Dual-Boot-Konfiguration verschlüsseln

[champignon]

Hallo Forum,
nach eine Plattenschaden (Back-Ups sind was feines.. ) darf ich mal wieder alles neu aufbauen.
Windows XP und Debian teilen sich eine Platte, der Datenaustausch funktionierte so lala, Debian las NTFS, XP las ext3.
Schreiben ging nur über externe festplatte/USB-Stick.
Mein jetziges Ziel: alle Partitionen beider OS sind verschlüsselt.
Meinen Kenntnissen nach kann Linux nichts mit verschlüsseltem NTFS (EFS) anfangen. Und ein Windows-Treiber für für verschlüsselte Partitionen unter Linux kenne ich auch nicht. Außerdem arbeitet EFS Dateiweise, was mir auch nicht passt.
Bliebe Truecrypt. Nur: was passiert, wenn ich die primäre XP-Partition mit TC verschlüssele und anschließend Debian mit GRUB aufspiele. Wenn ich das richtig verstehe, dann vernichtet Grub mir den von TC eingerichteten Bootloader im MBR.
Ist nur keweils ein OS auf der Platte, ist das überhaupt kein Problem.
Hat jemand eine Lösung dafür?

Viele Grüße,
Champignon

[schwedenmann]

Hallo

Wenn ich das richtig verstanden habe, darf grub nih in den MBR, aberes sollen alle OS gebootet werden können.

Wie wäre es dann für linux mit einer Bootcd (grubcd oder syslinuxcd) ?

mfg
schwedenmann

[champignon]

Hallo Schwedenmann,

Wenn ich das richtig verstanden habe, darf grub nih in den MBR, aberes sollen alle OS gebootet werden können.

Ja, alle OS sollen möglichst wie bisher von HD gebootet werden, am besten wie vorher mit dem Grub-Menü
Ja, Grub darf nicht in den MBR, denn da ist schon Truecrypt. Ich zitiere mal heise:

Damit Windows von der verschlüsselten Platte starten kann, installiert TrueCrypt einen Bootloader im ersten Sektor der Festplatte, dem Master Boot Record. Dieser fragt den Anwender direkt nach dem Einschalten nach dem Passwort (Pre-Boot Authentication). Andere Authentifizierungswege, etwa über einen TPM-Chip oder einen USB-Stick, wie sie etwa BitLocker anbietet, kennt TrueCrypt (noch) nicht.

Soo, nun eine kleine Ergänzung zum Ursprungspost: EFS kann nämlich doch ganze Verzeichnisse verschlüsseln . Aber das sind dann nur einzelne Verzeichnisse und eben nicht eine Partition.

Wie wäre es dann für linux mit einer Bootcd (grubcd oder syslinuxcd) ?

Klingt interessant. Aber könnte ich dann nicht GRUB einfach in die erste primäre Partition installieren, XP in die Zweite und Debian (verschlüsselt) in eine Erweiterte? Geht sowas?

Champignon

[123456]

Was habt ihr nur alle zu verbergen, das ihr auch die Systempartition verschlüsseln müsst?

lies dir das mal durch:
http://forum.ubuntuusers.de/topic/xp-mi ... -heraus-s/

[champignon]

Was habt ihr nur alle zu verbergen, das ihr auch die Systempartition verschlüsseln müsst?

Genau, wer nicht zu verbergen hat, hat nichts vorher verschlüsselt, ääh ich meine natürlich: hat nichts zu befürchten. Besser, Herr Innenminister?
Aber neben politischen Gründen gibt es noch eine profane Überlegung: Was passiert bei einem Einbruch und dem Diebstahl meines Rechners? Nicht lachen, ist einem guten Freund passiert. OK, er hatte ein Shuttle, ich habe einen Tower.
Die Vorstellung, irgendjemand ersteigert eine von mir gestohlene Festplatte bei Ebay sorgt für gewisses Unbehagen.

lies dir das mal durch:
http://forum.ubuntuusers.de/topic/xp-mi ... -heraus-s/

Treffer! Scheint ziemlich genau das zu sein, was ich suche. Ich werde das mal ausprobieren.

Champignon

Edit: Rechtschreibfehler

[123456]

Die Vorstellung, irgendjemand ersteigert eine von mir gestohlene Festplatte bei Ebay sorgt für gewisses Unbehagen.

SATA Platte und Passwort drauf finde ich ganz praktisch.

[champignon]

SATA Platte und Passwort drauf finde ich ganz praktisch.

Dein Tip klingt nicht schlecht, aber ich habe noch so ein System aus der frühen Bronzezeit mit nur einem! Prozessorkern (Athlon XP 3000) und PATA-Platte.
Und da es noch ausreichend schnell läuft, will ich es auch weiterhin nutzen.
Trotzdem Danke.

Champignon

Edit:
Damit kommt man u.A. dahin: http://www.heise.de/ct/05/08/172/
Der Artikel ist eher reißerisch, aber gegen Ende findet sich das hier:

Wie sicher sind Festplattenpasswörter?

Bei dem in diesem Artikel beschriebenen ATA Security Feature Set handelt es sich um eine in der Festplattenfirmware realisierte Passwortsperre. Sie kostet im Betrieb keine Performance, bietet aber weniger Sicherheit als eine starke Verschlüsselung. Wenn es irgendwie gelingt, die Firmware auszutricksen, liegen alle Daten offen.

Die Festplattenhersteller versichern, dass sie keine Hintertüren in Form geheimer Generalschlüssel eingebaut haben und selbst nicht in der Lage sind, passwortgeschützte Platten zu entsperren. Auch ein Tausch der Laufwerkselektronik mit der einer ungeschützten Platte hebelt den Schutz nicht aus, denn große Teile der Firmware und das Passwort werden auf der Platte selbst gespeichert und nicht etwa in einem Flash-Speicher auf der Platine.

Hmm, könnte man nicht mit diff und dd (vorher/nachher) die Stelle auf der Platte finden?

Findige Köpfe bei den Datenrettungsunternehmen haben dennoch Wege gefunden, das Passwort zu umgehen. Die Firma Ibas war so freundlich, uns eine Probe ihres Könnens zu geben. Wir haben eine WD1000JB mit einem 32 Byte langen Passwort gesperrt und eingesandt und postwendend die „geheime“ Datei zurückerhalten, die auf der Platte gespeichert war. „Da war ein bisschen Glück dabei“, so Ibas-Geschäftsführer Karl Flammersfeld. „Wenn wir das Festplattenmodell bereits kennen, geht das recht schnell. Bei unbekannten Modellen kann es schon mal eine Weile dauern, aber meistens bekommen wir es hin.“ Wie der Trick funktioniert, möchte er nicht verraten - Geschäftsgeheimnis. Es ist jedenfalls nicht nötig, die Festplatte dazu zu öffnen.

So lautet das ernüchternde Fazit zum Thema ATA Security: Für wirklich sensible Daten ist der Mechanismus zu unsicher, weil ihn die Datenretter umgehen können. Man kann damit aber großen Schaden anrichten, weil nur die Datenretter ihn umgehen können.