Truecrypt und 2011

[Zak]

Danke @Atomieno für das Mitteilen deiner Versuchergebnisse. Hast du in der Zwischenzeit noch etwas neues heraus bekommen? Denn ich mag mir auch den WHS 2011 holen und dann die Datenfestplatte mit Truecrapt verschlüsseln.

[derjackistweg.de]

Den Schlüssel wird entweder in einem TPM chip gespeichert wenn dein motherboard einen hat, oder auf USB Stick.

TPM ist m.E. keine gute Wahl - den nimmt der Dieb ja auch mit. Einen USB Stick kann ich an einem langen Kabel wenigstens in die Wand einmauern..
Gruß Joachim

Naja mit einem USB Stick ist der key nicht geschützt gegen Softwareattacken (sind die heufigsten).
Das beste ist TPM+USB Stick.
Oder TPM+USB+PIN-Code geht aber schlecht mit WHS

Was die Performanceverschlechterung angeht, die scheinen relativ gering zu sein, ~33% mit einem schwachen Atom N260 (Mobile Atom 1 Core):
http://www.ghacks.net/2009/11/26/bitloc ... rformance/



Mmh das interesiert mich jetzt für meine externe Backup Festplatten. Werd mal auf meiner VM testen.[/quote]

Tag zusammen,

die Fähigkeiten von True Crypt sind sicher deutlich höher an zu siedeln, wie LW komplett verstecken, oder nur Ordner verschlüsseln etc. während Bitlocker nur komplette LW verschlüsseln kann.
Netter Artikel dazu hier:
http://www.tomshardware.de/verschlussel ... 514-2.html

Bezüglich Performanceverlust: 33% weniger Leistung als geringfügig zu bezeichnen ist töricht! Der Unterschied ist enorm. Wenn AES Verschlüsselung vorgenommen werden soll, dann sollte man zu einen i5 oder höher greifen. Die unterstützen Hardwareacceleration. Dies wiederum wird in True Crypt ab 7 unterstützt und macht einen Unterschied- zur gleichen CPU ohne Beschleuningung- von ca. 800% aus Es gibt verschiedene Tests dazu.

PS: i5 mit AES sind allerdings teuer.

[soa]

Für ordner zu verschlüsslen gibt es standartmässig EFS auf Windows (in den Eigentschaften des Ordners).

33% weniger Leistung ist sehr sehr gering..... da es sich um einem Atom N260, Mobil Variante 1 Core handelt, der ist so schnell............... wie ein antiker Pentium III 1.13Ghz

[larry]

Die 33% können auch nicht als Maßstab genommen werden.
Wenn man dem Link folgt, sieht man, dass die Datenrate ohne Verschlüsselung gerade einmal bei 15 MB/ Sek liegt. Nutzt man im Server eine aktuelle 3,5 Platte, dann kommen auch schon mal Transferraten von über 100 MB/Sek zustande. Wenn dann auch nur die 10 MB/Sekunde übrig bleiben, dann ist das schon etwas übel.

Gruß
Larry

[soa]

So hab jetzt kurz mit einem alten SSD gestestet und Intel E7200.

Ohne Verschlüsselung schwangt die CPU Belastung zwichen: 18-30%
Mit Verschlüsselung schwangt es zwichen: 30-70%


Ohne Verschlüsselung:


Mit Verschlüsselung:



Ich finde die CPU Belastung akzeptabel. Wenn man mit Daten mit 80MB/s rumspielt macht man selten etwas anders auf dem PC.
AES-NI est natürlich gut, aber muss nicht sein mit Bitlocker/Truecrypt. Zumals dass Intel Dummerweise der AES-NI nur auf teuere=Leistungsstarke CPU implementiert, was eigentlich total blöd ist für den Endverbraucher, eigentlcih würden mehr die Leistungsschwache CPU davon profitieren. Marketing....

So jetzt zum Bitlocker - Trucrypt, jeder soll den benutzen den er will. Persönlich benutze ich lieber Tools die direkt im OS integriert sind, damit spart man ärger.

[Kaba]

Ich wollte nun auch mal Bitlocker probieren ... aber trotz "Suche" nichts gefunden.
Muss ich das installieren oder wie aktiviere ich das ?? Unter "System und Sicherheit" habe ich nichts mit Bitlocker.

Hoffe, jemand hat da einen Tip für mich...

[soa]

Bitlocker Einstellungen sind dann im "Configuration Panel" verfügbar.

Um die Einstellungen des Verschlüsselungsalgorithmus zu ändern:
http://www.sevenforums.com/tutorials/46 ... ength.html

[Kaba]

Manchmal sieht man den Wald vor Bäumen nicht.

DANKE !

[Zak]

Funktioniert es mit Truecrypt eigentlich richtig? Denn Atomieno hatte ja geschrieben das bei Ihm das Laufwerk nicht richtig angezeigt wird.

[letho]

Die Laufwerke werden bei Truecrypt nocheinmal als seperate Laufwerke gemountet. der WHS erkennt die seperat gemounteten Laufwerke jedoch nicht. ich verschlüssele jetzt meinen WHS2011 per Bitlocker mit einem USB stick. Somit kann der WHS auch per LightsOut starten. Jedoch nur aus dem Ruhezustand. wird der Server in Standby versetzt, so wird keine weitere nachfrage beim nächsten starten durchgeführt. Wie das ganze mit dem hybriden Standbymodus funktioniert weiß ich nicht.

wenn ich am wochenende dann mal für längere zeit nicht da bin, dann nehme ich mir den USB stick mit und brauche keine Angst mehr zu haben, dass die Daten auf meinem WHS in falsche Hände geraten. Einen TPM habe ich nicht auf dem Mainboard. Darauf werde ich achten, wenn der nächste Hardwarewechsel ansteht. Dann wird es TPM + USB-Stick sein.

[soa]

Die Laufwerke werden bei Truecrypt nocheinmal als seperate Laufwerke gemountet. der WHS erkennt die seperat gemounteten Laufwerke jedoch nicht. ich verschlüssele jetzt meinen WHS2011 per Bitlocker mit einem USB stick. Somit kann der WHS auch per LightsOut starten. Jedoch nur aus dem Ruhezustand. wird der Server in Standby versetzt, so wird keine weitere nachfrage beim nächsten starten durchgeführt. Wie das ganze mit dem hybriden Standbymodus funktioniert weiß ich nicht.

wenn ich am wochenende dann mal für längere zeit nicht da bin, dann nehme ich mir den USB stick mit und brauche keine Angst mehr zu haben, dass die Daten auf meinem WHS in falsche Hände geraten. Einen TPM habe ich nicht auf dem Mainboard. Darauf werde ich achten, wenn der nächste Hardwarewechsel ansteht. Dann wird es TPM + USB-Stick sein.

TPM is nicht unbedingt nötig. Wenn mal bei dir ein Dieb zu Hause eindringt, der wird dir gleich den ganzen Compter mitnehmen, und nicht nür die Festplatten
Aber gegen Softwareattacken ist es natürlich besser als ein USB stick.

[letho]

Der nächste Hardwarewechsel steht bei mir ehe erst frühstens in 2-3 Jahren an, schließlich habe ich den jetztige WHS erst gerade zusammen gebaut.
Es gibt ja auch schon softwareattacken gegen den tpm. Dazu ist zwar der zugriff zum pc nötig, aber es ist durchausmöglich, dass so der startschlüssel kopiert werden kann, ohne dass der tpm irgendwie eingreifen kann.
Naja, im Moment warte ich noch darauf, dass meine erste 2TB Platte fertig verschlüsselt ist. ist erst bei 40% und das obwohl sie schon fast 20 Stunden verschlüsselt wird. Also, ich empfehle jedem, der seine Festplatten mit Bitlocker verschlüsseln will, dies mit leerer Festplatte und ohne aktivierte Serversicherung zu machen. Dann sollte es devinitiv schneller gehen.

[soa]

Ja also das mit dem Server backup muss man noch testen.
Ich frage mich ob WinPE von WHS 2011 auch geschlüsselte Partitionen wieder restaurieren kann.
http://msmvps.com/blogs/erikr/archive/2 ... winpe.aspx


Was mich am meistn ärgert ist dass man keine Software (bitlocker, truecrypt) Verschlüsselung benutzen kann auf SSD. Leider hab ich gerade das System auf einem SSD :/

[letho]

Warum funktioniert es nicht auf einer SSD? Will Windows das nicht, oder meinst du, dass es nichts bringt auf einer SSD, weil man durch auslesen jedes Sektors nicht verschlüsselte Daten finden kann?

Bei meiner rechcherche bezüglich Bitlocker, wollte ich natürlich wissen, wie man den Kram wieder entschlüsseln kann,wenn etwas schief läuft.
Mit der Installationscd kann man den PC starten und jede Partition einzeln entschlüsseln. Dazu braucht man aber eine zweite Festplatte mit mindestens der selben Größe, wie die zu entschlüsselnde Partition.
Siehe dazu: http://technet.microsoft.com/de-de/libr ... 10%29.aspx

Ansonsten geht es wohl auch, dass man die Partition mit dem entsprechenden schlüssel an einem weitern PC, der Bitlocker unterstützt entsperrt. (Mit TPM wird dass dann alles ein wenig komplizierter, da man dort noch die Schlüssel des TPM braucht.)
Mit TPM sollte man auf jeden Fall ein Backup aller TPM-schlüssel, des Wiederherstellungsschlüssels und des Start schlüssels machen.
Ich habe mir eine Kopie von den schlüsseln gemacht und diese Passwort-Verschlüsselt in der Skydrive abgelegt.

[soa]

Warum funktioniert es nicht auf einer SSD?

Es geht, Windows merket nicht.
Das Problem ist dass wenn das Volumen (oder nur ein Ordner mit EFS oder Truecrypt, egal) verschlüsselt ist kann kein TRIM Befehl zum SSD geschickt werden, logisch da das SSD keine Datei mehr sieht, nur noch eine einzige "Datei" und zwar das auf OS-Level geschlüsseltes Volumen.
Auch wenn das verschlüsselte Volumen 0 MB Dateien drauf hat, sieht das SSD ein Volumen der randvoll ist.
Ohne trim sinkt die Leistung des SSD mit der Zeit, naja ist ja nicht unbedingt schlimm mit manche SSD (haupsächlich Intel) bei andere ist der Leistungsunterschied bemerkbar.

Als Alternative dazu gibt es SSDs die AES Verschlüsselung unterstützen, und die Daten dann low level lokal verschlüsseln (SATA Master password im bios). Aber um den HDD/SSD zu entriegelt muss man den Passwort manuel beim PC-Start eingeben, geht schlecht mit WHS.