[Speedyfree]

Hallo,

Mir ist vor kurzem mein Firman Laptop abhanden gekommen. Und nun hab ich Angst dass diverse wichtige Firmen Daten "na sagen wir mal" öffentlich geworden währen.

Mein Cheff hatte den Lappy versteckt.

Nun möchte ich die Daten Verschlüsseln und dass so Sicher wie geht.

Wie geht das?
Kann ich die ganze FP Verschlüsseln?
Oder zumindest eine Partition?

Wenn ja, gehen da die Daten eventuell verloren bei einer neuinstallation des Betriebysytems? XP-Pro SP2. Es sind zwei Partitionen auf der FP.

Kann ich dann weiterhin mit den Daten Arbeiten und sie wie gewohnt abspeichern und anschliesend eventuell auf einen anderen Rechner Kopieren um sie dort weiter zu bearbeiten?

Kann ich auf die Daten weiterhin über Firmen-Netzwerk zugreifen? Sprich- dass mein Cheff über Netzwerk auf mein Firmen Lappy zugreifen kann.

Was muß ich beachten und/oder wo bekomme ich solche Infos her?

Hab ne menge gegooglet, aber ehrlich gesagt weis ich nicht genau wonach (welches Schlagwort) ich suchen muß. Es sind zig Tausend Seiten.

Währe echt nett von euch wenn ihr mir diesbezüglich helfen würdet.

Vielen Dank schon mal!
Gruß Speedy

Dieser Beitrag wurde von Speedyfree bearbeitet: 14. September 2004 - 02:17

[Rika]

1. Unter Win2K/XP/2K3 mit EFS, wahlweise mit diversen kommerziellen Kryptoprodukten oder Open Source Lösungen (die wegen der Vertraulichkeit zu bevorzugen sind). Jeweils datei- oder partitionsweise. Was liegt dir mehr?
2. Nein, einige Teile mögen doch unverschlüsselt bleiben, bis überhaupt der Dateisystemtreiber und die Verschlüsselungssoftware geladen sind...
3. Ja, das geht. Sehr gute Erfahrungen habe ich mit dem OpenSource-Kryptosystem TrueCrypt, aber auch CrossCrypt ist interessant und beides kann man sich selber kompilieren (und somit Hintertüren sowie schlechte Implementierung ausschließen). Je nach Anforderungen kann auch dateiweise und sogar nur manuelle Verschlüsselung erforderlich sein.
4. Obwohl Backups das eigentlich sowieso verhindern sollten und man ein Überschreiben durch bedachte Neuinstallation eigentlich problemlos verhindern kann, ist dateiweise Verschlüsselung natürlich weniger anfällig als eine Verschlüsselung des gesammten Dateisystems, während man aber auch Dateisysteme in Containerdateien nutzen kann. Bezüglich Backups sind solche sowie ebend reine Partitionen grundsätzlich vollständig zu sichern, wobei bei dateiweiser Verschlüsselung differentielle Backups möglich und natürlich sehr viel platzsparender sind.
5. Ja, uneingeschränkter Zugriff nach einmaliger Eingabe eines Passwortes (bei EFS das Passwort des Benutzerkontos, bei TrueCrypt/CrossCrypt ein separates Passwort) ist für partitionsweise Verschlüsselungssysteme sinnvoll.
6. Ja, dementsprechend.
7. Du mögest vor allem zuverlässige Software zu benutzen (Tipp: nicht quelloffene Software ist für Krypto wirklich vertrauensunwürdig), die Schlüssel zuverlässig zu sichern bzw. zu schützen (hatten wir das nicht gerade erst? Da hat jemand verschlüsselt, wußte das irgendwie nicht, den Schlüssel nicht gespeichert und dann bei der Neuinstallation überschrieben -> Daten pfutsch) und die Daten regelmäßig zu backupen (nicht notwendigerweise verschlüsselt, ein heilwegs stabiler Panzerschrank sollte auch ausreichen).
8. Konkrete Empfehlungen hängen von den Sicherheitsanforderungen, von der Erfahrung des Users und von der Schlüsselverwaltung ab.

[Speedyfree]

Hallo Rika,

Sag mal! Schläfst du eigentlich nie? Egal wann ich mal ne frage gepostet habe, hast du sie mir beantwortet. Thk`s

Danke sehr für die ausfühliche Info. Durch einige von deinen Schlagworten hab ich mich weiter mit google befasst und habe noch einiges dazugelern. Ich werde natürlich noch weiter recherchieren. Und das ganze erst mal auf meinem Lappy testen, bevor ich das am Firmen Lappy Anwende.

Also ich stelle mir das Verschlüsseln etwa so vor.
(Am Liebsten währe es mir natürlich den kompletten Rechner dicht zu machen)

Aber wenn ich nur die zweite Partition wo ich Standartmässig alles abspeichere, komplett Verschlüsseln könnte. Würde es schon reichen denk ich.
Und den Schlüssel würde ich gerne auf einen Stick Speichern, den ich dann bei jedem Booten mit verwende.

kein Stick-->kein Datenzugriff; Stick reinstecken -->Datenzugriff möglich. Also nicht lange mit Schlüssel Im-und Exportieren.

Wie(mit welcher Freeware-Software) kann ich das am besten/einfachsten machen (ist das möglich)?

Ich suche derweilen weiter nach ner Lösung.

Nochmals Herzlichen Dank!

Dieser Beitrag wurde von Speedyfree bearbeitet: 14. September 2004 - 04:56

[Z3rO]

Das würde mich auch mal interessieren.

Unter Linux gibt es ja die Möglichkeit sich ein GnuPG Key auf einen USB stick zu speichern, ohne den das System nicht hochfährt bzw. die Platte entschlüsselt wird. Für Windows gibt es da leider nur kommerzielle (und dementsprechend teure) Produkte.

[Rika]

@Speedyfree: Ohne Stick, sondern nur mit Passwort, wäre das wesentlich einfacher zu realisieren, z.B. mit TrueCrypt.
Aber ansonsten gibt's auch 'ne gute Lösung: Windows, EFS und SmartCard (nein, dafür reicht ein USB-Stick nicht aus). Anmeldung ohne Smartcard nicht möglich, bei Entfernen der SmartCard wird man automatisch ausgeloggt. Der Schlüssel liegt auf der SmartCard. Und wenn man lustig ist dann speichert man noch den SysKey auf 'ner Diskette, d.h. ohne diese Diskette kann der Rechner nie weiter als bis kurz vorm Login-Prompt booten.

@Z3ro: Richte doch einfach ein Kryptoloop auf allen Partitionen außer der Bootpartition ein, speichere den Key auf dem USB-Stick und lass ihn vorher automatisch mounten.

[Z3rO]

Zitat (Rika: 14.09.2004, 14:40)

@Z3ro: Richte doch einfach ein Kryptoloop auf allen Partitionen außer der Bootpartition ein, speichere den Key auf dem USB-Stick und lass ihn vorher automatisch mounten.

Wie gesagt, daß sowas unter Linux funzt weiss ich ja. Mich hat aber eher mal die Windows Variante interessiert. Die hast du mir aber grade mit der Smartcard erklärt

[Flaix]

Zitat (Rika: 14.09.2004, 14:40)

Und wenn man lustig ist dann speichert man noch den SysKey auf 'ner Diskette, d.h. ohne diese Diskette kann der Rechner nie weiter als bis kurz vorm Login-Prompt booten.

das hört sich interessant an, könntest du bitte erklären wie das funktioniert

[Flaix]

habs sogar selber rausgefunden


für alle dies interessiert:

unter ausführen --> syskey eingeben --> dann auf aktualisieren klicken --> schlüssel für den systemstart auf diskette speichern

Dieser Beitrag wurde von Flaix bearbeitet: 14. September 2004 - 15:49

[Rika]

@Flaix: Denk aber daran daß der SysKey nur die Benutzerdatenbank schützt, nicht aber den EFS-Schlüssel (der hängt nur vom Userpasswort ab). Und von der Diskette solltest du auch ein Backup anlegen.

@Z3ro:

http://www.suse.de/de/private/support/onli...p/howto/crypto/
http://www.inf.tu-dr...ards_win.pdf.gz

[Z3rO]

Ah klasse. Vorallem der 2. Link ist sehr interessant. Danke dir!

[edit]@Rika *klick*. Hast du das inzwischen hinbekommen? [/edit]

Dieser Beitrag wurde von Z3rO bearbeitet: 14. September 2004 - 16:53

[Rika]

Jein. Die entsprechenden Einstellungen habe ich hinbekommen, aber SD-Cards als SmartCards zu verkaufen ist mir bislang nicht gelungen, genausowenig wie das Verschieben des SysKey.

[Z3rO]

Schade schade.

Sag mal wäre es möglich zB. eine abgelaufene Bankkarte zu löschen und die als Smartcard einzusetzen?

Smartcard reader/writer gibts ja wie Sand am Meer, nur Smartcards ansich finde ich komischerweise nicht (hab aber auch nicht wirklich gründlich gesucht wenn ich ehrlich bin )

[edit] Falls es jemanden interessiert: Cryptoshop scheint eine ganz gute Anlaufstelle für derlei Dinge zu sein. [/edit]

Dieser Beitrag wurde von Z3rO bearbeitet: 14. September 2004 - 18:12

[stefanra]

Ich denke du wirst genügend Angebote für Smartcards etc. bei Google finden

[Rika]

Richtig. Nur die meisten SmartCard-Reader werden über USB angestöpselt, was sie anfällig für Abhörschnittstellen (ja, die Dinger sind klein und unauffällig) macht und damit den Sicherheitsvorteil von Smartcards gegenüber ganz normalen Schlüsseln auf Speichermedien sehr stark relativieren, erst recht bezüglich der Kosten. Und Läppis mit internen SmartCard-Reader sind selten und teuer.

Deshalb kann man u.U. die Secure Area von SD-Cards nutzen, um wenigstens Schlüssel passwortgeschützt zu hinterlegen und heilwegs temperresistent zu sein, sofern man der Schlüsselverwaltung auf dem Logon-System vertrauen kann (SD-Cards können ja keine kryptogrpahischen Operation ausführen, eine Authentifzierung ist damit nicht gegeben).

@Z3ro: Ja, das geht manchmal. Aber bei welcher Bank gibt's denn solche genialen Bankkarten?
Aber die SmartCards in dem Shop sehen echt lecker aus.

EDIT: Meinte natürlich "unauffällig"...

Dieser Beitrag wurde von Rika bearbeitet: 14. September 2004 - 22:45

[Z3rO]

Zitat (Rika: 14.09.2004, 19:46)

@Z3ro: Ja, das geht manchmal. Aber bei welcher Bank gibt's denn solche genialen Bankkarten?
Aber die SmartCards in dem Shop sehen echt lecker aus. 

Naja ich hab noch eine hier liegen die nicht mehr gültig ist. Wer vermutet denn schon zB. hinter meiner Sparkassenkarte den Key für mein System.

Hab ehrlich gesagt auch gedacht das das ganze viel teurer wäre. Da gibts ja cards für 20 euro + 20% UST.

Muss ich da auf was bestimmtes achten? Würde das ding gerne unter Windows und Linux einsetzen.

Gibts für Linux sowas wie du es hier erklärt hast?

Zitat

Anmeldung ohne Smartcard nicht möglich, bei Entfernen der SmartCard wird man automatisch ausgeloggt.