Alex' blog (Artikel mit Tag truecrypt)

TrueCrypt 6.1

nospam@example.com (Alex) — Sat, 01 Nov 2008 15:37:23 +0100

Seit gestern gibt es TrueCrypt in Version 6.1 zum Download.

In die neue Version sind viele verschiedene Änderungen eingeflossen:

Ability to encrypt a non-system partition without losing existing data on the partition. (Windows Vista/2008)

(Note: To encrypt a non-system partition in place, click 'Create Volume' > 'Encrypt a non-system partition' > 'Standard volume' > 'Select Device' > 'Encrypt partition in place' and then follow the instructions in the wizard. Please note that this is not supported on Windows XP/2000/2003 as these versions of Windows do not natively support shrinking of a filesystem (the filesystem needs to be shrinked to make space for the volume header and backup header).)

Support for security tokens and smart cards.

The TrueCrypt boot loader can be prevented from displaying any texts (by selecting Settings > System Encryption and enabling the option 'Do not show any texts in the pre-boot authentication screen').

The TrueCrypt boot loader can now display a custom message (select Settings > System Encryption and enter the message in the corresponding field) either without any other texts or along with the standard TrueCrypt boot loader texts.

Pre-boot authentication passwords can now be cached in the driver memory, which allows them to be used for mounting of non-system TrueCrypt volumes (select Settings > System Encryption and enable the option 'Cache pre-boot authentication password').

Linux and Mac OS X versions: The ability to mount a Windows system partition encrypted by TrueCrypt and to mount a partition located on a Windows system drive that is fully encrypted by a Windows version of TrueCrypt.

During the process of creation of a hidden operating system, TrueCrypt now securely erases the entire content of the partition where the original system resides after the hidden system has been created. The user is then prompted to install a new system on the partition and encrypt it using TrueCrypt (thus the decoy system is created).

TrueCrypt 6

nospam@example.com (Alex) — Sun, 06 Jul 2008 12:25:00 +0200

In letzter Zeit geht es bei den Entwicklern von TrueCrypt wohl etwas schneller voran als früher: vorgestern ist Version 6 mit diesen Neuerungen erschienen.

Benchmark: AMD Turion 64 X2 Mobile TL-56 1,80 Ghz

TrueCrypt ist vor allem schneller auf Multicore- bzw. Multi-CPU-Systemen geworden.

Update: Seit dem 8. Juli ist TrueCrypt 6.0a verfügbar, welches ein Bugfix-Release ist.

Neue Hakin9-Ausgabe: Nr. 34 / 04-2008

nospam@example.com (Alex) — Sat, 21 Jun 2008 16:23:00 +0200

Es ist mal wieder soweit: eine neue Ausgabe der Fachzeitschrift Hakin9 ist verfügbar. Im Moment allerdings nur für Abonnenten. Die Ausgabe am Kiosk kommt gegen Monatsende.

Ich bin (mal wieder) mit zwei Artikeln darin vertreten. Ein Artikel zu "Anti DNS-Pinning" und ein Tool-Artikel über "TrueCrypt".

Zu dem TrueCrypt-Tool-Artikel muss ich bereits jetzt schon etwas loswerden: er ist nicht mehr ganz aktuell.
Mein Artikel stammt noch aus der Zeit als Version 5.0 noch aktuell war. Mit dem Erscheinen von Version 5.1a haben sich ja noch ein paar Dinge (z.B. Hibernation Mode) geändert.
Das dieser Tool-Artikel erst so spät herauskommt, liegt aber nicht an mir. Wer sich über TrueCrypt und den Veränderungen von 5.0 zu 5.1a bei mir noch informieren möchte, dem lege ich folgenden Link ans Herz: http://www.bitsploit.de/plugin/tag/truecrypt

Die neue Ausgabe beinhaltet noch folgende weitere Artikel:

Kryptoanalyse mit C
Breaking Enterprise Security
Address Space Layout Randomization
ISO 27001
Unternehmen schützen mit IT-Grundschutz
IT-Sicherheit ritualisieren
Eine sichere PHP-Umgebung schaffen
Datenschutz - Chance statt Blockade
Löschen von Festplatten
Interview mit Professor Hartmut Pohl
Feuilleton "Digitale Hausdurchsuchung 2008"

(In der Ausgabe 35 werden auch wieder zwei Artikel von mir mit am Start sein: ein Tool-Artikel zum Programm "Dnsmap" und ein Artikel zu "HTTP Response Splitting".)

TrueCrypt 5.1

nospam@example.com (Alex) — Tue, 11 Mar 2008 14:21:02 +0100

Seit dem 10. März steht TrueCrypt in Version 5.1 zum Download bereit.

Mit der neusten Version funktioniert der Ruhezustand unter Windows sogar bei einer komplett verschlüsselten Systempartition.
Zudem ist die Steuerung per Kommandozeile bei der Linux-Version wieder zurückgekommen. Der Verschlüsselungsalgorithmus AES wurde von der Performance her deutlich verbessert. Mit Version 5.1 lassen sich nun auch verschlüsselte Systempartitionen als Volume mounten. Desweiteren sind noch einige weitere Neuerungen hinzugekommen, die man hier genauer nachlesen kann.

Ein großes Lob an die Entwickler !

Truecrypt 5.0a

nospam@example.com (Alex) — Wed, 13 Feb 2008 20:27:00 +0100

Gut eine Woche später steht bereits das erste Bugfix-Release für Truecrypt 5 bereit: 5.0a.
Ein Update ist empfehlenswert, aber aus sicherheitstechnischer Sicht nicht zwingend nötig.

Mein alter Beitrag zu Truecrypt 5.0.

Update: Der allerneusten Timeline ist zu entnehmen, dass eine Unterstützung des Ruhezustands unter Microsoft Windows geplant ist.

Truecrypt 5.0 ist fertig

nospam@example.com (Alex) — Wed, 06 Feb 2008 06:09:23 +0100

Seit wenigen Minuten ist Truecrypt 5.0 draußen und wird bereits schon von mir in einer VM mit Microsoft Windows XP Home ausprobiert.

Truecrypt 5.0 bietet die folgenden Features:

Pre-boot Authentifizierung und Voll-Systemverschlüsselung für viele Windows-Betriebssysteme.
Version für Mac OS X (Leopard/Tiger @ Intel/PowerPC).
GUI für Linux-Version von Truecrypt.
Beschleunigter Lese- und Schreibzugriff.
XTS-Mode anstatt LRW (LRW weiterhin für alte Volumes möglich).
SHA-512 anstatt SHA-1 (SHA-1 weiterhin für alte Volumes möglich).
Linux-Version nun unabhängig von Kernel-Änderungen
Weitere kleine Verbesserungen.

Nach dem Lesen der überarbeiteten Dokumentation scheint bislang kein Bootmanager im MBR unterstützt zu werden.

Quellcode für die Mac OS X Version ist momentan noch keiner hinterlegt. Sämtliche Language Packs sind natürlich noch nicht an die neue Version angepasst.

More to come ...

Update: Für die Verschlüsselung der Systempartition lässt sich jeder Verschlüsselungsalgorithmus (auch in Kombination) benutzen. Es steht jedoch nur RIPEMD160 als Hash-Funktion zur Verfügung.
Was sehr lobenswert ist, ist, dass der Benutzer durch vieles Nachfragen und Bestätigen kaum mehr Flüchtigkeitsfehler beim Hantieren mit Partitionen und Festplatten machen dürfte.
Der Zwang zur Erstellung einer Notfall-Boot-CD ist ebenfalls gut. Leider wird kein "cdrecord" o.ä. mitgeliefert.
Eine Multi-Boot-Installation wird in einem gewissen Rahmen auch direkt unterstützt. Hoffentlich gibt es aber bald einen Patch für Grub (wie z.B. beim ATA Security Feature Set), damit man anständig andere Partitionen booten kann. Je nach Partitions- und Betriebssystemorganisation muss man sonst wahrscheinlich (teilweise) Umwege über den Windows-eigenen Bootmanager gehen.

Update 2: Außerdem bietet TrueCrypt 5.0 ein Wiping-Feature beim Erstellen von Volumes. Die Systempartition kann während des laufenden Betriebs verschlüsselt werden. Diese Prozedur kann zu jeder Zeit unterbrochen und anschließend irgendwann wieder aufgenommen werden.

Update 3: Der Ruhezustandsmodus funktioniert nach der Verschlüsselung der Systempartition, welche nur für Windows-basierende Betriebssysteme zur Verfügung steht, nicht mehr. Der Ruhezustand wird unter den Energieoptionen zwar weiterhin als aktiviert angezeigt, aber der Aufruf des Ruhezustands wird von Truecrypt erfolgreich unterbunden. (Allerdings hätte ich mir noch eine "kosmetische" Korrektur der Anzeige unter den Energieoptionen gewünscht.)

Update 4: Wenn man beispielsweise unter Linux versucht eine verschlüsselte Systempartition eines Windows-Betriebssystems zu mounten, schlägt dies leider fehl. Außerdem ist die GUI der Linux-Version momentan nur auf Englisch verfügbar (unabhängig von irgendwelchen Language Packs).

Update 5: Die Linux-Version ist nur noch eine GUI und enthält keinen Möglichkeit mehr, um per Konsole bedient zu werden. Das ist allerdings ziemlich unschön und gehört dringendst nachgebessert.

Neue TrueCrypt-Version

nospam@example.com (Alex) — Wed, 13 Jun 2007 19:10:37 +0200

Scheint irgendwie untergegangen zu sein, dass es seit Mai eine neue TrueCrypt-Version (4.3a) gibt.

TrueCrypt in neuer Version

nospam@example.com (Alex) — Wed, 21 Mar 2007 01:30:24 +0100

Seit vorgestern gibt es, wie erwartet, eine neue Version von TrueCrypt zum Download. Das Open Source-Verschlüsselungstool bietet aber leider in der neusten Version, keine besonders große Anzahl an neuen Features, die man als unbedingt notwendig betrachten müsste.

Die Version für Mac OS X lässt leider immer noch auf sich warten, wie die TrueCrypt API und RAW-Support für CDs / DVDs.

TrueCrypt ist soweit die einzige sehr brauchbare Lösung, die problemlosen Dateiaustausch in verschlüsselter Form über Partitionen bzw. Container in Cross-Plattform-Umgebungen erlaubt. Wenn Mac OS X endlich dazu stoßen würde, würde das Gesamtbild abgerundeter wirken. Wie es sich mit TrueCrypt und bspw. FreeBSD verhält, weiß ich nicht. Aber wahrscheinlich lässt sich TrueCrypt dort recht leicht zur Zusammenarbeit überreden.

In Hinblick auf die Sicherheit von TrueCrypt gibt es ebenfalls nichts über Änderungen zu berichten, was in diesem Fall natürlich sehr positiv ist. Lediglich einige übliche Verschlüsselungsalgorithmen, wie z.B. Blowfish und 3DES, wurden entfernt. Volumes, die diese Algorithmen bisher verwenden, können noch immer mit der neuen Version von TrueCrypt gemountet werden. Allerdings können mit der Version 4.3 keinen neuen Volumes mehr mit diesen Algorithmen erstellt werden.
Die meisten Neuerungen, die die neue Version betreffen, sind zumeist Anpassungen an Windows Vista von Microsoft.

Weitere Informationen zur neuen Version findet man auf der offiziellen Webseite.

Projekt: Fileserver

nospam@example.com (Alex) — Mon, 17 Apr 2006 20:32:00 +0200

Ich hab mir ein kleines Privatprojekt vorgenommen für die nächsten Jahre. Einen Fileserver auf Basis von Linux. Nicht, daß das ganze jetzt so unendlich lange von der Planung her dauern würde, aber er wird momentan noch nicht zwingend gebraucht (vorallem nicht in den aktuellen Räumlichkeiten) und das nötige Kleingeld für die Hardware fehlt ebenso.

Fertige NAS-Lösungen sind mir zu teuer und zu unflexibel für die Anforderungen, die ich an ein solches Gerät stelle. Die freie FreeNAS-Alternative ist bislang noch nicht stabil genug und ohne eigene Eingriffe ebenfalls nicht so ausgelegt, wie ich mir das vorgestellt habe. Daher wird es etwas eigenes werden.

Heute habe ich als ersten Schritt zum eigenen Fileserver ein großes, altes AT-Gehäuse besorgt. Der Inhalt ist, naja, alt. Sehr alt. Daher wandert er auch umgehend in den Elektronikschrott. Jedoch das Gehäuse ist ein Traum. Jedenfalls für mich (und da es kostenlos war).

Das Gehäuse bietet genau den Platz, den ich mir als notwendig bei meinem Vorhaben vorgestellt habe. Die Einschübe sind wie folgt:

1x 3,5" extern
2x 3,5" intern
6x 5,25" extern

Das bedeutet Platz für ein altes 3,5"-Diskettenlaufwerk, einen DVD-Brenner, vier Wechselrahmen, eine Systemplatte (zwar 3,5" groß, aber mit Einbaurahmen in einem 5,25"-Schacht) und einem RAID 0-Verbund von zwei 3,5"-Festplatten.

Die Anbindung ans Netz, welches dann generell ein GBit/s durch die Gegend schaufeln kann, wird über eine Dual Port GBit-Netzwerkkarte erfolgen. Z.B. eine von Intel.

Der RAID-Verbund wird nur zur Performance-Steigerung (Striping: RAID-Level 0) eingesetzt. Es wird auf jeden Fall ein RAID-Controller in Hardware dafür eingesetzt werden, damit die Kompatibilität für den Einsatz von anderen Betriebssystemen definitiv gewahrt bleibt und einfach und problemlos über die Bühe gehen kann, sofern es mal notwendig werden sollte. Hier wird es wahrscheinlich ein ganz normaler IDE-RAID-Controller von Adaptec werden (da ich schon einige IDE-Platten mit UDMA-100 habe).
(Geniale RAID-Controller stellt die Firma 3ware her. Jedoch auch zu entsprechenden Preisen.)

Über das Netzwerk werden von den Client-PCs in einem recht kurzem zeitlichen Abstand die neu angefallenen Daten mit 100 MBit/s bzw. 1 Gbit/s zum Fileserver (verschlüsselt) übertragen und dort auf dem 240 GB großen RAID 0 (2x 120 GB HDD) verschlüsselt abgelegt. Die Verschlüsselung auf allen Festplatten wird durch TrueCrypt bewerkstelligt. Die Übertragung, wird sofern möglich immer verschlüsselt geschehen - auch im heimischen Netzwerk - wo es nur geht. SSH-Tunnel stellen ja eine gute und meist auch einfache Möglichkeit da. Ein internes VPN halte ich für daheim für zu übertrieben.

Gesichert wird der Inhalt des RAID-Arrays täglich auf die Backup-Platten, die sich von ihrer Gesamtheit her zu 2/3 in den Wechselrahmen befinden. Zwei weitere Backup-Platten werden außerhalb des Gehäuses gelagert. Natürlich immer verschlüsselt. Der Endausbau der zwei von vier ständig im Einsatz gehaltenen Backup-Platten wird 400, 450 oder 500 GB betragen. Die jeweiligen Backup-Platten von diesen, sind in den anderen Wechselrahmen, aber ohne Strom. Die Sicherung darauf erfolgt nur dann, wenn ich per Schlüssel auch die Stromzufuhr herstelle. Da das ganze nur auf alter IDE-Technik und nicht S-ATA (2) beruht, ist leider so kein (günstiges) Hot-Plug möglich, aber für daheim auch überhaupt nicht weiter schlimm. Die Sicherung auf die zwei externen Backup-Datenträger (ebenfalls natürlich im Wechselrahmen), passiert dann von Zeit zu Zeit.

Wie man merkt, ist hier keine spezielle Strategie hinter der Erstellung der Backups, wie man sie z.B. erlernt in der Informatik. Für daheim und somit den rein privaten Gebrauch halte ich es auch nicht für notwendig.

Um es nochmal kurz zu wiederholen: die Client-PCs sichern automatisch in kurzen Zeitintervallen ihre Daten auf den Fileserver, der seinerseits in etwas größeren Abständen seine Daten auf zwei Backup-Platten sichert (es müssen zwei sein, da bereits eine randvoll ist und auch ab und zu der Inhalt noch davon gebraucht wird). Das Backup vom Backup wird dann manuell vorgenommen. Das Backup der gebackup'ten Backup-Festplatten, die nicht ständig eingebaut sind, erfolgt ebenfalls in größeren Abständen.

Wie gesagt, für den privaten Haushalt ist diese Sicherungsmaßnahme sicherlich schon viel zu krass und reicht auch ohne speziellere Backup-Strategien sicherlich aus, um keinen wahnsinnigen Datengau zu erleiden. Wenn die letzten eMails, Fotos, o.ä. dann doch einmal durch das Raster fallen sollten, weil Client-Festplatte und RAID-Array ausfallen sollte und die Backup-Platte noch nicht zuschlagen konnte, dann ist es halt einfach Pech. Privat für mich (uns) allerdings problemlos tragbar.

Für eine Firma würde ich das natürlich ganz anders empfehlen.

Update: Hanno hat mir USB-Adapter vorgeschlagen. Das ist eigentlich auf den ersten Blick die perfekte Lösung für das Hot-Plug-Problem. Leider ist USB in der Spezifikation 2.0 leider zu langsam und die Wechselrahmen für USB mit ca. 30 EUR/Stück recht teuer.