Allg. TrueCrypt Systemverschlüsselung - 2. Partition einbinden?
- Ersteller Chris_Bear
- Erstellt am
Chris_Bear
Admiral Special
Hi,
Über Google lässt sich zu dem Thema leider nix finden (oder mir fehlen einfach die richtigen Stichworte).
Ist es möglich bei der TrueCrypt-Verschlüsselung der Boot-Partition auch eine 2. Partition mit einzubinden?
Hintergrund ist folgender:
Ich habe im Moment auf meinem Lappi Windows XP und Fedora 9 parallel installiert. Da ich das Ding oft dabei hab und sich auch einige vertrauliche Daten ehemaliger Kunden darauf befinden will ich das Ding möglichst komplett verschlüsseln. Unter Linux ja kein Problem, bei Windows kann ich mittels TrueCrypt die System-Partition verschlüsseln. Eine komplette Festplatten-Verschlüsselung mit TrueCrypt wird leider nix, da ich dann keine Möglichkeit mehr hätte einen Linux-Bootloader einzubinden.
Was mach ich nun aber mit meiner Daten-Partition?
Ich weiß ich könnte die einfach normal verschlüsseln und beim Windows-Login automatisch TrueCrypt starten, welches mich nach einem Passwort fragt. Leider liegen auf der Partition auch Dinge wie Apache + MySQL + Subversion, welche im Windows als Dienst gestartet werden. Die Partition muss also entschlüsselt werden bevor Windows versucht darauf zuzugreifen.
Theoretisch sollte es ja möglich sein diese Partition im TrueCrypt-Bootloader mit einzutragen, so dass bei Eingabe des Passworts sowohl die Windows-Boot-Partition als auch meine Datenpartition entschlüsselt werden. Nur: Wie mach ich das?
Oder hat jemand noch eine bessere Idee wie ich an die Sache herangehen sollte?
Gruß, Chris
Über Google lässt sich zu dem Thema leider nix finden (oder mir fehlen einfach die richtigen Stichworte).
Ist es möglich bei der TrueCrypt-Verschlüsselung der Boot-Partition auch eine 2. Partition mit einzubinden?
Hintergrund ist folgender:
Ich habe im Moment auf meinem Lappi Windows XP und Fedora 9 parallel installiert. Da ich das Ding oft dabei hab und sich auch einige vertrauliche Daten ehemaliger Kunden darauf befinden will ich das Ding möglichst komplett verschlüsseln. Unter Linux ja kein Problem, bei Windows kann ich mittels TrueCrypt die System-Partition verschlüsseln. Eine komplette Festplatten-Verschlüsselung mit TrueCrypt wird leider nix, da ich dann keine Möglichkeit mehr hätte einen Linux-Bootloader einzubinden.
Was mach ich nun aber mit meiner Daten-Partition?
Ich weiß ich könnte die einfach normal verschlüsseln und beim Windows-Login automatisch TrueCrypt starten, welches mich nach einem Passwort fragt. Leider liegen auf der Partition auch Dinge wie Apache + MySQL + Subversion, welche im Windows als Dienst gestartet werden. Die Partition muss also entschlüsselt werden bevor Windows versucht darauf zuzugreifen.
Theoretisch sollte es ja möglich sein diese Partition im TrueCrypt-Bootloader mit einzutragen, so dass bei Eingabe des Passworts sowohl die Windows-Boot-Partition als auch meine Datenpartition entschlüsselt werden. Nur: Wie mach ich das?
Oder hat jemand noch eine bessere Idee wie ich an die Sache herangehen sollte?
Gruß, Chris
Cherry
Grand Admiral Special
Einfachste Möglichkeit: die Dienste nicht automatisch starten lassen, sondern erst nach dem Mounten der Truecrypt-Volumes. Geht prima per (batch)-script.
Ich mach so etwas ähnliches, weil ich Windows-Shares freigeben will, die auf verschlüsselten Volumes liegen -> Freigabe klappt nicht, weil die Volumes erst gemountet werden, nachdem der Freigabedienst schon gestartet ist.
Lösung: dieses Script:
------------------------------------------------------
@echo off
Echo Mounting Devices
C:\Programme\TrueCrypt\TrueCrypt.exe /v \Device\Harddisk1\Partition2 /ld /p *yourpassword* /q
C:\Programme\TrueCrypt\TrueCrypt.exe /v \Device\Harddisk2\Partition0 /le /p *yourpassword* /q
Echo Restarting LanManServ
net stop lanmanserver
net start lanmanserver
------------------------------------------------------
Du müßtest dann halt nicht den LanManserver starten, sondern eben apache, subversion...
Klar, damit hat man das "Problem", daß die Paßwörter im Klartext auf der Platte liegen, aber diese ist ja an sich eh auch verschlüsselt. Und ob die Paßwörter nun da lesbar sind oder nicht, macht keinen Unterschied, wenn die Volumes sowieso sichtbar sind, sobald das OS geladen ist. Solange jemand den Key für meine Systemplatte nicht kennt, kommt er in das System nicht rein. Das reicht mir.
Cherry
Ich mach so etwas ähnliches, weil ich Windows-Shares freigeben will, die auf verschlüsselten Volumes liegen -> Freigabe klappt nicht, weil die Volumes erst gemountet werden, nachdem der Freigabedienst schon gestartet ist.
Lösung: dieses Script:
------------------------------------------------------
@echo off
Echo Mounting Devices
C:\Programme\TrueCrypt\TrueCrypt.exe /v \Device\Harddisk1\Partition2 /ld /p *yourpassword* /q
C:\Programme\TrueCrypt\TrueCrypt.exe /v \Device\Harddisk2\Partition0 /le /p *yourpassword* /q
Echo Restarting LanManServ
net stop lanmanserver
net start lanmanserver
------------------------------------------------------
Du müßtest dann halt nicht den LanManserver starten, sondern eben apache, subversion...
Klar, damit hat man das "Problem", daß die Paßwörter im Klartext auf der Platte liegen, aber diese ist ja an sich eh auch verschlüsselt. Und ob die Paßwörter nun da lesbar sind oder nicht, macht keinen Unterschied, wenn die Volumes sowieso sichtbar sind, sobald das OS geladen ist. Solange jemand den Key für meine Systemplatte nicht kennt, kommt er in das System nicht rein. Das reicht mir.
Cherry
Chris_Bear
Admiral Special
Das Problem betrifft aber auch den Ruhezustand, den ich zu 99% nutze (Windows wird nur für Updates oder um Linux zu nutzen neu gestartet). Und da müsste ich dann jedes Mal dran denken dass ich die entsprechenden Dienste beende bevor ich Windows in den Ruhezustand schicke (was ein einfacher Druck auf den Power-Knopf ist). Das geht früher oder später garantiert schief...
Edit: Dein Skript bringt mich auf eine Idee ... Ich könnte mir ein ähnliches Skript schreiben und das als Dienst starten. Dann mach ich Apache, MySQL und Subversion von diesem Dienst abhängig, so dass diese auf jeden Fall erst gestartet werden wenn die Platte entschlüsselt ist. Hat so etwas schon mal jemand versucht?
Edit: Dein Skript bringt mich auf eine Idee ... Ich könnte mir ein ähnliches Skript schreiben und das als Dienst starten. Dann mach ich Apache, MySQL und Subversion von diesem Dienst abhängig, so dass diese auf jeden Fall erst gestartet werden wenn die Platte entschlüsselt ist. Hat so etwas schon mal jemand versucht?
Zuletzt bearbeitet:
\²³/
Grand Admiral Special
- Mitglied seit
- 12.10.2003
- Beiträge
- 2.249
- Renomée
- 25
Ich habe ein ähnliches Problem. Ich habe auf meiner Festplatte zwei Partitionen. Die Systempartition habe ich mit TrueCrypt verschlüsselt und ich werde im Bootloader nach dem Passwort gefragt. So weit ist alles in Ordnung.
Die Datenpartition habe ich auch mit True Crypt verschlüsselt. Sie muss ich jedes mal beim Hochfahren mounten. Wenn ich jetzt zum Beispiel aus dem Ruhezustand zurückkehre, meckert mein Mp3-Player und die Dropbox, dass sie keine Daten finden können. Das liegt daran, dass die Partition eben erst nach der Anmeldung gemountet wird und nicht schon davor.
Ich möchte es jetzt so einstellen, dass beide Partitionen in einem Rutsch im Bootloader gemountet werden. Für beide habe ich das gleiche Passwort vergeben. Geht das?
Die Datenpartition habe ich auch mit True Crypt verschlüsselt. Sie muss ich jedes mal beim Hochfahren mounten. Wenn ich jetzt zum Beispiel aus dem Ruhezustand zurückkehre, meckert mein Mp3-Player und die Dropbox, dass sie keine Daten finden können. Das liegt daran, dass die Partition eben erst nach der Anmeldung gemountet wird und nicht schon davor.
Ich möchte es jetzt so einstellen, dass beide Partitionen in einem Rutsch im Bootloader gemountet werden. Für beide habe ich das gleiche Passwort vergeben. Geht das?
Chris_Bear
Admiral Special
Seit TrueCrypt 7.0 (?) gibt's zusätzlich zu den "Favourite Volumes" (die nach dem Benutzerlogin gemounted werden) noch die "System Favourites". Diese werden automatisch beim Booten gemounted. Auf diese Weise hab ich meine 2. Partition eingebunden und hatte seitdem nie wieder Probleme mit Standby, Ruhezustand, etc.
Beachte aber dass beide Volumes identische Passwörter haben müssen (im US-Tastatur-Layout wegen dem Boot-Passwort), und die Checkbox "Cache Pre-Boot authentication password in driver memory" in den Optionen aktiviert ist.
Gruß,
Chris
Beachte aber dass beide Volumes identische Passwörter haben müssen (im US-Tastatur-Layout wegen dem Boot-Passwort), und die Checkbox "Cache Pre-Boot authentication password in driver memory" in den Optionen aktiviert ist.
Gruß,
Chris
\²³/
Grand Admiral Special
- Mitglied seit
- 12.10.2003
- Beiträge
- 2.249
- Renomée
- 25
Danke, Chris. Leider funktioniert es nicht. Vielleicht bin ich zu blöd richtig zu lesen.
Ich habe dem Systemvolume (Typ System) und meinem Datenvolume (Typ Normal) die gleichen Kennwörter zugewiesen.
Ich habe das Datenvolume den Systemfavoriten hinzugefügt.
Ich habe den Passwort-Cache für den Treiber aktiviert.
Nach dem Neustart ist nach wie vor nur das Systemvolume eingebunden. Hab ich noch eine Einstellung vergessen?
Ich habe dem Systemvolume (Typ System) und meinem Datenvolume (Typ Normal) die gleichen Kennwörter zugewiesen.
Ich habe das Datenvolume den Systemfavoriten hinzugefügt.
Ich habe den Passwort-Cache für den Treiber aktiviert.
Nach dem Neustart ist nach wie vor nur das Systemvolume eingebunden. Hab ich noch eine Einstellung vergessen?
Chris_Bear
Admiral Special
Bei mir sehen die Settings identisch aus. Das Einzige was mir noch einfällt ist dass das Passwort vielleicht mit unterschiedlichen Tastatur-Layouts eingegeben wurde (TrueCrypt wechselt bei mir automatisch zum US-Layout wenn ich das Passwort für's Systemvolume eingebe).
Gruß,
Chris
Gruß,
Chris
Ähnliche Themen
