Windows-Systempartition verschlüsseln mit DiskCryptor

DiskCryptor

Weil TrueCrypt seit der "Vertraut uns nicht mehr!"-Nachricht der TrueCrypt-Entwickler nicht mehr jedem schmeckt, empfehle ich als Alternative DiskCryptor. Das hat einige Funktionen weniger, ist aber angenehm simpel und reicht für die meisten Zwecke völlig aus.

Vorweg eine kurze Frage&Antwort-Stunde:

  • "Brauche ich das überhaupt?"
    Das müssen Sie selbst entscheiden. Wenn Ihr Notebook verlorengeht oder gestohlen wird, sind die Daten darauf - etwa in Mail und Browser gespeicherte Passwörter und damit der Zugang zu Ihren Identitäten - im Normalfall unsicher, mit DiskCryptor hingegen hinreichend sicher.
  • "Funktioniert es mit Windows 7?"
    Bei mir: problemlos. Aber ich hatte eben auch keine Probleme, bisher.
  • "Funktioniert es mit Windows 8?"
    Ja, seit neuestem: die aktuelle Version vom 25.6. geht auch mit Windows 8.1 (siehe Changelog). Vorsicht, DiskCryptor funktioniert eher NICHT auf Windows 8 (->Ausnahme:Tüftelei). Auf Windows 8 steht Ihnen möglicherweise schon ab Werk Microsofts "BitLocker" zur Verfügung (ab "Pro", sowie auf einigen Tablets). Sofern Sie kein Staatsfeind sind, reicht das auch.

Ich rate davon ab, Windows 8 mit Diskcryptor zu nutzen. Sie haben keine Wiederherstellungsmöglichkeit bei Problemen!

  • "Funktioniert es mit SSDs?"
    Bei mir: problemlos.
  • "Funktioniert es mit meinem Mehrfachbootsystem?"
    Vielleicht. DiskCryptor ersetzt definitiv den Bootloader, das bringt bei so was immer Ärger. Lilo und Grub kann DC "offiziell", aber wer weiß ... nach zu vielen Problemen mit MultiBoot meide ich es.
  • "Ich habe TrueCrypt 7.1x - muss ich wirklich dringend wechseln?"
    Ich behaupte: nein. Aber das mag sich irgendwann ändern, dann aber werden wir es sicher erfahren. Vorsicht ist in jedem Fall vor Version 7.2 geboten!
  • "Hat DiskCryptor verschlüsselte Container-Dateien?"
    Nein. Alternative 1: Derzeit gibt es eine Promo-Aktion von Steganos, um die Altversion Steganos Safe 14 kostenlos abzugreifen: Info hier. Alternative 2: Nehmen Sie VHD-Dateien; mounten Sie diese mit Bordmitteln (oder praktischer: mit dem coolen Tool VHD Attach) und verschlüsseln Sie diese mit DiskCryptor oder (mit Hilfe eines Windows-8-Pro-PCs) mit BitLocker. Bitlocker hat den Vorteil, dass Sie die VHD-Container auch auf anderen PCs und Windows-Versionen (XP, Vista, 7, 8) verwenden können, ohne etwas installieren zu müssen.
  • "Was mache ich bei Problemen?"
    Verzweifeln. Nutzen Sie die Gelegenheit und setzten Sie das ganze System neu auf ...
    Vorbeugend: Erzeugen Sie eine Live-CD mit DiskCryptor (nur Vista/7!) oder nehmen Sie Hiren's BootCD mit DiskCryptor zum Entschlüsseln der Windows-Systempartition.

Machen Sie sich bitte klar, dass den Rechner zu verschlüsseln dafür sorgen kann, dass Ihre Daten vor *jeglichem* Zugriff "geschützt" sind - auch vor ihrem eigenen! Auf einem verschlüsselten Mobilrechner sollten Sie keine Daten haben, die Sie nicht auch andernorts als Backup ein zweites Mal haben!

  • "Ist mein Backup verschlüsselt?"
    Nein, wenn Sie aus einem verschlüsselten Windows heraus auf einen normalen externen Datenträger sichern. Ja, wenn der externe Datenträger ebenfalls verschlüsselt ist - dann aber dürfte es schwer werden, ein Restore zustande zu bringen. Anders gesagt: Sorgen Sie entweder dafür, dass auf dem Gerät nur entbehrliche Daten liegen (so mache ich es), oder sorgen Sie dafür, dass Sie ein Backup auf einer externen, unverschlüsselten Festplatte haben - diese aber an einem sicheren Ort liegt.
  • "Ist meine Dropbox / Copy / OneDrive / Google Drive verschlüsselt?"
    Nein, dafür benötigen Sie auch mit DiskCryptor ein eigenes Tool. Das liegt daran, dass nach der Eingabe des Passworts vor dem Windows-Start die Verschlüsselung sozusagen unsichtbar ist, ja sein muss, sonst wäre der Rechner ja nicht nutzbar. Daher werden Cloud-Dateien unverschlüsselt in der Cloud gespeichert, auch wenn sie verschlüsselt auf dem Rechner liegen - denn Windows "nimmt sie unverschlüsselt wahr". Die Verschlüsselung ist sozusagen nur aktiv, wenn der Rechner "nicht von Ihnen benutzt" wird, das ist bei BitLocker und TrueCrypt übrigens nicht anders.
  • "Kann man die Verschlüsselung von DiskCryptor knacken?"
    Das wissen wir erst, wenn es passiert ist. Alle geknackten Systeme haben mal als unknackbare Systeme angefangen...
  • "Wie könnte man die Verschlüsselung von DiskCryptor aushebeln?"
    Indem man sie von innen angreift, etwa durch Malware, die den Schlüssel im laufenden Betrieb ausliest. Oder anders: Ihr PC ist nur sicher, solange er ausgeschaltet ist. Wenn Sie ihn anschalten, mit Passwort "öffnen" und benutzen, ist er nicht nur für Sie, sondern auch für alle Ihre Software offen, ergo "unsicherer" als im ausgeschalteten Zustand. Achten Sie also darauf, was Sie installieren, benutzen, tun.
  • "Ist DiskCryptor sicher (genug (für mich))?"
    Stellen Sie sich folgende Frage: Welches Geheimnis wollen Sie beschützen? Fotos ihrer Kinder, Mail-Programm mit Zugang zur Firmenmail soll nicht in fremde Hände gelangen = DiskCryptor reicht aus. James-Bond-Geheimpläne, Abschusscodes von US-Atomwaffenbasen = DiskCryptor reicht vielleicht, vielleicht auch nicht, jedenfalls würde der Angreifer (für ihn) einfachere Wege gehen.

Zur Frage, was eigentlich "sicherer" wird, wenn Sie Windows-Systempartition verschlüsseln, ob mit DiskCryptor oder einer anderen Software, lesen Sie bitte auch [F&A] Was wird sicherer, wenn wir Windows verschlüsseln?

DiskCryptor installieren

JETZT ist eine gute Gelegenheit, ein vollständiges Backup des fraglichen Rechners durchzuführen und eine Live-CD mit DiskCryptor zu Entschlüsselungszwecken herzustellen.

Denn unter Umständen ist es die letzte Gelegenheit (wenn etwas schief geht, es Probleme gibt, Sie das Passwort vergessen, etc.), Ihre Daten vor Verlust zu schützen!

1. Nach dem Download überprüfen Sie die angegeben Hashwerte der Datei, etwa mit Hashtab / Fsum Frontend.

2. Starten Sie dcrypt_setup und installieren das Tool auf die übliche Weise.

3. Nach dem Installieren gibts ein Programm-Icon und ein Neustart wird fällig.

Intermezzo: AES-, Twofish-, Serpent-Benchmark

Wenn Sie wissen wollen, welche Verschlüsselung auf Ihrem PC am schnellsten ist, wählen Sie jetzt im Hauptfenster Tools, Benchmark und klicken Sie auf Benchmark.

Im folgenden Screen ist links Serpent am schnellsten, im rechten AES (mit Abstand!):

AES-, Twofish-, Serpent-Benchmark

Woran liegt es? An den Prozessoren. Auf den meisten Büchsen dürfte AES am schnellsten sein, weil der Intel-Prozessor auf Notebooks mit AES-Hardwarebeschleunigung DiskCryptor unter die Arme greift (auch bei einigen Via-Chips).

Sie sehen auch, dass "sicherere" Kombis (man spricht von "Kaskaden") natürlich entsprechend langsamer sind. Also lassen Sie sich nicht kirre machen: AES reicht. (Bedenken Sie auch, dass dies nur synthetische Werte sind, in der Praxis sind jeweils Zugriffe auf die Festplatte nötig - und die sind der eigentliche Flaschenhals.)

Merken Sie sich die bei Ihnen "schnellste" Cipher, Sie brauchen das gleich.

Windows-Systempartition verschlüsseln mit DiskCryptor

Backup gemacht?

Und weiter geht's:

4. Die GUI ist simpel und listet einfach nur Ihre Partitionen auf. Markieren Sie C: und klicken Sie rechts auf Encrypt.

Windows-Systempartition verschlüsseln mit DiskCryptor

Gelegentlich findet man eine 100-MB-Partition auf dem Rechner. Die kann man mitverschlüsseln, muss man aber nicht; lassen Sie sich aber bloß nicht täuschen und begnügen Sie sich nicht damit, diese Partition zu verschlüsseln. C: muss verschlüsselt werden, als erstes, hier im Beispiel im Infobereich unten als \Device\HarddiskVolume2 genannt. Wählen Sie daher zuerst C: und wählen Sie Encrypt.

5. Wählen Sie den Verschlüsselungsalgorithmus. AES 256, Twofish, Serpent können derzeit alle drei als sicher gelten. AES ist meist am schnellsten (siehe Benchmark oben). (Achten Sie darauf, dass im Dialog-Titel wirklich auch \Device\HarddiskVolume2 steht, wie im vorherigen Schritt bei C: gesehen - so können Sie sicher sein, gerade die richtige Partition zu verschlüsseln. Das ist nämlich ein bisschen unschön gelöst, visuell.)

DiskCryptor-Verschlüsselungsalgorithmus wählen: AES, Twofish, Serpent

Paranoide können die Verfahren auch kombinieren: Selbst wenn eines der drei Verfahren dann überraschend "geknackt" wird, sind die anderen zwei noch wirksam - aber der Rechner wird natürlich langsamer. Deutlich langsamer.

Klicken Sie auf Next.

6. Es wird eine Partition zum Installieren des Bootloaders angeboten. Wählen Sie Install to HDD.

DiskCryptor: Boot Settings

Klicken Sie auf Next.

7. Geben Sie ein Passwort ein. Es gilt das übliche: bitte lang & komplex (->Tipps). Achten Sie auf das Password Rating: "Medium" ist das mindeste für Durchschnittsbürger.

WICHTIG!
Meiden Sie alle Sonderzeichen, die auf US-Tastaturen anders aussehen würden als auf Deutschen! Also kein Y und Z (Danke an den anonymen Kommentator!), @, kein $ und so weiter, auch keine ßöüä! Denn wenn der Rechner startet und Sie das Passwort eingeben, haben Sie unter Umständen, je nach Computer, eine "US-Tastatur" vor sich, geben also durch das Drücken der Tasten ZÖÜÄ alles mögliche ein, aber gewiss nicht ZÖÜÄ! Siehe Wikipedia, deutsche Tastaturbelegung versus US/Intl.-Tastatur-Belegung. Auf der sicheren Seite sind Sie mit "A" bis "X" (ohne Y und Z), "a" bis "x", "0" bis "9", sowie "," und ".".

Außerdem gilt:

Machen Sie es sich auch nicht zu schwer:
Lieber einen ganzen Satz verwenden ("Ich trinke jede Woche 4 famose Schoppen Katzenbier.") als sich hier mit Geknödel wie "EDC4rtgb,.n12kc..,,mqoDUcmDL") bei jedem Rechnerstart selbst zu quälen! Man kann auch paranoider als paranoid werden ... aber es sollte, um den Einwurf eines anonymen Kommentators aufzunehmen, ein einigermaßen nicht-alltäglicher Satz sein und außerdem kein Zitat.

DiskCryptor: Volume Password

Wichtig: Wenn Sie das, was Sie hier eingeben, vergessen, sind Ihre Daten futsch, samt Windows.

DiskCryptor-Password anzeigen

Nutzen Sie Show Password, um zu spicken, ob da wirklich steht, was Sie hinschreiben wollten.

8. Klicken Sie auf OK. Dann geht es los.

DiskCryptor verschlüsselt die Systempartition ...

9. Anschließend verzweifeln Sie - wie ich - beim Login ... erinnern sich dann aber doch ans richtige Passwort.

DiskCryptor-Login (wenn man sein Passwort vergessen hat ;-)

Wichtig:
Der Rechner ist jetzt so verschlüsselt, dass 1. niemand Windows starten kann, ohne das Passwort zu haben, 2. kann auch niemand (vor dem Rechnerstart, vor der Passworteingabe) auf der verschlüsselten Partition Daten lesen (auf eventuell vorhandenen anderen schon).
Als Schwäche verbleibt der Standby-Modus: Sie klappen das Notebook zu, jemand stiehlt es, klappt es auf, und siehe da: Windows ist noch wach, man hat Zugriff ohne DiskCryptor-Kennwort! Aktivieren Sie also Screensaver-Kennwort und die Kennworteingabe beim Aufwachen (eigentlich voreingestellt, aber manche schalten das aus Bequemlichkeit ab). Umgekehrt können Sie sich jetzt (aber nur jetzt) auf Einzelbenutzer-Rechnern den Windows-Login sparen und Windows 7 ohne  Passwort starten.

10. Die weitere Benutzung des Rechners ist transparent. Das heißt, Sie sollten nichts von DiskCryptor mitbekommen, außer eine etwas langsamere Arbeitsweise. (Kann man selbst auf einem i3 aushalten, auf Netbooks mit Atom-Prozessörchen sollten Sie allerdings selbst ausprobieren, wie sehr man es merkt. Mit ner SSD kann das auch dort noch erträglich sein.)

USB-Stick mit DiskCryptor verschlüsseln

Geht auch.

1. Starten Sie wie gehabt DiskCryptor.
2. Markieren Sie die Partition des USB-Sticks.
3. Klicken Sie auf Encrypt.
4. Wählen Sie wie gehabt ein Verfahren wie AES und überprüfen Sie bei der Gelegenheit, ob die \Device\HarddiskVolume-Angabe übereinstimmt - um sicherzugehen, dass Sie wirklich verschlüsseln, was Sie verschlüsseln wollen.

USB-Stick mit DiskCryptor verschlüsseln

5. Nach der Passworteingabe geht es los, der Vorgang verläuft analog zum oben dargestellten.

DiskCryptor entfernen

Falls es doch mal Probleme gibt, etwa mit dem Windows-Update, mit Boot-Manager, whatever:

  • Markieren Sie die mit mounted gekennzeichnete Partition und wählen Sie Decrypt.

DiskCryptor-Verschlüsselung entfernen

  • Wiederholen Sie das, bis alle Partitionen wieder "normal" sind.
  • Wählen Sie im Hauptmenü Tools, Config Bootloader:

DiskCryptor: Bootloader

  • Markieren Sie die Partition mit dem Bootloader (Spalte Bootloader, installed).
  • Jetzt ist die Schaltfläche Remove Loader rechts oben aktiv, klicken Sie darauf.

DiskCryptor: Bootloader entfernen

  • Überlegen Sie nochmal, ob auch wirklich alles in Ordnung ist.
  • Überlegen Sie nochmal, ob JETZT nicht ein Zeitpunkt für ein weiteres Backup wäre, um wichtige Dateien zu sichern, falls der Rechner nach dem Herunterfahren nicht mehr bootet.
  • Starten Sie neu.
    -> Nach dem Neustart sollte auch keine Passwortfrage mehr kommen!

Lösen Sie nun die Probleme. Installieren Sie dann ggfs. DiskCryptor neu.

PC startet nicht - was tun?

Wenn eine mit DiskCryptor verschlüsselte Systempartition derart Probleme macht, dass man sie nicht mehr starten kann, kann DiskCryptor diese Systempartition naturgemäß auch nicht mehr entschlüsseln. Dann hilft nur, ein Bootmedium zu starten, das DiskCryptor-Partitionen entschlüsseln kann - zum Beispiel die Live-CD mit DiskCryptor (englisch).

Alternativ (so würde ich es machen):

  • Installieren Sie Diskcryptor einfach auf einem anderen, stabilen Windows-7-Zweit-PC.
  • Auf dem Zweit-PC brauchen Sie die Verschlüsselung NICHT zu aktivieren, sie brauchen dort nur die installierte Software.
  • Bauen Sie die verschlüsselte Festplatte des einen Systems aus...
  • ... und verbinden Sie diese mit dem Zweit-PC, etwa via USB-SATA-Gehäuse.
  • Nutzen Sie dann das auf dem Zweit-PC installiere Diskcryptor, um die Verschlüsselung von der fraglichen, ausgebauten, angeschlossenen Festplatte zu entfernen.

Noch ne Alternative:
Dieser Forenbeitrag (https://diskcryptor.net/forum/index.php?topic=4828.0) bietet einen Download einer ISO-Datei von Win7PE mit Diskcryptor an. Das ist 1. möglicherweise lizenzrechtlich problematisch, 2. könnte da auch Malware drin sein (ich glaubs nicht) und 3. hab ichs nicht ausprobiert. Es sei dennoch erwähnt, denn in der Not frisst der Teufel bekanntlich Fliegen...

-

Nutzen Sie DiskCryptor? Welche Erfahrung haben Sie damit gemacht? Ich freue mich über Ihre Kommentare.

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau 'normaler Nutzer' und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht's um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte dich auch interessieren...

19 Antworten

  1. user sagt:

    Die aktuellste Version vom 25.6. unterstützt Windows 8/8.1

  2. Max sagt:

    Habe als Sonderzeichen in meinem Passwort "@" verwendet, dieses lässt sich beim Hochfahren mit verschlüsselter Festplatte nicht wie gewohnt mit "AltGr + Q" eingeben, die Kombinationen "Strg + Alt + Q" sowie "Alt + AltGr +Q" funktionieren auch nicht. Irgendwelche Ideen?

    • Probier mal [AltGr]+[2] (US-Tastaturbelegung).

      Alternativ probier es mal in Alt-Codes (http://www.alt-codes.net/). Das müsste dann [Alt] + [6][4] oder [Alt] + [0][6][4] oder [Alt] + [0][0][6][4] sein. Das ist aber eher 'ne Verzweiflungstat, denn Alt-Codes gehen eigentlich nur unter Windows.

  3. Fragestellerin sagt:

    Hallo liebe Leute,

    noch mal eine kurze Nachfrage zu Windows 8.1 - ist hier die Installation möglich oder habe ich dann Probleme wegen irgendwelche UEFI Geschichten?
    LG

  4. brauchst du nicht sagt:

    1. Bezüglich der Zeichen für das Passwort sollte man beachten, dass Z und Y bei einem US Layout vertauscht sind.
    Dies muss berücksichtigt werden, wenn man das PW zuvor unter einem deutschen Layout eingegeben hat und nun beim Booten unter einem US Layout versucht das PW einzugeben.
    Insofern ist es ratsam auf Z und Y zu verzichten.

    2. Der Vorschlag "Lieber einen ganzen Satz verwenden" ist Quatsch, weil Wörterbuchattaken Wortkombinationen einbeziehen, das schließt auch Sätze mit einzelnen Leerzeichen ein. Wer also normale Sätze verwendet sollte damit rechnen, dass das PW geknackt werden kann.
    Ein Passwort wie Xksh(237+3djk+sDF3 ist wesentlich sicherer und hat nichts mit paranoid zu tun, sondern mit vernunft.

    • 1. Guter und wichtiger Hinweis, danke!

      2. Dass ein Passwort wie Xksh(237+3djk+sDF3 sicherer sei als Ich transportiere meine Frau in den Vorgarten Deiner 3 Mütter. ist ein verbreiteter Mythos, basierend auf dem wahren Sachverhalt, dass Xksh(237+3dj sicherer ist als sesamstrasse. Wahr ist, dass Sätze wie Wir sind im Auftrag des Herrn unterwegs! oder Ich glaube, dies ist der Beginn einer wunderbaren Freundschaft. natürlich unsichere Satzpassphrasen sind, weil sie als Zitate anfällig sind für Wörterbuchattacken mit Zitaten. Es müssen also natürlich schon einigermaßen individuelle Sätze sein.

      Das wahre Problem ist aber dieses:
      Ein "gutes" Passwort wie Xksh(237+3djk+sDF3 verursacht in der Praxis so viel Ärger, dass kein normaler Nutzer es verwenden wird. (Ich sage dies als paranoider Nutzer, der regelmäßig an seinen eigenen Passwörtern scheitert.) Und wenn doch, dann ist ein derart schwer zu merkendes Passwort mit einem Haftzettel am Notebook befestigt oder ähnlicher Unfug. Daher ist es vernünftig und keineswegs Quatsch, im Fall einer Rechnerverschlüsselung lieber einen längeren Satz aus mehreren Wörtern zu verwenden, den man sich auch als Normalbürger merken kann.

      Als Rechnerpasswort ist das für nahezu alle Fälle absolut sicher und perfekt, zumal die Wahrscheinlichkeit, dass das Notebook einer Durchschnittsperson in die Arme eines kundigen Passwortknackers fällt, sehr, sehr, sehr gering ist. Schon ein, zwei Tage auf die Mühe des Knackens zu verschwenden fräße den Materialwert des Notebooks auf. Was würde ein Finder tun? Er würde zehn Passwörter probieren, dann irgendwo auf Astalavista.box.sk & Co ein Free-Tool downloaden, damit scheitern (zugleich seinen PC mit einer Malware infizieren, hahaha), das Gerät schließlich formatieren und bei eBay verscherbeln. Und aus die Maus.

      DAFÜR ist Verschlüsselung gut. Wenn hingegen Agent 007 ukrainische Raketenabschusscodes geheim halten will oder ein Politiker seine Pornobildchen, dann gibt es bei erhärtetem Verdacht ganz andere Mittel, die auch "stärkere" Passwörter wie NO-WY~otJ!0uSF:HMzRnG.vEm/U5Xkwd#xycDaZgpfPAbKsqeC^3jhi°2TB\+6z€ unwirksam werden lassen.

      "Der Paranoide" ist in diesem Blog übrigens keine Schmähung, es ist die gedachte Person mit dem unstillbaren, maximal möglichen Sicherheitsverlangen, die sich nicht von praktischen Erwägungen beschränken lässt, etwa der Unmöglichkeit, sich mehrere Passwörter der Art Xksh(237+3djk+sDF3 zu merken. Sie dient mir als Maß für das theoretisch Erreichbare, aber eben nicht immer Sinnvolle und Alltagstaugliche. Wenn Du Xksh(237+3djk+sDF3 für das bestmögliche Passwort bei einer Notebookverschlüsselung hältst, dann bist Du möglicherweise "paranoid" - eben genau diese Person (Du gabst für den Kommentar ja auch weder Namen noch E-Mail-Adresse an). Akzeptiere es, es ist ja auch völlig in Ordnung. Aber eben kein sinnvoller Maßstab für normale Anwender im normalen Alltag.

  5. WolfgangS sagt:

    Hallo,
    habe heute mein Acer Aspire (Windows 8.1) mit Diskcryptor verschlüsselt. Anschliessend liess es sich nicht mehr booten. Muss jetzt wieder entschlüsseln, wie oben angegeben. Einzige Hürde war, dass ich nicht wusste, dass man im BIOS nicht nur das DVD-LW als Bootlaufwerk angeben muss, sondern auch UEFI deaktivieren und Legacy-Mode aktivieren muss.

    Danke für die Tipps.

  6. Max D sagt:

    Hallo Andreas und der Rest der Welt!

    Ich habe folgendes Problem mit Diskcryptor! Seitdem ich es geladen habe und die C komplett verschlüsselt habe, fährt mein Laptop (Sony Vario) nicht mehr hoch bzw. versucht die ganze Zeit den PC zu reparieren. Was soll ich jetzt in einzelnen Schritten machen, damit ich meinen PC verschlüsselt nutzen kann? Leider habe ich weder eine CD noch einen USB-Stick mit dem Betriebssystem Win 8... Kannst du mir da bitte helfen? Und eine weitere Frage ist, wie ich die Volume Ordener weg bekomme, da diese so viel Spreicherpltz brauchen? Vielen Dank Max D

    • "Systeme Volume"-Ordner: Da sind Deine Systemwiederherstellungspunkte drin; Du gewinnst nichts, wenn Du sie löscht. (Inhalte löschen mit: [Windows]-Taste, im Suchfeld "Datenträgerberei" suchen, "Datenträgerbereinigung" anklicken, auf "Systemdateien bereinigen" klicken ("Ja"), Register "Weitere Optionen", Bereich "Systemwiederherstellung und Schattenkopien" auf "Bereinigen" klicken; alles ausser letztem Systemwiederherstellungspunkt wird gelöscht.) (Man kann die Systemwiederherstellung ganz abschalten, aber das wäre *noch unsinniger*.)

      Diskcryptor: Hätte ich auf Windows 8 sowieso nicht gemacht! Wenn die Mühle noch hochkommt, entferne die Verschlüsselung lieber! Wenn nicht, hast Du ein Problem - und hoffentlich ein Backup. Wenn nicht, dann Scheiße. Da hilft Dir dann wohl nur ein Zurücksetzen des Systems. Das geht bei jedem Notebook anders. Laut Sony geht das mit F10 beim Systemstart, siehe http://community.sony.de/t5/computer-zubehor/sony-vaio-ohne-software-auslieferungszustand-wiederherstellen/td-p/335888; wenn das nicht mehr geht, dann DVD über Sony Vaio Care bestellen https://shop.sony.eu/shop/mimes/openAccess/legal/contact-us/contact_de_DE.html

      Eine Anleitung, eine Live-CD mit integriertem Diskcryptor (zum Entfernen der Verschlüsselung) herzustellen, findest Du hier https://diskcryptor.net/wiki/LiveCD - aber eben nur für Win Vista/7. Dieser Forenbeitrag (https://diskcryptor.net/forum/index.php?topic=4828.0) bietet einen Download einer praktischen, weil fertigen ISO-Datei von Win7PE mit Diskcryptor an. Das ist allerdings 1. möglicherweise lizenzrechtlich problematisch (kräht aber sicher keine Sau danach), 2. könnte da auch Malware drin sein (ich glaubs eher nicht) und 3. ich habs wirklich nicht ausprobiert. Es sei dennoch erwähnt, ausprobieren kann man es ja mal. Das wäre u.U. der einfachste Weg: Brenne diese ISO auf eine CD und probiere es (wie stets: auf eigene Gefahr).

      Wenn es Dir die Mühe wert ist, probiere alternativ dies (so würde ich es tun): Installiere Diskcryptor auf einem stabilen "Windows-7-Testrechner". Verschlüssle ihn NICHT (ist nicht nötig, kann also so gut wie nichts schief gehen). Baue die Festplatte des Vaio aus; verbinde sie mit dem "Windows-7-Testrechner" (z.B. USB-SATA-Gehäuse). Nutze dann das installiere Diskcryptor, um die Verschlüsselung von der VAIO-Festplatte zu entfernen.

  7. KalleH sagt:

    Nun ja, ich habe DC einige Zeit auf meinen Daten-Partitionen benutzt, da mir TC beim Kopieren von TC-Laufwerk zu TC-Laufwerk den Rechner (WIN 8.1, Intel-i7, 12GB HSP) immer nach ein paar Sekunden komplett zum Absturz gebracht hat. Der Rechner hatbeim Kopieren ohne Meldung einfach neu gebootet. Nach dem Umstieg auf DC war einige Zeit Ruhe, dann fing es unter DC auch an. Danach bin ich auf BitLocker umgestiegen, seitdem ist Ruhe im Schacht, und alles läuft ohne Absturz. Ob da Microsoft seine Finger im Spiel hat? Vermutlich nicht, da sonst bestimmt andere Anwender dieses Problem ebenfalls hätten. Nachdem ich keine NSA-, BND- und LKA-relevanten Daten speichere, bleibe ich bei BitLocker, aber es wurmt mich, und merkwürdig ist das schon.
    Gruß KalleH

    • Andreas W. sagt:

      Hat Microsoft seine Finger im Spiel? Halte ich für Spökenkiecken. Bitlocker ist halt jahrelang gereift, mit Budget; die Alternativen mussten meist ohne Budget auskommen. Ärgerlich ist es dennoch.

  8. Ano Nym sagt:

    Möglicherweise würden noch die Sonderzeichen "! $ %" gehen, die befinden sich auf den gleichen Stellen bei beiden Tastaturen. Ich trau mich jedoch nicht, das auszuprobieren.

    Kurze Frage an der Verschlüsselung selber. Wenn ich jetzt ein 4-Zeichen-Passwort habe, woher weiß der Hacker, dass ich 4 Zeichen benutze? Kann man das in Erfahrung bringen, wie viel Zeichen benutzt worden sind? (Geht der Brutforcer dann wirklich alle 13.845.841 Möglichkeiten durch, wie lange braucht so ein Programm dafür)

    • Andreas sagt:

      Sonderzeichen: Würd ich auch nicht ausprobieren ;-)

      Kann man in Erfahrung bringen, wie viel Zeichen benutzt worden sind?
      Kommt auf die konkrete Implementation an. Im optimalen Fall: nein. Bei Schlamperei: Vielleicht.

      Geht ein Brute-Force-Tool alle Möglichkeiten durch?
      Kommt auf die konkrete Implementation an. Schlauere Tools gehen erst mal die leicht merkbaren, einfach tippbaren, weniger komplexen Kombinationen durch, also 1111, aaaa, ..., 1234, 2345, asdf, sdfg und so weiter durch und machen sich erst später die Mühe, auch exotische Sonderzeichen auszutesten. Die Zeitdauer hängt ebenfalls von der konkreten Umsetzung um, also ob Du ein "eigenes DiskCryptor" schreibst, oder ob Du einen (hypothetischen) Roboter programmierst, der die Passphrase manuell oder über ein "Tastatur-Ersatz-Interface" eingibt. 4 Stellen dürfte theoretisch keine Sekunde bis einige Minuten dauern, in der Praxis dann vielleicht Minuten, bei Verwendung aller theoretisch möglichen ASCII-Zeichen vielleicht auch Stunden.

      Du kannst das ganz einfach selbst ausprobieren.
      1. Verpacke irgendwas in ein ZIP und verwende dabei (7-Zip kann das) ein Passwort.
      2. Verwende dabei ein komplexes, aber eben nur vierstelliges Passwort, etwa 6/Pä
      3. Hol Dir einen seriösen Passwortknacker, Neusprech "Recovery Tool", etwa Advanced Archive Password Recovery - die Demo kann maximal 4 Stellen, reicht also für diesen Versuch.
      (3b. Widerstehe der Versuchung, hier Warez oder so zu verwenden. Password Recovery Tool zu googeln oder entsprechende Tools via Torrent zu ziehen ist heutzutage eine Einladung an Trojaner...)
      4. Knacke mit dem Tool Advanced Archive Password Recovery das Passwort des ZIPs. (Macht es automatisch nach dem Öffnen.) Folgendes wirst Du sehen: In der Grundeinstellung scheitert das schon mal, wegen der Sonderzeichen. Nimmst Du die noch hinzu, ist das Passwort ruckzuck da.

      Wenn Du mehr probieren willst, nimmt - auf eigene Gefahr - PicoZip. Die mit Link unterlegte "alte Version" ist Freeware, etwas langsam und nicht ganz perfekt, aber vielleicht nicht sauber (reine Paranoia, nichts weist derzeit darauf hin). Damit kannst Du zum Beispiel checken, wie lange es real braucht, also wirklich: ganz konkret, ein ZIP mit Passwörtern wie atzmbg, danach atz876, dann atz876B, schliesslich atz876cC und atz876PA! zu knacken (und länger schaffst Du mit diesen Mitteln sowieso nicht mehr). Du wirst sehen, dass Du eigene Passwörter, die nur aus Kleinbuchstaben bestehen, mit einer Länge von 6 bis 7 problemlos knacken kannst - aber eben mit Sonderzeichen sofort die Hürden sehr hoch legst.

      Die Leute, die sich damit beschäftigen, verwenden und machen natürlich andere oder eigene Tools, etwa John the Ripper. Aber letztlich kann man bereits aus den harmlosen "ZIP Recovery Tools" schon viel lernen.

  9. Ano Nym sagt:

    Okey, kannst du mir sagen, ob Truecrypt oder Diskcryptor irgenwelche Backdoors haben, wie ein Hersteller-Superpasswort oder Logfiles.

    Wenn ich das Passwort eintippe, wird es dann nicht im Ram zwischengespeichert?

    • Andreas W. sagt:

      Niemand kann sagen, ob diese oder andere Programme oder Tools oder Treiber (oder Windows, oder das BIOS) Backdoors haben; aber wenn es jemandem aufgefallen wäre, wäre es bekannt. Ein Blick in die Geschichtsbücher lehrt, dass selten Backdoors den Zugriffsschutz aushebeln, sondern ungenügend sicheres Nutzerverhalten.

      Ja: Passwörter passieren an einer bestimmte Stelle zwangsläufig den Arbeitsspeicher, das geht gar nicht anders. Auch der Schlüssel wird ja ununterbrochen benutzt, um in Echtzeit zu verschlüsseln und entschlüsseln, auch das geht nicht anders. Sprich: Der solcherart "gesicherte Rechner" ist selbstverständlich nur im ausgeschalteten Zustand (!) "sicher". Wenn der Rechner aktiv ist, ist _natürlich_ der Zugriffsschutz _nicht_aktiv, sonst wäre der Rechner ja nicht benutzbar. Aktiv ist nur die Ent- und Verschlüsselung, die den Zugriffsschutz im ausgeschalteten Zustand sicherstellt. Oder anders: Wenn Dich ein GSG-9-Team mit aufgeklapptem Notebook erwischt, dann nützt Dir die Verschlüsselung nichts. Paranoide müssen also auch den physischen Zugriff schützen (Bunker, etc.) (;-)

  10. Steffen sagt:

    Moin,

    ist es auch möglich das komplette System zu verschlüsseln und beim booten nur ein Passwort eingeben zu müssen? Damit meine ich, dass das System z.B. aus einer SSD (Betriebsystem) und einer HDD (Daten) besteht. Oder ist der Weg über eine .bat unumgänglich?

    Gruß Steffen