Festplatte mit bereits vorhandenem Dualboot System verschlüsseln
#1
geschrieben 28. November 2015 - 16:30
ich habe eine kleine Frage und möchte nach Hinweisen fragen, bevor ich im Netz nach Infos suche und mich dabei durch viele veraltete Anleitungen durchkämpfen muss. Meine aktuelle Situation ist die folgende:
Auf meinem Laptop ist ein Dualboot-System mit Ubuntu sowie Windows 7 installiert, zusätzlich mit einer extra Partition, auf der Daten gespeichert werden. Bevor der Laptop aufgrund eines Diebstahls o.ä. in fremde Hände gerät und dadurch meine Daten an einen Fremden kommen könnten, möchte ich das ganze System so verschlüsseln, dass man dieses nur dann booten kann, wenn man das von mir festgelegte Passwort eingibt. Bei meiner bisherigen kurzen Recherche habe ich etwas von TrueCrypt gelesen, allerdings soll man hier besser die ältere Version 7.1a anwenden, und meines Wissens ist das Tool nur für Windows geeignet.
Könnte ihr mir einige Begriffe bzw. Hinweise geben, welches Tool zur nachträglichen Verschlüsselung meines Dualboot-Systems geeigent ist? Ich wäre für jede Info sehr dankbar.
Gruß
BB
Anzeige
#2 _d4rkn3ss4ev3r_
geschrieben 28. November 2015 - 16:40
Auf der Daten-Partition einen Container mittels VeraCrypt (TrueCrypt Nachfolger) oder DiskCryptor anlegen oder die Partition komplett verschlüsseln. Ob letzteres aber Probleme wegen Windows<>Linux gibt, weiß ich nicht.
Ersteres gibt es sogar für Windows, sowie Linux.
Dazu kann man noch via BIOS ein Passwort beim PC-Start festlegen, sowie ein BIOS-Passwort. Letzteres kann aber soweit ich weiß, via CMOS leeren, gelöscht werden. Ob das auch für das Festplatten-Passwort gilt, weiß ich nicht aber für beides ist auf jeden Fall keine hohe Sicherheit zu erwarten. Nur eine weitere Hürde für den Angreifer.
Dieser Beitrag wurde von d4rkn3ss4ev3r bearbeitet: 28. November 2015 - 16:41
#3
geschrieben 29. November 2015 - 06:30
Als nächstes eine Warnung: wenn sich auf der Festplatte zum Verschlüsselungszeitpunkt Daten befinden, lassen sich diese nach dem Verschlüsseln via Plaintext-Attacke relativ einfach rekonstruieren. Daher: Daten (außerhalb des Laptops) sichern, Festplatte per Secure Erase-Tool polieren, dann verschlüsseln und schließlich die Daten zurückschieben.
Mit Dualboot-Konfiguration würd ich da gar nicht fackeln wollen. Stell Dir die Frage, ob Dualboot sein muß oder nicht.
1. Ja: Datenpartition verschlüsseln und damit leben, daß das System allgemein bootbar bleibt.
2. Nein: Das andere Betriebssystem runterwerfen und ordentlich alles verschlüsseln.
Dieser Beitrag wurde von RalphS bearbeitet: 29. November 2015 - 06:32
#4
geschrieben 02. Dezember 2015 - 19:51
ich danke euch beiden für eure hilfreichen Antworten.
Zitat
Diese Hürde ist mir aber viel lieber, als das ein Dieb freien Zugang zu meinen Daten bekommt. Da mach ich ihm den Zugang auf jeden Fall lieber schwieriger.
Zitat
Das ist sehr interessant, und das wusste ich nicht. Sollte aber kein Problem sein, diese Schritte durchzuführen. Ein gutes Secure Erase-Tool, dass mir auf die Schnelle einfällt, ist der CCleaner. Vorher mache ich eine frische Neuinstallation auf eine einzige Partition und lasse ihn dann alles sauber löschen. Danach kann ich das verschlüsselte System aufsetzen.
Zitat
1. Ja: Datenpartition verschlüsseln und damit leben, daß das System allgemein bootbar bleibt.
Dualboot muss sein, aber ich will nicht auf die Komplettverschlüsselung verzichten. In der Zwischenzeit habe ich nebenbei ein wenig recherchiert und folgendes dazu gefunden:
http://www.fehrnetzt...dows-und-linux/
Für Linux verwende ich die interne Verschlüsselung, für Windows TreuCrypt 7.1a. Vorher werde ich das Aufsetzen des verschlüsselten Dualboots an einer virtuellen Maschine testen.
Weitere Vorschläge/Hinweise oder auch Kritik nehme ich gerne an.
Gruß
BB
#5
geschrieben 24. Dezember 2016 - 13:42
ich suche diesen alten Thread aus dem Archiv raus, da sich meine aktuelle Situation geändert hat, aber meine Fragestellung noch zu diesem Thema passt.
Ich habe mich von der Dualboot-Konfiguration getrennt und einen anderen Weg gewählt:
Auf der Festplatte habe ich nur noch Windows drauf, benutze aber Linux in einer virtuellen Maschine von VirtualBox. Das Host-Windows habe ich vom Internet abgeschottet, indem ich bei den Einstellungen der Drahtlosnetzwerkeinstellung IPv4 und IPv6 deaktiviert habe. So komme ich nur im Gast-System ins Internet.
Meine erste Frage:
Ist die Abschottung so wirklich gelungen, oder gibt es da noch Hintertürchen, durch die Win7 noch ins Netz kommt? Falls nicht, könnte ich doch eigentlich auf einen Virenscanner etc. in Windows verzichten, wenn ich keine Daten aus dem Internet (heruntergeladen vom Gast-System) ins Windows kopiere.
Meine zweite - eigentliche - Frage, bezogen auf die Verschlüsselung:
Aktuell habe ich Windows in einer Parititon installiert, auf der anderen Partition sind Dateien gespeichert, die ich sichern will und nicht bei jedem Neu-Aufsetzen hin- und herkopieren muss. Vor der Verschlüsselung werde ich diese Sicherungspartition außerhalb vom Laptop speichern, dann beide Partitionen verschlüsseln und danach wieder reinkopieren.
Gibt es da wegen den zwei Partitionen etwas spezielles bezüglich TruCrypt zu beachten, oder kann ich nach der erneuten Installation von Windows einfach loslegen? Habt oder kennt ihr zufällig ein HowTo, das die notwendigen Schritte erklärt?
Schon mal vielen Dank und euch allen ein frohes Fest und schöne Feiertage!
Gruß
BB
Dieser Beitrag wurde von BlackBoy bearbeitet: 24. Dezember 2016 - 13:45
#6
geschrieben 24. Dezember 2016 - 14:48
Was Truecrypt angeht. Ich kann dir nicht sagen ob du das jetzt noch nutzen sollst oder ob nicht Veracrypt besser ist. Wenn ich meine Festplatte verschlüsseln wöllte, dann würde ich das mit Linux machen. Aber so paranoid bin ich derzeit nicht.
Dieser Beitrag wurde von Gispelmob bearbeitet: 24. Dezember 2016 - 14:50
#7 _d4rkn3ss4ev3r_
geschrieben 24. Dezember 2016 - 15:35
Ebenso musst du dir die Frage stellen ob du überhaupt Dateien verschlüsseln musst, denn:
Eine Partition/ Festplatten-Verschlüsselung schützt nur bei Diebstahl. Ebenso eine Vollverschlüsselung über das gesamte System.
Sobald du das Passwort dafür eingibst, sind die Dateien unverschlüsselt zugreifbar.
Auch stellt sich die Frage ob ein Container in der die Daten liegt und diese erst freigibt, wenn du das Passwort (im laufenden System) eingibst, überhaupt notwendig ist.
Insofern nicht frei gegeben, dürfte VirtualBox bzw die VM darin nicht auf andere Dateien zugreifen können.
Alternativ kannst du das mittels Benutzerrechten absperren.
Und nutz bitte VeraCrypt. TrueCrypt hat Sicherheitslücken und wird nicht mehr entwickelt.
#8
geschrieben 24. Dezember 2016 - 17:50
@ Gipselmob:
Das System halte ich dennoch auf dem Laufenden. Ich habe einen Virenscanner und alle neuesten Patches auf dem Windows installiert und werde zukünftig auch hin und wieder IPv4 aktivieren und die Updates aller installierten Programme einspielen.
Mir geht es eher darum, nicht permanent mit Windows im Internet verbunden zu bleiben und die Nutzung des Internets nur auf das virtuelle Linux zu übertragen. Das reduziert das Schädlingsrisiko deutlich auf ein Minimum und dadurch spare ich mir einen Haufen Zeit, den ich für das Reparieren oder Neuinstallieren von Windows im Falle einer Systeminfektion investieren müsste. Sollte das Linux aus Sicherheitssicht mal schrott werden (was sehr unwahrscheinlich ist), kann ich einfach die VM löschen und eine neue erstellen. Das geht viel schneller.
Aus deiner Antwort kann ich herauslesen, dass die Blockade von IPv4 keine unbekannten Hintertürchen offen lässt, durch die ein Schädling unbemerkt ins Hostsystem z.B. durch ein Hintergrundprogramm oder -prozess eintreten könnte. Das ist schon mal sehr gut, danke!
@ d4rkn3ss4ev3r:
Bei der Verschlüsselung geht es mir auch nur um den Schutz vor Diebstahl. Sollte jemand meinen Laptop stehlen, ist der Schmerz über den Verlust des Laptops weitaus geringer, als das jemand uneingeschränkten Zugriff auf persönliche Daten (z.B. Bilder oder Videos von mir und meiner Familie) hat. Über den Datenklau über das Internet mache ich mir mit meinem aktuellen Aufbau des Systems keine Sorgen.
Deshalb mache ich mir lieber ein Mal die Arbeit mit der gesamten Kopie meiner Daten und habe anschließend ein entspanntes Gefühl, da ich weiß, dass ein potentieller Dieb mit dem vollverschlüsselten System nichts anfangen kann und es am Ende wegwerfen muss.
Ich habe ein wenig nachgegoogelt und gelesen, dass VeraCrypt 1.19 nach einer genauen Audit-Untersuchung entstand und daher als sicher einzustufen ist (siehe https://www.computer...eracrypt-audit/). Daher danke für diesen Hinweis.
Wenn mir jemand noch ein HowTo oder Hinweise für die Vollverschlüsselung eines Windows-Systems mit zwei Partitionen gibt, ist das Weihnachtsgeschenk perfekt.
Gruß
BB
Dieser Beitrag wurde von BlackBoy bearbeitet: 24. Dezember 2016 - 17:52
#9 _d4rkn3ss4ev3r_
geschrieben 24. Dezember 2016 - 18:29
- ← Avira Internet Security Suite 2017 für Windows & Android kostenlos
- Sicherheit
- CHIP- Adventskalender: AVG Pro →