Frage von sotnu, 64

Fragen zu TrueCrypt und VeraCrypt?

Also ich bin gerade am entscheiden, welches ich davon nehmen soll.

Angeblich soll Truecrypt Sicherheitslücken haben, die bei Veracrypt zum Teil (oder vlt. auch ganz) gefixt wurden. Ob das stimmt, weiss ich natürlich nicht.

Also meine Frage wäre, welches ihr nehmen würdet (wenn ihr die Platte verschlüsseln wollt). Bitte nicht sagen, dass man nie zu 100% sicher ist.

Dann hätte ich noch Fragen zu den Programmen an sich.

  1. Wenn ich einen USB-Stick davon verschlüsseln lasse, kann ich ihn dann an einem anderen Rechner nicht mehr nutzen, selbst wenn ich das Passwort habe ? Also muss dafür Truecrypt/VeraCrypt installiert sein, oder wie funktioniert das ?

  2. Wenn ich aus irgend einem Grund von aussen darauf zugreifen will, kann ich dass dann (ich habe ja das Passwort) ? Also gemeint ist z.B mit einem (einer) anderem (anderen) System/Rechner (Partition) auf dem (der) z.B ein Ubutnu installiert ist.

    Ich würde nämlich schon gerne darauf zugreifen können (mit Passwort natürlich), falls mal das System abkratzt und ich Daten retten möchte.

  3. Habe da was über die Verschlüsselungsart (oder wie man dem sagt) gelesen. Also AES,Twofish und Serpent.

AES soll ja am schnellsten sein, Twofish und Serpent sollen ein bisschen lahmer sein. Heisst das jetzt auch, dass die lahmsten am sichersten sind, oder sind die vlt. einfach schlechter programmiert ?

Und welche "Verschlüsselungsart" würdet ihr nehmen von den 3-en.

Danke schonmal für die Antworten.

Antwort
von FaronWeissAlles, 40

Wenn ich einen USB-Stick davon verschlüsseln lasse, kann ich ihn dann an
einem anderen Rechner nicht mehr nutzen, selbst wenn ich das Passwort
habe ? Also muss dafür Truecrypt/VeraCrypt installiert sein, oder wie
funktioniert das ?

Ja, du brauchst das Programm. Entweder installiert oder als portable Version.

Wenn ich aus irgend einem Grund von aussen darauf zugreifen
will, kann ich dass dann (ich habe ja das Passwort) ? Also gemeint ist
z.B mit einem (einer) anderem (anderen) System/Rechner (Partition) auf
dem (der) z.B ein Ubutnu installiert ist.Ich würde nämlich schon
gerne darauf zugreifen können (mit Passwort natürlich), falls mal das
System abkratzt und ich Daten retten möchte.

Es gelten die selben Regeln wie sonst auch: mache regelmäßig Sicherungen  und sorge ggf. für Redundanz (Raid) um Datenverlust vorzubeugen. Das ist unabhängig davon ob du verschlüsselst oder nicht.

    Habe da was über die Verschlüsselungsart (oder wie man dem sagt) gelesen. Also AES,Twofish und Serpent. AES soll ja am schnellsten sein, Twofish und Serpent sollen ein bisschen lahmer sein. Heisst das jetzt auch, dass die lahmsten am sichersten sind, oder sind die vlt. einfach schlechter programmiert ?

Rijndael ist der weltweite Standard ("AES") und bisher ungeknackt. Bei richtiger Implementierung (ohne kritischen Fehler im Code), gutem Passwort und Umgebung (sauberer Rechner unter deiner Kontrolle) muss man sich also keine Sorgen machen. Die Geschwindigkeit wird durch Anzahl der Runden, sowie Anzahl und Komplexität der Operationen pro Runde definiert. Rijndael ist verglichen mit anderen Algorithmen einfacher designed, was Komplexität reduziert und Kryptoanalysen vereinfacht. Moderne Prozessoren haben AES-Instruktionen. Das ist Hardwarebeschleunigung für die Verschlüsselung und der Grund warum AES deutlich schneller ist als andere Algorithmen. Ohne die Beschleunigung ist AES nur minimal schneller als z.B. Twofish. Wenn du mal den TrueCrypt Benchmark auf dem i5-760 laufen lässt kannst du das sehen, der hat die noch nicht.

Und welche "Verschlüsselungsart" würdet ihr nehmen von den 3-en.

AES. Wenn du paranoid bist nimm eine Kombination, z.B. AES-Twofish. Dass jetzt noch kritische Fehler im Design von Rijndael gefunden werden halte ich aber für sehr unwahrscheinlich.

Zum Thema TrueCrypt vs. VeraCrypt im allgemeinen:

Wenn, dann würde ich (noch) TrueCrypt nehmen. TC hat einen erfolgreichen Audit hinter sich und wird viel beachtet. Solange da nix gravierendes gefunden wird ist es die beste Option. Das Problem an VeraCrypt: hier wurden logischerweise Änderungen am originalen TC-Code durchgeführt um Lücken zu stopfen oder Features hinzuzufügen. Jede Änderung kann aber unbeabsichtigt (oder absichtlich) neue Lücken hinzufügen. Bei TC 7.1a hat man dank dem Audit einen relativ verlässlichen Eindruck der Sicherheit, bei anderen Versionen und Programmen kann man nur raten.

Was die Sicherheitslücken von TrueCrypt angeht:

Vor kurzem wurde eine kritische Lücke in der Windows-Version von TC 7.1a gefunden. Die kann ein Angreifer aber nur ausnutzen wenn er Kontrolle über den Zielrechner hat (z.B. mittels Trojaner) und die Datei gerade geöffnet ist. Die Verschlüsselung an sich oder gar der Algorithmus ist also weiterhin sicher.

Und falls es dich interessiert:

Die Festplatten in meinem NAS (auf die mein Rechner seine Dateien täglich spiegelt) sind TrueCrypt verschlüsselt. Und meine Backup-Festplatten die im Schrank liegen, alle paar Wochen angeschlossen und auf den neusten Stand gebracht werden sind ebenfalls mit TrueCrypt verschlüsselt. Zwar "nur" mit AES, aber bombensicherem Passwort und Schlüsseldatei.

Kommentar von sotnu ,

Danke für deine Antwort. Wirklich sehr ausfürhlich, wie immer spitze!

Und gut, dann nehme ich TrueCrypt 7.1a mit AES, hört sich gut an :) Und ich habe ja eh den i5-760. Paranoid bin ich noch nicht ;)

Ich habe aber noch ein paar Rückfragen:

- Zum USB-Stick: Also die Portable Version kann man dann auf den USB-Stick laden oder muss ich sie auf dem fremden PC Installieren ? Bei gewissen Rechnern kann ich nicht einfach mal schnell Programme installieren.

- Stimmt, sichern ist immer wichtig, mache ich auch immer (zwar nicht mit einem Raid).

Aber falls es doch passiert, kann ich die Platte nie mehr gebrauchen, oder kann ich sie wenigstens löschen/formatieren und neu aufsetzten ?

- Was ist eine Schlüsseldatei ? Du sagst du sicherst mit einem guten Passwort und Schlüsseldatei.

- Wie viele Festplatten hast du denn in deinem Raid und warum hast du einen Raid, wenn du Backub-Festplatten hast ?

Kommentar von FaronWeissAlles ,

Portable bedeutet du hast einfach einen Ordner mit den TrueCrypt Programmdateien und kannst sie ohne Installation starten. Du brauchst nur die Berechtigung Dateien ausführen zu dürfen (was du ja normalerweise hast).

Stell dir die Schlüsseldatei wie ein gespeichertes Passwort vor. TrueCrypt müsste den Hashwert der Datei als Passwort benutzen, d.h. du kannst jede beliebige Datei als Schlüsseldatei benutzen oder eine generieren lassen. Entscheidend ist nur dass sich absolut nichts an der Datei ändert.

Ich habe ein Raid1 mit 2 6TB NAS Platten. Meine Backup-Platten sind meine alte 1TB, sowie 2 500GB. Mit dem Raid1 kann ich ruhiger schlafen, bei meinem letzten Ausfall hab ich mehr Daten verloren als mir lieb war weil die Backups nicht aktuell genug waren. Zumal meine Backup-Platten eigentlich nicht groß genug sind für alle Daten. Da liegt nur das Wichtigste drauf

TrueCrypt verschlüsselte Festplatten haben einfach eine Partition die die verschlüsselten Daten enthalten. Wird in der Datenträgerverwaltung als RAW-Partition angezeigt und lässt sich wie jede andere Partition ganz normal löschen

Kommentar von sotnu ,

Ach so, dann geht das ja gut per USB-Stick. Und das löschen ist auch gut. Falls ich doch aus irgend einem Grund nicht darauf zugreifen könnte, kann ich die Festplatte doch noch brauchen.

Aber das mit der Schlüsseldatei finde ich komisch. Warum ein Passwort im PC speichern ? Man schreibt ja auch nicht das Passwort hinten auf sein Handy. Ich nehme glaub nur ein Passwort :)

Und was sind NAS Platten ? Sind das normale Festplatten oder was ist an denen so speziell ? Sind die besser als ein Raid mit 2 "normalen" Festplatten ?

Wenn ich jetzt die ganze Fesplatte mit Truecrypt verschlüsselt habe und aus irgend einem Grund ein Programm runter lade, das verseucht ist (Viren ect.), dann sollte doch eigentlich nichts passieren, weil es sollte doch ein Passwort benötigt werden, um irgend etwas zu verändern, oder nicht ? Oder kann dadurch trotzdem etwas, dass verschlüsselt ist (es wäre ja alles verschlüsselt) infiziert werden ?

Sorry, dass ich jetzt nochmals was frage, aber das habe ich noch vergessen zu fragen.

Kommentar von FaronWeissAlles ,

Wer kann sich ein super-kryptisches Passwort merken? Nichts anderes ist eine Schlüsseldatei. Beides in Kombination (das was ich mir merke und das gespeicherte) verbessert die Qualität des tatsächlich verwendeten Schlüssels, bei gleichbleibendem Merk-Aufwand.

Das sind Festplatten die auf diesen Anwendungszweck optimiert sind (etwas langsamer, weniger Vibrationen, geringer Stromverbrauch, geeignet für Dauerbetrieb). Ich benutze welche der WD Red Serie, sehr empfehlenswert. Die sind dann besser wenn du ein NAS hast. Ob du Raid damit machst spielt jetzt nicht so eine Rolle, das kannst du genauso gut mit normalen Desktop-Platten.

Hast du TC denn überhaupt schonmal benutzt? Ungeöffnet kann dir keine Schadware was manipulieren (ist nicht zugreifbar und verschlüsselt), geöffnet ist eine virtuelle Partition eingehängt in der sich deine Dateien befinden und die können dann von jedem Programm genutzt und geändert werden, also auch von Schadware

Kommentar von sotnu ,

Sorry für die späte Antwort, ich hatte gerade viel zu tun in der Schule, in der ich jetzt seit neuestem bin.

Ach so ok. Ich würde wahrscheinlich trotzdem "nur" ein Passwort nutzen, ich nutzte dann mind. ein 30-stelliges passwort. Der Rest ist mir zu blöd. Was wenn diese Schlüsseldatei irgendwie beschädigt wird,dann habe ich Pech.

Ach so, wahrscheinlich kommt es auch billiger, wenn man mehrere so grosse Festplatten hat (als wenn man alles WD Black  Platten hat). Aber ich muss mal nachlesen, was der Unterschied zwischen einem NAS und einem Raid (der die Sicherheit erhöht) ist.

Nein, ich habe es noch nie benutzt, deshalb all diese Fragen. Aber wenn ich einstelle, dass jede Datei von TrueCrypt verschlüsselt wird (also die ganze Platte), dann sollte doch eine Schadware (angenommen, man führt sie aus) auch kein Schaden anrichten können, da das Passwort ja nicht bekannt ist (ausser es ist ein Key-Logger). Oder geht meine Überlegung so nicht ?

Kommentar von FaronWeissAlles ,

Was wenn diese Schlüsseldatei irgendwie beschädigt wird,dann habe ich Pech.

Meine Datei hab ich von TrueCrypt generieren lassen, mit einem Hex-Editor geöffnet und mir die Bytes auf einen Zettel notiert. Sollte genau das passieren kann ich sie jederzeit manuell wiederherstellen indem ich die Daten eintippe. Aber klar, du kannst auch nur ein gutes, langes Passwort benutzen.

Wie gesagt, solange das TrueCrypt-Laufwerk nicht geöffnet ist sind deine Dateien sicher, ist es geöffnet hat theoretisch jedes Programm Zugriff auf die Dateien (so als wären deine Dateien auf einem USB-Stick der eingesteckt oder nicht eingesteckt ist)

Die billigste Variante ist dir ein paar WD Red 3TB Platten zu besorgen. Die haben aktuell den besten Preis/GB. Vor allem wenn du vorhast ein NAS damit zu bestücken. Die sind leise, energiesparend, NAS-optimiert, günstig und verlässlich.

Kommentar von sotnu ,

Ach so, na dann geht es ja. Ich schreibe mir das nämlich auch auf. Dann nehme ich ein super starkes Passwort plus das mit der Datei :)

Kann ich dich dann fragen, falls ich nicht herausfinde, wo dieser Schlüssel aufzufinden ist ? Zuerst öffne ich das dann aber mal mit einem Hex-Editor, vlt. sehe ich es dann sofort, dann spare ich mir und dir Zeit.

Und das wusste ich nicht. Wenn ich meine Systemplatte (also die aktive bzw. gemountete) mit TrueCrypt verschlüsseln lasse, dann ist die also garnicht verschlüsselt, wärend dem ich sie benutzte ^^ Das ist ja dann kontraproduktiv. Kann ich das nicht irgendwie verhindern? Ich dachte Truecrypt soll so mega super schwer zum knacken sein.

 (ich meine jetzt nicht, die "fang dir kein Virus ein"-Taktik oder die "nutze ein Antivirus"-Taktik :-))

Kommentar von FaronWeissAlles ,

Und das wusste ich nicht. Wenn ich meine Systemplatte (also die aktive bzw. gemountete) mit TrueCrypt verschlüsseln lasse, dann ist die also garnicht verschlüsselt, wärend dem ich sie benutzte ^^ Das ist ja dann kontraproduktiv. Kann ich das nicht irgendwie verhindern? Ich dachte Truecrypt soll so mega super schwer zum knacken sein.

Das kannst du nicht verhindern. Es ist völlig egal wie unknackbar ein Banktresor ist wenn die Tür ständig offen steht und jeder reinspazieren kann. TrueCrypt's Verschlüsselung der Systemplatte ist dazu gedacht dass niemand einfach so unbemerkt den Rechner hochfahren kann um an die Daten zu kommen, sei es im installierten  Windows oder einer Linux Live CD. Hast du ihn aber angelassen hilft dir die Systemverschlüsselung nichts. Dann musst du die Dokumente und co. noch mal separat Verschlüsseln und dessen Container nur bei Bedarf öffnen. Gleiches gilt für jedes andere Verschlüsselungsprogramm. Und als Virenschutz ist das ganze natürlich auch nicht konzipiert

Kommentar von sotnu ,

Hm ok, also selbst wenn ich noch alle Dokumente und co. zusätzlich verschlüssele, habe ich kein Sicherheitsvorteil gegenüber Viren und co. ?

Antwort
von LittleArrow, 36

Hier ein Link zur Diskussion über beide Programme:

http://www.chip.de/news/TrueCrypt-nach-dem-Ende-So-nutzen-Sie-es-sicher_70049725...

Kommentar von sotnu ,

Danke, ich werde sie mir mal durchlesen.

Keine passende Antwort gefunden?

Fragen Sie die Community

Weitere Fragen mit Antworten