Full System Encryption - Free CompuSec - TrueCrypt - Update 09.03.08

[akte.x]

@axte.x:
Funktionierte das ganze problemlos? Welche freien Programme eignen sich den jetzt zur Systemverschlüsselung und wie sieht es da eigentlich mit System Images / Backups aus?

Kann nicht mal jemand ne Kombi aus Truecrypt, Compusec und Acronis Drive Image erfinden?

Hi,

habe Compusec für die Systemverschlüsselung (Intel RAID 0) und Drivecrypt für die Datenplatte im Einsatz. Acronis ist meines Wissens kompatibel zu Compusec.

Was ich jedoch auf meinem Zweitrechner (ist auch verschlüsselt )festgestellt habe, ist das Filesharing-Programme mit gemounten Platten Probleme haben --> LowID usw.

[Mr.Mito]

@akte.x:
Hast ne PM.

@all:
Ich hab gerade eben nen full Backup gemacht und wollte nun mal CompuSEC testen, aaaaabbbeeerrrr es gibt kein deutsches Handbuch und das englische ist auch recht sparsam, was die einzelnen Funktionen betrifft.

Tolle wurst ...

EDIT:

4. Question Wie lange dauert die Verschlüsselung bei einer 40GB IDE Festplatte?

Abhängig von der Verschlüsselungsmethode dauert diese ca. 2,5 Stunden (Hintergrundverschlüsselung) oder bis zu 8 Stunden (Initialverschlüsselung vor dem Start).

WIESO ist die Hintergrundverschlüsselung soviel schneller? Wie kann das Prog überhaupt die Files verschlüsseln, mit denen ich gerade arbeite?

Das ganze rennt gerade und soll laut Anzeige um die 4 Stunden dauern. Da bin ich ja mal gespannt ... ^^ (Ich Depp bin müde wie sau und hätte das mal besser über n8 gemacht *g*)

[Mr.Mito]

So, CompuSEC lüppt @RAID 0! Die ganze Aktion hat um die ~4h gedauert und der spürbare Performanceeinbruch ist sehr gering. Anders gesagt: Man merkt es nicht wirklich.

Am WE testet akte.x noch meine Idee mit Acronis und wenn das funktioniert, wäre es natürlich nen ideales System. Verschlüsseltes Syste, verschlüsselte Images (die man trotzdem von Boot CD aus wieder einspielen kann, da sie auf unverschlüsseltem Space liegen) und nen verschlüsseltes (externes) Datengrab.

[Mr.Mito]

Ich weiß ja das dieses Thema hier keine Sau interessiert, aber falls sich doch mal ein User mit Interesse hier her verirren sollte:

- CompuSEC funktioniert auf meinem RAID 0 problemlos
- Wenn ich Acronis per boot CD starte und nen Image ziehen möchte, meckert es und sagt "Partition hat Fehler, bitte reparieren, sonst muss ich "leider" Sektor für Sektor lesen" -> -> 1:1 Image einer verschlüsselten Partition ist kein Problem! Funzt einwandfrei.

Nachteil: 15GB Partition == 15GB Image

- Wenn meine eS-ATA Platte vorm booten am System ist, gibt es kurz vorm Windows Start nen BSOD (immer). Das Problem liegt an CompuSEC, welches scheinbar keine unverschlüsselte Platte im System möchte. Der Bug nervt nen bissel, aber damit kann ich leben.

Die Platte unter Win anzuklemmen funzt einwandfrei und TrueCrypt ect. geht auch einwandfrei.



ATM sieht es also so aus:

- RAID 0 mit Windows und mehreren Partition mit CompuSEC komplett verschlüsselt, inklusive pre-boot Anmeldung.
- Externes Datengrab mit nem TrueCrypt Container versehen und noch 20GB freien, unverschlüsselten, Speicherplatz gelassen
- Per Acronis ein 1:1 Image der verschlüsselten Windows Partition auf dem unverschlüsselten Space der externen Platte angelegt -> Ich kann nun per Boot CD(!) meine verschlüsselte Startpatition wiederherstellen, falls es mir mal mein Windows zerballert und trotzdem ist alles verschlüsselt, selbst das Image.

Fazit: (auch wenns unnötig ist ... )

EDIT:

O M F G! Über 1500 Views und fast keine Posts.
Ich sags ma so ... die Leute, die nichts posten, obwohl es sie interessiert, sind entweder paranoid²³, oder haben wirklich etwas zu verbergen.

[Madnex]

@Mr.Mito
Warum lässt du Acronis nicht einfach unter Windows laufen und die Platte sichern? Ich habe es zwar nicht ausprobiert, aber so sollte ein normales Image der Systempartition möglich sein.

[Mr.Mito]

Dann ist das Image aber unverschlüsselt und ich will nicht wissen, welche Probleme es dadurch beim wiederherstellen gibt, da dann die Bootpartition auf einmal ohne Verschlüsselung dasteht.

Klar, wenn ich das ganze unter Windows (bzw. nach Boot PW Eingabe) wiederherstelle, sollte das keine Probleme bereiten, aber ich will ja nen Image, das ich von CD einspielen kann, eben wenn mein BS komplett hinüber ist.

[Madnex]

Ich glaube nicht, dass das Image dann unverschlüsselt ist. Es wird ja das gesamte System, so wie es gerade ist, gesichert. Aber das müsste man mal ausprobieren.

[Mr.Mito]

Und das System wird ja, im laufenden Betrieb, on the fly entschlüsselt. Dadurch sollte auch das Image unverschlüsselt sein. Wenn ich unter Windows irgendwelche Files auf ne Diskette kopiere, sind die ja auch unverschlüsselt (es sei denn ich sag er solls verschlüsseln).

PS:
Das Rückspielen des verschlüsselten Images scheint den CompuSEC MBR zu killen, zumindest laut akte.x.
EDIT: Nen MBR Backup kann man sich allerdings anlegen und es gibt auch nen Tool zum rückspielen, laut der Yahoo Compusec Techgroup.

Danke hierfür an Akte.X!

Also müsste folgender Ablauf funktionieren:

- Acronis Backup einspielen
- MBR wiederherstellen mit dem CompuSEC MBR Backup

Ist zwar stressig, aber nen Image braucht man auch nur seeeehr selten.

[xe3tec]

achja und soviel zum thema truecrypt und PGP sind sicher
http://www.safehack.com/Advisory/tru...truecrypt.html

das ist echt en böser bug

[Madnex]

@xe3tec
Damit dieser "Bug" zum Tragen kommt, musst du selbst den Container angelegt, das erste Passwort vergeben und danach den Volume-Header gesichert haben. Wenn nun das Passwort zwischenzeitlich geändert wurde kannst du, und nur du, das so wieder rückgängig machen. Da du deinen Rechner sicherlich nicht von einer dir höher gestellten Person administrieren lässt, der dir deinen Rechner konfiguriert und die Container eingerichtet hat, ist das für den Heimanwender belanglos.

[xe3tec]

jo trotzdem, no app is perfekt

wer weis was noch für bugs gibt ich denk da grad an paar nette ideen in bezug auf HEX

[Mr.Mito]

@xe3tec:
Die "Bug" steht sogar in der FAQ zu TrueCrypt und "It´s not a bug it´s a feature!".
Jetzt sag mir mal wo da das Sicherheitsrisiko liegen soll. Da besteht nur ein Sicherheitsrisiko wenn dir ein fremder an deinem PC den Container anlegt, ein PW vergibt und den Ursprungsheader sichert, bevor du das PW änderst. Die Funktion hat auch einen tieferen Sinn, denn Windows zerhaut dir in manchen Konstellationen gerne mal den Volumeheader und ohne Backupmöglichkeit ...

Wenn DU den Container anliegt, kann das also nicht passieren und DU hast eine Möglichkeit den Header zu sichern.

PS:
Das Video is nen Witz. Wo "crackt" der denn bitte was? Das HEX rumgefummel ist auch total überflüssig. Den "alten Header" kannste auch mit Truecrypt ganz einfach einspielen.

[Kranüsch]

Jap das video ist doch nur auf so einer Seite wo sich die Leute gerne wichtig machen und denken sie wären die größten.
Sieht man ja an dem Video das ist doch schon bekannt...^^

[xe3tec]

zum thema vista sicherheit

http://www.heise.de/newsticker/meldung/85063

[Madnex]

@xe3tec
Hast du auch das gelesen?

Dass sich das Administratorpasswort eines Systems so leicht überschreiben lässt, wenn man den PC mit einer Boot-CD startet, ist eigentlich keine Sicherheitslücke und auch kein Vista-spezifisches Problem. Grundsätzlich gilt: Wenn ein Angreifer physischen Zugang zum Rechner hat und ein anderes Betriebssystem booten kann, sind auch Passwörter keine Hürde mehr für ihn – solange keine Verschlüsselung im Spiel ist.

/Edit
Auf Golem.de gibt es eine ähnliche News: klick!

Wie du nun sehen kannst, sind auch andere Programme nicht unbedingt davor geschützt, den Passwortschutz ausgehebelt zu bekommen. Wobei das meiste wohl über ein Brute Force Attacke realisiert wird. Und das kann dauern.

[Mr.Mito]

EDIT: Ich frag doch lieber vorher nach.

Ich hoffe mal CE-Infosys hat nichts gegen die Veröffentlichung der Fragen/Antworten.

[akte.x]

Und das System wird ja, im laufenden Betrieb, on the fly entschlüsselt. Dadurch sollte auch das Image unverschlüsselt sein. Wenn ich unter Windows irgendwelche Files auf ne Diskette kopiere, sind die ja auch unverschlüsselt (es sei denn ich sag er solls verschlüsseln).

PS:
Das Rückspielen des verschlüsselten Images scheint den CompuSEC MBR zu killen, zumindest laut akte.x.
EDIT: Nen MBR Backup kann man sich allerdings anlegen und es gibt auch nen Tool zum rückspielen, laut der Yahoo Compusec Techgroup.

Danke hierfür an Akte.X!

Also müsste folgender Ablauf funktionieren:

- Acronis Backup einspielen
- MBR wiederherstellen mit dem CompuSEC MBR Backup

Ist zwar stressig, aber nen Image braucht man auch nur seeeehr selten.

Habe es leider nicht geschafft den MBR wiederherzustellen, da ich kein Backup hatte.

Daher sollte jeder der ein IMAGE-Tool einsetzt und mit Verschlüsselung arbeitet dringend den MBR sichern.

Wie schon im Yahoo-Forum mehrmals gerügt fehlt ein Recovery Tool wie es andere Tools haben.

[xe3tec]

okk ich benutz ja selbst truecrypt weiter

aber wie gesagt nix schützt perfekt

[Mr.Mito]

@akte.x:

Weist du ob man den MBR auch später noch in die Disk einbinden kann? Das Tool der Techgroup will ja ne Bootdisk anlegen, aber kann ich auch später mit dem Tool und nem MBR Backup ne Disk anlegen?

[Mr.Mito]

Fragen & Antworten an/von CE-Infosys: (Der Veröffentlichung der Mailinhalte wurde seitens CE-Infosys zugestimmt.)

Kurze Fakten der letzten Mail:

- HASH-Funktion: propriotäre HASH-Funktion
- User-Passwort ändern - keine Umschlüsselung der Platte
- Passwort-Rücksetzcode kann nicht gewechselt werden bei der
Einzelplatzinstallation.
Bei der Installation über GLobalAdmin kann der Code gewechselt werden.
- Zu den Paswortzeichen: die Verwendung aller zugelassenen Zeichen wird
in der config.dbf aktiviert.

Sonderzeichen sind laut CE-Infosys, trotz Warnmeldung, erlaubt! Wer es beim Masterpasswort mal testen will, nur zu. Ne Bestätigung diesbezüglich wäre recht sinnvoll.

1. Wieso ist die Hintergrundverschlüsselung laut FAQ *viel *schneller
als die "pre boot" Verschlüsselung?

CEI: weil unter Windows z.B ein ganzer Zylinder gelesen, verschlüsselt
und wieder geschrieben werden kann
In Preboot ist das so nicht möglich, da die Ressourcen vom BIOS
nicht bereitgestellt werden können.



2. Wie kann die Hintergrundverschlüsselung überhaupt ein System
verschlüsseln, welches gerade in Verwendung ist? (Files exklusiv
gesperrt usw.)

CEI: Tja, dass es geht beweisen wir und sind ziemlich stolz darauf - das
ist Firmen Know How!



3. Welche Daten stehen in der SecurityInfo.dat? Ist das der
Volumeheader?

CEI: Schlüssel, Benutzer ID, Startpasswort etc. und das alles im
Klartext - ist also sensitiv!!



4. Wieso sind im Masterkennwort keine Sonderzeichen zulässig und wieso
kann man nur 16 Stellen verwenden?

CEI: 16 Zeichen ist so festgelegt; Sonderzeichen: die lt. Handbuch sind
natürlich möglich. Der Hinweis ist nur zur Vorsorge, da einige
Anwender und Rechner damit Probleme haben können. Ansonsten
gibt es kein Masterpasswort, sondern nur ein Startpasswort, dass
zwingend geändert werden muss.



5. Wieso steht nur AES-128 und kein AES-256 oder, noch besser, twofish
zur Verfügung?

CEI: AES 256 steht nur den Anwendern mit GLobalAdmin-Verwaltung zur
Verfügung. AES 128 ist trotzdem absolut sicher



6. Welche Hash Funktion benutzt CompuSEC? SHA-1? Whirlpool?

CEI: keine Aussage möglich. SHA-1 ist auf jedenfall verwendbar. Nachtrag von mir: Die spätere Aussage war: Zitat „propriotäre HASH-Funktion“



7. Wieso geben sie so wenige Infos zur genauen Funktionsweiße Ihres
Programmes heraus? (Z.B. wegen dem Masterkennwort ... Solch eine
Funktion bietet Truecrypt eben nicht, also wie kann man ein PW,
"zurücksetzen", wenn normal das PW zum ver/entschlüsseln gebraucht wird?!)

CEI: wir bieten für diesen Fall den Passwortrücksetzcode, den sie selbst
definieren können. Der Rest ist Firmen Know How und tabu.
Wir liefern professionelle Verschlüsselungslösungen und darüber
wird eben nur unbedingt Notwendiges veröffentlicht.



8. Wann erscheint ein deutsches Handbuch, das nicht so spärlich ist,
wie die englische Version?

CEI: es gibt ein deutsches Handbuch zur Version 4.18. Nicht ganz
aktuell, gibt aber einen guten Überblick und behandelt das Wesentliche.
Handbücher sind leider ein Stiefkind bei uns!

Das deutsche Handbuch ist (ab jetzt ) hier zu finden: http://rapidshare.com/files/16302979...HB_dt.zip.html

[Huettenknecht]

Für was braucht man "Hidden Container"?
Mach einfach einen "normalen" Container, erfüllt doch voll seinen Zweck.
Und man hat das Ganze auch schnell wieder gelöscht.

Na der hidden container ist doch nicht schlecht. Wenn dir mal Gewallt angedroht wird...kannst das Passwort für den "offenen Container" rausrücken und der hidden bleibt unendeckt.

Ich weiß...bei uns nicht wichtig..aber es soll Leute geben, da kann sowas über Leben und Tod entscheiden. Nicht alle sind so unbedarft wie wir.


BTW hab ich mir auch Gedanken über die Voll-Systemverschlüsselung gemacht und den Threat schon vor ein paar Wochen gefunden. Allerdings mich noch nicht wirklich getraut es in die Tat umzusetzen. Das mit dem Backup über nen Image muß ich mir dann auch noch rein tun weil sowas ist ja nützlich.

Aber vielleicht mache ich das die Tage mal.

[Mr.Mito]

CompuSEC hat (noch?) nen paar nervige kleine Bugs.

Beispiele:

- TotalCommander + Winrar macht Probleme / Workarround "run as" nutzen dann gehts (ka wieso)

- ANKH Herz der Osiris kann nicht speichern udn auch keine Einstellungen ändern -> Kann auf C den Ordner nicht anlegen.

Die Probleme hängen wahrsch. miteinander zusammen. Meine Mail an CE-Infosys ist auch schon raus. Evt. haben die ja ne Lösung parat.

[akte.x]

@akte.x:

Weist du ob man den MBR auch später noch in die Disk einbinden kann? Das Tool der Techgroup will ja ne Bootdisk anlegen, aber kann ich auch später mit dem Tool und nem MBR Backup ne Disk anlegen?

Keine Ahnung. Hatte dann irgendwie die Schnauze voll von Compusec.

Habe mir dann von Securstar DriveCrypt Plus Pack 3.9 als Testversion gezogen. Installation, Handhabung sehr gut. Genial ist, das man vorab die Bootauthentifizierung testen kann und dies sehr einfach mit fdisk /mbr rückgängig zu machen ist ohne sich das System zu zerschiessen.

Anfangs dachte ich das es an der vorherigen Installation von Compusec lag, weshalb RAID0 nicht läuft (Fehler beim laden des Betriebssystem). Aber nach auflösen-formatieren und neu erstellen des 500 GB RAIDs musste ich enttäuscht aufgeben.

Bei der weiteren Suche bin ich dann auf PGP Desktop 9.5 gestossen. Kostenlose Trial Version gezogen. Installation und Handhabung auch sehr einfach. Nur die Sache mit der Wiederherstellung ist mir etwas unschlüssig, da man nur eine Boot-CD erstellen kann die Sicherung eines Keys aber nicht angeboten wird.

Über einen Tipp zu Securstar DriveCrypt Plus Pack und RAID0 wäre ich sehr dankbar, da mich dieses Produkt am meisten überzeugt hat. Mir ist bekannt das DriveCrypt Plus Pack offiziell RAID nicht ünterstützt.

[kingpombär]

ich hab mich auch ein bisschen in das Thema PGP eingearbeitet. Soweit ich das richtig verstanden habe, kannst du eine Diskette oder eine CD erstellen, davon booten, dein Passwort eingeben und ganz einfach so deine Festplatte decrypten.

Ich werds mal ausprobieren, wenn ich mein neues System komplett durchgetestet hab. Die Testversion kann inzwischen auch die Whole Disk Encryption, oder?

[Madnex]

Anfangs dachte ich das es an der vorherigen Installation von Compusec lag, weshalb RAID0 nicht läuft. Aber nach auflösen-formatieren und Neu erstellen des 500 GB RAIDs musste ich enttäuscht aufgeben.

Wenn CompuSec auf dem System war und wieder entfernt wurde und auch wenn das Betriebssystem danach neu installiert wird, gibt es definitiv Probleme mit dem MBR, was zu Folge hat, dass sich das OS nicht richtig installieren lässt oder es sich nach der Neuinstallation komisch verhält und instabil ist. Irgendwie bleiben Reste im MBR zurück, die stören.

Lösen kann man dieses Problem indem man die erste Spur der Festplatte, in der auch der MBR liegt, komplett überschreibt, z.B. mit dem Programm S0kill. Dabei werden allerdings alle Partitionen auf dieser Festplatte gelöscht.

Auch wenn die Platten in einem RAID-Verbund gelaufen haben, würde ich diese Prozedur mal durchführen und erst dann die Festplatte bzw. den Verbund und das System neu einrichten.