[Tutorial] Festplattenverschlüsselung Mit DiskCryptor

Bei DiskCryptor handelt es sich um ein Verschluesselungstool wie TrueCrypt. Es bietet allerdings keine Container, sondern nur Volumes (Festplatten, Partitionen) zur Verschluesselung an. Man kann ebenfalls on the fly verschluesseln und entschluesseln. Zu dem kann man die Daten beim Verschluesseln wipen. Dabei werden die Daten runterkopiert, gewiped und dann wieder draufkopiert. Man hat also keinen Datenverlust. Ein weiterer Vorteil von DiskCryptor ist, dass er auch bei FAT(32) formatierten Datentraegern die Daten erhalten kann. TrueCrypt will es komplett formatieren, weil man die Daten nur bei NTFS erhalten kann. Ein weiterer Vorteil ist, dass sowohl das "unbekannte" (verschluesselte) Medium als auch das gemountete Medium den gleichen Buchstaben hat. Bei TrueCrypt könnte man nur die Haelfte an Platten / Containern mounten, da beim Mounten die Meldung kommt, dass der Buchstabe bereits benutzt wird. Ein weiterer Vorteil ist, dass man mehrere Laufwerke gleichzeitig verschluesseln kann. Das ist mir bei TrueCrypt auch noch nicht aufgefallen. Ein weiteres Feature, was mir bei DiskCryptor gefaellt, ist die automount Funktion. Nach Eingabe des Passworts beim Bootloader mounted er die restlichen Festplatten automatisch. Sofern man will, kann man die Daten im RAM speichern, damit man Sticks beim Reinstecken automatisch mounten kann. Das automatische Mounten nutze ich allerdings nur fuer die Festplatten, die im PC eingebaut sind.

Das Verschluesseln selber ist noch einfacher als bei TrueCrypt. Ich habe mal ein Video erstellt.

Wie man den Screenshots entnehmen kann, kann man noch einiges einstellen. Auch, wie sich der PC bei einem falschen Passwort verhalten soll.

Es ist bei mir auch schneller als TrueCrypt.

Ich hatte oben allerdings eine Beta getestet. Dort wird SSE2 fuer Serpent unterstuetzt. Es ist auf jeden Fall mein Favorit. Muss nur noch die naechsten Tage bei meinem Zweitrechner von TC auf DC wechseln. Und mit der 1.0 Beta werden SSDs unterstuetzt, was bei TrueCrypt noch nicht der Fall ist, wenn man die Docs so durchgeht (auf den TrueCrypt Doc Seiten wird abgeraten TrueCrypt zu benutzen).

Die Systempartition habe ich gerade erst verschluesselt (also das ganze System hier, wo ich das Video aufgenommen habe). Aber auf meinem Arbeitsnotebook hatte ich die Platte mit TrueCrypt verschluesselt gehabt (300 oder 320GB) und da hatte ich 1 Jahr oder so keine Probleme gehabt, Windows-Updates einzuspielen. Und ich denke, bei DC ist es aehnlich. Gebe da ja auch beim Booten ein Passwort ein.

Edith: Ich habe nochmal n paar Screens zu den Optionen im ersten Post rangehaengt.

DiskCryptor hat auch eine praktische Automount-Funktion. Wenn die eingeschaltet ist, werden alle Geräte, die beim Boot erkannt werden, automatisch gemountet, bis die Passwoerter aus dem RAM wieder verschwinden (dies geschieht schnell, sofern man nicht die Option aktiviert, es im RAM zu belassen). Damit werden bei mir beim Windows Boot (Partition C:) noch die restlichen 5 Partitionen gemoutet. Lediglich die USB Sticks muss ich per Hand mounten oder die Option benutzen, die Passwoerter im RAM vorzuhalten. Das mit den Laufwerken beim Boot mounten finde ich sehr praktisch. Sowas bietet zwar auch TrueCrypt, war da aber meines Wissens nach wieder sehr umstaendlich.

Sollte eigentlich reichen. Solltest aber zur Vorsicht die Header der Partitionen sichern, dass du die im Bedarfsfall zurueckspielen kannst. Getestet habe ich es allerdings noch nicht.

[quote user="Lector" post="36765"]Da du gerade beim Testen bist, hast du auch die Systempartition verschlüsselt?
Ich würde gerne Wissen, wie sich DC verhält wenn sensible Windows-Updates installiert werden. Irgendwo habe ich mal gelesen das z.B. Truecrypt damit probleme hat. Die Empfehlung lautete damals die Systempartition zu Entschlüsseln, die Updtates einzuspielen und danach wieder zu Verschlüsseln. Sonst fährt das System nicht mehr hoch.[/quote]
Inzwischen habe ich meine beiden PCs (also auch den P4) mit DiskCryptor verschluesselt und ich merke keine Einbuszen. Und mit den Updates handhabe ich es so wie vorher mit TC => ich spiele die einfach ein, also ohne die Partion zu entschluesseln, und hatte bisher noch keine Probleme. Nachteil ist, wenn man Linux nutzt. Bei einem Kernel Update findet er (GRUB 2) Windows nicht mehr. Das konnte ich bei Kubuntu aber problemlos beheben. Ich musste Windows in die /etc/grub.d/40_custom Datei Windows hinzufuegen. Ihr solltet euch dann also eine Rescue-Diskette von Kubuntu erstellen, dass ihr euch ansehen koennt, was drin stand, damit ihr es in die 40_custom hinzufuegen koennt.

Edith: Was ich noch sehr praktisch finde ist, dass man einfach so die Passwoerter der Laufwerke aendern kann ohne die Partition entschluesseln und mit neuem Passwort verschluesseln zu muessen. Man kann dabei sogar von Passwort auf Keyfile wechseln und umgekehrt. :king2

[quote user="Timok" post="37448"] BrollyLSSJ

Laut Wiki

Zitat

# Volle Unterstützung für Außenspeichergeräte.

* Verschlüsselung von CDs und DVDs.
* Vollständige Unterstützung externer USB Speichermedien.
* Automatisches Anmelden von Festplattenpartitionen und externen Speichermedien.

lassen sich ja auch USB Sticks verschlüsseln.

Frage = da kein Container erzeugt wird -> ist der Stick dann nur am eigenen Rechner lesbar (wegen dem Treiber)?[/quote]
Der Treiber von DiskCryptor wird meines Wissens nach benoetigt, denn Portable ist DiskCryptor nicht. Wenn man das Programm ausführt, will es den Treiber installieren oder es beendet sich wieder. Ich habe aber noch nicht andere Programme ausprobiert, die mit AES, Twofish oder Serpent umgehen koennen.

Lector
Die Live-CD ist PE basiert und dort wird der Treiber "installiert". Einfach DC auf einen Stick kopieren und nutzen ist nicht.

So, ich habe mir gestern den MBR zerschossen (wegen EasyBCD und damit ich GRUB loswerde). Ich habe lange rumprobiert, wie ich Windows wieder zum Laufen bekomme. Ich wollte eigentlich nur Windows haben, da SP1 wohl wieder wegen GRUB bei der Installation rummeckert. Die Boot-CD von DiskCryptor habe ich nicht probiert und die PE CD hing sich bei 99.9% des Bootvorgangs auf. ALso habe ich kurzerhand eine Windows Installations-DVD erstellt, die DiskCryptor beinhaltet, die Reparaturoptionen gewaehlt und damit die Sachen gemounten, MBR und Boot restored und konnte dann wieder booten. Das waere so meines Wissens nach nicht mit TC moeglich. Dann habe ich noch Acronis Disk Director Home 11 gekauft, wie in einem anderen Thread erwaehnt. Damit kann ich die Platten bearbeiten, wo andere Tools "versagen". Unten rechts ist Paragon Partition Master 11 SE Personal (kostenlos damals von giveaway of the day).

Mir gefaellt DiskCryptor irgendwie immer mehr.

Und noch was neues, was TrueCrypt alt aussehen laesst. Man kann, wie oben erwaehnt, DiskCryptor in die Setup-DVD integrieren und dann damit die Laufwerke mounten und die Reparaturoptionen nutzen. Damit aber nicht genug. Weil es mich interessierte, ob man damit auch mehr machen kann, also die Platten mounten, Windows neuinstallieren (weil nicht mehr bootet oder man ein sauberes System moechte) und booten, ohne, dass man die Platte entschluesseln (ist bei der Reinstallation ja eh obsolete) und vorallem nach der Installation weiterhin verschluesselt ist. Daraufhin habe ich die Tage dazu einen Thread im DC Forum gemacht. Und ich bekam zwar zuerst die Meldung, dass es eine interessante Theorie ist und es hat dort einer in einer VM ausprobiert und es ist tatsaechlich so. Ich werds, da ich SP1 nicht installieren kann, demnaechst selber ausprobieren, wenn ich W7 inklusive SP1 neu installiere. Laut Rueckmeldung kann fuer mich TC damit einpacken.

Ich habe den MBR mittels des ueblichen Commands (bootrec /FixMbr und bootrec /FixBoot) ueberschrieben. Das hat aber nichts mitm SP1 zu tun. EasyBCD mag ich nicht, dass hat mir das System auch schon oefters (3 bis 5 mal inzwischen) unbenutzbar gemacht. Zumindest der Punkt Write MBR. Davon lasse ich die Finger. SP1 laesst sich aber nicht wegen MBR installieren, das war nur meine erste Annahme, wegen der Erfahrung mit Vista damals. Es liesz sich zuerst nicht wegen Windows Mail (hatte den Windows Mail Hack unter W7 probiert) installieren. Das ist nun behoben, nun meckert er aber den kompletten WinSXS Ordner an. Daher ziehe ich nun eine Neuinstallation vor und kann so nebenbei das mit DC noch ausprobieren. Denn wenn man damit wirklich die Platte verschluesselt behaelt, waere es ein groszer Vorteil gegenueber vielen Verschluesselungsloesungen.