Truecrypt 5.0 PBA im Test

Juppi. Truecrypt 5.0 ist erschienen. Damit wird erstmals auch Festplattenvollverschlüsselung mit pre-boot authentification (PBA)

Auf diese neue Feature habe ich mich schon seit einiger Zeit gefreut.

Ich habe es mir jetzt mal zur Aufgabe gemacht ein benutzerorientiertes Review zur Festplattenvollverschlüsselung zu schreiben.

Folgende Punkte sind aus meiner Sicht am interessantesten:

• Wofür: Was bringt der Einsatz von Truecrypt mir?

• Durchführung: Wie wird Truecrypt so installiert, das mein gesamtes System geschützt ist?

• Geschwindigkeit: Wie wirkt sich das auf die Systemperformance aus?

Eins vorweg, alle diese Erfahrungen beziehen sich auf eine VM-Umgebung. Rückschlüsse auf tatsächliche Systeme sind also nur bedingt möglich.

Zur Geschwindigkeit noch ein wesentlicher Punkt. Das System auf dem die VM läuft ist mit einem Quadcore 2,4 GHz ausgestattet.

Wofür

Ich hatte es in einem anderen Eintrag bereits beschrieben.

Warum man die Festplattenvollverschlüsselung den Containern von Truecrypt vorziehen sollte, ist ein ganz einfacher.Windows schreibt auch einmal gerne Daten die eigentlich in den Container (und nur darein gehören) in Temp-Dateie und Auslagerungsdateien, kurz gesagt irgendwo hin, wo sie nicht hingehören.

Zwar gibt es (wie im erwähnten Eintrag beschrieben) Möglichkeiten, das zu verhindern. Aber die sind doch eher nichts für den Laien und lassen selbst Experten immer mit einem Grummeln im Magen zurück.

Daher entledigt man sich dem ganzen Aufwand recht elegant, indem man einfach die ganze Platte verschlüsselt.

Durchführung

Die Installation selber ist komplett Assistenten gestützt. Einzige Vorraussetzung sind Adminrechte, ein Brenner + Rohling und etwas Zeit.

Einmal EULA akzeptieren bitte:

Installationsort wählen:

Noch ein Paar mal weiter und Truecrypt ist installiert, nach einem erneuten Start von Truecrypt geht es weiter:

Zu erst einmal, muss festgestellt werden, welcher Algorithmus der schnellste ist:

Dafür klickt man Tools->Benchmark, das Ergebnis dürfte in Etwa so aussehen:

Damit ist klar, das Twofish der schnellere Algorithmus ist. Da alle Algorithmen in Truecrypt bisher nicht geknackt und eigentlich auch gleich sicher sind, ist es egal welchen man nimmt. Der Geschwindgikeit wegen entscheide ich mich in dieser Installation für Twofish, aber es muss jeder Selber wissen, was er nehme möchte.

Via System->Encrypt System Partition /Drive… startet man den Setup.

Nun, die Frage ob man die gesamte Festplatte verschlüsseln möchte, oder nur die Systempartition:

Beider Varianten haben ihre Vor- und Nachteile. Ein Laie, der sein gesamtes System sichern möchte, sollte einfach “Encrypt the whole drive” wählen. Nur die system Partition zu verschlüsseln bietet zwar einige Vorteile, hat aber auch den Nachteil, dass auf die unverschlüsselte Partition Daten “lecken” könnten.

Hat man nur eine große C: Partition (80% der Rechner *hust*) ist es eh egal. Dann wählt man “Enrypt the whole drive”.

Als nächstes wählt man aus,wie viele Betriebssysteme installiert sind. Am besten folgt man hier einfach den Anweisungen auf dem Bildschirm.

Nun wählt man den Algorithmus aus, mit dem Truecrypt die Daten verschlüsseln soll. Ich sagt bereits oben, aus Performancegründen empfehle ich an dieser Stelle den Algorithmus auszuwählen, der als schnellster im Benchmark ermittelt wurde. In meinem Fall Twofish:

Nun kommt die Passworteingabe. Mit diesem Passwort steht und fällt die Sicherheit der Daten.

Ich habe für die Testumgebung ein schwaches Passwort gewählt, aber man muss bedenken, das hier eingegebene Passwort ist die wichtigste Bastion gegen Angriffe.

Nur ein sicheres Passwort schützt.

Nach ein paar mal “next-geklicke möchte Truecrypt eine Rettungs-CD erstellen.

Diese sollte gebrannt werden. Das kann man zwar umgehen, in dem man die ISO via eines Virtuellen CD-Rom-Laufwerks einliest, aber ich würde jedem empfehlen die ISO zu brennen. (Wenn dieser Satz nicht verstanden wurde, brenne die CD!)

Nun muss noch gewählt werden, ob die unverschlüsselten Daten vorher noch ein-bis-23-mal überschrieben werden sollen. Paranoide Geister können das machen, wer wirklich schützenswerte Daten hat sollte es machen. Ich hab es jetzt für diesen Testlauf unterlassen.

Truecrypt möchte als Nächstes überprüfen, ob es überhaupt booten kann. Dazu startet Truecrypt einmal den Rechner neu, um zu testen, ob der Bootloader korrekt installiert wurde:

So sieht der neue Bootloader aus. Diesen darf man ab sofort vor jedem Boot durchlaufen:

Hat man es zurück ins System geschafft kann man mit der Verschlüsselung des Systems beginnen.

Jetzt holt man sich am Besten eine Kaffee.

Irgendwann ist Truecrypt dann fertig und man hat ein verschlüsseltes System.

Geschwindigkeit

Eine wichtige Frage bei Verschlüsselung ist immer, ob und wie es sich auf die Performance eines Systems auswirkt.

Dazu ist zu erst eines festzustellen:

Die Flaschenhälse in einem aktuellen System sind die Festplatten. Die Ent-/Verschlüsselung der Daten erfolgt aber nicht auf dieser, sondern, im Arbeitsspeicher des Rechners.

Somit wird die Lese-/Schreibleistung im wesentlichen durch Arbeitsspreicher- und Prozessorgeschwindigkeit bestimmt.

Auf meinem System schaffe ich sowohl in der VM als auch auf dem System selber eine Ent-/Verschlüsselungsgeschwindigkeit die weit über dem Datendurchsatz meiner Festplatte liegt.

Hier mal der Vergleich mittels des Truecrypt-Benchmarks (Alle Operationen laufen im Speicher ab, sind somit als Obergrenze der möglichen Geschwindigkeit zu verstehen.) :

Der Truecrypt-Benchmark (Version 4.3a) auf meinem System:

Das gleiche in der VM (Truecrypt 5.0):

Die tatsächliche Einbuße gegenüber einem unverschlüsselten System lässt sich zwar nur schwer vorhersagen, aber meine Erfahrung mit Truecrypt und anderen Systemen sagt, dass man bei einem halbwegs aktuellen System mit einem Core2Duo oder schnellem Pentium 4 keine merklichen Einbußen erleidet. (Oder vergleichbaren Prozessoren) Alles was hier an Einbußen entsteht ist aber maximal mittels eines Benchmarks zu sehen und nicht spürbar.

Auf meinem QuadCore schaffe ich es nicht einmal messbare Einbußen zu schaffen. Allerdings ist meine Festplatte auch “nur” SATA-I tauglich und die Platte selber schafft gerade mal 50MB/s.

Getestet mit einem einfachen Truecrypt-Container Version 4.3a:

D: ist unverschlüsselt, E: ist ein mit AES verschlüsselter Truecrypt-Container (auf einer anderen Platte)

Flaschenhals Festplatte q.e.d.

Da in der VM allerdings die Schreib- bzw. Leserate massiv abfällt, sind die Schreib-/Lesewerte selber sind vollkommen unbrauchbar und nicht mit realen Systemen zu vergleichen. Es geht aber nicht darum geht die Lese- bzw. Schreibrate selber zu bestimmen, sondern nur ihren Abfall, daher reicht die VM aus. Denn die reinen Verschlüsselungsoperationen werden durch die VM nicht (ernsthaft) verlangsamt. (Siehe oben.)

Aber, genug des Erzählens, nun folgen nackte Zahlen:

Der Truecrypt-Benchmark (Version 4.3a) auf meinem System:

Das gleiche in der VM (Truecrypt 5.0):

Man kann also erkennen, das die VM-Umgebung keinerlei Einfluss auf die reine Verschlüsselungsgeschwindigkeit hat.

Disk Bench (in der VM):

Mit Truecrypt:

Ohne Truecrypt:

Faszinierender weise ist der Benchmark mit Truecrypt sogar schneller, das kann entweder an einer Defragmentierung der (virtuellen) Platte liegen oder daran das irgendetwas Puffert.

Was ich zeigen wollte ist jedoch, das die Geschwindigkeit in VMs für Schreibbenchmarks vollkommener Blödsinn ist.

Nimmt man allerdings die Daten des Host-Systems:

D: ist unverschlüsselt, E: ist ein mit AES verschlüsselter Truecrypt-Container (auf einer anderen Platte)

Kann man sich eine ungefähre Vorstellung von den “gigantischen” Geschwindigkeitseinbußen machen.