Mike: Systempartition verschlüsseln

Hallo Forum,

neues laptop, Win8 standard 64 bit, GUID Partition Table und genau das ist das Problem.

Truecryt unterstützt (bisher) nur MBR und Bitlocker hat mein Win8 standard nicht.

Hat jemand einen Ausweg für mich?

Mike

  1. Hat jemand einen Ausweg für mich?

    Ja. Wozu soll denn die Systempartition verschlüsselt werden? Damit alles schön langsam wird? Wenn ich tatsächlich "paranoide" Sicherheitsanforderungen habe, dann verschwindet das gesamte Windows in einer virtuellen Maschine - die innerhalb eines Linux läuft, dessen Benutzerverzeichnis (in dem die Files für die VM liegen) verschlüsselt ist.

    Jörg Reinholz

    1. Ja. Wozu soll denn die Systempartition verschlüsselt werden? Damit alles schön langsam wird?

      Diesen Eindruck hatte ich unter Truecrypt niemals.

      Wenn ich tatsächlich "paranoide" Sicherheitsanforderungen habe,

      Ich möchte lediglich, daß niemand meinen Rechner hochfahren kann. Und falls mein Rechner mal "verloren geht" oder "gestohlen wird", möchte ich bestimmte Daten geschützt wissen.
      Das macht(e) Truecrypt bisher vorzüglich.

      dann verschwindet das gesamte Windows in einer virtuellen Maschine - die innerhalb eines Linux läuft, dessen Benutzerverzeichnis (in dem die Files für die VM liegen) verschlüsselt ist.

      Ich möchte aber keinen Linux-Rechner.

      Trotzdem danke, Mike

      1. Ich möchte lediglich, daß niemand meinen Rechner hochfahren kann. Und falls mein Rechner mal "verloren geht" oder "gestohlen wird", möchte ich bestimmte Daten geschützt wissen.
        Das macht(e) Truecrypt bisher vorzüglich.

        Bietet dein Laptop von Haus aus keine Festplattenverschlüsellung an?

        Schau mal ins Bios...

        Gruß
        Jan

        1. Tach,

          Bietet dein Laptop von Haus aus keine Festplattenverschlüsellung an?

          ach ja, Hardwareseitige Verschlüsselung, ein durchaus interessanter Vortrag zum erweiterten Thema (in dem Falle selbstverschlüsselnde Festplatten) vom 29c3: (Un)Sicherheit Hardware-basierter Festplattenverschlüsselung (Video).

          Ich persönlich mag Crypto nicht, wenn niemand nach Backddors suchen kann.

          mfg
          Woodfighter

        2. Bietet dein Laptop von Haus aus keine Festplattenverschlüsellung an?

          Schau mal ins Bios...

          Naja, was soll ich sagen?

          Mike

      2. Ich möchte lediglich, daß niemand meinen Rechner hochfahren kann.

        Oh. Dafür gibts das Bios-Passwort. Moderne Laptops haben meines Wissens auch kein von außen erreichbares Löchlein mehr, mit dem man den Bios löschen kann.

        Und falls mein Rechner mal "verloren geht" oder "gestohlen wird", möchte ich bestimmte Daten geschützt wissen.
        Das macht(e) Truecrypt bisher vorzüglich.

        "Bestimmte Daten" sind nicht die Systempartition. Demnach gibt es einen Widerspruch zwischen Deinem eigentlichen Vorhaben ("möchte ich bestimmte Daten geschützt wissen") und dem geplanten Handeln ("Systempartition verschlüsseln").

        Was steht dann dem entgegen, für die "bestimmten Daten" die ebenfalls hauseigene "verschlüsselnde Komprimierung" einzustellen? Sollte im Explorer gut zu bewerkstelligen sein. Und zwar einfach für das Verzeichnis - und dann die Einstellungen für alle Unterordner und deren Inhalte mit übernehmen.

        Alternativ kannst Du die "bestimmten Daten" auch auf einer mit TrueCrypt angelegten, virtuellen "Disk" unterbringen. Falls Dir EFS zu unsicher ist und du wirklich das gesamte System verschlüsseln willst ohne es in eine VM zu packen, ist Dir auch zuzumuten ein Update auf die Windows-Version zu erwerben, die Bitlocker dabei hat.

        Jörg Reinholz

        1. Ich möchte lediglich, daß niemand meinen Rechner hochfahren kann.
          Oh. Dafür gibts das Bios-Passwort. Moderne Laptops haben meines Wissens auch kein von außen erreichbares Löchlein mehr, mit dem man den Bios löschen kann.

          Hier reicht doch sogar das ganz normale Benutzerkennwort, mit dem man sich am System anmeldet. Das wäre zwar schon ein Hochfahren, aber ich denke das ist es, was der OP bezwecken will.

          Und falls mein Rechner mal "verloren geht" oder "gestohlen wird", möchte ich bestimmte Daten geschützt wissen.
          Das macht(e) Truecrypt bisher vorzüglich.

          "Bestimmte Daten" sind nicht die Systempartition. Demnach gibt es einen Widerspruch zwischen Deinem eigentlichen Vorhaben ("möchte ich bestimmte Daten geschützt wissen") und dem geplanten Handeln ("Systempartition verschlüsseln").

          Naja, das Problem ist: du kannst nie sicher sein (besonders bei Windows nicht), dass die bestimmten Daten nicht auf iiiiirgendeine Weise woanders hin kopiert wurden (z.B. Preview Dateien, Swap, Systemwiederherstellung, etc. etc.) oder zumindest Verweise existieren, die Teilinformationen über die sensiblen Daten enthüllen. Von daher ist es wesentlich sicherer gleich alles zu verschlüsseln.

          1. Hallo,

            Ich möchte lediglich, daß niemand meinen Rechner hochfahren kann.
            Oh. Dafür gibts das Bios-Passwort. Moderne Laptops haben meines Wissens auch kein von außen erreichbares Löchlein mehr, mit dem man den Bios löschen kann.
            Hier reicht doch sogar das ganz normale Benutzerkennwort, mit dem man sich am System anmeldet. Das wäre zwar schon ein Hochfahren, aber ich denke das ist es, was der OP bezwecken will.

            nein, vermutlich nicht. Denn dann stecke ich als böser Bub einen USB-Stick mit einem Live-System an und boote von diesem - und schwupp, habe ich vollen Zugriff auf alle Partitionen der internen Festplatte. Und wenn ich als "unehrlicher Finder" (aka "Dieb") den Laptop in die Finger kriege, kann ich sogar die Festplatte ausbauen und in aller Ruhe mit allen Tools analysieren, die mir zur Verfügung stehen.

            Naja, das Problem ist: du kannst nie sicher sein (besonders bei Windows nicht), dass die bestimmten Daten nicht auf iiiiirgendeine Weise woanders hin kopiert wurden (z.B. Preview Dateien, Swap, Systemwiederherstellung, etc. etc.) oder zumindest Verweise existieren, die Teilinformationen über die sensiblen Daten enthüllen. Von daher ist es wesentlich sicherer gleich alles zu verschlüsseln.

            Oder einen Laptop, auf dem sich vertrauliche Daten befinden, nicht aus der Hand zu geben.

            Ciao,
             Martin

            --
            Zwei Stammtischbrüder:
            Hier steht, dass laut Statistik über 60 Prozent aller Ehefrauen fremdgehen.
            Was soll ich mit dieser Information? Ich brauche Namen, Fotos, Telefonnummern ... !
            Selfcode: fo:) ch:{ rl:| br:< n4:( ie:| mo:| va:) de:] zu:) fl:{ ss:) ls:µ js:(
            1. Hallo,

              Ich möchte lediglich, daß niemand meinen Rechner hochfahren kann.
              Oh. Dafür gibts das Bios-Passwort. Moderne Laptops haben meines Wissens auch kein von außen erreichbares Löchlein mehr, mit dem man den Bios löschen kann.
              Hier reicht doch sogar das ganz normale Benutzerkennwort, mit dem man sich am System anmeldet. Das wäre zwar schon ein Hochfahren, aber ich denke das ist es, was der OP bezwecken will.

              nein, vermutlich nicht. Denn dann stecke ich als böser Bub einen USB-Stick mit einem Live-System an und boote von diesem - und schwupp, habe ich vollen Zugriff auf alle Partitionen der internen Festplatte. Und wenn ich als "unehrlicher Finder" (aka "Dieb") den Laptop in die Finger kriege, kann ich sogar die Festplatte ausbauen und in aller Ruhe mit allen Tools analysieren, die mir zur Verfügung stehen.

              Letzteres kannst du auch problemles mit eingestelltem BIOS Passwort. Die Frage ist doch hier, was der OP mit "hochfahren" meint und was der Zweck davon ist. Ich hätte jetzt eher gedacht, dass halt niemand (normales) den PC einfach mal benutzen kann.

              Naja, das Problem ist: du kannst nie sicher sein (besonders bei Windows nicht), dass die bestimmten Daten nicht auf iiiiirgendeine Weise woanders hin kopiert wurden (z.B. Preview Dateien, Swap, Systemwiederherstellung, etc. etc.) oder zumindest Verweise existieren, die Teilinformationen über die sensiblen Daten enthüllen. Von daher ist es wesentlich sicherer gleich alles zu verschlüsseln.

              Oder einen Laptop, auf dem sich vertrauliche Daten befinden, nicht aus der Hand zu geben.

              Dummerweise hat man darüber nicht immer die Kontrolle.

              1. Hi,

                Und wenn ich als "unehrlicher Finder" (aka "Dieb") den Laptop in die Finger kriege, kann ich sogar die Festplatte ausbauen und in aller Ruhe mit allen Tools analysieren, die mir zur Verfügung stehen.
                Letzteres kannst du auch problemles mit eingestelltem BIOS Passwort.

                klar, wenn ich die Festplatte in die Finger kriege, habe ich alle Möglichkeiten.

                Oder einen Laptop, auf dem sich vertrauliche Daten befinden, nicht aus der Hand zu geben.
                Dummerweise hat man darüber nicht immer die Kontrolle.

                Wieso nicht? Ich habe mein Notebook immer unter Verschluss oder unter Aufsicht. Ich sehe nicht, warum das ein Problem sein sollte. Abgesehen davon habe ich normalerweise auch keine vertraulichen Daten drauf, so dass selbst ein Diebstahl des Geräts ein rein materieller Verlust wäre.

                Ciao,
                 Martin

                --
                Zwei Dinge sind unendlich: Das Universum und die menschliche Dummheit. Beim Universum bin ich mir aber nicht ganz sicher.
                  (Albert Einstein, deutscher Physiker)
                Selfcode: fo:) ch:{ rl:| br:< n4:( ie:| mo:| va:) de:] zu:) fl:{ ss:) ls:µ js:(
                1. klar, wenn ich die Festplatte in die Finger kriege, habe ich alle Möglichkeiten.

                  Ja, Du kannst sie als Tischtennisschläger benutzen oder formatieren. Zumindest, wenn ich Truecrypt drüber hab laufen lassen können.

                  Wieso nicht? Ich habe mein Notebook immer unter Verschluss oder unter Aufsicht. Ich sehe nicht, warum das ein Problem sein sollte. Abgesehen davon habe ich normalerweise auch keine vertraulichen Daten drauf, so dass selbst ein Diebstahl des Geräts ein rein materieller Verlust wäre.

                  Naja, das kommt ja auf die Daten an. Stell Dir einfach vor, daß Du eine webbasierte Software inkl. Xampp auf Deinem Rechner hast. Klar, das könnte auch onloine gestellt seinb, aber verläßt Du Dich da nicht zu sehr auf eine stabile Internetverbindung, egal wohin Du fährst? Oder hast immer alle Daten auf einem verschlüsselten Stick dabei?

                  Mike

                  1. Moin,

                    klar, wenn ich die Festplatte in die Finger kriege, habe ich alle Möglichkeiten.
                    Ja, Du kannst sie als Tischtennisschläger benutzen oder formatieren. Zumindest, wenn ich Truecrypt drüber hab laufen lassen können.

                    ich könnte versuchen, mit geeigneten Tools die Verschlüsselung zu knacken; ich bin ja dann nicht unter Zeitdruck, und es stört mich nicht, wenn das Tage dauert. Ich glaube aber auch, dass die Verschlüsselung von Truecrypt in Verbindung mit einem guten Passwort gut genug ist, dass ich das in absehbarer Zeit nicht schaffe.

                    Abgesehen davon habe ich normalerweise auch keine vertraulichen Daten drauf, so dass selbst ein Diebstahl des Geräts ein rein materieller Verlust wäre.
                    Naja, das kommt ja auf die Daten an. Stell Dir einfach vor, daß Du eine webbasierte Software inkl. Xampp auf Deinem Rechner hast.

                    Fürs Protokoll: Anstatt XAMPP habe ich auf meinem Rechner die Komponenten lieber einzeln installiert und konfiguriert. Spielt aber keine Rolle.

                    Okay, irgendeine lokal laufende Webanwendung. Und? Stört es mich, wenn die in fremde Hände fällt? Nö. Außer, dass ich mich über den Verlust des Notebooks an sich ärgere.

                    Oder hast immer alle Daten auf einem verschlüsselten Stick dabei?

                    Im Gegenteil: Vertrauliche Daten habe ich im Normalfall gar nicht dabei, die bleiben zuhause.

                    So long,
                     Martin

                    --
                    Hannes würfelt abends immer, ob er den Abend mit seiner Frau zuhause verbringt oder in die Kneipe geht. Wenn er eine 6 würfelt, geht er in die Kneipe.
                    Gestern musste er 37mal würfeln.
                    Selfcode: fo:) ch:{ rl:| br:< n4:( ie:| mo:| va:) de:] zu:) fl:{ ss:) ls:µ js:(
                    1. Moin Martin,

                      Ich glaube aber auch, dass die Verschlüsselung von Truecrypt in Verbindung mit einem guten Passwort gut genug ist, dass ich das in absehbarer Zeit nicht schaffe.

                      Ok, dann laß uns dieses Thema schonmal abhaken. Der Rest wäre philosophisch.

                      Okay, irgendeine lokal laufende Webanwendung. Und? Stört es mich, wenn die in fremde Hände fällt? Nö. Außer, dass ich mich über den Verlust des Notebooks an sich ärgere.

                      Stell Dir vor, Du bist Entwickler einer Webanwendung, deren Quelltext Du nicht öffentlich machen willst. Aber Du willst das System vorstellen, schulen, usw.

                      Dann wirst Du Dichnicht immer von einer vorhandenen Internetanbindung abhängig machen und hast die Daten auf Deinem Laptop, stimmsts?

                      Mike

                      1. Stell Dir vor, Du bist Entwickler einer Webanwendung, deren Quelltext Du nicht öffentlich machen willst. Aber Du willst das System vorstellen, schulen, usw.

                        In dem Fall würde ich darüber nachdenken, ein schlankes Linux mit Apache, PHP und was auch immer als virtuelle Maschine zu installieren. Ein Ubuntu-Server würde hierfür reichen. Den für sowas gut geeigneten VM-Ware-Player gibt es kostenlos. Der Leistungsverlust ist auf Mehrprozessormaschinen marginal.

                        Ich hatte vor etwa einem halben Jahr ein "Windows-7-Seminar", dass zu einem Windows Server-2008-Seminar ausartete (was dem Anbieter und mir zuvor nicht bekannt war). Da liefen sowohl der Windows 7-Client als auch der 2008er Server unter Linux in jeweils einer VM. Und zwar auf einem relativ betagten Laptop (T61) mit einem Intel Core 2 mit 2,2 GHz, allerdings einer SSD (die virtuellen Maschinen dann von einer via PC-Card-Adapter mit USB 3 angeschlossenen Festplatte) und auf 6 GB aufgebohrten Speicher.

                        Das lief für den Schulungszweck völlig zufriedenstellend. Um wie viel mehr sollte dann EIN schlankes Linux in einer VM seinen Dienst als LAMP-Server genügen?

                        Jörg Reinholz

                      2. Hi,

                        Okay, irgendeine lokal laufende Webanwendung. Und? Stört es mich, wenn die in fremde Hände fällt? Nö. Außer, dass ich mich über den Verlust des Notebooks an sich ärgere.
                        Stell Dir vor, Du bist Entwickler einer Webanwendung, deren Quelltext Du nicht öffentlich machen willst. Aber Du willst das System vorstellen, schulen, usw.

                        gut, ich denke mich mal in dieses Szenario hinein.

                        Dann wirst Du Dichnicht immer von einer vorhandenen Internetanbindung abhängig machen und hast die Daten auf Deinem Laptop, stimmsts?

                        Kommt drauf an.
                        Wenn ich Kunden oder Interessenten das System vorstelle und vorführe, werde ich es vorzugsweise direkt via Internet von meinem Server aus betreiben. So vermittelt man nämlich auch ein Gefühl für die Geschwindigkeit und die Reaktionszeiten, während vom Apachen auf localhost alles ruck-zuck geht und einen falschen Eindruck erweckt.

                        Für den Fall, dass keine Internet-Verbindung verfügbar ist (auch nicht über UMTS), habe ich die Daten natürlich als Fallback-Lösung nochmal bei mir, vorzugsweise das Projekt-Backup auf einem USB-Stick in der Tasche. Natürlich würde ich versuchen, diese Daten unter Verschluss zu halten. Ich mache aber keine so wahnsinnig geheimen Projekte, und da wäre es IMO auch kein Beinbruch, wenn mal jemand "zufällig" die Daten in die Hände bekommt.

                        Wenn das Projekt allerdings so brisant ist, dass ich ein Problem darin sehe, wenn die Daten einem Fremden in den Schoß fallen ... ja, dann muss ich auch konsequent sein: Dann gibt's eben keine Vorführungen mit lokalem Datenbestand. Daten, die mir kostbar sind, gebe ich nicht aus der Hand. Punkt.

                        Ciao,
                         Martin

                        --
                        Ist die Katze gesund,
                        freut sich der Hund.
                        Selfcode: fo:) ch:{ rl:| br:< n4:( ie:| mo:| va:) de:] zu:) fl:{ ss:) ls:µ js:(
                2. Oder einen Laptop, auf dem sich vertrauliche Daten befinden, nicht aus der Hand zu geben.
                  Dummerweise hat man darüber nicht immer die Kontrolle.

                  Wieso nicht?

                  Lass uns eine Wette abschließen. Ich wette mit dir, dass dir in den nächsten 10 Jahren entweder ein Gegenstand geklaut wird oder du einen Gegenstand verlierst. Wenn ja, zahlst du mir 10000€ wenn nein, ich dir 10000€. Na, wie wärs?

                  Abgesehen davon habe ich normalerweise auch keine vertraulichen Daten drauf, so dass selbst ein Diebstahl des Geräts ein rein materieller Verlust wäre.

                  Was hast du denn dann bitte auf deinem Gerät drauf? Du arbeitest nicht drauf und hast keine persönlichen Daten drauf? Das heißt wohl, du benutzt das Teil lediglich um auf Heise zu surfen und ggf. mal ein paar unkritische Artikel in der Wikipedia nachzuschlagen oder?

                  1. Das heißt wohl, du benutzt das Teil lediglich um auf Heise zu surfen und ggf. mal ein paar unkritische Artikel in der Wikipedia nachzuschlagen oder?

                    Ich zum Beispiel halte regelmäßig Seminare oder mache Kundenbesuche.

                    Da verbietet es sich von selbst auf dem Laptop irgendwelche nicht zum Seminar gehörende Daten zu haben. Soweit ich abends oder im ICE noch was anderes mache habe ich einen 32GB-USB-Stick (verschlüsselt) unverlierbar um den Hals hängen. Auf dem ist dann auch mein SSH-Key, mit dem ich "nach Hause telefonieren" kann.

                    Jörg Reinholz

                  2. Hallo,

                    Oder einen Laptop, auf dem sich vertrauliche Daten befinden, nicht aus der Hand zu geben.
                    Dummerweise hat man darüber nicht immer die Kontrolle.
                    Wieso nicht?
                    Lass uns eine Wette abschließen. Ich wette mit dir, dass dir in den nächsten 10 Jahren entweder ein Gegenstand geklaut wird oder du einen Gegenstand verlierst. Wenn ja, zahlst du mir 10000€ wenn nein, ich dir 10000€. Na, wie wärs?

                    abgelehnt, geht am Thema vorbei.
                    Ich schließe ja nicht aus, dass mir hin und wieder Gegenstände abhandenkommen - sei es aus eigener Unachtsamkeit, oder auch durch Diebstahl. Der Knackpunkt war ja:

                    Abgesehen davon habe ich normalerweise auch keine vertraulichen Daten drauf, so dass selbst ein Diebstahl des Geräts ein rein materieller Verlust wäre.
                    Was hast du denn dann bitte auf deinem Gerät drauf? Du arbeitest nicht drauf und hast keine persönlichen Daten drauf?

                    Doch, ich habe alle nötige Software drauf (arbeite aber selten damit, nur im Notfall), und natürlich auch einen Teil meiner Daten. Aber -siehe Antwort an Mike- da ist nichts dabei, was ich als "Vertraulich" einstufen würde.

                    Das Vertraulichste daran dürften ein paar Urlaubsfotos sein, weil ich das Gerät auch im Urlaub oft mitnehme und dann Tag für Tag schon mal ein Backup der Bilder auf der Kamera-Speicherkarte ziehe. Alles andere ist weder privat noch vertraulich. Zugangs-Passwörter wie etwa zu meinem e-Mail-Account sind nicht gespeichert, die gebe ich von Hand ein.

                    Das heißt wohl, du benutzt das Teil lediglich um auf Heise zu surfen und ggf. mal ein paar unkritische Artikel in der Wikipedia nachzuschlagen oder?

                    Ich benutze das Ding fast nie zum Surfen im landläufigen Sinn, höchstens mal zum Nachschlagen in irgendwelchen Online-Referenzen oder zur Recherche bei "Problemen", die ich selbst nicht auf Anhieb gelöst bekomme, und natürlich als "intelligentes Speichermedium".

                    So long,
                     Martin

                    --
                    "Hier steht, deutsche Wissenschaftler hätten es im Experiment geschafft, die Lichtgeschwindigkeit auf wenige Zentimeter pro Sekunde zu verringern." - "Toll. Steht da auch, wie sie es gemacht haben?" - "Sie haben den Lichtstrahl durch eine Behörde geleitet."
                    Selfcode: fo:) ch:{ rl:| br:< n4:( ie:| mo:| va:) de:] zu:) fl:{ ss:) ls:µ js:(
        2. "Bestimmte Daten" sind nicht die Systempartition. Demnach gibt es einen Widerspruch zwischen Deinem eigentlichen Vorhaben ("möchte ich bestimmte Daten geschützt wissen") und dem geplanten Handeln ("Systempartition verschlüsseln").

          Ich hab jetzt eine partition erstellt, diese als truecrypt volume verschluesselt und den Lauferksbuchstaben (Pfade und Namen) geloescht. Das habe ich als Admin gemacht.

          Wenn ich dan. das Volume unter Truecrypt wieder einbinde, ist es im Explorer zu finden und ganz normal zu bedienen.

          Als user kann ich mit truecrypt das Volume einbinden, aber ich kann nicht ueber den Explorer darauf zugreifen.

          Woran kann das denn liegen? Und wie kann ich es fuer den User si ht- und bedienbar machen?

          Mike

          1. Tut mir leid. Ich habe über Windows schon mehr vergessen, als viele andere je wussten. Über Truecrypt weiß ich praktisch nichts. Ich habe mich von der intensiven Windows-Nutzung praktisch verabschiedet, seit ich für _meine_ Zwecke _ausschließlich_ Linux nutze - und das ist etwa seit 10 Jahren der Fall. Ich kann unmöglich mit allem "herumexperimentiert" haben. Und vor allem hatte ich nie einen Antrieb unter Windows noch Daten zu speichern, geschweige denn diese als so wichtig oder geheim zu erachten, dass ich die verschlüssele.

            Jörg Reinholz

    2. Tach,

      Ja. Wozu soll denn die Systempartition verschlüsselt werden? Damit alles schön langsam wird? Wenn ich tatsächlich "paranoide" Sicherheitsanforderungen habe, dann verschwindet das gesamte Windows in einer virtuellen Maschine - die innerhalb eines Linux läuft, dessen Benutzerverzeichnis (in dem die Files für die VM liegen) verschlüsselt ist.

      mal abgesehen davon, dass du die verschlüsselten Swap-Partition vergessen hast; eine VM ist spürbar langsamer als ein Windows unter Truecrypt und kann gewisse Dinge nicht (z.B. 3d-Beschleunigung).

      mfg
      Woodfighter

      1. Wenn ich tatsächlich "paranoide" Sicherheitsanforderungen habe

        Nochmal: Wenn "paranoide" Sicherheitsanforderungen
                 ==== ==========

        Für Programmierer

        if ("Sicherheitsanforderungen" === "paranoid") {  
            use Linux;  
            use krypt;  
            use VM;  
            Windows.start();  
        }
        

        eine VM ist spürbar langsamer als ein Windows unter Truecrypt

        Bei "paranoiden" Sicherheitsanforderungen ist es hinnehmbar langsamer. Auf dem meisten auch nur halbwegs aktuellen Laptops - also solchen mit "Mehrkernern" - wird man es ohnehin kaum merken. Grund: Windows-Anwendungen...

        und kann gewisse Dinge nicht (z.B. 3d-Beschleunigung).

        auch hier sehe ich einen Widerspruch zu den von mir vorausgesetzten "paranoiden" Sicherheitsanforderungen und darüber hinaus zum Laptop. Deren Grakas sind eh nicht die 3-D-Renner.

        mal abgesehen davon, dass du die verschlüsselten Swap-Partition vergessen hast;

        Bei "paranoiden" Sicherheitsanforderungen wird die SWAP-Partition selbstredend verschlüsselt oder erst gar nicht eingerichtet. Arbeitsspeicher ist schließlich billig. Eine Anforderung "Hochleistungsmaschine" stände im Widerspruch zu "Laptop".

        Jörg Reinholz

        1. Tach,

          Wenn ich tatsächlich "paranoide" Sicherheitsanforderungen habe
          Nochmal: Wenn "paranoide" Sicherheitsanforderungen
                   ==== ==========

          du hast allerdings schon das verschlüsseln der Systempartition als "paranoid" bezeichnet; ich halte es für mich für eine Standardmaßnahme, auf Laptops um so mehr.

          eine VM ist spürbar langsamer als ein Windows unter Truecrypt

          Bei "paranoiden" Sicherheitsanforderungen ist es hinnehmbar langsamer.

          Es ist trotzdem Unsinn, da es keinen Mehrgewinn an Sicherheit bringt.

          und kann gewisse Dinge nicht (z.B. 3d-Beschleunigung).

          auch hier sehe ich einen Widerspruch zu den von mir vorausgesetzten "paranoiden" Sicherheitsanforderungen und darüber hinaus zum Laptop. Deren Grakas sind eh nicht die 3-D-Renner.

          Zwischen, ich kann nichts spielen, was nicht unter Linux läuft und ich muss Abstriche bei der Grafik machen ist aber eine große Kluft.

          mal abgesehen davon, dass du die verschlüsselten Swap-Partition vergessen hast;

          Bei "paranoiden" Sicherheitsanforderungen wird die SWAP-Partition selbstredend verschlüsselt

          Ich zitiere einfach, was du schriebst: „die innerhalb eines Linux läuft, dessen Benutzerverzeichnis (in dem die Files für die VM liegen) verschlüsselt ist.“ Ich habe nur darauf hingewiesen, dass das nicht reicht und das schon bei nicht-paranoiden Bedingungen.

          oder erst gar nicht eingerichtet.

          http://www.linuxjournal.com/article/10678 das ist übrigens häufig keine gute Idee.

          mfg
          Woodfighter

    3. Moin!

      Ja. Wozu soll denn die Systempartition verschlüsselt werden? Damit alles schön langsam wird? Wenn ich tatsächlich "paranoide" Sicherheitsanforderungen habe, dann verschwindet das gesamte Windows in einer virtuellen Maschine - die innerhalb eines Linux läuft, dessen Benutzerverzeichnis (in dem die Files für die VM liegen) verschlüsselt ist.

      Ich halte den Nutzungswunsch, mit Truecrypt sorgenfrei die eingebauten Datenspeicher pauschal verschlüsselt zu wissen, nicht für paranoid. Wer paranoid ist, der darf sich sowieso nur ein handgefertigtes eigenes OS installieren - alternativ kann er natürlich auch beginnen, eines der offenen Betriebssysteme zu auditieren auf ihm ungenehme Sicherheits- und Informationslücken.

      Dein Einwand der Langsamkeit ist ebenfalls falsch. Erst recht, wenn du als "richtige" Lösung vorschlägst, Windows in eine VM zu verbannen. Das macht die Sache sicherlich nicht schneller. Wobei deine einleitende Bedingung natürlich korrekt ist: "WENN ich paranoide Sicherheitsanforderungen habe...". Und wenn nicht? Dann verschlüsselt man mit Truecrypt einfach die Systempartition von Windows.

      Ich finde, die Vorteile liegen auf der Hand:

      • Windows speichert nicht aus Versehen (d.h. ohne dass man in Unkenntnis nicht dran gedacht hat) irgendwelche Daten in unverschlüsselte Bereiche.
      • Windows startet auch nicht ohne Passworteingabe.
      • Der wichtigste Aspekt: Sollte die Festplatte irgendwann einmal den Besitzer wechseln, braucht man sich keine Sorgen um seine Daten machen. Dies gilt insbesondere in den Situationen:
          - Diebstahl des Geräts
          - Defekt der Festplatte
          - Unabsichtliche oder absichtliche Außerdienststellung

      Gerade das Entsorgungsszenario finde ich relevant: Festplatten gehen kaputt - und wenn sie kaputt sind, kriegt man sie in der Regel auch nicht mehr gelöscht, sonst wären sie nicht kaputt. Man will sich bei der Entsorgung von alter Hardware vermutlich auch nicht länger als unbedingt notwendig mit dem Löschen des alten Datenträgers herumärgern - davon abgesehen, dass ein sicheres Löschen zuerst mal das Vorhandensein eines entsprechenden Programms erfordert, und danach recht viel Geduld.

      Schade also, dass Windows 8 noch nicht supportet wird - das steht allerdings auf der Roadmap, dürfte aber angesichts dieser ganzen UEFI-Booterei mit signierten Bootloadern ein gewisser Aufwand sein.

      - Sven Rautenberg

  2. Tach,

    neues laptop, Win8 standard 64 bit, GUID Partition Table und genau das ist das Problem.

    Truecryt unterstützt (bisher) nur MBR und Bitlocker hat mein Win8 standard nicht.

    Hat jemand einen Ausweg für mich?

    Windows neu installieren mit MBR.

    mfg
    Woodfighter

    1. Windows neu installieren mit MBR.

      Meine HDD hat 2 Volumes (C und D) sowie 3 Wiederherstellungspartitionen (keine Zujgriff über Datenträgerverwaltung) und eine Partition (EFI-Systempartition).

      Wie kann ich auf MBR konvertieren ohne alle diese Partitionen zu verlieren?

      Mike