Truecrypt PBA 5.0 im Test (2)
6. Februar 2008
Folgende E-Mail erreichte mich:
Hallo,
gespannt habe ich Deinen Blogeintrag zum Thema “Truecrypt PBA 5.0 im Test” gelesen. Ich habe aber dennoch noch einige Fragen dazu, leider habe ich trotz meiner Suche bei Google keine Foren gefunden die mir meine Fragen beantworten können, vielleicht kannst Du mir weiterhelfen.
Ich würde mein Notebook gern auf diesem Weg verschlüsseln, es aber zunächst nur ausprobieren. Ist es möglich die Verschlüsselung wieder rückgängig zu machen?
Wie sieht es damit aus, wenn die Hardware (natürlich nicht die Festplatte) beschädigt wird und ich die Festplatte ausbauen muss und in einen anderen Computer einbaue, ist es möglich das Laufwerk auf einem anderen System mit Truecrypt einzubinden um wieder an die Daten “heranzukommen”?
Vielen Dank für Deine Bemühungen,
Mit freundlichen Grüßen, Erik
P.S. Ich nutze Truecrypt schon seit einiger Zeit und habe daher bereits Erfahungen damit.
Da stecken einige Fragen drin.
Ich versuche sie mal (ungeordnet) zu beantworten:
Was tun, wenn ein Festplattenschaden auftritt?
Die Standardantwort ist, man nimmt das Backup. 
Da die Erfahrung allerdings lehrt, das man die Daten die man braucht NIE gesichert hat und/oder das Backup defekt ist (sonst würden Firmen wie Ontrack nicht so einen Umsatz machen), eine etwas ernsthaftere Antwort:
Zu erst einmal der Aufbau einer Truecrypt-Container-Datei bzw. einer Truecrypt-Partition. Die ersten 1024 Byte enthalten den Truecrypt-Volume-Header . Dieser Header ist alles was Truecrypt braucht um ein Volume entschlüsseln zu können. Wenn man diesen mittels Tools->Backup Volume Header gesichert hat, ist die Erfolgsrate der Datenwiederherstellung ähnlich groß wie bei einem unverschlüsselten Laufwerk.
Ich versuche es mal ohne allzu technisches Geblubber zu erklären. Aus dem Volume-Header ermittelt Truecrypt die zur Entschlüsslung des Volumes (Also des Dateisystems) notwendigen Daten. Also Algorithmen und Schlüssel. Wenn nun Windows den Bereich (achtung technisch unpräzise 
) 189 – 260 haben möchte, nimmt Truecrypt den Schlüssel und entschlüsselt die auf dem geforderten Bereich liegenden Daten mit dem Algorithmus. Dabei ist es Truecrypt selber egal was da steht. Das kann kompletter Datenmüll sein oder korrekte Daten. Truecrypt übersetzt einfach 1-zu-1 (strengenommen nicht, aber ich sagte ja schon technisch unpräzise) was physikalisch auf der Festplatte steht in das was Windows haben will, unter Zuhilfenahme des Algorithmus und des Schlüssels.
Praktisches Beispiel: Man hat seine USB-Platte verschlüsselt und den Volume-Key ordnungsgemäß gesichert. Nun fällt einem die Platte herunter, es gibt Lesefehler, einige Sektoren sind unlesbar. Man schafft es aber Teile der Platte zu sichern. Wenn man diese Daten nun in eine Datei packt, und mittels Tools->Restore Volume Header den Volume Key wiederherstellt kann man die Datei ganz normal mittels Truecrypt mounten. Die Daten liegen nun entschlüsselt vor und jedes Dateiwiederherstellungsprogramm kann die Daten wie einen unverschlüsselten Datenträger untersuchen.
Aber, wie sieht das jetzt bei der mit Truecrypt 5.0 dazu gekommenen Festplattenvollverschlüsselung aus?
Dafür gibt es die beim Verschlüsseln erstellte Rescue-Disc. Die kann genau das, was ich gerade beschrieben habe auf für einen verschlüsselten Systemdatenträger machen. Notfalls die Platte einfach komplett entsperren. In die Rescue-Disc wird nämlich der individuelle Volume Header eingebaut.
Dazu die Truecrypt-Dokumentation:
During the process of preparing the encryption of a system partition/drive, TrueCrypt requires that you create a so-called TrueCrypt Rescue Disk (CD/DVD), which serves the following purposes:
- If the TrueCrypt Boot Loader screen does not appear after you start your computer, the TrueCrypt Boot Loader may be damaged. The TrueCrypt Rescue Disk allows you restore it and thus to regain access to your encrypted system and data. In the Rescue Disk screen, select Repair Options > Restore TrueCrypt Boot Loader. Then press ‘Y’ to confirm the action, remove the Rescue Disk from your CD/DVD drive and restart your computer.
- If the TrueCrypt Boot Loader screen does not appear after you start your computer (and if the previous step did not help), it is possible that the master key or other critical data are damaged. The TrueCrypt Rescue Disk allows you restore them and thus to regain access to your encrypted system and data. In the Rescue Disk screen, select Repair Options > Restore key data. Then enter your password, press ‘Y’ to confirm the action, remove the Rescue Disk from your CD/DVD drive, and restart your computer.
- If Windows is damaged and cannot start, the TrueCrypt Rescue Disk allows you to permanently decrypt the partition/drive before Windows starts. In the Rescue Disk screen, select Repair Options > Permanently decrypt system partition/drive. Then enter the correct password and wait until decryption is complete.
Daher auch mein Hinweis (in dem anderen Beitrag) die verfluchte CD zu brennen!
Kann die Verschlüsselung wieder rückgängig gemacht werden?
Ja kann sie. Truecrypt kann mittels System->Permanently Decrypt Partition/Drive das Laufwerk wieder entschlüsseln. Alternativ geht das auch über die Rescue-CD. Die enthält übrigens auch einen Backup des original Boot-Sektors (vor der Installation von Truecrypt.)
Kann der verschlüsslte Systemdatenträger auch an einem anderen Rechner entschlüsselt werden?
Dazu kann ich keine 100% Antwort geben. Theoretisch sollte es egal sein an welchem Rechner man die Rescue-Disc benutzt um die Daten zu entschlüsseln. Das könnte z.B. auch so erfolgen:
Man macht ein Image der beschädigten Platte. Dieses mountet man in VMWare und lässt da die Entschlüsselung drüber laufen. Danach kann man mit den üblichen Dateiwiederherstellungsprogrammen auch arbeiten.
Entry Filed under: Software. Schlagworte: truecrypt, Verschlüsselung.
13 Comments Add your own
Leave a Comment
Some HTML allowed:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <pre> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>
Trackback this post | Subscribe to the comments via RSS Feed
1.
Erik | 6. Februar 2008 at 23:30
Ok, Danke für Deine schnelle Antwort.
2.
Paul | 8. Februar 2008 at 19:04
Hatte gestern meinen Laptop mit Truecrypt 5.0 vollverschlüsselt. Es war erfolgreich. Alles funktionierte und ich hatte den Rechner auch zwischendurch mal neu gestartet. Heute jedoch war meine Datenpartition nach einem Neustart verschwunden. Im Truecrypt Forum fand ich den Hinweis, dass dieser Bug bereits bekannt ist. Wenn man eine Vollverschlüsselung vornimmt und außer der Systempartition noch erweiterte Partitionen hat, dann kann man nach der Vollverschlüsselung hinterher nicht mehr auf die erweiterten Partitionen zugreifen. Aber glücklicherweise kann man das rückgängig machen (”decrypt permanently”) und hinterher sind die Daten wieder da. Mich wundert nur, dass es gestern funktioniert hat (auch nach Neustart). Nun ja, in der kommenden Version soll der Bug behoben sein. Momentan aber kann ich jedem nur von der Vollverschlüsselung abraten. Die einzelne Verschlüsselung der Systempartition allein geht aber.
3.
thomas | 17. März 2008 at 20:32
Eine Frage beschäftigt mich: Wie verschlüsselt TrueCrypt die Systempartition on-the-fly? Wie ist das möglich? Legt TrueCrypt irgendwo eine Tabelle an mit den Sektoren, welche es bereitsverschlüsselt hat?
4.
quarkmitsauce | 24. März 2008 at 02:59
Ich habe keine Ahnung wie es genau abgeht, aber ich vermute, dass Truecrypt die Daten auf der Festplatte Sektor für Sektor verschlüsseln wird.
Es muss ja dann nur gespeichert werden bis zu welchem Sektor Truecrypt bereits vorgedrungen ist.
5.
xmaster | 23. April 2008 at 18:23
Hallo
ist der von PAUL beschrieben Fehler inzwischen behoben in 5.1a !?
Werde am weekend 3 neue Rechner von nem Freund, meiner Freundin und mir aufbauen …
Und würde gerne 2 der rechner voll-verschlüsseln …
Meiner hat 3 HDDs … 2 Rapor und n WD-RE2
Und ich müsste schon Partitionieren können !!!
Grüsse
6.
quarkmitsauce | 24. April 2008 at 13:23
@xmaster
Siehe: http://www.truecrypt.org/docs/issues-and-limitations.php
Wie es ausschaut kann Truecrypt generell nicht mit erweiterten Partitionen umgehen. D.h. man muss beim Partitionieren darauf achten nur “physical volumes” zu nutzen keine “logical volumes”.
Weiterhin kennt auch (nach meinem Kenntnisstand) Truecrypt keine Möglichkeit mehrere Festplatten zusammen zuverschlüsseln.
Man muss also für jede Platte/Partition (ausgenommen die Platte auf der das System installiert ist) ein eigenes Truecrypt Volume erstellen.
Um diese automatisch benutzen zu können, gibt es nur den Weg über Keyfiles zu arbeiten.
7.
Majoran | 30. April 2008 at 21:56
Nun fällt einem die Platte herunter, es gibt Lesefehler, einige Sektoren sind unlesbar. Man schafft es aber Teile der Platte zu sichern. Wenn man diese Daten nun in eine Datei packt, und mittels Tools->Restore Volume Header den Volume Key wiederherstellt kann man die Datei ganz normal mittels Truecrypt mounten.
Ich kann dir nicht ganz folgen:
1. Wie soll man “Teile” sichern können? In dem verschlüsselten Zustand (in dem wir uns bei dem Teil deiner Anleitung noch befinden) können wir doch nur Datenmüll sehen und sichern. Kein Recoveryprogramm erkennt darin wiederherstellbare Daten.
2. In welche “Datei” soll man die Daten anschließend packen?
Irgendwo hast du nen Schritt ausgelassen oder dich unverständlich ausgedrückt.
Wäre schön, wenn du mir Aufschluss geben könntest dazu. Denn ansonsten ist der Artikel sehr hilfreich!
8.
quarkmitsauce | 1. Mai 2008 at 11:12
Ah, ok. Ich merke gerade, dass ich beim schreiben des Artikels meinen Kenntnisstand zum Thema Datenrettung vorausgesetzt habe. Asche auf mein Haupt.
Mit “Teile sichern” ist gemeint, dass man sich die Platte entweder als Festplattenimage zieht, oder die Datei, die das Truecrypt-Volume enthält, kopiert. Da ich an dieser Stelle davon ausgehe, dass diese Daten stellenweise defekt sind, der Ausdruck “Teile”.
Mit “Datei” ist dann das Image bzw. die Truecrypt-Datei gemeint.
Aber deine Nachfrage bringt mich auf die Idee vielleicht mal ein Tutorial zu diesem Thema zu verfassen.
9.
aVen | 16. Mai 2008 at 13:57
Tach an alle habe auch ein paar fragen bezüglich True crypt.
Aber vorsicht bin der völlige neuling in solchen sachen also habt erbarmen .
Frage :
Ich kann doch die pre-boot-authentification verschlüsselung wieder vollständig r+ückgängig machen oder ? (meine das gelesen zu haben ).
Ich habe im moment eine festplatte a 3 partitionen system c , d und e .Bei der pre boot wird doch dann aber nur c verschlüsselt oder ?
Kann ich auch nur d und e verschlüsseln und diese verschlüsselung irgendwann wieder völlig entfernen (und wenn ja muss ich dann e und d formatieren )?
Wenn ich e und d verschlüssele (die ja beide auf der selben platte liegen , muss ich diese dann vorher formatieren oder kann ich alles so lassen und gleich verschlüsseln(backup habich schon gemacht falls was schiefgeht).?.
Wäre für antworten dankbar.
Tom.
10.
quarkmitsauce | 16. Mai 2008 at 15:50
@aVen
Truecrypt kann (sofern die drei Partitionen auf der selben Festplatte liegen) die Gesamte Festplatte verschlüsseln.
Die Funktion nennt sich Encrypt System Drive.
Du kannst also c, d und e mittels PBA verschlüsseln.
Möchtest du allerdings nur D und E verschlüsseln, wirst du diese Partionen als Truecrypt-Volumes erstellen müssen. D.h. du erstellst die Partition als Truecrypt-Volume.
Truecrypt kennt bei der On-the-fly-Verschlüsselung nur die Varianten:
- Alles (Die gesamte Boot-Festplatte, inkl. aller sich darauf befindenden Partitionen)
- Nur die Systempartition. (Alle anderen Partitionen bleiben unberührt)
Achtung:
Truecypt hat momentan noch Probleme mit erweiterten Partitionen. Diese werden beim Einsatz von Truecrypt nicht unterstützt.
11.
aVen | 16. Mai 2008 at 18:47
Ok dank dir erst mal für die schnelle anwort .Aber ein volume erstellen hesist doch immer entweder container oder ganze partitionen verschlüsseln.
UNd kann ich wenn ich nur d und e verschlüssele diese verschlüsselung irgendwann auch wieder ganz entfernen?Und muss ich vor der verschlüsselung d und e neu formatieren ?
Und mal ganz blöd gefragt : wieso sollte man nur die sstempartition verschlüsseln und nicht immer gleich alles ?Es komt doch denke ich das selbe bei raus ,dass ich nämlich beim verschlüsseln von system c: den pc ohne pass nichtmehr hochfahren kann wie auch bei der methode “alles” verschlüsseln , da wird doch auch c mit verschlüsselt und somit kann ich ohne pass auch den pc nichtmehr hochfahren ?
Sorry ich weiß ich bin nich ganz auf dem laufenden aber ich hab wirklich schon hier und da geguckt nur nirgends was gefunden bezüglich des rückgängig machens und was ich vor der verschlüsselung alles machen muss.
12.
quarkmitsauce | 16. Mai 2008 at 19:27
@aVen
.Aber ein volume erstellen hesist doch immer entweder container oder ganze partitionen verschlüsseln.
UNd kann ich wenn ich nur d und e verschlüssele diese verschlüsselung irgendwann auch wieder ganz entfernen?Und muss ich vor der verschlüsselung d und e neu formatieren ?
Richtig, du kannst Volumes nur als Container oder Partition nutzen. Daher kann man die Verschlüsselung auch nicht rückgängig machen. Das ist nur bei der PBA möglich. Du müsstest dann also Formatieren.
wieso sollte man nur die sstempartition verschlüsseln und nicht immer gleich alles ?
Nun, es gibt Szenarios in denen man nicht die gesamte Festplatte verschlüsseln möchte. Setzt man beispielsweise mehrere Systeme auf einem Computer ein, kann man die verschlüsselte Platte nicht mehr so einfach für beide Systeme nutzen. Evtl. kann es auch sein, dass man eine Partition unverschlüsselt lassen möchte, um beim Zugriff auf diese Partition keine Geschwindigkeitseinbuße haben möchte. (Etwa für Spiele oder Videoaufnahmen…)
Es komt doch denke ich das selbe bei raus ,dass ich nämlich beim verschlüsseln von system c: den pc ohne pass nichtmehr hochfahren kann wie auch bei der methode “alles” verschlüsseln , da wird doch auch c mit verschlüsselt und somit kann ich ohne pass auch den pc nichtmehr hochfahren ?
Verstehe die PBA bitte nicht (ausschließlich) als zusätzlichen Zugsangsschutz für deinen PC. Es ist richtig, dass niemand deinen System booten kann, ohne das Kennwort zu kennen.
Verschlüsselst du allerdings nur die Systempartition kann ein Angreifer die Daten auf den anderen Partitionen trotzdem lesen. Das kann unter Umständen kein Problem sein, etwa wenn auf der unverschlüsselten Partition keine (wichtigen) Daten liegen.
Allerdings können Programme ungewollt (ohne deine Kenntnis) Daten auf dieser Partition ablegen.
Um das zu verhindern, verschlüsselt man in der Regel die gesamte Festplatte.
Der Sinn und Zweck von Festplattenverschlüsselung ist ja nicht zu verhindern dass ein Angreifer deinen PC booten kann (das ist nur ein angenehmer Nebeneffekt), sondern zu verhindern, dass jemand deine Daten auslesen kann.
Ein Angreifer wird übrigens in den seltensten Fällen deinen PC hochfahren, sondern sich ein Festplattenabbild ziehen, das er dann in Ruhe analysieren kann.
Das kann evtl. sogar unbemerkt von dir geschehen, etwa wenn du nicht da bist.
13.
aVen | 16. Mai 2008 at 23:26
K dann bedanke ich mich . Werde mir dann wohl eher einfache container erstellen die ich notfalls auch wieder löschen kann (somit habe ich dann ja quasie die verschlüsselung wieder außer kraft gesetzt , wenn ich vorher die enthaltenen dateien rauskopiere)