Hi

ich bin mir nicht sicher ob ich die Frage schonmal gestellt habe...

Ich würde gerne ein Laufwerk (nicht das Systemlaufwerk) auf einem Rechner verschlüsseln.

Dabei habe ich folgende Anforderungen:
Der Rechner sollte nach einem Neustart ohne manuellen Eingriff die verschlüsselte Platte wieder entschlüsseln können. Daher dachte ich an ein Keyfile.

Ich möchte das Keyfile aber löschen können falls der Rechner mal Beine bekommen sollte. Es sollte also nicht auf dem Rechner selbst liegen - und am liebsten auch nicht im Haus...

Das Keyfile dazu würde ich also gerne im Netz ablegen... Hat jemand mit einem solchen Szenario Erfahrung ? Wie müsste ich da vorgehen ?

Oder hat jemand einen besseren Vorschlag ?

Truecrypt kann doch selbstständig verschlüsselte Laufwerke ins System einbinden?!?
Was willst du denn da mit den Keyfiles rumhantieren?

Weil er vielleicht das Passwort nicht im Klartext im Autostart hinterlegen will? Entweder Systempartition auch verschlüsseln und TrueCrypt mit Passwort im Anmeldeskript mounten lassen (habe ich so unter Linux) oder die Keyfiles auf einem USB Stick speichern.

Autostart? Wieso denn das?

Also noch Mal: Truecrypt bietet so eine Funktion selbst an, nennt sich System Favorite Volumes.

Ich denke was er möchte ist folgendes:

Sein Laptop hat zwei Platten:
System (unverschlüsselt)
Geheime Daten (verschlüsselt)
Geheime Daten wird beim Rechnerstart automatisch entschlüsselt, das Keyfile dazu liegt auf einem Server.
Wird der Rechner gestohlen löscht er einfach das Keyfile vom Server und macht Geheime Daten damit unbrauchbar.

Wird der Rechner gestohlen löscht er einfach das Keyfile vom Server und macht Geheime Daten damit unbrauchbar.
Das hilft nur wenn man
a) es rechtzeitig bemerkt und
b) zu der Zeit auch die Möglichkeit hat den Schlüssel zu löschen
c) der Angreifer den Schlüssel nicht schon vorher kopiert

Wäre mir für echt geheimhaltungsbedürftige Daten zu risikoreich. Für normal private Daten ist es wohl besser als gar keine Verschlüsselung.

Das halte ich auch für unsinnig.

So lange der Schlüssel an sich ohne weiteren Schutz erreichbar ist, bringt das Auslagern gar nichts. Ist der Schlüssel geschützt, braucht er sich sowieso keine Sorgen machen, wenn der PC abhanden kommt. Um den Schlüssel aber "freizuschalten" muss er selbst aktiv werden. Das wiederum bringt aber nichts, wenn er nach einem Neustart die Laufwerke automatisch gemountet haben möchte.
So oder so ist die ganze Idee unsinnig.

Am besten verschlüsselt er das ganze System, alles andere macht keinen Sinn.

Das halte ich auch für unsinnig.

So lange der Schlüssel an sich ohne weiteren Schutz erreichbar ist, bringt das Auslagern gar nichts. Ist der Schlüssel geschützt, braucht er sich sowieso keine Sorgen machen, wenn der PC abhanden kommt. Um den Schlüssel aber "freizuschalten" muss er selbst aktiv werden. Das wiederum bringt aber nichts, wenn er nach einem Neustart die Laufwerke automatisch gemountet haben möchte.
So oder so ist die ganze Idee unsinnig.

Am besten verschlüsselt er das ganze System, alles andere macht keinen Sinn.

Ich brauche eigentlich nicht das ganze System verschlüsseln, wenn die sensiblen Daten eh nur auf einer Partition liegen...

Was ich erreichen möchte ist folgendes:
- solange der Rechner in seinem Heimnetz ist soll er brav starten und die Platte einbinden ohne dass ich was tun muss
- sobald er raus genommen wird sollen sich die Daten erstmal nicht entschlüsseln lassen
- ich möchte das Keyfile notfalls löschen/wegverschieben können
- das ganze soll aber im Normalbetrieb keine Arbeit/keinen Aufwand verursachen - auch da der Rechner wie gesagt als kleiner Server dient und eigentlich 24/7 erreichbar sein und sich auch mal aus der Ferne druchstarten lassen sollte (bzw sich Aufgrund schlechter erfahrung was langzeit Stabilität betrifft einmal die Woche selbst druchstartet)

Was ich nicht möchte ist zB das Keyfile auf nem USB Stick am Rechner haben. Da kann ichs ja gleich lassen.

Eine Option wäre noch es zB auf einem USB Stick in der Fritzbox zu legen aber falls der Datenklauer schlau ist und alles mitnimmt dann hätte er auch den Key und würde in der Konfig von Truecrypt ja sehen wo er liegt.. Habe ich ihn aber irgendwo anders liegen - daher der Wunsch nach "ausser Haus" - könnte ich ihn vielleicht rechtzeitig wegschieben...

Das ganze ist eher ein spleen - brauchen tue ich das nicht - aber es interessiert den Geek in mir ob "einigermassen sicher und trotzdem bequem" geht...

Du könntest das den Key auf einem RasPi o.Ä. ablegen der ebenfalls verschlüsselt ist. Der Pi läuft dann dauerhaft irgendwo versteckt in der Wohnung und ist vielleicht auch mit einer Powerbar gegen Stromausfall geschützt, damit der andere Rechner danach wieder hochfahren kann. Damit wäre das Szenario "Rechner bekommt Beine" einigermaßen abgedeckt.
Aber wenn die Systempartition nicht verschlüsselt sein soll, warum entschlüsselst du die Datenpartition dann nicht manuell per SSH o.Ä nach dem der Rechner automatisch wieder hochgefahren ist?
Je nach System und Art der zu schützenden Daten lässt sich übrigens durch unverschlüsselte Swapfiles/partitionen, Caches, Tempfiles, Verlaufsinformationen etc. trotzdem einiges über die Verschlüsselten Daten in Erfahrung bringen

Grüße
Rechner-Tester

[...] Eine Option wäre noch es zB auf einem USB Stick in der Fritzbox zu legen aber falls der Datenklauer schlau ist und alles mitnimmt dann hätte er auch den Key und würde in der Konfig von Truecrypt ja sehen wo er liegt.. Habe ich ihn aber irgendwo anders liegen - daher der Wunsch nach "ausser Haus" - könnte ich ihn vielleicht rechtzeitig wegschieben...

Das ganze ist eher ein spleen - brauchen tue ich das nicht - aber es interessiert den Geek in mir ob "einigermassen sicher und trotzdem bequem" geht...

Wenn du "bequem" damit gleichsetzt, sich für den Zugriff auf das Keyfile nicht authentifizieren zu müssen, ist "einigermaßen sicher" damit IMHO eher nicht zu realisieren, da eine wirksame Verschlüsselung an sich nur davon lebt, dass der Schlüssel wirksam geschützt ist.

Wenn du "bequem" damit gleichsetzt, sich für den Zugriff auf das Keyfile nicht authentifizieren zu müssen, ist "einigermaßen sicher" damit IMHO eher nicht zu realisieren, da eine wirksame Verschlüsselung an sich nur davon lebt, dass der Schlüssel wirksam geschützt ist.

Mir geht es wirklich nur alleine darum, dass der Rechner nicht so einfach zusammen mit den Daten durch die Tür spazieren kann...
Ich erlaube RDP Zugriff per VPN auf den Rechner und mache mir keine großen Illusionen, dass Geheimdienste im Zweifel eh schon in meinen Daten rummwühlen könnten...

Ich möchte einfach nur, dass FALLS der Rechner mal von irgendwem abmontiert werden sollte dieser nicht automatisch auch meine Daten im Archiv (Photos, Musiksammlung, gescannte Akten und Unterlagen, etc.) hat...

Da ich ich aber dank meiner Lebensgefährtin eh schon zwischen zwei per VPN vernetzten Wohnorten pendle könnte ich mir auch folgendes Vorstellen:
Ich platziere den Schlüssel auf nem USB Stick an der Fritzbox in der anderen Wohnung (und habe selbst nochmal ne geschütze Kopie irgendwo "sicher"...)...

Wenn jemand nun nicht in beide Wohnungen gleichzeitig einbricht und technisch versiert ist, dann sollte der Aufwand für den 08/15 Dieb schlicht zu hoch sein... Und ich habe ziemlich sicher genug Zeit den Schlüssel von der fernen Fritzbox abziehen zu lassen...

Ich verstehe nicht, warum es unbequem sein soll, bei einem in der Regel 24/7 laufenden System die verschlüsselte Partition einmal nach dem Booten (oder ggf. bei jedem Login) per SSH oder RDP durch manuelle Eingabe von einem Passphrase (ansatt einer Schlüsseldatei) zu mounten. Ich halte die Wahrscheinlichkeit, dass das VPN zwischen den Boxen nur dann nicht funktioniert, wenn man es drigend benötigt für weitaus höher als dass ein 08/15 Dieb einen bei RDP/SSH wirksamen Keylogger in Betrieb nimmt, bevor er den Rechner Tage/Wochen später klaut.

Bei deiner Variante könnte der Dieb neben der Tatsache, dass du ggf. tagelang weg bist auch noch feststellen, dass die lohnenswerteren Daten auf der verschlüsselten Partition liegen, er mit dem Rechner oder einem unauffälligen Netbook zurückkommen, sich einfach ins Netz deiner Fritzbox einhängen und sich das Keyfile dank VPN aus der Ferne besorgen kann.

Ich verstehe nicht, warum es unbequem sein soll, bei einem in der Regel 24/7 laufenden System die verschlüsselte Partition einmal nach dem Booten (oder ggf. bei jedem Login) per SSH oder RDP durch manuelle Eingabe von einem Passphrase (ansatt einer Schlüsseldatei) zu mounten. Ich halte die Wahrscheinlichkeit, dass das VPN zwischen den Boxen nur dann nicht funktioniert, wenn man es drigend benötigt für weitaus höher als dass ein 08/15 Dieb einen bei RDP/SSH wirksamen Keylogger in Betrieb nimmt, bevor er den Rechner Tage/Wochen später klaut.

Bei deiner Variante könnte der Dieb neben der Tatsache, dass du ggf. tagelang weg bist auch noch feststellen, dass die lohnenswerteren Daten auf der verschlüsselten Partition liegen, er mit dem Rechner oder einem unauffälligen Netbook zurückkommen, sich einfach ins Netz deiner Fritzbox einhängen und sich das Keyfile dank VPN aus der Ferne besorgen kann.
Wie gesagt - Angriffsvektoren gibt es EH genug... Aber ich hab das VPN jetzt seit 1,5 Jahren stehen - ich hatte bisher nicht einen Tag an dem ich damit Probleme hatte... und sollte das VPN mal nicht gehen hab ich ja schon gesagt dass ich das Keyfile nochmal wo versteckt halten will...

Es geht aber nunmal leider auch um den WAF - Frauchen hat sicher kein Verständnis wenn wegen meiner "Bastellei" die Termine, Kontakte oder Todos auf den mobilen Geräten nicht mehr Synchroniseren (owncloud) oder sie nicht an ihre Daten kommt oder das Backup genau dann nicht gelaufen ist wenn man es mal gebraucht hätte und das nachdem ich ihr die Vorzüge der Ablage auf dem Homeserver endlich schmackhaft gemacht habe... Nur weil ich vergessen habe die Partition nach nem Reboot aufzuschliessen... deshalb will ich das - wenn ich das mache - automatisieren...der Rechner startet halt aktuell einmal die Woche durch - ich musste einfach die Erfahrung machen, dass anders kein stabiler Betrieb drinn ist... Seit ich das (auch automatisiert) mache hatt ich kein einziges mal mehr Ärger mit dem Rechner... Und einmal die Woche die Partition manuell aufzusperren IST schon nervig...

Es geht mir wie gesagt nicht drumm jemanden abzuwehren der es geziehlt auf meine Daten abgesehen hat (Hacker oder Geheimdienst (warum auch immer - es fällt mir nur beim besten Willen niemand sonst ein der sich die Mühe machen sollte)) - sondern mehr drumm das bei einem normalen Einbruch (die solls schon auch noch geben) jemand das quasi nebenbei abgreift...
Für dein Szenario müsste er schon vorher ahnen oder wissen das überhaupt ne Verschlüsselung aktiv ist und wo das Keyfile liegt (eventuell kann man auch das ja noch etwas verschleiern) - nimmt er die Kiste aber erstmal einfach mit wird ers schwer haben...

wenn du eh schon einen VPN Tunnel zwischen den beiden Standorten hast, leg das Keyfile auf einen erreichbaren Netzwerkshare im anderen Standort.

So kann der Dieb nur innerhalb deines VPN Netzwerkes an das Keyfile kommen...

wenn du eh schon einen VPN Tunnel zwischen den beiden Standorten hast, leg das Keyfile auf einen erreichbaren Netzwerkshare im anderen Standort.

So kann der Dieb nur innerhalb deines VPN Netzwerkes an das Keyfile kommen...
jupp... daher ja mittlerweile meine Idee es auf nen USB Stick (oder direkt den Speicher) der andren Fritzbox zu legen...

Na, siehste. Den WAF hättest du früher erwähnen sollen, dann hätte ich es schon eher verstanden. ;)

Ich würde das File direkt auf den Speicher der Fritzbox ablegen – ist einfach robuster, da USB-Sticks auch unbeabsichtigt entfernt werden können.

Na, siehste. Den WAF hättest du früher erwähnen sollen, dann hätte ich es schon eher verstanden. ;)

Ich würde das File direkt auf den Speicher der Fritzbox ablegen – ist einfach robuster, da USB-Sticks auch unbeabsichtigt entfernt werden können.

GrummelWollteHaltNichtAlsPantoffelHeldDastehenGrummel...

Dann bleibt nur noch die Frage ob jemand eine Idee hat wie ich den Speicherort des Keyfiles noch etwas verschleieren könnte...

Ich habe hier ein vergleichbares Setup mit Linux/cryptsetup laufen. Die Keyfiles befinden sich auf dem Router im tmpfs. Falls ein Rechner im lokalen Netzwerk gestartet wird versucht er erst die Keys vom Router zu beziehen. Falls das fehlschlägt kann man auch manuell mit Passphrase arbeiten.

Ist natürlich alles nur lokal.

Ich brauche eigentlich nicht das ganze System verschlüsseln, wenn die sensiblen Daten eh nur auf einer Partition liegen...


Zu Komplettverschlüsselung wird vor allem deswegen geraten, weil damit auch vom Betriebssystem angelegte temporäre Dateikopien auf der Systempartition erfasst werden.

Zu Komplettverschlüsselung wird vor allem deswegen geraten, weil damit auch vom Betriebssystem angelegte temporäre Dateikopien auf der Systempartition erfasst werden.
Wie gesagt - ich benötige keinen Schutz vor jemandem der da forensisch rann geht... das setzt ein höheres Intresse an den Daten vorraus als ich bei einem normalen Einbruch vermute...

So. Das Volume ist verschlüsselt und liegt auf der fernen Frotzbox.

Nun habe ich das Problem dass Truecrypt es nicht automatisch mounten will... Nach einem Reboot will er immer das Passwort wissen (das es nicht gibt). Ich muss nur ok klicken ohne was einzugeben - aber trotzdem habe ich damit nicht das automount das mir vorschwebt.
Das Keyfile habe ich als default Keyfile hinterlegt.

Diese Möglichkeit würde mixch auch interessieren.
Aber schade, dass es doch nicht geht...

Hat du es mal mit VeraCrypt probiert?

Ich habe hier ein vergleichbares Setup mit Linux/cryptsetup laufen. Die Keyfiles befinden sich auf dem Router im tmpfs. Falls ein Rechner im lokalen Netzwerk gestartet wird versucht er erst die Keys vom Router zu beziehen. Falls das fehlschlägt kann man auch manuell mit Passphrase arbeiten.

Ist natürlich alles nur lokal.
Es würde auch aus der Ferne gehen, aber halt nicht so komfortabel.
Dazu könntest du von überall auf der Welt deinen Key auf den Router hochladen.
Er würde dann lokal zur Verfügung stehen.

Ich stelle mich folgendes ziemlich geil vor.
Man ist en einem entfernten Rechner, öffnet eine Konsole zum Router/Rasberry etc., dann steckt man eine Smartcard, einen USB-Stick rein. Der Key wird automatisch hochgeladen und man kann den anderen Rechner booten.

Statt der Smartcard/USB-Stick einen entfernten Rechner über einen implantierten RFID-Chip in der Hand zu entsperren wäre mein Favorit. :freak: Wenn das jemand hinbekommt, muss ich das wissen... ;D

In Schweden gibts eine Firma, deren Mitarbeiter sich freiwillig "chippen" lassen können.

Über Kommandozeile hab ichs hinbekommen. Nun habe ich einfach einen entsprechenden Task eingeplant...

Diese Möglichkeit würde mixch auch interessieren.
Aber schade, dass es doch nicht geht...

Hat du es mal mit VeraCrypt probiert?

Also wenn es dich interessiert - es geht wie beschrieben über Kommandozeile...

Schritt 1: Kleine Batch oder CMD schreiben und auf Platte ablegen die das Volumen mit Keyfile mounted...
In der Batch steht dann in etwa:
TrueCrypt.exe /a favorites /k <KEYFILE> /p "" /s /l <DRIVELETTER>
Das setzt vorraus, dass du das Laufwerk in Truecrypt als (einziges) Favorite gesetzt hast.

Schritt 2: Diese Batch dann beim Windows-Start oder User-Login ausführen. (Mittels Windows Aufgabenplaner (Task-Planer).

Ja, aber wo soll sich TC das Keyfile ziehen?

Ja, aber wo soll sich TC das Keyfile ziehen?
Da gibt es viele Möglichkeiten:
Bei mir liegt es auf dem Share der Fritzbox2 an meinem Zweitwohnsitz... (Fritzboxen können Daten freigeben und haben je nach Modell auch internen Speicher - das ist zwar nicht viel - für ein Keyfile reicht es aber). Die Fritzbox1 baut ein VPN zu Fritzbox 2 auf - meine Geräte an beinden Wohnsitzen können sich also immer "unterhalten"...
Du kannst es aber auch irgendwo im Netz ablegen... Wichtig ist dann halt, dass du es im Fall der Fälle weglöschen kannst...
Bei meinem Setup muss ich nur aktiv werden wenn jemand nicht nur den Rechner sondern auch die Fritzbox1 einpackt...

Wie gesagt... Bei mir ist das Szenario vor dem ich mich schützen wollte: Rechner bekommt Beine... Sobald er nun ausser Haus ist, kommt niemand mehr an die Daten... Das klappt aber nur wenn du keine Vollverschlüsselung (spricht inklusive Systempartition) machen willst... Sollte jemand auch die Fritzbox1 einpacken, dann könnte diese rein theoretisch das VPN aufbauen und auch der Rechner käme uU wieder an das Keyfile -> das müsste ich dann halt bis dahin löschen...

Ich würde auch eine Vollverschlüsselung aller Partitionen bevorzugen.
Das Schlüsselwort lautet "KVM IP-Switch" bzw. BMC und IMPI... :wink:
Wobei ich immer eine externe Lösung statt einer integrierten (eingebaute Karte) bevorzugen würde.
Die externe Lösung kannst du bei bedarf noch extra absichern (werde ich hier nicht näher erläutern)

Damit kannst du auch vom anderen Ende der Welt ein Passwort und ggf. ein Keyfile für das vollverschlüsselte System angeben.

Mit dem richtigen IP-Switch könntest die auch auf BIOS/UEFI-Ebene herumfummeln bzw. das System von Grund auf neuinstallieren - vom anderem Ende der Welt wohlbemerkt :freak:


Btw:
Das mit der "Unterhaltung" der beiden Fritzen müsstest du mir genauer erklären

Wie funktioniert das genau mit den Fritzboxen?
Ich kann zwar ein Keyfile auf der Box ablegen, aber TC kann sich das File nicht ziehen, da es beim internen Speicher (7390) keinen Laufwerksbuchstabe gibt.

Mach ich es per USB-Stick, könnte der abgezogen werden.
Zudem steht der Laufwerksbuchstabe des USB-Sticks erst dann zur Verfügung, wenn ich den Button im Programm "FRITZ!Box USB-Fernanschluss" anklicke.

Also alles andere als automatisch!!! :confused: