Windows-Systempartition verschlüsseln mit DiskCryptor

DiskCryptor

DiskCryptor

Weil TrueCrypt seit der “Vertraut uns nicht mehr!”-Nachricht der TrueCrypt-Entwickler nicht mehr jedem schmeckt, empfehle ich als Alternative DiskCryptor. Das hat einige Funktionen weniger, ist aber angenehm simpel und reicht für die meisten Zwecke völlig aus.

Vorweg eine kurze Frage&Antwort-Stunde:

  • “Brauche ich das überhaupt?”
    Das müssen Sie selbst entscheiden. Wenn Ihr Notebook verlorengeht oder gestohlen wird, sind die Daten darauf – etwa in Mail und Browser gespeicherte Passwörter und damit der Zugang zu Ihren Identitäten – im Normalfall unsicher, mit DiskCryptor hingegen hinreichend sicher.
  • “Funktioniert es mit Windows 7?”
    Bei mir: problemlos. Aber ich hatte eben auch keine Probleme, bisher.
  • “Funktioniert es mit Windows 8?”
    Ja, seit neuestem: die aktuelle Version vom 25.6. geht auch mit Windows 8.1 (siehe Changelog). Vorsicht, DiskCryptor funktioniert eher NICHT auf Windows 8 (->Ausnahme:Tüftelei). Auf Windows 8 steht Ihnen möglicherweise schon ab Werk Microsofts “BitLocker” zur Verfügung (ab “Pro”, sowie auf einigen Tablets). Sofern Sie kein Staatsfeind sind, reicht das auch.

Ich rate davon ab, Windows 8 mit Diskcryptor zu nutzen. Sie haben keine Wiederherstellungsmöglichkeit bei Problemen!

  • “Funktioniert es mit SSDs?”
    Bei mir: problemlos.
  • “Funktioniert es mit meinem Mehrfachbootsystem?”
    Vielleicht. DiskCryptor ersetzt definitiv den Bootloader, das bringt bei so was immer Ärger. Lilo und Grub kann DC “offiziell”, aber wer weiß … nach zu vielen Problemen mit MultiBoot meide ich es.
  • “Ich habe TrueCrypt 7.1x – muss ich wirklich dringend wechseln?”
    Ich behaupte: nein. Aber das mag sich irgendwann ändern, dann aber werden wir es sicher erfahren. Vorsicht ist in jedem Fall vor Version 7.2 geboten!
  • “Hat DiskCryptor verschlüsselte Container-Dateien?”
    Nein. Alternative 1: Derzeit gibt es eine Promo-Aktion von Steganos, um die Altversion Steganos Safe 14 kostenlos abzugreifen: Info hier. Alternative 2: Nehmen Sie VHD-Dateien; mounten Sie diese mit Bordmitteln (oder praktischer: mit dem coolen Tool VHD Attach) und verschlüsseln Sie diese mit DiskCryptor oder (mit Hilfe eines Windows-8-Pro-PCs) mit BitLocker. Bitlocker hat den Vorteil, dass Sie die VHD-Container auch auf anderen PCs und Windows-Versionen (XP, Vista, 7, 8) verwenden können, ohne etwas installieren zu müssen.
  • “Was mache ich bei Problemen?”
    Verzweifeln. Nutzen Sie die Gelegenheit und setzten Sie das ganze System neu auf …
    Vorbeugend: Erzeugen Sie eine Live-CD mit DiskCryptor (nur Vista/7!) oder nehmen Sie Hiren’s BootCD mit DiskCryptor zum Entschlüsseln der Windows-Systempartition.

Machen Sie sich bitte klar, dass den Rechner zu verschlüsseln dafür sorgen kann, dass Ihre Daten vor *jeglichem* Zugriff “geschützt” sind – auch vor ihrem eigenen! Auf einem verschlüsselten Mobilrechner sollten Sie keine Daten haben, die Sie nicht auch andernorts als Backup ein zweites Mal haben!

  • “Ist mein Backup verschlüsselt?”
    Nein, wenn Sie aus einem verschlüsselten Windows heraus auf einen normalen externen Datenträger sichern. Ja, wenn der externe Datenträger ebenfalls verschlüsselt ist – dann aber dürfte es schwer werden, ein Restore zustande zu bringen. Anders gesagt: Sorgen Sie entweder dafür, dass auf dem Gerät nur entbehrliche Daten liegen (so mache ich es), oder sorgen Sie dafür, dass Sie ein Backup auf einer externen, unverschlüsselten Festplatte haben – diese aber an einem sicheren Ort liegt.
  • “Ist meine Dropbox / Copy / OneDrive / Google Drive verschlüsselt?”
    Nein, dafür benötigen Sie auch mit DiskCryptor ein eigenes Tool. Das liegt daran, dass nach der Eingabe des Passworts vor dem Windows-Start die Verschlüsselung sozusagen unsichtbar ist, ja sein muss, sonst wäre der Rechner ja nicht nutzbar. Daher werden Cloud-Dateien unverschlüsselt in der Cloud gespeichert, auch wenn sie verschlüsselt auf dem Rechner liegen – denn Windows “nimmt sie unverschlüsselt wahr”. Die Verschlüsselung ist sozusagen nur aktiv, wenn der Rechner “nicht von Ihnen benutzt” wird, das ist bei BitLocker und TrueCrypt übrigens nicht anders.
  • “Kann man die Verschlüsselung von DiskCryptor knacken?”
    Das wissen wir erst, wenn es passiert ist. Alle geknackten Systeme haben mal als unknackbare Systeme angefangen…
  • “Wie könnte man die Verschlüsselung von DiskCryptor aushebeln?”
    Indem man sie von innen angreift, etwa durch Malware, die den Schlüssel im laufenden Betrieb ausliest. Oder anders: Ihr PC ist nur sicher, solange er ausgeschaltet ist. Wenn Sie ihn anschalten, mit Passwort “öffnen” und benutzen, ist er nicht nur für Sie, sondern auch für alle Ihre Software offen, ergo “unsicherer” als im ausgeschalteten Zustand. Achten Sie also darauf, was Sie installieren, benutzen, tun.
  • “Ist DiskCryptor sicher (genug (für mich))?”
    Stellen Sie sich folgende Frage: Welches Geheimnis wollen Sie beschützen? Fotos ihrer Kinder, Mail-Programm mit Zugang zur Firmenmail soll nicht in fremde Hände gelangen = DiskCryptor reicht aus. James-Bond-Geheimpläne, Abschusscodes von US-Atomwaffenbasen = DiskCryptor reicht vielleicht, vielleicht auch nicht, jedenfalls würde der Angreifer (für ihn) einfachere Wege gehen.

Zur Frage, was eigentlich “sicherer” wird, wenn Sie Windows-Systempartition verschlüsseln, ob mit DiskCryptor oder einer anderen Software, lesen Sie bitte auch [F&A] Was wird sicherer, wenn wir Windows verschlüsseln?

DiskCryptor installieren

JETZT ist eine gute Gelegenheit, ein vollständiges Backup des fraglichen Rechners durchzuführen und eine Live-CD mit DiskCryptor zu Entschlüsselungszwecken herzustellen.

Denn unter Umständen ist es die letzte Gelegenheit (wenn etwas schief geht, es Probleme gibt, Sie das Passwort vergessen, etc.), Ihre Daten vor Verlust zu schützen!

1. Nach dem Download überprüfen Sie die angegeben Hashwerte der Datei, etwa mit Hashtab / Fsum Frontend.

2. Starten Sie dcrypt_setup und installieren das Tool auf die übliche Weise.

3. Nach dem Installieren gibts ein Programm-Icon und ein Neustart wird fällig.

Intermezzo: AES-, Twofish-, Serpent-Benchmark

Wenn Sie wissen wollen, welche Verschlüsselung auf Ihrem PC am schnellsten ist, wählen Sie jetzt im Hauptfenster Tools, Benchmark und klicken Sie auf Benchmark.

Im folgenden Screen ist links Serpent am schnellsten, im rechten AES (mit Abstand!):

AES-, Twofish-, Serpent-Benchmark

AES-, Twofish-, Serpent-Benchmark

Woran liegt es? An den Prozessoren. Auf den meisten Büchsen dürfte AES am schnellsten sein, weil der Intel-Prozessor auf Notebooks mit AES-Hardwarebeschleunigung DiskCryptor unter die Arme greift (auch bei einigen Via-Chips).

Sie sehen auch, dass “sicherere” Kombis (man spricht von “Kaskaden”) natürlich entsprechend langsamer sind. Also lassen Sie sich nicht kirre machen: AES reicht. (Bedenken Sie auch, dass dies nur synthetische Werte sind, in der Praxis sind jeweils Zugriffe auf die Festplatte nötig – und die sind der eigentliche Flaschenhals.)

Merken Sie sich die bei Ihnen “schnellste” Cipher, Sie brauchen das gleich.

Windows-Systempartition verschlüsseln mit DiskCryptor

Backup gemacht?

Und weiter geht’s:

4. Die GUI ist simpel und listet einfach nur Ihre Partitionen auf. Markieren Sie C: und klicken Sie rechts auf Encrypt.

Windows-Systempartition verschlüsseln mit DiskCryptor

Windows-Systempartition verschlüsseln mit DiskCryptor

Gelegentlich findet man eine 100-MB-Partition auf dem Rechner. Die kann man mitverschlüsseln, muss man aber nicht; lassen Sie sich aber bloß nicht täuschen und begnügen Sie sich nicht damit, diese Partition zu verschlüsseln. C: muss verschlüsselt werden, als erstes, hier im Beispiel im Infobereich unten als \Device\HarddiskVolume2 genannt. Wählen Sie daher zuerst C: und wählen Sie Encrypt.

5. Wählen Sie den Verschlüsselungsalgorithmus. AES 256, Twofish, Serpent können derzeit alle drei als sicher gelten. AES ist meist am schnellsten (siehe Benchmark oben). (Achten Sie darauf, dass im Dialog-Titel wirklich auch \Device\HarddiskVolume2 steht, wie im vorherigen Schritt bei C: gesehen – so können Sie sicher sein, gerade die richtige Partition zu verschlüsseln. Das ist nämlich ein bisschen unschön gelöst, visuell.)

DiskCryptor-Verschlüsselungsalgorithmus wählen: AES, Twofish, Serpent

DiskCryptor-Verschlüsselungsalgorithmus wählen: AES, Twofish, Serpent

Paranoide können die Verfahren auch kombinieren: Selbst wenn eines der drei Verfahren dann überraschend “geknackt” wird, sind die anderen zwei noch wirksam – aber der Rechner wird natürlich langsamer. Deutlich langsamer.

Klicken Sie auf Next.

6. Es wird eine Partition zum Installieren des Bootloaders angeboten. Wählen Sie Install to HDD.

DiskCryptor: Boot Settings

DiskCryptor: Boot Settings

Klicken Sie auf Next.

7. Geben Sie ein Passwort ein. Es gilt das übliche: bitte lang & komplex (->Tipps). Achten Sie auf das Password Rating: “Medium” ist das mindeste für Durchschnittsbürger.

WICHTIG!
Meiden Sie alle Sonderzeichen, die auf US-Tastaturen anders aussehen würden als auf Deutschen! Also kein Y und Z (Danke an den anonymen Kommentator!), @, kein $ und so weiter, auch keine ßöüä! Denn wenn der Rechner startet und Sie das Passwort eingeben, haben Sie unter Umständen, je nach Computer, eine “US-Tastatur” vor sich, geben also durch das Drücken der Tasten ZÖÜÄ alles mögliche ein, aber gewiss nicht ZÖÜÄ! Siehe Wikipedia, deutsche Tastaturbelegung versus US/Intl.-Tastatur-Belegung. Auf der sicheren Seite sind Sie mit “A” bis “X” (ohne Y und Z), “a” bis “x”, “0” bis “9”, sowie “,” und “.”.

Außerdem gilt:

Machen Sie es sich auch nicht zu schwer:
Lieber einen ganzen Satz verwenden (“Ich trinke jede Woche 4 famose Schoppen Katzenbier.“) als sich hier mit Geknödel wie “EDC4rtgb,.n12kc..,,mqoDUcmDL“) bei jedem Rechnerstart selbst zu quälen! Man kann auch paranoider als paranoid werden … aber es sollte, um den Einwurf eines anonymen Kommentators aufzunehmen, ein einigermaßen nicht-alltäglicher Satz sein und außerdem kein Zitat.

DiskCryptor: Volume Password

DiskCryptor: Volume Password

Wichtig: Wenn Sie das, was Sie hier eingeben, vergessen, sind Ihre Daten futsch, samt Windows.

DiskCryptor-Password anzeigen

DiskCryptor-Password anzeigen

Nutzen Sie Show Password, um zu spicken, ob da wirklich steht, was Sie hinschreiben wollten.

8. Klicken Sie auf OK. Dann geht es los.

DiskCryptor verschlüsselt die Systempartition ...

DiskCryptor verschlüsselt die Systempartition …

9. Anschließend verzweifeln Sie – wie ich – beim Login … erinnern sich dann aber doch ans richtige Passwort.

DiskCryptor-Login (wenn man sein Passwort vergessen hat)

DiskCryptor-Login (wenn man sein Passwort vergessen hat ;-)

Wichtig:
Der Rechner ist jetzt so verschlüsselt, dass 1. niemand Windows starten kann, ohne das Passwort zu haben, 2. kann auch niemand (vor dem Rechnerstart, vor der Passworteingabe) auf der verschlüsselten Partition Daten lesen (auf eventuell vorhandenen anderen schon).
Als Schwäche verbleibt der Standby-Modus: Sie klappen das Notebook zu, jemand stiehlt es, klappt es auf, und siehe da: Windows ist noch wach, man hat Zugriff ohne DiskCryptor-Kennwort! Aktivieren Sie also Screensaver-Kennwort und die Kennworteingabe beim Aufwachen (eigentlich voreingestellt, aber manche schalten das aus Bequemlichkeit ab). Umgekehrt können Sie sich jetzt (aber nur jetzt) auf Einzelbenutzer-Rechnern den Windows-Login sparen und Windows 7 ohne  Passwort starten.

10. Die weitere Benutzung des Rechners ist transparent. Das heißt, Sie sollten nichts von DiskCryptor mitbekommen, außer eine etwas langsamere Arbeitsweise. (Kann man selbst auf einem i3 aushalten, auf Netbooks mit Atom-Prozessörchen sollten Sie allerdings selbst ausprobieren, wie sehr man es merkt. Mit ner SSD kann das auch dort noch erträglich sein.)

USB-Stick mit DiskCryptor verschlüsseln

Geht auch.

1. Starten Sie wie gehabt DiskCryptor.
2. Markieren Sie die Partition des USB-Sticks.
3. Klicken Sie auf Encrypt.
4. Wählen Sie wie gehabt ein Verfahren wie AES und überprüfen Sie bei der Gelegenheit, ob die \Device\HarddiskVolume-Angabe übereinstimmt – um sicherzugehen, dass Sie wirklich verschlüsseln, was Sie verschlüsseln wollen.

USB-Stick mit DiskCryptor verschlüsseln

USB-Stick mit DiskCryptor verschlüsseln

5. Nach der Passworteingabe geht es los, der Vorgang verläuft analog zum oben dargestellten.

DiskCryptor entfernen

Falls es doch mal Probleme gibt, etwa mit dem Windows-Update, mit Boot-Manager, whatever:

  • Markieren Sie die mit mounted gekennzeichnete Partition und wählen Sie Decrypt.
DiskCryptor-Verschlüsselung entfernen

DiskCryptor-Verschlüsselung entfernen

  • Wiederholen Sie das, bis alle Partitionen wieder “normal” sind.
  • Wählen Sie im Hauptmenü Tools, Config Bootloader:
DiskCryptor: Bootloader

DiskCryptor: Bootloader

  • Markieren Sie die Partition mit dem Bootloader (Spalte Bootloader, installed).
  • Jetzt ist die Schaltfläche Remove Loader rechts oben aktiv, klicken Sie darauf.
DiskCryptor: Bootloader entfernen

DiskCryptor: Bootloader entfernen

  • Überlegen Sie nochmal, ob auch wirklich alles in Ordnung ist.
  • Überlegen Sie nochmal, ob JETZT nicht ein Zeitpunkt für ein weiteres Backup wäre, um wichtige Dateien zu sichern, falls der Rechner nach dem Herunterfahren nicht mehr bootet.
  • Starten Sie neu.
    -> Nach dem Neustart sollte auch keine Passwortfrage mehr kommen!

Lösen Sie nun die Probleme. Installieren Sie dann ggfs. DiskCryptor neu.

PC startet nicht – was tun?

Wenn eine mit DiskCryptor verschlüsselte Systempartition derart Probleme macht, dass man sie nicht mehr starten kann, kann DiskCryptor diese Systempartition naturgemäß auch nicht mehr entschlüsseln. Dann hilft nur, ein Bootmedium zu starten, das DiskCryptor-Partitionen entschlüsseln kann – zum Beispiel die Live-CD mit DiskCryptor (englisch).

Alternativ (so würde ich es machen):

  • Installieren Sie Diskcryptor einfach auf einem anderen, stabilen Windows-7-Zweit-PC.
  • Auf dem Zweit-PC brauchen Sie die Verschlüsselung NICHT zu aktivieren, sie brauchen dort nur die installierte Software.
  • Bauen Sie die verschlüsselte Festplatte des einen Systems aus…
  • … und verbinden Sie diese mit dem Zweit-PC, etwa via USB-SATA-Gehäuse.
  • Nutzen Sie dann das auf dem Zweit-PC installiere Diskcryptor, um die Verschlüsselung von der fraglichen, ausgebauten, angeschlossenen Festplatte zu entfernen.

Noch ne Alternative:
Dieser Forenbeitrag (https://diskcryptor.net/forum/index.php?topic=4828.0) bietet einen Download einer ISO-Datei von Win7PE mit Diskcryptor an. Das ist 1. möglicherweise lizenzrechtlich problematisch, 2. könnte da auch Malware drin sein (ich glaubs nicht) und 3. hab ichs nicht ausprobiert. Es sei dennoch erwähnt, denn in der Not frisst der Teufel bekanntlich Fliegen…

Nutzen Sie DiskCryptor? Welche Erfahrung haben Sie damit gemacht? Ich freue mich über Ihre Kommentare.

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau 'normaler Nutzer' und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht's um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte dich auch interessieren …