Hi,

ich bin gerade am überlegen, wie man sinnvoll ein windowssystem verschlüsselt.

Ich hab schon etwas mit truecrypt rumprobiert aber das kann ja keine bootpartition verschlüsseln und somit bleibt das eigentliche windows samt registry unverschlüsselt.

EigeneDateien, Programme kann man ja umleiten. Wobei den swap-file kann man auch nicht verschlüsseln der wird ja beim booten gebraucht.

Kennt wer möglichkeiten eine regestry so zu verändern das man sie:
- mit truecrypt verschlüsseln kann
- Seriennummern irgendwie auslagert in ein verschlüsseltes archive

Ich denke nämlich mal, das die registry beim booten nicht so durchsucht wird das sowas auffällt, bzw. ein programm den key erst beim starten selbigens abruft. Oder kann man anstatt den Key zu hinterlegen in der datei eine art link erzeugen der dann in ein verschlüsseltes archive zeigt?

Ich hab mir übrigens mal Twofish als Verschlüsselung ausgesucht, da ich finde es hat die höchste Sicherheit bei annehmbaren Bandbreiten (Benchmark: 35/40 MB/s)

mfg

Du findest kostenfreie Lösungen, die das von dir gewünschte bieten.

Eine hört auf den Namen Compusec.

Dies ist die einzige kostenfreie Windowslösung, die ich kenne.

Kommerzielle Software, die das kann, was du wünschst, wobei Compusec "nur" AES verschlüsselt:

Safeboot
Safeguard Easy
Winmagic Securedoc
Secude Security Suite
Pointsec
Drivecrypt +

Viel Spaß bei der Brautschau... ;)
QFT

hm, naja AES wollt ich eigentlich nicht haben :) da werd ich wohl dieses compusec mal ansehen müssen...

gibts sonst noch vorschläge zwecks registry und swap?

kurzer Benchmark

-----------------
*AES-256*
time echo test | gpg --passphrase-fd 0 --cipher-algo aes256 --symmetric
test.tar

real 0m28.687s
user 0m26.280s
sys 0m0.930s

*Twofish*
time echo test |gpg --passphrase-fd 0 --cipher-algo twofish --symmetric
test.tar

real 0m27.055s
user 0m24.800s
sys 0m1.000s

-------------

Warum Twofish? Oder anders ausgedrückt: Warum kein AES?

weil es meißt nur 128bit hat und sehr verbreitet ist :)

Aber gibts eigentlich tools die selbsständig die registry bearbeiten können, dh. besagte links setzen können oä. mechanismen beherschen?

Wie schauts eigentlich mit hardware verschlüsselung aus? ich glaub da wäre auch der ganze kram mit gedrückter bandbreite nicht so arg. Ich kann mich erinnern mein olles HP-Notebook hatte sowas direkt im controller und es war nicht möglich die platte in einem anderen gerät zu benutzen oä., war natürlich auch blöde falls der Controller mal defekt war.

Und die weite Verbreitung ist ein Problem? Und die Bittigkeit sagt nicht viel aus über die SIcherheit, so ist AES 128bit mindestens so sicher wie Triple-DES mit 168bit.
Wirklich, AES ist ausreichend, ob 128bit oder 256. Schwachstellen sind keine bekannt und daher hängt die Sicherheit schlußendlich von deinem passwort ab ;-)

nungut... es geht ja auch überhaupt nicht um aes ...

sondern darum wie man am besten eine registry bearbeiten kann um sie entweder komplett in ein truecrypt archive zu schieben oder halt teile ... ich hat nämlich irgendwo mal gelesen das die dinge die einem regedit anbietet nicht alles ist was möglich ist, bzw. erlaubt ist wie zB. einen externen link zu setzen etc.

nur fehlt mir bei sowas der einblick.

ich nochmal:

ich hab noch etwas über das prozedere nachgedacht und eigentlich ist doch das einzige problem warum truecrypt keine bootpartition verschlüpsselt, das es erst nach windows gestartet wird.

Wäre es nicht denkbar das man mit einem mini-windows, per usb das system anbootet truecrypt in ein ramlaufwerk scheibt und so die laufwerke mountet?

XP-soll man ja mittlerweile bequem auf einen kleinen stick bekommen, so ähnlich wie diese "live-cds".

kurzer Benchmarkjou...

Warum Twofish? Oder anders ausgedrückt: Warum kein AES?Da es auf keinen Fall besser als Twofish ist? Dafür langsamer? Fährt GPG die Algos im LRW? Spielt das eine Rolle? Ich weiß es nicht...

Klar reicht AES aus. Nur warum schlechtere Lösungen benutzen?
Jedenfalls bin ich davon überzeugt, daß die TrueCrypt-Macher nichts besonderes gegen AES haben um ihre Benchmarks künstlich zu gestalten. Und so sieht es aus:
http://www.imgnow.de/?img=TrueCryptbench0b1jpg.jpg

@ooAlbert
Ab und zu kann man auch für Software etwas bezahlen...

ich nochmal:

ich hab noch etwas über das prozedere nachgedacht und eigentlich ist doch das einzige problem warum truecrypt keine bootpartition verschlüpsselt, das es erst nach windows gestartet wird.

Wäre es nicht denkbar das man mit einem mini-windows, per usb das system anbootet truecrypt in ein ramlaufwerk scheibt und so die laufwerke mountet?

XP-soll man ja mittlerweile bequem auf einen kleinen stick bekommen, so ähnlich wie diese "live-cds".
Und dann? Reset ausführen oder wie? ;)

Pack dir zwei Festplatten in deinen Rechner: Festplatte eins enthält ein Betriebssystem als Host. Festplatte zwei ist eine TrueCrypt-Platte. Darin liegt ein Image einer Virtual Machine, die du mit dem Host-System startest. Fertig.

Windows kann man nicht vernünftig verschlüsseln, da machen schon die vielen Programme ärger, die ihre Nutzdaten in den Programmordnern speichern.


Sinnvoller und was auch funktioniert ist ein Windows in einem Windows.

D.h. eine Virtual Maschine installieren und dort ein zweites Windows installieren.

Das ganze Ding mit der Virtaul Maschine dazu in einer Truecrypt Container Datei packen und schon ist man fertig.
Eine 2. Festplatte ist nicht notwednig.

Windows kann man nicht vernünftig verschlüsseln

Vollkommen falsch.

Gruß und guten Morgen,
QFT

Vollkommen falsch.


Nein, richtig.

Das Problem fängt schon damit an, das bei Windows Nutzerdaten und Programmdaten nicht vernünftig voneinander getrennt werden.

Durch die fehlende Trennung kann man Windows effektiv gesehen nicht vernünftig verschlüsseln.


Bei Linux ist das anders, die Programmdaten liegen in /usr und die Nutzdaten in /home.
Damit ist eine vernünftige Verschlüsselung gewährleistet, da man z.B. nur /home zu verschlüsseln braucht, nicht aber /usr.
Es ergibt schließlich keinen Sinn Programme zu verschlüsseln, da dies die Ladezeiten verlängert.
Die einzige Ausnahme ist, wenn das Programm selbst das Problem ist, was man verschlüsseln möchte, Sprich seit neuestem illegale Hackertools oder Raubkopien.

Es ergibt schließlich keinen Sinn Programme zu verschlüsseln, da dies die Ladezeiten verlängertWelchen Sinn ergibt dann die Verschlüsselung von uxtheme.dll und explorer.exe?

Entweder man verschlüsselt pre Boot komplett seine Platte oder nur seine (wertvollen) "Datensätze". Im Preboot nur C:\windows zu verschlüsseln würde mir was bringen? Ok. Niemand kann das System booten. Jeder kann aber die Platte ausbauen. Und dann? Wie steht das zu den Nachteilen, daß es unter NT keine klare Trennung zwischen usr und home gibt?

Gibt es unter Win kein Eigene Dokumente? Dürfen da zB. keine Fotos rein?

Welchen Sinn ergibt dann die Verschlüsselung von uxtheme.dll und explorer.exe?

Entweder man verschlüsselt pre Boot komplett seine Platte oder nur seine (wertvollen) "Datensätze".



Genau das ist ja das Problem, bei Windows MUSS man die ganze Platte verschlüsseln, bei Linux/Unix KANN man das machen, muß man aber nicht.
Es reicht in der Regel das /home Verzeichnis, sowie /var und /tmp zu verschlüsseln.

Unter Windows sind die wertvollen Datensätze oft nicht von den Programmdaten getrennt.


Im Preboot nur C:\windows zu verschlüsseln würde mir was bringen? Ok. Niemand kann das System booten. Jeder kann aber die Platte ausbauen. Und dann? Wie steht das zu den Nachteilen, daß es unter NT keine klare Trennung zwischen usr und home gibt?


Wenn die Programme auf einer verschlüsselten Platte liegen, dann mußt du zum entschlüsseln on the fly bzw. zum Zugreifen auf die Programmdaten Rechenpower opfern.
Und bei Windows muß man deswegen die Platte gleich komplett verschlüsseln (-> keine vernünftige Verschlüsselung möglich), weil es bei Windows dummerweise üblich ist, daß auch Nutzdaten, die man eigentlich verschlüsseln will, in den Programmordnern gespeichert werden.

In /usr findest du aber keine Nutzdaten, also brauchst du /usr auch nicht zu verschlüsseln.
Was bringt es dir, wenn jemand weiß, daß du in /usr z.b. licq installiert hast?
NICHTS! Ohne .licq.conf ist dieses Wissen wertlos und .licq.conf liegt in deinem verschlüsselten Home Verzeichnis.

Aber es bringt dem Cracker viel, wenn er weiß, daß du in C:\programs\icq\user.conf deine Nutzerdaten inkl. Passwörter und Freundesliste
drinstehen hast, ergo mußt du mindestens C:\programs\icq\ verschlüsseln, wo dummerweise auch die icq.exe drinliegt.
Wozu sollte man aber icq.exe Verschlüsseln?

Das ist dumm, kostet Zeit beim Laden und ergibt keinen Sinn.
(außer es ist illegale Software, aber das sagte ich schon)



Gibt es unter Win kein Eigene Dokumente? Dürfen da zB. keine Fotos rein?
Gibt es, nur wird dieser Speicherort nicht durchgehend angewendet, denn wenn es so wäre, dann könnte man nämlich auch ein Windows System VERNÜNFTIG verschlüsseln.

Aber die ganze Platte zu verschlüsseln ist nicht elegant und eher die Holzfäller Brute Force Methode.
Aber wie schon gesagt, unter Windows geht es ja gar nicht anders, vernünftiges Verschlüsseln ist dort schlichtweg nicht möglich, aber das sagte ich ja bereits.

Das ist aber schlicht und ergreifend ein Designfehler vieler Softwareprodukte :( Man könnte es ja versuchen zu erzwingen, indem man unter Windows nur noch mit eingeschränkten Nutzerrechten arbeitet und nicht als Admin. Dann können Programme eh nur noch im Homeverzeichnis was anlegen.

Gibt es, nur wird dieser Speicherort nicht durchgehend angewendetWas meinst du denn jetzt endlich? Einstellungen von Programmen oder wirklich die Daten? Daten werden da gespeichert wo ICH es will. Das ist der "Speichern..." Dialog.

Was meinst du denn jetzt endlich? Einstellungen von Programmen oder wirklich die Daten? Daten werden da gespeichert wo ICH es will. Das ist der "Speichern..." Dialog.

Falsch.

Du kannst z.B. zwar bestimmen das deine Pornobilder in D:\Bilder gespeichert werden, aber die Thumbnails werden z.b. je nach Programmm unterschiedlich in C:\Programme\Irgendwas\thumbs gespeichert.

Und damit weiß man, was für Pornos du auf deinem Rechner anschaust.

Ok. DAS ist ein Argument. Ich meine nicht das mit den Pornos, sondern mit den Thumbs. Auf solche Sachen muß man eben achten. Richtig.

Ok. DAS ist ein Argument. Ich meine nicht das mit den Pornos, sondern mit den Thumbs. Auf solche Sachen muß man eben achten. Richtig.

ICQ war auch ein Argument.

Wo deine ICQ Nummer + Passwort gespeichert werden, bestimmst nämlich nicht du, sondern das Programm.

Da hab ich nicht im Entferntesten dran gedacht. ICQ und ähnlichen Kiddikack wird es hier nie geben. Stimmt aber auch.

BH