Anleitung: Windows-7-Verschlüsselung mit TrueCrypt 7

Den Ausschlag gab ein Freund von mir, dessen Notebook geklaut wurde. Er ist Arzt, und er hatte auf der Kiste alles, was für ihn wichtig war, von Briefwechseln bis zur Buchhaltung. Immerhin hat er Backups aller wichtigen Dokumente, die nur zwei Wochen alt sind. Allerdings hat die wichtigen Dokumente nun auch jemand anderes. Das ist bei meinem Netbook kaum anders, wobei ich immerhin kein Arzt bin.

Abhilfe schafft eine Verschlüsselungssoftware. Sie kann Windows 7, Vista oder XP verschlüsseln, es gibt auch Versionen für andere Betriebssysteme. Verschlüsselt wird der gesamte PC, beim Notebook oder Netbook typischerweise die eingebaute Festplatte. Ein so gesichertes System kann problemlos geklaut werden: Es ist dann zwar weg, aber der Dieb hat nur die Hardware - der Inhalt bleibt ihm unzugänglich.

Ich habe mich beim Netbook für TrueCrypt 7.0 entschieden.

Wichtiger Hinweis zu TrueCrypt: Warnung: Verschlüsselungssoftware TrueCrypt 7.2 unsicher, evtl. kompromittiert!? und 11 Thesen: Was steckt hinter dem Ende der Verschlüsselungssoftware TrueCrypt (7.2)? sowie als aktuelle Alternative: Windows 7 verschlüsseln mit DiskCryptor

Es gibt sicher gute kommerzielle Lösungen dafür,vielleicht sogar bessere. Weil aber dieses Netbook von vorne bis hinten 'unkommerziell' ist und ich darauf für einen späteren Beitrag ausschließlich Free-Lösungen einsetzen möchte, erschien mir TrueCrypt 7.0 als ideal. TrueCrypt mochte ich schon immer, weil ich normalerweise kleine verschlüsselte Container auf USB-Sticks verwende und TrueCrypt nicht nur auf Windows, sondern eben auch mit Mac und Linux arbeitet - genau wie ich.

Ein Wort zur TrueCrypt-7.0-Hardwarebeschleunigung: Tolle Sache, aber dazu brauchen Sie einen modernen Prozessor. Mehr Infos im Beitrag CPUs und Notebooks mit AES-Hardwarebeschleunigung.

Komplettes Windows oder nur ausgesuchte Dateien verschlüsseln?

Man könnte selbstverständlich auch nur einen verschlüsselten Container anlegen und darin die wichtigen Daten anlegen, also nur ausgesuchte Dateien verschlüsseln.

  • Vorteil: weniger Aufwand, weniger Geschwindigkeitseinbussen.
  • Nachteil: weniger Sicherheit.

Lohnt sich meines Erachtens nur bei USB-Sticks, oder um ganz gezielt bestimmte Dateien gegen Zugriffe zu schützen.

Ich rate daher auf mobilen PCs zur Total-Verschlüsselung mit Pre-Boot-Authentifizierung:

  • Nachteil: Geschwindigkeitseinbussen bei Windows-Nutzung. Leicht höheres Risiko eines Crashs (weil: eine Fehlerquelle zusätzlich arbeitet) bzw. geringere Wahrscheinlichkeit, nach einem Totalcrash schmerzfrei recovern zu können (wogegen aber ein Backup hilft (das man ohnehin haben sollte)).
  • Vorteil: Deutlich mehr Sicherheit. Automatisch sind die in Ihren Mailprogrammen oder Browsern gespeicherten Zugangsdaten und Gebrauchsspuren geschützt. Programme können in temporären Dateien sensible Daten ablegen, wie sie wollen - da alles verschlüsselt ist, werden auch diese Sachen verschlüsselt.

Einen ausführlichen Beitrag zum Thema "Vor was schützt TrueCrypt eigentlich genau?" mit einer Diskussion der Sicherheitslücken finden Sie demnächst hier, ich lese nämlich viel zu oft, dass Verschlüsselung gegen Datendiebstahl und Spionage schützen würde - und ganz so einfach ist es eben nicht.

TrueCrypt 7.0 downloaden

Wichtiger Hinweis zu TrueCrypt: Warnung: Verschlüsselungssoftware TrueCrypt 7.2 unsicher, evtl. kompromittiert!? und 11 Thesen: Was steckt hinter dem Ende der Verschlüsselungssoftware TrueCrypt (7.2)? sowie als aktuelle Alternative: Windows 7 verschlüsseln mit DiskCryptor

TrueCrypt 7.0 ist kostenlos und hier zu haben:

Installation: Die heruntergeladene EXE-Datei TrueCrypt Setup 7.0.exe starten und den Anweisungen folgen.

Vorsicht, Stolperstein:
Auf Geräten ohne Brenner
(Netbooks ohne optisches Laufwerk) brauchen Sie im Verlauf der Installation unbedingt ein Tool, um  ISO-Images (virtuelle CD-Abbilder) mounten, also mit dem System verbinden zu können. Installieren Sie eines der beiden folgenden Tools, ehe Sie loslegen:

Windows-Partition mit TrueCrypt verschlüsseln

Es geht los.
Sie starten TrueCrypt und wählen im Menü System einfach Encrypt System Partition / Drive:

Im folgenden zeige ich die wichtigsten Screens und was sich hinter den Angaben verbirgt.

Type of System Encryption

Type of System Encryption: Normale Anwender können beruhigt Normal verwenden. Hidden sorgt vereinfacht gesagt (lange Beschreibung hier) dafür, dass ein zweites Windows angelegt wird.

Hintergrund: Man könnte Sie dazu zwingen, ein Passwort preiszugeben - wir reden hier nicht von rechtsstaalichen Methoden sondern der Glock an der Stirn. Sie geben es also preis, und Sie oder der Schurke melden sich damit an. Was nur Sie wissen: Es erscheint das "Fake-Windows". Das echte Windows bleibt verborgen (denn es wird nur beim echten Passwort geladen).

Klingt super. Aber. Es ist wahnsinnig kompliziert. Denn Sie müssten das Fake-Windows (das natürlich auf Ihrem echten Windows beruhen muss), regelmässig benutzen, damit der Gig nicht auffällt. Anderfalls würde ein Experte feststellen, dass Sie sich nur alle sechs Monate mal an Ihrem Notebook anmelden. Unrealistisch, verdächtig, Kopfschuss. Braucht nur James Bond und ist aufwändig zu realisieren. Daher: Als normaler Bürger Normal wählen.

Area to Encrypt

Area to Encrypt: Sie können wahlweise nur die Windows-Partition (einfach gesagt: "C:") verschlüsseln, dann bleibt "D:" und andere Laufwerke unverschlüsselt. Oder Sie verschlüsseln - wie ich im Bild - via Encrypt the whole drive das ganze Laufwerk, dann sind zum Beispiel C: und D: gleichermaßen unzugänglich und Sie sind auf der sicheren Seite.

Gegenbeispiel: Wer auf D: nur harmlose legale Filme, downgeloadete legale Freeware oder ähnlichen Quark aufbewahren will, bei dem reicht Encrypt the Windows system partition. Es hat den Vorteil, dass D: schneller arbeitet, weil hier die Verschlüsselung entfällt. Angenommen, Sie sind Fotograf, und sichten auf dem Netbook Ihre Bilder, und diese Bilder sind harmlos, legal & wertlos. Dann würde sich das anbieten, aber eben nur dann. Allerdings darf sich eben niemals eine "wichtige" Datei auf Drive D: empfinden.
Anderes Beispiel: Sie wollen Ihren PC verschlüsseln. Sie haben alles Wichtige auf C: und sind sich dessen sicher. Auf D: installieren Sie hingegen Ihre Spiele, aber nichts Wichtiges. Diese Spiele profitieren dann von der fehlenden Verschlüsselungsbremse. Zu prüfen wäre im Einzelfall, wo Spielzugangskontrollsysteme wie das von Steam die Benutzerdaten speichern.

Auf Nummer sicher gehen Sie hingegen mit Encrypt the whole drive.

Die Encryption of Host Proteced Area brauchen nur Paranoide, auf Netbooks würde ich Normalbürgern sicherheitshalber zu No raten. Gemeint sind Speicherbereiche am Rand der Platte, wo möglicherweise der Hersteller wichtige Rescue-Daten abgelegt hat.

Number of Operating Systems: Wenn Sie ein Multi-boot-System haben (beispielsweise: Windows und Ubuntu auf einem Gerät), unbedingt die entsprechende Option wählen, sonst kommt der TrueCrypt-Bootloader mit dem bereits installierten Bootloader in Konflikte. Wenn Sie nicht wissen, ob Sie Multi-boot haben, dann wählen Sie Single-boot, denn das ist das typische.

Encryption Options

Encryption Options: Was Sie sehen, sind die Vorgaben - mir reichen die. Angeblich verschlüsselt auch die NSA mit AES, also was soll's.

Die Paranoiden nehmen natürlich Serpent und versäumen keine Gelegenheit, damit in Foren zu posen.

Hinweis: Wer die Hardwarebeschleunigung nutzen will, muss AES nehmen, weil die Intel-CPUs der i5/i7-Serie, die das unterstützen, nur AES unterstützen. Mehr Infos im Beitrag CPUs und Notebooks mit AES-Hardwarebeschleunigung.

Password

Nach "Next" geht es ans Password: Wenn Sie weniger als 20 Zeichen eingeben, wird TrueCrypt maulen, aber es dennoch grummelnd hinnehmen.
Sie können also auch nur 6 Zeichen nehmen.
Allerdings lassen sich Verschlüsselungen mit 6 Zeichen als Passwort in hinreichender Zeit via Brute-Force knacken. 20 Zeichen hingegen nicht. Und 20 Zeichen kann man schaffen, ohne Knoten im Gehirn zu kriegen: Probieren Sie es aus: Wenn Sie einfach zwei, drei Wörter nehmen, die in Ihrem Leben eine wichtige - aber nicht zu öffentliche - Rolle spielen, und diese mit einem sicheren Passwort von 8 oder 10 Zeichen erweitern, dann kommen Sie problemlos auf merkbare 20+ Zeichen. SchnitzelAkteX!bffC7433. SabineRamazotti:LmaA4711. Sowas in der Art.

Durch einen Zufallsgenerator erzeugt TrueCrypt nun Schlüssel:

Weil PCs keine echten Zufallszahlen erzeugen können, müssen Sie bei Collecting Random Data die Maus bewegen - das bringt echten Zufall ins Spiel.

Nun erzeugt TrueCrypt eine Rescue Disk, die es als ISO-Datei ablegt. Mit der daraus brennbaren CD können Sie ein TC-verschlüsseltes System im Zweifel booten und wieder entschlüsseln. Allerdings nur mit dem Passwort; das heißt, die ISO-Datei alleine bringt einem potentiellen Angreifer wenig.

TrueCrypt-Installation auf Netbooks: ISO mounten

Hier liegt das größte Hindernis für die TrueCrypt-Installation auf Netbooks, denn diese haben keinen Brenner. Da kommt man dann an diese Stelle:

Es hilft hier nur, so zu tun als ob, also Abbrechen klicken. Dann will TC das Ergebnis verifizieren:

Mit Next überprüft TrueCrypt, ob wirklich eine Rescue Disk erzeugt wurde. Es bricht ab, wenn das nicht der Fall ist:

Abhilfe schafft, die soeben mit TC erzeugte ISO-Datei mit Magic Disc oder Virtual Clone Drive zu mounten:

Im Bild geht's mit Virtual Clonedrive, dass ich angenehm kompakt finde. Aber Magic Disk und WinCDEmu sind genauso okay.

Einfach über das Systray-Icon die Image-Datei laden. Dann zurück nach TrueCrypt und auf Next klicken.

Das Intermezzo ist natürlich nur nötig, wenn Sie keinen Brenner haben oder sich das Brennen ersparen wollten.

TrueCrypt erkennt das ISO-Image als reale CD:

Nun ist TrueCrypt zufrieden und macht weiter.

Der Wipe Mode ist ein weiteres James-Bond-Feature, das davon ausgeht, dass man geshredderte / gelöschte Festplatten wieder auslesen kann. Siehe Mythen. Ich empfehle None, es sei denn, Sie sind Jason Bourne.

System Encryption Pretest

Die Entwickler haben wirklich an alles gedacht und checken erst mal, ob das bisher installierte funktioniert:

Der System Encryption Pretest testet nur, ob der Truecrypt-Bootloader funktionsfähig installiert wurde.

Dazu wird Windows neu gestartet. Danach geben Sie das laaange Passwort von oben ein:

Dann geht es weiter:

Nach dem - hoffentlich problemlosen - Start kann es losgehen - mit der ...

Encryption

Die Verschlüsselung kann je nach Rechner-Tempo und Festplattengröße unterschiedlich lange dauern. Ein Netbook mit 160-GByte-Platte braucht zwischen zwei und vier Stunden. Während dieser Zeit sollte der Rechner am Netzteil angeschlossen sein. Es lohnt sich, vorher vorübergehend den Energiesparplan abzuschalten, sonst schläft die Kiste regelmäßig ein...

Fertig! Es gibt nun also keinen Grund mehr, sein Windows-7-Notebook oder -Netbook nicht verschlüsselt zu haben! ;-)

Verschlüsseltes Windows wieder entschlüsseln

Genauso simpel:

Einfach Permanently Decrypt System Partition/Drive. Dasselbe in grün, nur rückwärts.
Habe es zwei Mal ausprobiert, funktioniert genauso.

Gecrashtes TrueCrypt recovern

Dazu bootet man von der CD TrueCrypt Rescue Disk, die man aus dem ISO-Filet gebrannt hat:

Mit [Esc] rutscht man ganz normal zum Start weiter, mit [F8] gibts die Available Repair Options:

Mit [1] entschlüsselt man ein gecrashtes System wieder (und kann hoffen, dann man es dann wieder recovern kann). Die Optionen [2] bis [4] restaurieren Teile, die für den Start wichtig sind - diese Optionen sollte man als erstes ausprobieren, falls TC mal nicht startet.

Wichtiger Hinweis zu TrueCrypt: Warnung: Verschlüsselungssoftware TrueCrypt 7.2 unsicher, evtl. kompromittiert!? und 11 Thesen: Was steckt hinter dem Ende der Verschlüsselungssoftware TrueCrypt (7.2)? sowie als aktuelle Alternative: Windows 7 verschlüsseln mit DiskCryptor

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau 'normaler Nutzer' und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht's um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte Dich auch interessieren...

19 Antworten

  1. WaloFrance sagt:

    Hallo Andreas
    Habe vor einigen Wochen den Feed unsicherheitsblog.de abonniert. Ihre Beiträge sind ausserordentlich professionell und informativ geschrieben. Trotz dem, logischerweise, fachlichen Charakter sind diese aber auch sehr gut zu lesen und auch für ein Schmunzeln ab und zu ist gesorgt! Danke für die aufwendigen, für jedermann zugänglichen Arbeiten. Freue mich bereits auf den nächsten Beitrag.

    Beste Grüsse aus Frankreich

    WaloFrance

  2. Mark sagt:

    Auf Rechnern ohne CD-Laufwerk würde ich "TrueCrypt Format.exe /n" per Konsole starten, statt den Volume Creation Wizard aus der GUI.
    Ebenso natürlich, wenn man lieber .iso-Dateien statt CDs verwaltet.
    (von http://www.truecrypt.org/docs/command-line-usage)

    Außerdem würde ich nur die Systempartition verschlüsseln, und weitere Partitionen später einzeln.
    Das hilft, falls man C: einmal entschlüsseln muss, z.B. muss zwecks Datenrettung, oder neu bespielen will.
    Wenn man diesen das gleiche Passwort gibt (bei englischem Tastaturlayout) wie der Systempartition, kann man diese als System Favorites automatisch vorm Windows-Start mounten lassen, und erreicht so fast das gleiche wie mit kompletter Verschlüsselung.

    Leider bleibt so diese 100MB-Partition von Win7 ohne Laufwerksbuchstaben unverschlüsselt. Ich habe nicht ausprobiert, ob das bei Komplett-Verschlüsselung anders ist. Ich nehme an, dass sie normalerweise keine Benutzerdaten enthält, und damit unkritisch ist.

  3. Juergen sagt:

    Hallo, SUPER Anleitung.
    Ich verschlüssele meine XP-Notebooks per Truecypt seit ca. 3 Jahren.
    Truecrypt ist klasse. Eine Leistungseinbuße ist mir bisher noch nicht aufgefallen, daher sollte man auch die komplette Festplatte verschlüsseln. Eine Partition allein ist der Mühe nicht wert.
    Notebooks sollte man immer verschlüsseln. Für ein Desktop-gerät lohnt sich die Mühe nicht immer, ist wohl eine Sache der eigenen Paranoia. Aber man stelle sich vor, man verliert sein Notebook!
    Ein Tipp: Die Auslagerungsdatei sollte sich NICHT auf der Boot-Partition befinden, denn dann klappt es - bei mir zumindest - nicht immer mit dem Verschlüsseln der Selbigen. Dazu einfach ein kleine Partition abzweigen, wenn man keine hat, und dort dann die Auslagerungsdatei anlegen, fertig.

  4. Ikem sagt:

    @Juergen "Ein Tipp: Die Auslagerungsdatei sollte sich NICHT auf der Boot-Partition befinden, denn dann klappt es – bei mir zumindest – nicht immer mit dem Verschlüsseln der Selbigen. Dazu einfach ein kleine Partition abzweigen, wenn man keine hat, und dort dann die Auslagerungsdatei anlegen, fertig."

    Was ein Sicherheitsrisiko ist. Denn da landen die Daten unverschlüsselt..

  5. Ikem sagt:

    "Invalid code. Return back and try input code again."

    Hab dank eines Timeouts diesen Fehler bekommen. Musste die ganze Seite neuladen um meinen Kommentar zu posten. Wie wärs mit einem aktualisieren Knopf fürs Captcha? :)

    • Andreas sagt:

      Alte Hasen übernehmen per Cut & Paste ihre Kommentare immer in die Zwischenablage und klicken erst dann auf Senden - mir passiert das jedenfalls dauernd, dass irgendeine Mistseite wie meine eigene alles vergisst. Aber ich habe ja auch jedes AutoSave auf 1 eingestellt und drücke [Strg S], sobald der Cursor mehr als drei Mal blinkt, ohne sich zu bewegen - kommt noch aus der Zeit, als ich einen PC (286!) hatte, der einen Haar-Riss auf der Mainboard hatte und daher bei bestimmten Temperaturpunkten resettete...

      Im Ernst: Tut mir aufrichtig leid! Ich checke mal Alternativ-Captchas...

      WinCDEmu: Wie konnte ich den nur vergessen ... hinzugefügt! Danke!

  6. Ikem sagt:

    "Auf Geräten ohne Brenner (Netbooks ohne optisches Laufwerk) brauchen Sie im Verlauf der Installation unbedingt ein Tool, um ISO-Images (virtuelle CD-Abbilder) mounten, also mit dem System verbinden zu können."

    Ich benutz für solche Zwecke WinCDEmu*.

    *http://wincdemu.sysprogs.org/

  7. Ikem sagt:

    "Alte Hasen übernehmen per Cut & Paste ihre Kommentare immer in die Zwischenablage und klicken erst dann auf Senden"

    Das hab ich auch gemacht. Sonst hätt ich mich RICHTIG geärgert. :D

    "ich habe ja auch jedes AutoSave auf 1 eingestellt und drücke [Strg S], sobald der Cursor mehr als drei Mal blinkt"

    Wo hast du "AutoSave auf 1 eingestellt"?

    "Ich checke mal Alternativ-Captchas..."

    Geht nicht um alternative Captchas. Geht darum, ich schreibe einen Kommentar, der Timeout ist vorrüber, das Captcha ungültig.

    Bei einigen Blogs kann man sich über einen aktualisieren Knopf ein neues und damit gültiges Captcha laden lassen.

  8. Ikem sagt:

    Achja, ich würd gern via Email darüber informiert werden, ob jemand auf meinen Kommentar reagiert hat.

  9. JML sagt:

    Ich kann mich dem ersten Kommentar nur anschliessen. Vor allem für jemanden, der sich überhaupt nicht für das Thema Sicherheit interessiert, sie aber dennoch braucht ist dieser Post echt super. Vielen Dank !!!

  10. Malte sagt:

    Erst mal:Superseite ;-))
    2 Fragen,die mich Interessieren.

    1.Was passiert bei einem Neu aufsetzen des Systems?
    Normalerweise Formatiert man ja vorher,oder läßt
    das über die Install DVD machen.Ist der Bootloader
    dann auch verschwunden,oder noch da.
    Muß leider so eine dumme Frage stellen,da ich genau das
    nicht weiß.Hatte leider schon mal Ärger mit Ausprobieren
    von Linux neben Win 7.Nach Formatieren der Linux Partition,
    kam mit Linux nicht zurecht,war dessen Loader immer noch da :-((

    2.Reicht es Eigentlich nicht aus,nur die Sys Partition zu verschlüsseln?
    Denn ohne das Passwort kommt man doch sowieso nicht auf den Rechner.
    Kann also eh nichts machen oder "Schnüffeln"

    Vielen Dank schon mal

    • Andreas sagt:

      1. Bei einem Neuaufsetzen des Systems wird das verschlüsselte System gelöscht. Formatieren ist nicht nötig, das Zeug ist ja verschlüsselt (ich persönlich formatiere trotzdem immer).

      Normalerweise wird auch der Bootloader entfernt, übrigens auch beim Neuaufsetzen eines Systems mit einem parallelen Linux. Falls das mal nicht der Fall ist, startet man über das Bootmedium und repariert das damit. Eine Anleitung bietet Microsoft auf http://support.microsoft.com/kb/927392. Da steht aber imho mehr drin, als man braucht. Ich mache es stets so: Via Bootmedium die Eingabeaufforderung wählen (habe jetzt nicht mehr genau im Kopf wie), nacheinander bootrec /fixmbr und bootrec /fixboot eingeben. Neustart. Das hat bei mir noch jeden Bootloader von Linux entfernt.

      2. Wenn man nur die System-Partition verschlüsselt, ist auch nur diese unlesbar. Angenommen, ein Notebook wird gestohlen, der Angreifer hat also in Ruhe Zugriff auf die Hardware. Er muß dann Windows nicht starten - er baut einfach die Festplatte aus (oder bootet von einer CD) und erstellt ein Image oder eine Kopie der Partitionen und analysiert diese offline. Eine unverschlüsselte Zweit-Partition könnte er auch einfach mounten und sich die Daten holen.

      Wenn Du - warum auch immer - die zweite Partition nicht mit TrueCrypt verschlüsselt willst, kannst Du dort auch einfach EFS nehmen. Aber das kann halt kein ganzes Drive, sondern nur ab der ersten Ordner-Ebene Inhalte verschlüsseln . Die gespeicherten Daten unterhalb der EFS-verschlüsselten Ordner wären dann unlesbar. (Wichtig: Zertifikat zwei Mal irgendwo extern zu Hause speichern, falls man sein Windows schrottet und an die Daten ranmuss.) Allerdings sind anders als bei TrueCrypt (oder von mir aus Bitlocker) die Dateistrukturen sichbar, also Dateinamen wie Bauplan_Kalte_Kernfusion.doc oder Erpressungsbroschüre_Politiker_Mustermann.PDF sind sichtbar, auch wenn die Inhalte nicht darstellbar sind.

  11. Taxi sagt:

    Ich nutze TC schon seit Jahren, habe an meinem NB die komplette Festplatte verschlüsselt. Jetzt ist mein System gecrasht und hat mir den Nachteil dieses Verfahrens verdeutlicht. Zukünftig werde ich daher die Systempartition und die Datenpartition getrennt verschlüsseln. Warum?

    Nach dem Versuch, die Systempartition zu klonen (mit Paragon Festplatten manager 10)kam beim hochfahren kam immer die Fehlermeldung "kein boottfähiges System gefunden" (oder so ähnlich) oder eine Meldung, dass er einen Sektor nicht lesen kann. Die oben unter "Gecrashtes TrueCrypt recovern" unter 2. und 3. genannten Optionen haben nichts gebracht, Option 4 klappt ohnehin nur bei entschlüsseltem System. Bleibt also nur die Möglichkeit, das System mit Option 1 permanent zu entschlüssel. Soweit, so gut, das dauert bei meinem NB (750er Festplatte, Core2Duo) und funktionierendem Win 7 aus dem TC-Menü heraus rd 15 Stunden. Abends anwerfen, am nächsten Morgen ist dann alles fertig. Über die TC-Rettungs-CD dauert die Entschlüsselung aber erheblich länger. Nachdem das Ding jetzt seit über einem halben Tag rödelt und aus der bisher entschlüsselten Datenmenge rechne ich mit über 3 Tagen.Neu aufsetzten ginge wahrscheinlich schneller, ich habe aber einige wenige, aber wichtige Daten noch nicht gesichert, die ich so noch zu retten hoffe.

    • Andreas sagt:

      Probleme beim Crash-Recovery sind ganz klar ein großer Nachteil der Gesamt-Festplattenverschlüsselung, ob mit BitLocker oder TrueCrypt, siehe hier beim zweiten Nachteil. Ein guter Tipp ist hierbei die von Dir vorgeschlagene Trennung von System- und Datenpartition. Ach, wenn man das nur immer so konsequent durchziehen könnte...

      Das Problem ist hier übrigens imho eher der Paragon, der streitet sich bei mir auch gerne mit Grub2, obwohl ich keinen verdammten Grund dafür sehe...

  12. Dude sagt:

    Hallo,
    erstmal ein Lob für die tollen Anleitung, die sogar ich verstanden habe ;)
    Aber ein paar Fragen hätte ich dann noch:
    1. Angenommen ich verliere mein Passwort bei einem komplett verschlüsselten System, ist es dann problemlos möglich einfach das Betriebssystem neu zu installieren und den PC weiter zu nutzen (unter in Kaufnahme von Datenverlust natürlich.) ?
    2.Wie stark sind die Geschwindigkeitseinbußen bei komplett verschlüsselten System, bzw. merkt man sowas beim Spielen ?

    Vielen Dank !( auch für die Anleitung, hat mir echt geholfen :D )

    • Andreas sagt:

      Danke für das Lob!

      1. Ja, man löscht einfach die Partition(en), richtet neue ein und spielt Windows neu auf, da gibt es normalerweise keine Probleme.

      2. Es gibt auf jeden Fall Einbußen. Wie hoch die sind, ist stark abhängig vom System, eben zum Beispiel ob Du eine CPU mit AES-Befehlssatz verwendest. Ohne es gemessen zu haben, behaupte ich: Du merkst es beim Spielen ebenso, wie Du eine langsamere Festplatte merken würdest. Also nicht beim Ballern selbst, sondern bei Nachladen von Levels, was ja mitunter gleitend geschieht (und dann halt u.U. weniger gleitend ist). Aber ich hab's nicht ausprobiert, reine Spekulation, vielleicht ist es auch nur messbar, und wenn Deine Mühle eh rennt, fällt es kaum ins Gewicht. Gangbarer Weg wäre hier übrigens, die Spiele-Dateien auf eine andere Festplatte(oder Partition) zu installieren als die verschlüsselte Systemplatte/-partition, dann dürfte das eher minimal ausfallen.

  13. ZinZin sagt:

    Ganz großes Lob für dieses DAU taugliche Tutorial.
    Super Seite im übrigens, werde nun öfter vorbeischauen!

    Vielen Dank und viele Grüße,
    ZinZin