Abstract: Ein Truecrypt Volume wiederherstellen

Version 1.0

In diesem Text werde ich kurz die Möglichkeiten zum wiederherstellen eines Truecrypt-Volumes beschreiben.

(more…)

Mit der aktuellen Truecrypt-Version 5.1a hat die AES-Verschlüsselung einen ordentlichen Performanceschub bekommen.

Hier die neuen Zahlen:

Dazu im Vergleich die alten:

Ich habe noch einen Nachtrag zu den Einträgen Test und Fazit.

Eigentlich wollte ich keinen Benchmark veröffentlichen, der die Performance der PBA zeigt. Das hat auch einen einfachen Grund. Ich habe inzwischen nämlich meine Systemplatte getauscht (Die SMART-Health-Anzeige meinte es sei höchste Eisenbahn.) Diese ist schneller als meine alte Platte. (Jetzt SATA2 vorher SATA1) Daher kann man die beiden Benchmarks zwischen unverschlüsseltem und verschlüsseltem System nicht vergleichen. Leider.

Trotzdem nochmal beide zum Vergleich:

Unverschlüsselt und mit SATA1:

Verschlüsselt und mit SATA2:

Man sieht das System ist mit Verschlüsselung sogar schneller.

So, da mich mein erster Test zuversichtlich gestimmt hat, ist mein System mittlerweile Vollverschlüsselt.

Auch, wenn man noch einige Bugs in Truecrypt vorhanden sind, man etwas Erfindungsreichtum zum Thema TCGINA an den Tag legen muss, bin ich doch im Großen und Ganzen zufrieden.

Eine Frage, die auch in den Kommentaren gestellt wurde und sich mir natürlich auch gestellt hat lautet, wie wirkt es sich auf die Systemperformance aus.

Ich kann für mich nur sagen, dass ich keinen Unterschied im täglichen Arbeiten spüre. Auf meinem Rechner läuft alles mit gewohnter Geschwindigkeit.

Was habe ich bisher gemacht?

• Normal gearbeitet
• Videos encodiert
• Größere Daten auf die Platte geschrieben (übers Netzwerk kopiert)

Bei keinem der oben genannten Punkte ist mir eine merkliche Verlangsamung des Systems aufgefallen.
Nun gut, in meinem System arbeitet auch ein Intel Quad Core. Ich habe also genug Rechenpower um die Verschlüsslung im Nirvana versinken zu lassen. Aber, ich habe auch schon vorher Erfahrungen mit Verschlüsselung gesammelt und kann ruhigem Gewissens sagen, dass sich eine Verschlüsselung auf die Standard-Anwendungen (Arbeiten, Spielen, Videos) nicht merklich auswirkt.

Warum ist das so?

Nun, man muss sich mal fragen, was wie ausgebremst wird.

Was wird ausgebremst? Der Festplattenzugriff bzw. die Leserate

Wie? Nun den Zugriff auf die Daten der Platte dauert jetzt theoretisch länger als vorher.

Praktisch sieht es doch aber so aus, der Flaschenhals in aktuellen Systemen ist eh immer die Festplatte.

Anwendungen wie z.B. Spiele scheuen daher den Festplattenzugriff in der Regel wie der Teufel das Weihwasser. (Einer mal nachgedacht, warum aktuelle Spiele 1 GB Ram als Minimum verlangen Die laden einen Großteil eh einfach in den Speicher. ) Die wenigen Festplattenzugriffe sind daher in der Regel eh zu verschmerzen. (Solange noch genug Rechenkapazität zur Verfügung steht.)

Die Hersteller könne sich ja bemühen wie sie wollen, aber solange der Großteil der Platten noch keine SSDs sind, und sich von einer SATA2 Platte läppische 80MB/s (im Benchmark) ziehen lassen, fällt eine Verschlüsselung einfach nicht ins Gewicht.

Aber, nun mal Butter bei die Fisch, wann kann man mit seiner jetzigen Hardware problemlos das System verschlüsseln, wann sollte man lieber eine Stärkere CPU einbauen.

Im Prinzip kommt es auf den beabsichtigten Nutzen an.

Ein Beispiel: Auf meinem Notebook (das mit Ubuntu läuft und dessen Festplatte auch verschlüsselt ist) kann ich bequem Arbeiten, obwohl die CPU im 800Mhz Sparmodus läuft. Die Verzögerung die durch die Verschlüsselung entsteht ist nur beim Programmstart zu merken. Danach liegt z.B. Firefox oder OpenOffice eh im RAM und muss nicht mehr ent/verschlüsselt werden. Der Zugriff erfolgt also genauso schnell. Möchte ich allerdings Festplattenintensive Vorgänge starten (z.B. die Installation von Patches) komme ich nicht wirklich umhin, die CPU zu entfesseln. Auch das Abspielen von Videos ist kein Problem (im 800 Mhz Modus)

Merke: Viele Zugriffe auf Festplatte bedeutet viele Verschlüsselungsoperationen bedeutet Leistungseinbuße.

Auf meinem Rechner hingegen hängt die CPU eigentlich 80% des Tages locker in der Hängematte. Selbst wenn mein System mal etwas zu tun hat (z.B. encodieren einer neuen TV-Aufnahme) schaffe ich es beim besten Willen nicht die Auslastung (mit eingeschalteter Verschlüsselung) auf über 80% zu jagen.

Merke: Die Verschlüsselung hat keinerlei Einfluss auf rechenintensive Operationen. Solange genug Rechenpower bereit steht bremst sie nicht merklich.

Also, was muss man nun beachten?

Es gibt einige Dinge die man beachten muss um zu beurteilen wie stark sich ein Performanceverlust auf einem System bemerkbar macht.

1. Welche Rechengeschwindigkeit hat meine CPU. Ein aktueller Core2Duo oder das AMD-Pendent hält für den Standardnutzer genug Reserven bereit um die Verschlüsselung im Hintergrund zu meistern. Mit einem Pentium 4 kann man es probieren, allerdings sollte man vorher genau testen. Es bringt übrigens nichts einen Quadcore zu nehmen. Bzw. mehr Kerne erhöhen nicht die Verschlüsselungsgeschwindigkeit. Verschlüsselung kann nicht parallelisiert werden. Bedeutet (ins blaue formuliert) ein Verschlüsselungsvorgang gewinnt mehr dadurch einen 200 Mhz schnelleren Prozessor zu kaufen, als einen neuen Kern einzubauen.
2. Wie hoch ist meine Systemauslastung bei meinem täglichen Arbeiten.
   Auf meinem Quadcore verursacht die Verschlüsselung geschätzte 1-4% Systemlast (Im Windows Task-Manager) vergleichbare Prozessoren (Von der Taktung, nicht der Kernzahl, z.B. ein E6550 ) sollte bei einer Leistungsreserve von 10-15% die Verschlüsselung ohne Probleme im Hintergrund meistern können.
3. Wie man sich eine ungefähre Vorstellung machen kann, wie die eigenen Anwendungen reagieren:
   Zu erst einmal, gibt es den Truecrypt-Benchmark. Mit diesem einbauten Vergleichsprogramm kann man sich die Ent-/Verschlüsselungsgeschwindigkeiten ansehen. Man sollte dazu den Test einmal im Leerlauf (das System tut nichts) machen und einmal wenn man das System unter Last setzt. (Man startet ein Spiel, macht einen CPU-Benchmark etc.) Durch die ermittelten Zahlen bekommt man eine ungefähre Vorstellung davon, was die eigene CPU kann.
   Nun der nächste Test, mit dem man eine tatsächliche Vorstellung bekommt. Dazu testet man mit dem Tool DiskBench einmal die Schreib-/Leseleisung der eigenen Festplatte. Dann erstellt man einen Truecrypt-Container und testet die Schreib-/Leseleisung in dem Container.
   Das ganze testet man auch noch einmal unter Last.
   Ist die Leistung auch unter Last nicht zu sehr eingebrochen, kann man sein System ruhigen Gewissens verschlüsseln.
4. Der Schlüssel zur Verschlüsselungsleistung ist die CPU. Sollten einem die Werte nicht gefallen, hilft evtl. ein CPU-Upgrade.
   Ich würde allerdings jedem empfehlen mindestens einen Zwei-Kern Prozessor zu nehmen. Das wirkt sich zwar auf die Geschwindigkeit der Verschlüsselung nicht direkt aus, aber es ermöglicht dem System besser skalieren zu können, wenn es sehr Prozessorlastige Applikationen laufen lassen muss und im Hintergrund die Verschlüsselung wütet.

Was kann man nicht gebrauchen, wenn man seinen Rechner bootet, gerade Truecrypt installiert und seine gesamte Platte verschlüsselt hat? Richtig einen Bug, der dazu führt, dass nach der Passworteingabe gar nichts mehr passiert.

OK, nach dem mein Herz wieder zur Ruhe gekommen ist, eine Fehleranalyse.

Ich habe meine Platte mit Twofish verschlüsselt, einem Algorithmus der auf meiner CPU (und den meisten anderen modernen)  den höchsten Datendurchsatz erreicht hat.

Dumm nur ist, dass sich in der aktuellen Version von Truecrypt (5.0a)  ein Fehler eingeschlichen hat, der dazu führt, dass man nach der Passworteingabe einen Kaffee kochen kann, wenn man Twofish nutzt.

Auf einigen Systemen führt dieser Bug wohl “nur” zu minutenlangem warten. Bei mir tut sich nichts mehr.

Die Lösung war in meinem Fall die Truecrypt-Rescue-CD zu nehmen und mit ihr zu booten.

Das sagt übrigens das Truecrypt-Forum dazu:

It may take a long time to boot your system if it is encrypted with Twofish. This problem will be fixed in the next release.

Hier mal ein Upload:

Durch Einschränkungen von WordPress.com,  haben die  Dateien alle die Endung .doc

Es sind einfache .zip Dateien, daher umbenennen.

Tcgina1.17 für Truecrypt 4.3a

Tcgina1.17 (Source) für Truecrypt 4.3a

OK, TCGINA ist tot. Damit muss man leben (War es doch z.B. eine ideale Möglichkeit um an Multi-User-PCs sicher getrennte Profile zu haben. )

Aber, was macht man jetzt?

Ich stehe/stand vor folgendem Problem: Ich habe mein Profil in einem Truecrypt-Container und lade diesen (bis vor kurzem) immer mit TCGINA.

Mit Truecrypt 5.0 gibt es aber kein TCGINA mehr, also was tun? Meine Lösung ist, ich entschlüssele den Container genau wie vorher, nur ohne TCGINA (und vor dem Benutzer-Login) .

Eins vorweg, ich benutze Windows XP Pro und habe die ctrl+alt+del Anmeldung aktiviert. Ich habe keine Ahnung ob es auch unter anderen Voraussetzungen geht.

Wie steigt man also nun von TCGINA mit Truecrypt 4.3a auf Truecrypt 5.0a ohne TCGINA um? (Bzw. so bin ich vorgegangen.)

1. TCGINA deinstallieren:
   Dafür startet man den TCGINA setup und benutzt Reset User Profile dann Uninstall TCGINA Achtet darauf, dass das Profil nicht entschlüsselt wird! Es wird noch in seiner verschlüsselten Form gebraucht.
2. Truecryt 5.0 installieren.
3. Eine Datei truecrypt.cmd im Verzeichnis c:\WINDOWS\SYSTEM32\ (oder wo auch immer Ihr wollt.) erstellen. Diese mit folgendem Inhalt füllen:
   

   c:\programme\truecrypt\TrueCrypt /q /v $VOLUMEPFAD /b /l$LAUFWERKSBUCHSTABE
   

   Dabei ersetzt Ihr $VOLUMEPFAD durch den Pfad zu eurem ehemaligen TCGINA-Volume und $LAUFWERKSBUCHSTABE durch einen garantiert immer freien Laufwerksbuchstaben eurer Wahl.

4. Den Registrierungseditor (Start->Ausführen->regedit) öffnen.
   In den Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList navigieren. Dort sucht Ihr euer Profil und ändert den Schlüssel
   %SystemDrive%\Dokumente und Einstellungen\EUERPROFILNAME
   zu
   $LAUFWERKSBUCHSTABE:\Dokumente und Einstellungen\EUERPROFILNAME
   
5. Ihr startet die Managementconsole von Windows (Start->Ausführen->mmc).
   Drückt STRG+M (Bzw. Datei->Snap-In hinzufügen/entfernen).
   Klickt Hinzufügen. Wählt Gruppenrichtlinienobjekt-Editor aus. Klickt Hinzufügen. Bestätigt die Auswahl Lokaler Computer.
   Geht nach Computerkonfiguration->Windows-Einstellungen->Skripts. Doppelklickt auf Starten. Fügt die in Schritt 3 erstellte Datei hinzu.
   Klickt OK.
6. Startet den Rechner neu. Ihr müsstet jetzt wieder an euer Profil herankommen können.

Update: Mittlerweile gibt es auch eine TCGINA Version für Truecrypt 5.1a. -> Download

Tja, es kam wie es kommen musste, TCGINA und TCTEMP sind tot btw. werden nicht mehr weiterentwickelt.

Auf der Truecrypt-Homepage findet man nur noch die Nachricht:

This third-party project has been removed since it no longer extends the functionality of TrueCrypt. Note that TrueCrypt 5.0 introduced the ability to encrypt a system partition or entire system drive, which is more secure and more reliable than the methods used by the removed project (for more information, see the chapter System Encryption in the TrueCrypt User Guide).

Schade eigentlich, denn es soll immer noch Rechner geben, bei denen Truecrypt 5.0 nicht läuft.

Bereits am 12.Februar ist die 5.0a Version von Truecrypt erschienen, die einige Bugfixes enthält.

An dieser Stelle sollte eigentlich ein Bericht über die erfolgreiche Installation von Truecrypt 5.0 auf meinem Laptop stehen.

Aber, leider meldet Windows XP einen STOP 0×0000007B  Fehler, wenn Truecrypt booten soll. Ich habe momentan noch keine Ahnung, woran es liegt.

Sollte irgendjemand anderes einen ähnlichen Fehler haben, mache er folgendes um sein System wieder zum funktionieren zu bekommen:

1. Dem Truecrypt Boot-Loader sagen, dass der original MBR wieder hergestellt werden soll.
2. Windows sagen, dass die letzte als funktionierend bekannte Funktion wieder hergestellt werden soll.
3. Booten

Ich habe momentan noch keine Ahnung, woher genau der Fehler kommt. Vermutlich wird der von Truecrypt installierte Gerätetreiber Windows verwirren.