oder eben jetzt nicht mehr zu sehen.
Diese und andere Vorfälle führen dazu das ich im Umgang mit Passwörtern mehr als sensibel bin.
Obwohl ich bei uns im Hause nicht in der Internen IT arbeite habe ich Administrative Rechte und mit unserer IT inzwischen die Absprache das ich nicht gesperrte Rechner nicht nur sperren darf sondern auch deren Passwort ändern darf. Dafür habe ich inzwischen manche Tüte Gummibärchen, Kuchen und ähnliches einkassiert.

Insbesondere bei der Anwendung von Closed Source oder schwachen Algorithmen reagiere ich daher oft eher drastisch.

Ein Passwort einer Festplatte zu knacken ist je nach Impmentierung eine Sache weniger Minuten oder Stunden.
Truecrypt gilt, nach meinem Wissen, als bisher, mit vernünftigen Mitteln in vertretbarer Zeit als nicht zu knacken.
Viele Hersteller implementieren immer noch Closed Source oder schwache Algorithmen, daher rate ich von solcher Software immer ab.

Truecrypt ist für mich das Mittel der Wahl bei Laptops der aktuellen Generation, ältere Laptops haben Probleme mit Treucrypt wegen der Performance.

Der TO will Daten schtützen, er ist viel unterwegs und macht sich Gedanken über den Schutz seiner Daten.
Wieso sollte man hier nicht zum erprobten Platzhirsch raten?

Wenn ich die Seagate FDE auf die schnelle richtig lese:

A quick glance on the
Internet shows scanner models with capabilities
ranging from 30 to 100,000 enrollees. This
translates to approximately 2^5 (5 bits) to 2^17
(17 bits). If you combine the best (17 bits) with a
good 10-character randomly generated password
(80 bits) you have a combined strength for your
authentication password of 97 bits. Keep in mind
that most BIOSs do not support this length of
authentication key, and so this 97-bit authentication
key will be reduced to some smaller number.
Quelle in den PDFs rechts

kann ich die 256 Bit AES Verschlüsselung nicht einsetzen da die meisten BIOSe bereits mit einem 10 stelligen Passwort überfordert sind.
Bei 10 Stellen bleiben 97 Bit übrig.
Ob man das selber noch als Sicher betrachtet muss jeder selber entscheiden.

brammer
Mitglied: DerWoWusste
DerWoWusste 13.02.2011 um 16:21:26 Uhr
Goto Top
Moinmoin Brammer.

Da hast Du ja eine Menge geschrieben. Ich bin auch für Truecrypt hier, keine Frage. Nur wäre mir (falls es vorhanden gewesen wäre) FDE sicher genug gewesen. Nach Deiner Rechnung (mit Quadcore Q6600 bei ca. 45 Mio Kennwörtern/s) braucht man selbst für 80 Bit ja noch Millionen von Jahren.
Ich kenne mich mit Bruteforce-techniken nicht aus und habe nur angezweifelt, dass diese Rechenbeispiele anwendbar sind (weil ich es nicht besser weiß). Ist es also möglich, gegen ein TC-Kennwort ebenso schnell wie gegen einen Kennworthash, wie ihn frühere Windowsversionen abgelegt haben (und ein Admin ihn auslesen konnte) "anzurechnen"? Das weiß ich nicht und hatte dazu eine Antwort erhofft.

Obwohl ich bei uns im Hause nicht in der Internen IT arbeite habe ich Administrative Rechte und mit unserer IT inzwischen die Absprache das ich nicht gesperrte Rechner nicht nur sperren darf sondern auch deren Passwort ändern darf.

Dazu brauchst Du Rechte im AD - die hast Du, ohne überhaupt in der IT zu arbeiten? Das sind ja Sitten ;) Respekt.
Mitglied: DerWoWusste
DerWoWusste 13.02.2011 um 16:24:02 Uhr
Goto Top
Wozu nur die Offlinedateien verschlüsseln? Das reicht nicht. Nimm einfach Truecrypt und gut. Die Performanceverluste merkst Du in der Regel nicht einmal.
Mitglied: brammer
brammer 13.02.2011 um 18:01:58 Uhr
Goto Top
Hallo,

@DerWoWusste
Da ich Netzwerke für unsere Kunden konzipiere muss ich Adminrechte haben. Bei uns gibt es eine interne IT und eine für unsere Kundenprojekte. Daher die Rechte.
Da ich dazu auch AD user anlegen muss geht es nicht anders.

Brammer
Heiß diskutierte Beiträge
question
Euro Zeichen geht nicht mehr gelöst GwaihirVor 1 TagFrageWindows 1014 Kommentare

Hallo zusammen, bei einem User geht das Euro-Zeichen nicht mehr. Er kann es nur noch über Copy&Paste aus der Zeichentabelle einfügen. Auch STRG+ALT+E klappt nicht. ...

question
Bitlockerpartition versehentlich gelöscht Läppi findet nach Partitiosformatierung mbr gpt die Partition nicht wiederPCChaosVor 1 TagFrageWindows 1011 Kommentare

Hallo zusammen, Ich habe ein riesen Problem, das mir sonst einfach erschien. Ich hatte eine Bitlocker Partition D: auf meinem C: Laufwerk installiert. Weil Windows ...

question
Mini PC lüfterlossurvial555Vor 1 TagFrageHardware8 Kommentare

Hallo zusammen, ich bin auf der Suche nach einer guten Lösung über System für staubintensive UmgebungenIch setzte zur Zeit 4 PCs in einem Lagerumfeld ein, ...

question
RDS 2019 - Excel2019 öffnet Dateien sehr langsam gelöst pr3adusVor 1 TagFrageWindows Server15 Kommentare

Guten Tag, ich habe ein Problem bei einem meiner Kunden: seit kurzem verwendet der Kunde meine RDS-Farm. Hier haben wir 2 RDS-Hosts und ein RDS-GW ...

question
Online Kalender gesuchtStefanKittelVor 1 TagFrageInternet8 Kommentare

Hallo, ein Kunde von mir sucht einen Online-Kalender zur Raumreservierung. Keine Datenschutzrelevanten Informationen. Es geht um 3-4 Besprechungsräume in einem Gebäude wo mehrere Firmen sind. ...

info
(Gehäuse) Schutzklasse wie IP60 und was die Zahlen bedeutenSt-AndreasVor 1 TagInformationHardware4 Kommentare

Schutzklassen wie IP51 oder IP6X ließt man immer wieder mal, vor allem bei Gehäusen oder mobilen Geräten. Wenn man besondere Anforderungen an ein Gerät (staubdicht, ...

question
Nextcloud - out of syncRoadmaxVor 1 TagFrageCloud-Dienste3 Kommentare

Hallo Zusammen, wir betreiben eine eigene interne Nextcloud 15 Instanz auf einem Ubuntu 16.04 mit Apache und haben seit geraumer Zeit immer mehr Probleme. 1. ...

question
Welchen Router, Board für Pfsense, OpenVPN? gelöst ROBCB19Vor 1 TagFrageRouter & Routing7 Kommentare

Hallo zusammen, ich suche Hardware für pfsense und Openvpn. Es sollten 10 VPN Verbindungen gleichzeitig möglich sein. Lese mich schon den 2ten Tag in die ...