[conradp]

Moin Moin,

ich möchte auf einem Laptop ein Windows10 Pro 64bit,Linux Mint 18 (32bit)Dualbootsystem einrichten.
Das Windows ist schon installiert und Bitlocker noch nicht aktiviert. Es existiert nach den Windows-Partitionen noch ca. 40GB unbenutzter Speicher.

Dualboot soweit ja noch ganz einfach.
Jedoch sollte das Windows10 mit Bitlocker verschlüsselt werden und das Linux sollte ebenso verschlüsselt werden.
So wie ich gelesen habe, darf der Grub nicht im MBR installiert werden und der Linux Bootsector muss unter Windows gestartet werden.

Wie gehe ich da genau vor, bzw. würde das generell funktionieren?

[RalphS]

Gegenfrage: Was genau erhoffst Du Dir von dieser Konfiguration? Oder anders gefragt, warum möchtest Du Dualboot und verschlüsseln? Weil, Bitlocker und Laptop beißt sich schon ein bißchen und Verschlüssen und Dualboot klingt ein wenig paradox; da sperrt man die Vordertüre zu und gleichzeitig die Hintertüre wieder auf.

- Mögliche Alternative:

- Windows einrichten
- Hyper-V an
- Linux-VM einrichten (mit Mint)
- Bitlocker auch an

und im Hinterstüberl behalten, daß Bitlocker eher gegeen Hardware(konfigurations)änderungen schützt als irgendwas anderes. Den Laptop klaut man aber als Ganzes. Geht einfacher, als die Festplatte auszubauen versuchen.

Dieser Beitrag wurde von RalphS bearbeitet: 14. Juli 2016 - 13:14

[conradp]

Die Verschlüsselung ist notwendig, daß auf Reisen/Urlaub keiner die sensiblen Daten in die Hände bekommt, wenn der Laptop geklaut wird.
Das Gerät ist natürlich etwas schwachbrüstig, denke das meinst Du mit Laptop und Bitlocker beisst sich.
Ist aber egal, da Geschwindigkeit unterwegs nicht das höchste Ziel ist.
Das mit der VM klingt eigentlich gut, aber das Teil hat nur 2GB RAM (nicht aufrüstbar). Dann würde es wirklich unerträglich langsam, wenn man mit Linux arbeitet. Im Moment ist einigermassen erträgliches Arbeiten durch die SSD möglich.

Überwiegend würde auch nur das Linux benutzt werden, daher 32bit und nicht virtuell. Das Windows10 hatte ich keine Lust neu zu installieren/aktivieren, deshalb ist das eine 64bit Version. Leider ist ein Windows zwingend notwendig und so kam mir diese Konstellation in den Sinn.

Hat jemand einen Plan?

[Update]
Hyper-V ist gar nicht möglich auf der Dose (Intel Atom N570)
Vorher lief der mit einer "normalen" Festplatte unter Linux Mint 32bit mit Verschlüsselung und war immer noch ausreichend schnell für meine Zwecke.
[/Update]

Dieser Beitrag wurde von conradp bearbeitet: 14. Juli 2016 - 13:42

[adrianghc]

Zitat (RalphS: 14. Juli 2016 - 13:11)

Weil, Bitlocker und Laptop beißt sich schon ein bißchen

Wieso das?

[conradp]

Danke für die Frage, aber das Thema ist wie bekomme ich beide System verschlüsselt auf die Platte.

Wie partitioniere Ich das Linux und wie aktiviere Ich danach die Verschlüsselung.
Eine Wahl zur (automatischen) Verschlüsselung bei Mint habe ich nur, wenn die ganze FP verwendet wird.

[WalterB]

Vielleicht eine blöde Antwort, warum kopierst Du die Daten nicht auf eine externe USB Harddisk oder SSD welche Du nach dem runterfahren immer wieder entfernst ?

Selber mache ich das schon jahrelang so.

[conradp]

Zitat (WalterB: 14. Juli 2016 - 14:16)

Vielleicht eine blöde Antwort, warum kopierst Du die Daten nicht auf eine externe USB Harddisk oder SSD welche Du nach dem runterfahren immer wieder entfernst ?

Selber mache ich das schon jahrelang so.

Weil das System selber genug sensible Daten enthält wie Kennwörter,Konfigurationseinstellungen etc.

Ich habe realisiert, das das Problem wohl etwas aufwendiger zu lösen ist.

Wie ist das mit der HDD-Password Funktion im Bios.

Ist das sicher? Das Passwort ist ja im Laufwerk gespeichert, sollte also auch gegen Auslesen nach Ausbau schützen.
Gibt es da irgendwelche Schwachstellen? Das Laufwerk ist eine Samsung 850 EVO.

[Samstag]

Bitlocker funktioniert eigentlich sogar recht problemlos im Dualboot mit Linux. Du musst lediglich den Linux-Bootloader auf eine eigene Partition, die von Windows lesbar ist (Fat, NTFS) verbannen (dd if=/dev/sda of=bootsector.mbr bs=512 count=1) und dem Windows-Bootloader erzähen, dass da noch was ist:
bcdedit /create /d "GRUB" /application BOOTSECTOR (ID merken)
bcdedit /set ID device partition=C:
bcdedit /set ID PATH \bootsector.mbr
bcdedit /displayorder ID /addlast
bcdedit /timeout 30
Das wars auch schon.
Was Ralph vermutlich meint ist dass du dann zwar Windows verschlüsselt hast, Linux fehlt aber immer noch. Desweiteren ist Bitlocker auch nur so gut wie dein Windows-Passwort, solange es nämlich auf dem Laptop läuft wird der Bitlocker-Key nur nach Hardwareänderungen abgefragt. Wenn jemand also dein Windows-Passwort kennt ist der Bitlockerschutz ab adsurdum geführt.
Das liesse sich umgehen, indem du ein Programm nimmst, was Sicherheit bietet und unter beiden Systemen läuft. Also z.b. Veracrypt.
Die Methode mit dem HDD-Passwort ist murks, auf der Festplatte wird da nämlich gar nichts gespeichert, lediglich im Bios. Ausbauen, woanders einbauen und auslesen ist da also ein leichtes.

[RalphS]

Zitat (adrianghc: 14. Juli 2016 - 14:00)

Wieso das?

Weil den Moment, wo Windows startet, die Festplatte bereits entschlüsselt ist (oder, wegen mir, genauer: an dieser Stelle der Schlüssel im RAM steht und man auf das Volume zugreifen kann, als gäbe es kein Bitlocker).

Bitlocker sichert die Systemintegrität. Festplatte raus und wo anders rein? Bitlocker greift. Aber, kein Mensch baut aus dem Laptop eine Festplatte aus. Man kann das Ding genausogut am Stück greifen.

Was Bitlocker-Paßwörter angeht, nun ja, DIE sind relativ schwach und wenn ich jetzt sozusagen einen Laptop geklaut hab mit Bitlocker und Paßwort, dann probier ich halt ein bissel rum.

Für effizentes Bitlocker bräuchte man eigentlich ein TPM, UEFI und Secure Boot noch dazu, damit es was taugt; und Multiboot reißt nur Sicherheitslücken rein.

Da ist es also besser, wenn man Bitlocker ganz sein läßt und "nur" seine persönlichen Daten verschlüsselt, sei es mit EFS (und einem sicheren Windowskennwort, sonst taugt das auch nix) oder halt mit Veracrypt oder sonstwomit.

Dieser Beitrag wurde von RalphS bearbeitet: 14. Juli 2016 - 17:44

[conradp]

Zitat (RalphS: 14. Juli 2016 - 17:43)

Weil den Moment, wo Windows startet, die Festplatte bereits entschlüsselt ist (oder, wegen mir, genauer: an dieser Stelle der Schlüssel im RAM steht und man auf das Volume zugreifen kann, als gäbe es kein Bitlocker).

Bitlocker sichert die Systemintegrität. Festplatte raus und wo anders rein? Bitlocker greift. Aber, kein Mensch baut aus dem Laptop eine Festplatte aus. Man kann das Ding genausogut am Stück greifen.

Besteht nicht die Möglichkeit Bitlocker auch ohne TPM mit einem USB-Stick als "Schlüssel" zu starten? Meines Wissens ging das durch Ändern irgendwelcher Registryeinträge. Das Windows und Linuxsystem braucht gegeneinander nicht abgeschottet zu werden. Ohne den USB-Stick oder ein Passwort sollten sich nur im ausgeschalteten Zustand keine Daten mehr auslesen lassen.

Zitat (Samstag: 14. Juli 2016 - 16:18)

Was Ralph vermutlich meint ist dass du dann zwar Windows verschlüsselt hast, Linux fehlt aber immer noch. Desweiteren ist Bitlocker auch nur so gut wie dein Windows-Passwort, solange es nämlich auf dem Laptop läuft wird der Bitlocker-Key nur nach Hardwareänderungen abgefragt. Wenn jemand also dein Windows-Passwort kennt ist der Bitlockerschutz ab adsurdum geführt.

Ich möchte, ein verschlüsseltes Linux UND ein Windows mit Bitlocker, welches nur mithilfe eines USB-Sticks entschlüsselt wird. Das Gerät ist ohne TPM.
Mein Problem ist das verschlüsselte Linux neben dem Windows zu installieren UND es zu verschlüsseln.
Der Linux Mint Installer bietet nur Verschlüsselung an, wenn die FP gelöscht wird.
Es existieren jetzt 3 primäre Partitionen. und ca. 40GB freier Speicher. Ich habe keinen Plan, welche Partitionen ich im Linux Installer anlegen muss und das Linux-System bei der Installation verschlüsseln kann. Oder ist das auch nachträglich möglich?

Zitat

Das liesse sich umgehen, indem du ein Programm nimmst, was Sicherheit bietet und unter beiden Systemen läuft. Also z.b. Veracrypt.
Die Methode mit dem HDD-Passwort ist murks, auf der Festplatte wird da nämlich gar nichts gespeichert, lediglich im Bios. Ausbauen, woanders einbauen und auslesen ist da also ein leichtes.

Ist das Passwort nicht auf der SSD gespeichert?

[conradp]

Zitat (d4rkn3ss4ev3r: 14. Juli 2016 - 18:30)

Warum nicht ganz einfach?:

Auf der Windows, sowie Linux Partition jeweils einen Container in VeraCrypt erstellen.
Oder dein freien Speicher dafür nutzen und von beiden System drauf zugreifen.

Es sollen ja nicht nur Dateien/Dokumente geschützt werden, sondern auch Kennwörter,Konfigurationseinstellungen,temporäre Dateien,Registryeinträge,History etc.
Dokumente zwischen den System auszutauschen spielt keine Rolle. Die können vollkommen abgeschottet sein oder auch nicht. Hauptsache man kann bei ausgeschaltetem Gerät keine Daten mehr aus beiden Systemen auslesen.

Ich habe jetzt das Problem gelöst und zwar nicht durch verschlüsseln der Betriebssysteme, sondern durch setzen des HDD-Kennwortes im Bios. Da die verwendete Samsung 850 Evo AES 256 Bit Verschlüsselung (Class 0) , TCG/Opal, IEEE1667 (Encrypted Drive) beherrscht und mein Acer Aspire D257 (Bios 1.15) dies unterstützt, werden die Daten in der SSD verschlüsselt und der Encryption Key in der Firmware der SSD durch das HDD-Kennwort geschützt.
Einfach ausbauen und extern auslesen funktioniert nicht. Ich habe dies getestet.

Danke für die Antworten!

[Samstag]

Interessant, bringt aber nicht die Sicherheit, die AES 256Bit eigentlich verspricht: http://www.acer-user...es-hilfe.20655/
Und wenn es da schon eine so große Community gibt, können sicher auch noch andere den Hash berechnen. Scheint ja kein großes Wunderwerk zu sein, wenn die Antwort auf die Frage teilweise grad mal 2 Minuten später erfolgt.
Das ist nur ein Hinweis. Je nachdem wie wichtig die Daten sind genügt dir vielleicht, trotz der Sicherheitslücke, diese Art der Verschlüsselung. Ich wollte es nur erwähnt haben, falls die Daten doch wichtiger sein sollten.

Ausserdem danke ich dir hier an der Stelle für den Hinweis dass das Passwort eben doch auf der FP gespeichert wird. Ich bin da wohl doch noch ziemlich oldschool und kenne nur die Variante, dass das Passwort im Bios gespeichert wird. Wie ich eben lesen musste gibt es das mit dem auf FP speichern schon seit gut 10 Jahren, ups.

[conradp]

Zitat (Samstag: 14. Juli 2016 - 21:00)

Interessant, bringt aber nicht die Sicherheit, die AES 256Bit eigentlich verspricht: http://www.acer-user...es-hilfe.20655/
Und wenn es da schon eine so große Community gibt, können sicher auch noch andere den Hash berechnen. Scheint ja kein großes Wunderwerk zu sein, wenn die Antwort auf die Frage teilweise grad mal 2 Minuten später erfolgt.
Das ist nur ein Hinweis. Je nachdem wie wichtig die Daten sind genügt dir vielleicht, trotz der Sicherheitslücke, diese Art der Verschlüsselung. Ich wollte es nur erwähnt haben, falls die Daten doch wichtiger sein sollten.

Ich kann mir schon vorstellen, daß gewisse Geheimdienstkreise da evtl. eine Backdoor/Schwachstelle gefunden haben oder die Hardware haben um die Verschlüsselung zu knacken.
Da die Verschlüsselung aber nur gegen Diebe helfen soll, die keinen Bezug zu meiner Person haben, ist das denke ich mehr als ausreichend. Der Dieb kann die Platte nur durch löschen aller Daten wieder benutzen.
Gezielte Entwendung der Festplatte mit Ziel die Daten zu entschlüsseln kann ich mir nicht vorstellen, da diese Daten rein privat sind und weder politisch noch wirtschaftlich einen Wert haben.

[Nachtrag]
Die von dir verlinkte Schwachstelle betrifft diese SSD nicht, da wie schon erwähnt das Passwort in der SSD gespeichert ist und NICHT im Bios.
[/Nachtrag]

Dieser Beitrag wurde von conradp bearbeitet: 15. Juli 2016 - 08:30

[DK2000]

Zitat (conradp: 14. Juli 2016 - 19:56)

Ich habe jetzt das Problem gelöst und zwar nicht durch verschlüsseln der Betriebssysteme, sondern durch setzen des HDD-Kennwortes im Bios. Da die verwendete Samsung 850 Evo AES 256 Bit Verschlüsselung (Class 0) , TCG/Opal, IEEE1667 (Encrypted Drive) beherrscht und mein Acer Aspire D257 (Bios 1.15) dies unterstützt, werden die Daten in der SSD verschlüsselt und der Encryption Key in der Firmware der SSD durch das HDD-Kennwort geschützt.

Wobei ich bezweifele, dass das wirklich so der Fall ist. Momentan gehe ich mal davon aus, dass das Gerät nur die Standard-Verschlüsselungsmethode mit Passwort im BIOS unterstützt, die schon bei erscheinen des Gerätes funktioniert hat.

TCG/Opal 2.0 und IEEE1667 benötigen auf jeden Fall mind. UEFI 2.3.1 mit entsprechender Erweiterung, damit SED Laufwerke vollständig unterstützt werden.

Und nur nebenbei: Das Password bei SED Laufwerken wird nirgends gespeichert. Auf der SSD landet nur ein Hash.