Krypto-Tool als Container und/oder BLOB-Lösung?

[BlueStrike]

Es wird mal wieder Zeit, dass ich unsere Firmendokumente
einem neuen Schutz gegen unbefugte Einsicht unterziehe.

Gibt es ein Krypto-Tool, mit dem man Container erstellen kann,
deren Inhalte später wie externe Laufwerek oder Netzerk-Shares
"gemountet" werden können?

Als weitere Alternative würde mir auch eine BLOB-Lösung unter
DB2 vorschweben. Nur dafür würde ich ein Cryption/Decryption-
Tool mit APIs benötigen. Habt Ihr da einen guten Rat zur Hand?

Sollte beides unter Win2K lauffähig kein.

Vielen Dank.

PS.: Ich will hier keine Pro/Contra-Diskussion über SQL und BLOB
Performance lostreten. Der vorgesehene Datenbankserver hätte
damit keine Schwierigkeiten.

[Xanatos]

Wenn´s um wichtige Firmendaten geht schau dir mal Safeguard von Utimaco an.

Container sind nicht so sehr sicher, da sich nicht davor schützen, daß Passwörter mit Keylogger ausspioniert werden oder, daß man sie im Swapfile findet...

[BlueStrike]

@Xanatos

Danke für Deine schnelle Antwort.

Utimaco und Safeguard waren ja schon mal in den späten 80er Jahren sehr populär. Basieren deren Lösungen immer noch auf Zusatzhardware in Form von Steckkarten und/oder Dongels

[Steve-Urkel]

Zitat:

Gibt es ein Krypto-Tool, mit dem man Container erstellen kann,
deren Inhalte später wie externe Laufwerek oder Netzerk-Shares
"gemountet" werden können?

Das gibt es, da währe z.B. BestCrypt für zu gebrauchen.
Allerdings würde ich das nicht unter XP verwenden, denn bei mir war es so das die Container sich selber aufgelöst haben.
Nachdem mir das passiert ist, einiges an Daten weg war habe ich mich schlau gemacht und festgestellt das viele Probleme damit haben wenn BestCrypt unter XP läuft(die basteln schon länger an neuen Versionen die unter XP vernünftig laufen sollen).

Diese treten aber nicht unter W2K auf, von daher währe als Containerlösung BestCrypt gar nicht mal so schlecht denn es ist einfach zu bedienen und kennt einige Algorithmen.
Du mountest einfach den Container, hast dein Laufwerk und dazu ist das noch relativ schnell.

Mehr dazu: http://www.jetico.com

[Xanatos]

[FatStinger]

@BlueStrike
Utimaco SafeGuasd Easy verschlüsselt HD's oder Partitionen. Dazu brauchst du keine Zusatzhardware. In unserer Firma haben wir 10 Notebooks und etwa 20 PC's verschlüsselt. Damit gab es noch nie Probleme. Für Windows XP gibt es SafeGuard Easy allerdings erst Ende März.

FatStinger

[Xanatos]

richtig sicher ist sowas (aber wahrscheinlich recht unbezahlbar):
http://www.heise.de/newsticker/data/dwi-10.11.01-001/
(der geschilderte Angriff funktioniert garantiert nicht mehr)

[BlueStrike]

Lösungen, die auf IBM-Produkte basieren haben wir schon, was aber nicht das Problem ist. Das geht bei RACF an und hört beim derzeit wohl sichersten Betriebsystem OS/400 auf.

Mir geht es mehr darum einen eigenen Client zu erstellen, der das codieren/encodieren von Dokumenten ermöglicht, und durch selbstgewählte Schlüssel noch einen zusätzlichen Sicherheitseffekt auf die schon vorhandenen Resource drauflegt.

Die verschiedenen Plattformen, OS/390 und OS/400 für die Datenbank und Win2K für zusätzliche Kryption-Clients ist ganz bewusst gewählt. Wer auf alle Resource zugreifen will, der muss sich dann schon extrem gut mit Crossplattformen auskennen und es reicht nicht aus, dass man zuhause ne Kiste hat und etwas "Hackerblut" verspürt

[Xanatos]

also dann kann ich Safeguard sehr empfehlen, als eine neue Sicherheitsstufe. Es wird die gesammte Platte verschlüsselt (Eingabe des Keys gleich nach dem Bios (also weit vor den Windowssperren)).

[Maulwurf]

Hallo Bluestrike,

Also Programm wie Safeguard würde ich nicht empfehlen da die deine
komplette Platte verschlüsslen ! Da werden dann MB's an unwichtigen
Daten mitverschlüsselt. Das System wird langsamer. Viel zu übertrieben...

Das Tool BestCryt oder StrongDisk ist hingegen genau das was du brauchst. Die erstellen dir eine Art Kontainer bzw. ein weiteres Laufwerk.
Dieses wird dir dann im Explorer oder deinem Dateimanager angezeigt
und dann brauchst du nur noch deine Dokumente zu überspielen...

Halt , wenn mir jetzt einer mit Keyloggern kommt. Nix da ;)
Bei Strongdisk Pro gibt es die möglichkeit eine Key Datei
zu erstellen ,die du z.B. auf Diskette speichern kannst.
Du verschlüsselt den Kontainer also mit Passwort und Schlüssel.
Das soll jemand erst mal knacken....



Viele Grüße

Maulwurf

[BlueStrike]

Erst mal vielen Dank für die zahlreichen Hinweise und nützlichen Links. Ich werde mich mal heute Nacht dransetzen und mal ein wenig mit "rumspielen".

@Maulwurf

Zitat:

Also Programm wie Safeguard würde ich nicht empfehlen da die deine komplette Platte verschlüsslen

Sehe ich ähnlich, zumal ich keine Platte mit Software vor der B°A verstecken will.

Nochmals vielen Dank

[Xanatos]

@Maulwurf

wenn man eine Verschlüsselung der Daten auf dem eigenen System braucht, rechnet man mit einer Kompromitierung der Hardware (z.B. Laptop der irgendwo vergessen wird, Einbruch in die Firma).
Da würd ich dann schon richtig rangehen und Geld scheint keine große Rolle zu spielen.

[Xanatos]

die ganzen Containerprogramm haben mehr oder minder große Sicherheitsrisiken:

http://www.fortunecity.com/skyscrape..._OTFCrypto.htm

[Maulwurf]

Hallo Xanatos,

Logisch, wenn du kein Risiko eingehen willst , nimmst du Safeguard.
Da gibt es nichts anderes !

Ich habe hier auch nicht umbedingt für die allgemeinheit geschrieben,
sondern nur für BlueStrikes speziellen Fall...

Desweiteren ist dein Link zwar sehr Aufschlußreich , enthält
aber nicht das Tool StrongDisk Pro. Jetzt kann man sich natürlich fragen
ob das an der hohen Sicherheit des Tools liegt ? Schließlich funktionieren
dir dort besprochenen Proggz nur mit Passwort und ohne Sicherheits-
schlüssel !


Viele Grüße

Mole

[BlueStrike]

Vielleicht hab ich mich bei der Skizzierung nicht ganz unmissverständlich ausgedrückt.

Die Verschlüsselung der ganzen Platte bringt für uns keinen Vorteil,
weil dann alle Daten verschlüsselt werden und für was soll ich MS-Office
oder Visio mitverschlüsseln und auch Blanks würden in diesem Fall neu
überschrieben und die Performance geht dann auch mächtig in den Keller.

Es geht mit der Containerlösung mehr darum, den täglichen Sicherheits-
lücken etwas besser begegnen zu können und einzelne Objekte und
Dokumente besser schützen zu können.

Alles andere wird bei uns in mindestens vier Teildokumente zerlegt und
verschlüsselt, und auf verschiedenen Servern gespeichert. Dokumente,
Source Code etc. wird nur mittels eines selbstgeschriebenen Retrieval-
systems wiedergefunden und zusammengesetzt. Zum leidwesen der
Mitarbeiter, weil wir ohne synchronisierte Passthrough-Kennwörter
arbeiten und so für jeden Server getrennte Abfragen erfolgen.

Die Containerlösung soll also nicht Fort Knox beschützen. Ich probier
gerade mal BestCrypt aus und warte noch auf die Erstellung des ersten
Containers.

Nochmals Danke für die produktiven Informationen!

[Xanatos]

>Es geht mit der Containerlösung mehr darum, den täglichen Sicherheits-
>lücken etwas besser begegnen zu können und einzelne Objekte und
>Dokumente besser schützen zu können.

kannst du das noch näher beschreiben?

was bringt es dir z.B. ein Dokument in einem Container aufzubewahren, wenn Temp-Dateien existieren die den gleichen Inhalt haben?

[BlueStrike]

Zitat:

was bringt es dir z.B. ein Dokument in einem
Container aufzubewahren, wenn Temp-Dateien existieren die
den gleichen Inhalt haben?

Temporäre Dateien und
Swapfiles bereiten mir wenig Kopfzerbrechen. Wenn der
Benutzer intern am Netztwerk arbeitet, werden alle Temp.
Daten und Swaps eh auf virtuelle Partitionen auf einer IBM
AS/400 erstellt. Die meisten Binärobjekte liegen auf den
Servern und werden auch da ausgeführt. Auf den Servern
werden auch die virtuellen Objekte erstellt. Lokale Profile
gibt es nur wenn jemand mit dem Laptop unterwegs ist. Wenn
sich ein Mitarbeiter von zuhause einwählt, gibt es auch
keine lokalen Profile. Das verschlechtert zwar etwas die
Antwortzeiten, aber Sicherheit hat auch ein paar
"Schattenseiten". Da liegt ja der Vorteil der
Containerlösung. Wenn ein Container gemountet ist, können
temp. Dateien etc. alle auf das Laufwerk gelegt werden. Ein
Systemdienst überprüft dann im Hintergrund die Aktivität und
demountet das Laufwerk wenn eine bestimmte Zeitspanne keine
Aktivitäten durchgeführt werden. Damit kann ich ganz gut den
täglichen "Schlendrian" eingrenzen (Laptop steht beim
Klienten unbeaufsichtigt, Mitarbeiter vergisst sich
auszuloggen vor dem Nachhausegehen etc.) Wie schon vorher
erwähnt, geht es dabei nicht um "große Sicherheit", die
haben wir schon in Hülle und Fülle. Es geht mer um die
Kleinigkeiten, oder um den Laptop zu Hause, wo die Kinder
oder vielleicht auch der Partner nicht alle Daten anfassen
können sollen oder jemand vergisst seinen Laptop am Isarufer
- man muss ja mit vielen Dingen rechnen Es geht mehr
darum wieder zusätzliche 2-3% mehr an Sicherheit zu
gewinnen, denn die 100%-ige gibt es ja eh kaum.

[Maulwurf]

Sorry Leute, wenn ich hier dauernd für StrongDisk Pro
werbung mache ! Aber auch mit Temp Dateien macht
Strongdisk kurzen Prozess ...

@Xanatos: was bringt es dir z.B. ein Dokument in einem Container aufzubewahren, wenn Temp-Dateien existieren die den gleichen Inhalt haben?

Auch hier setzt Strongdisk einen Riegel vor das Schloß.
In den Optionen kannst du Temp Dateien automatisch
löschen lassen...


Viele Grüße

Mole

[Xanatos]

@Maulwurf:
Und wie will es Tempdateien identifizieren?

Bsp. Cachedateien von nem Browser oder so

[Maulwurf]

Hallo Leute

@ Xanatos:

Wie die Software Temp Dateien identifizert kann ich dir nicht
sagen ! Ich habe keinen Source Code und bin schließlich nicht der
Programmierer des Proggz. Am besten mal selber Testen...
Nur soviel, Temp Ordner werden nach dem shutdown komplett gelöscht. Alle Cahce Dateien haben einen festen Pfad (z.B: C:\windows\temp inklusive Browser Dateien) unter Windows.
Diese sind fest Eingetragen und heißen
Umgebungsvariablen. Diese sind wiederum in System und
Benutzer Variablen unterteil. Strongdisk sucht sich nun die
temp variablen raus und killed sie...

Die Technik ist ziemlich Einfach und fast jede Webwasher
bzw. Security Tool hat solche Funktionen.

@Kde: Yo, Scramdisk bzw. Drivecrypt sind auch sehr gut
und kann ich auch empfehlen. Habe beides schon getestet !
Die Geschwindigkeit ist fast identisch. Mir kommt es auf 100 kb/s
mehr oder weniger nicht an. Haupsache das Tool läuft.
Auch nach Neuinstallationen kein Problem. Denke mal hier
wird es schwehr zu sagen , ob Drivecrypt nun besser ist oder nicht.
Verwende StrongDisk und habe nie Probleme damit gehabt.
In BlueStrikes Fall empfehle ich daher Drivecrypt oder Strongdisk...


Viele Grpße

Maulwurf

[Timok]

@BlueStrike


Also

1. Vorsicht bei Ultimaco SafeGuard denn man kann es nur Installieren wenn nicht mehr als 4 HD's im Rechner sind.
2. Solltest Du dir mal Safeboot ansehen, denn dort kann man einstellen welche HD man verschlüsseln will, muß also nicht der ganze Rechner sein
3. Kann z.B. Drivecrypt nur max 10 LW mounten und ganze Partittionen als Container machen Probleme

Wenn Du zu derartiger Software noch mehr Info haben willst, dann sag es einfach


Timok

[Kizmiaz]

@ Timok

Einzelne ausgesuchte Laufwerke, nicht unbedingt das ganze System, lassen sich auch mit SafeGuard verschlüsseln. Nur so hielt sich der Schaden in Grenzen, als mir SafeGuard einmal unwiederherstallbar abgeschmiert ist. So würde ich vorsichtshalber immer nur bestenfalls die Bootpartition mit SafeGuard dichtmachen, da es da neben Safeboot halt keine Alternative gibt. Die anderen Laufwerke jedoch, wo lediglich Daten gelagert werden, würde ich eher DriveCrypt anvertrauen, indem ich auf jedem Laufwerk einen Kontainer von der Größe des Laufwerks erstellen würde. Mit Hilfe einer *.dfk Datei lassen auch mehrere Laufwerke zugleich mounten, so daß die Daten schnell verfügbar sind, und es gibt mit DrivCrypt keine Probleme - mit Bestcrypt hatte ich, wie viele andere hier auch schon, massiven Ärger, aus Daten wurde auf den BestCrypt Laufwerken schleichend und immer mehr Datenmüll, der sich darin äußerte, daß die Dateinamen sich nach und nach in "chinesische" Zeichen verwandelten und nicht mehr gelesen werden konnten.


@ Maulwurf

Wie sieht es mit der maximalen Laufwerksgröße bei mit StrongDisk Pro
erstellten Kontainern aus, die üblichen 4 GB bei FAT32 , und NTFS > 64 GB (DriveCrypt) oder NTFS > 512 GB BestCrypt? Ich habe auf deren Seite w*w.phystechsoft.de keine Infos dazu finden können.



Gruß, aCherub

[Timok]

@aCherub


Kann sein ich habe mich nicht deutlich ausgedrückt, denn es geht nicht darum wie viele Laufwerke Du mit Safeguard verschlüsseln willst sondern darum, dass Safeguard die Installation verweigert wenn mehr als 4 HDs im Rechner sind (bestätigt von Ultimaco). Laut Ultimaco ist man bei der Entwicklung davon ausgegangen, das Safeguard auf portablen Rechnern eingesetzt wird die ja nie so viele HDs haben. Auch wenn Du nur eine HD verschlüsseln wills dürfen also nicht mehr als 4 im Rechner sein !

Timok

[DongelKey]

He Boardies,

hat vielleicht jemand von euch ein DriveCrypt, Version 3.01a oder die "volle" 3.02b zur Hand ?

Es gäbe da jemanden, der sich über eine Mail seeeeeeeeeehr freuen würde.

Vielen Dank im voraus und
viele Grüße

[DK] e-crypt@gmx.net

[pgp8]

jo hallo leute, um es klar zu sagen es gibt dafür zertifizierunstufen, level1, level2 usw .bei softwarelösungen höhrt der spass bei level 3-4 auf danach kenne( und benutze) ich nur hardwarelösungen. empfehlen kann ich fast alles was aufgezählt wurde:safeguard ist "unknackbar",siehe den fall wo nicht mal der mächtige staatsaparat die festplatten wieder hinbog.danach versuchten sich 6 namenhafte firmen im auftrag der kriminalämter daran .ergebnis null.
drivecrypt ist natürlich auch "unknackbar" verschlüsselt aber nur partitionen + container .hat aber keine preboot identification.
wichtig ist der richtige umgang damit. da ich des öfteren schulungen gebe oder firmen untersuche fällt mir immer wieder auf das ca 80-90% aller user ihren rechner mit einfachen namen absichern. selbst nach nochmaliger kontrolle ca. 6 wochen später sind es meistens noch 30%.
ach ja , das beste an der preboot bei safeguard ist natürlich die quadratur der zeit verzögerung bei der passworteingabe, nach ein paar versuchen muss man schon jahre warten!!! unknackbar ist natürlich nichts.wichtig wäre auch der algorythmus+sclüssellänge.einfaches prinzip oder regel ist je öffentlicher ein schlüssel( source ) public gemacht wird, desto sicherer kan man sein.

[pgp8]

jo nochmal hier die zertifizierungsstufen safeguard hat übrigens eal3

Vertrauenswürdigkeit
Neben dem Funktionsumfang ist die Bewertung der Vertrauenswürdigkeit eines IT-Produkts/ -Systems von
entscheidender Bedeutung. Die CC legen im Teil 3 Anforderungen an die Vertrauenswürdigkeit gemäß
bestimmter Vertrauenswürdigkeitsstufen (Evaluation Assuranve Level EAL1 bis EAL7) fest. Dabei wird die
Vertrauenswürdigkeit durch die Prüfung und Bewertung des Evaluationsgegenstandes einschließlich der
zugehörigen Entwicklungsdokumentation nachgewiesen. Mit zunehmender Vertrauenswürdigkeitsstufe nehmen
dabei die Anforderungen an Umfang und Tiefe der Beschreibung und des Testens zu.
Die Vertrauenskeitswürdigkeitsstufen EAL1 bis EAL7 der CC können weitgehend auf die Evaluationsstufen des
Kriterienwerkes ITSEC abgebildet werden. Dabei ist zu berücksichtigen, dass im Einzelfall Zusatzanforderungen
notwendig sein können, um eine äquivalente Vertrauenswürdigkeit zu erhalten.
ITSEC CC
--- EAL1
E1 EAL2
E2 EAL3
E3 EAL4
E4 EAL5
E5 EAL6
E6 EAL7
Die Vertrauenswürdigkeitsstufen sind hierarchisch angeordnet, wobei EAL1 unterhalb der Evaluierungsstufe E1
der ITSEC einzuordnen ist und die niedrigste Stufe bildet. Diese Stufe ist entwickelt worden, um den Zugang für
Hersteller von Produkten/Systemen zur Evaluierung zu erleichtern. Im folgenden werden die Vertrauenswürdigkeitsstufen,
wie im CC Kriterienwerk angegeben, kurz charakterisiert:
EAL1 stellt eine Prüfung und Bewertung des Evaluationsgegenstandes (EVG), wie er an Kunden ausgeliefert
wird, bereit. Diese Prüfung beinhaltet unabhängiges Testen auf der Grundlage überprüfter Handbücher und einer
Spezifikation der Sicherheitsfunktionen. Es ist beabsichtigt, dass eine EAL1-Evaluation ohne Hilfestellung durch
den Entwickler erfolgreich und mit minimalen Ausgaben ausgeführt werden kann. Gegenüber einem nichtevaluierten
IT-Produkt/-System bietet diese EAL einen bedeutenden Zuwachs an Vertrauenswürdigkeit.
EAL2 ist in den Fällen anwendbar, in denen Benutzer eine niedrige bis mittlere Stufe an unabhängig geprüfter
Sicherheit benötigen und die vollständige Entwicklungsdokumentation nicht verfügbar ist. Eine solche Situation
kann bei der Prüfung der Sicherheit von Altanwendungen entstehen oder dann, wenn der Entwickler nur
eingeschränkt zur Verfügung steht. Diese EAL stellt einen bedeutenden Zuwachs an Vertrauenswürdigkeit
gegenüber EAL1 dar, da sie Entwicklertests, eine Schwachstellenanalyse und unabhängiges Testen auf der
Grundlage detaillierter EVG-Spezifikationen erfordert.
EAL3 ist dann anwendbar, wenn Benutzer eine mittlere Stufe an unabhängig geprüfter Sicherheit sowie eine
gründliche Untersuchung des EVG und dessen Entwicklung fordern. Diese EAL stellt einen bedeutenden
Zuwachs an Vertrauenswürdigkeit gegenüber EAL2 dar, da sie eine vollständigere Testabdeckung der Sicherheitsfunktionen
und zusätzlich Verfahrensweisen zur Entwicklung erfordert. Somit wird ein gewisses Vertrauen
geschaffen, dass der EVG während der Entwicklung nicht manipuliert wird.
EAL4 ist in den Fällen anwendbar, in denen Benutzer eine mittlere oder hohe Stufe unabhängig geprüfter
Sicherheit für konventionelle, marktübliche EVG fordern und bereit sind, zusätzliche, die Sicherheit betreffende,
Entwicklungskosten zu tragen. Diese EAL stellt einen bedeutenden Zuwachs an Vertrauenswürdigkeit gegenüber
EAL3 dar, da sie weitergehende und detailliertere Entwurfsbeschreibung, Teilbeschreibungen der Implementierung
und verbesserte Verfahren erfordert. Dies schafft Vertrauen, dass der EVG während der Entwicklung und
Auslieferung nicht manipuliert wird.
EAL5 ist in den Fällen anwendbar, in denen Benutzer für eine geplante Entwicklung eine hohe Stufe unabhängig
geprüfter Sicherheit und eine strenge Entwicklungsmethodik fordern, ohne dass übermäßige Zusatzkosten durch
die Verwendung von Spezialtechniken zur Entwicklung von Sicherheitsfunktionalität entstehen. Diese EAL
stellt einen bedeutenden Zuwachs an Vertrauenswürdigkeit gegenüber EAL4 dar, da sie semiformale Entwurfsbeschreibungen,
eine stärker strukturierte Architektur und eine Analyse der verdeckten Kanäle erfordert sowie
weitere Anforderungen an das Entwicklungsverfahren stellt.
EAL6 ist anwendbar für die Entwicklung von Evaluationsgegenständen, die unter erhöhten
Sicherheitsbedingungen eingesetzt werden sollen, oder bei deren Gebrauch die Bedeutung der geschützten Werte
die Zusatzkosten rechtfertigt. Diese EAL stellt einen bedeutenden Zuwachs an Vertrauenswürdigkeit gegenüber
EAL5 dar, da sie umfassendere Analysen, eine deutlichere Strukturierung der Entwicklungsdokumentation, eine
systematische Identifikation der verdeckten Kanäle, ein umfassendes, automatisiertes
Konfigurationsmanagement und stärkere Kontrolle der Entwicklungsumgebung fordert.
EAL7 ist anwendbar für die Entwicklung von Evaluationsgegenständen, die unter Hochsicherheitsbedingungen
eingesetzt werden sollen, oder in Fällen, in denen die Bedeutung der geschützten Werte die Zusatzkosten
rechtfertigt. Diese EAL stellt einen bedeutenden Zuwachs an Vertrauenswürdigkeit gegenüber EAL6 dar, da sie
noch umfassendere Analysen unter Verwendung formaler Darstellungen und formaler Übereinstimmung sowie
umfassendes Testen erfordert.
Die Vertrauenswürdigkeit basiert dabei sowohl auf der Korrektheit der Implementierung der
Sicherheitsfunktionen als auch auf deren Wirksamkeit. Auch bei Nachweis der Korrektheit bleibt im Regelfall
ein Restrisiko bestehen, da die Abwesenheit unerwünschter Funktionalität nicht unbedingt abschließend
nachweisbar ist. Mit zunehmender Vertrauenswürdigkeitsstufe nimmt dieses Restrisiko zwar ab, ein minimales
Restrisiko wird jedoch auch bei hohen Evaluationsstufen vorhanden sein. Mit anderen Worten, eine
hundertprozentige Sicherheit kann durch ein Zertifikat nicht bestätigt werden, das Risiko wird mit steigender
Evaluationsstufe jedoch erheblich reduziert.
an sachen ab der stufe eal4 ist übrigens schwer ranzukommen ,nationale sicherheit und sonn bimbes

[Lumumba Man]

@pgp8: Danke für die Info! Quelle?


Gruß,
Lu

[EchtAtze]

@All:
PGP8 schrieb:

Zitat:

das beste an der preboot bei safeguard ist natürlich die quadratur der zeit verzögerung bei der passworteingabe, nach ein paar versuchen muss man schon jahre warten!!!

Ich hab' jetzt auch im ersten Moment gedacht "Hmmm... und wie komme ich dann an meinen Rechner wieder ran?". Ist aber gar nicht so schlimm in der Praxis.
Wenn also irgendso ein Kasper daher kommt und meint sich am Passwort mal versuchen zu müssen hat er ja nicht ewig Zeit...
Also keine Bange, danach müsst Ihr selber nicht Jahre warten, denn dan hätte er ja vorher auch schon viel Zeit zum warten haben müssen...
Ich denke wenn er vor dem letzten Versuch schon 4 Stunden warten musste wird der nächste Versuch nicht mehr von ihm ausgehen, oder?
Atze

[Maulwurf]

Moin Leute,

Zu deiner Frage aCherub :

@ Maulwurf

Wie sieht es mit der maximalen Laufwerksgröße bei mit StrongDisk Pro
erstellten Kontainern aus, die üblichen 4 GB bei FAT32 , und NTFS > 64 GB (DriveCrypt) oder NTFS > 512 GB BestCrypt? Ich habe auf deren Seite w*w.phystechsoft.de keine Infos dazu finden können.


Maximale Größe verschlüsselter Laufwerke: unter Win NT/2000 - 512Gb, unter Win 95/98/ME - 2Gb


Viele Grüße

Maulwurf

[Maedel mit Zoepfen]

soweit ich jetzt gelesen habe ist wohl auch fuer mich die beste loesung -> bootpartition mit safegaurd , der rest mit drivecrypt als container..

hat jmd. erfahrung mit z.b neuinstallation von einem System?

ich moechte z.b. von meinem system (6 platten und x partitionen) die 1. Platte die 1. Partition (bootpartition) verschluesseln.. sonst nichts.. wie sieht es aus wenn ich neu installieren will? kann ich dann nur "C" löschen oder muss ich dann die ganze festplatte formatieren? greift es 100%ig nur auf die C platte oder schreibt es auch daten von den andere platten auf?

ich moechte sehr vorsichtig an die sache gehen soweit ich die suchefunktion im board genutzt habe wurden diese fragen noch nicht so beantwortet!

Kann ich ein "fertiges" system wo mein windows alle tools,.. usw mit safeguard gesichert ist imagen? Was passiert beim wiederherstellen?

danke fuer eure hilfe

mmz

[Maulwurf]

Hallo Maedel mit Zoepfen,

Ohhh wo fang ich den am besten jetzt an !? OK:

1.
>wie sieht es aus wenn ich neu installieren will? kann ich dann nur "C"
>löschen oder muss ich dann die ganze festplatte formatieren?

Nein du brauchst nur C zu löschen und neu zu formatieren.

2.
>greift es 100%ig nur auf die C platte oder schreibt es auch daten von
>den andere platten auf?

100%ig !? Das kann dir NUR der Entwickler garantieren !
Es greift nur auf C und nur darauf bzw. noch auf den MFT der Platte.

3.

>"fertiges" system wo mein windows alle tools,.. usw mit safeguard
>gesichert ist imagen? Was passiert beim wiederherstellen?

Also das kommt darauf an, ob dein Image Programm eine 1:1 Clone
erstellen kann. Das geht z.B. mit Norton Ghost Enterprise/ Corporate
Edition.

Ich persönlich würde dir von der verschlüsselung der Bootpartition
abraten. Bei zig Partitionen kann da schon mal was passieren.
Die Fehlerquote ist hier viel größe als beim Container System.
Hier mußt du sehr sehr vorsichtig sein, sonst wars das mit booten.
Ich persönlich hab darauf verzichtet und verwende StrongDisk ( Container System ) was prima funktioniert und auch noch erheblich schneller ist.

Ich würde z.B. safeguard nur auf einem neuen System mit einer Platte und einer Partition Anwenden. Dazu noch eine Backup Platte für die Images. Die Fehlerquellen wären erheblich minimiert und es gäbe auch
direkt Backups und 100%ig keinen Datenverlust.

[Maedel mit Zoepfen]

Achja.. zur Info DriveCrypt Plus Pack hat auch PreeBoot

Acher ich schau mal Safeguard nachher an ^^

Zitat:

Introducing DriveCrypt Plus Pack

Full Disk Encryption (Verschlüsselt Teile oder 100% Ihrer Festplatte. Auch das Betriebssystem)

Pre-Boot Authentifikation (Bevor der Rechner bootet, wird ein Passwort verlangt, mit dessen Hilfe der Entschlüsselungsvorgang gestartet wird)

Starke 256bit AES Verschlüsselung



DriveCrypt Plus Pack unterstützt eine ECHTZEIT "on the fly" 256-bit Datenverschlüsselung. Verwendet wird eine FDE (Full disk encryption) im Gegensatz zur VDE (Virtual disk encryption) oder "Container" encryption.

DCPP ist ein wichtiger Evolutionsschritt im Bereich der transparenten Datensicherheit..

DCPP ermöglicht diese Datensicherheit für Ihre Laufwerke (inklusive aller Wechselmedien) mit einem starken und erprobten Verschlüsselungs Alsogrithmus (AES-256) auf dem Sektorenlevel. Es stellt so sicher, dass nur authorisierte User and die Daten kommen. Der von DCPP verwendete Algorithmus ist vom National Institute of Standards and Technology (NIST) für sicher befunden und getestet worden. Er wurde zum Cryptographic Standard für die Zukunft ernannt. AES-256 ist ein FIPS-überprüfter symetrischer Verschlüsselungsalgorithmus, der weltweit von Regierungen und deren Organisationen zum Schutz sensitiver Daten verwendet wird.

DCPP funktioniert automatisch und ist absolut transparent für den User. Es sind keine Vorkenntnisse bzw. Schulungen der Benutzer mehr nötig. Selbst Unerfahrene können ohne Probleme ein extrem sicheres Fundament für die Daten errichten. Die vorsichtige Integration der "boot protection" und der automatischen Verschlüsselung erzeugt einen hohen Grad an Sicherheit mit minimalen Eingriffen. Die "boot protection" schützt vor der Umgehung des Startpasswortes (über eine Bootdiskette z. B.) oder einer Passwortattacke, weil eine Sector für Sector Verschlüsselung die Identifikation einzelner kompletter Files unmöglich mach. DCPP schützt das Betriebssystem und sensitive Systemdateien (welche oft Verbindungen zu Passwörtern für Windows enthalten).

DCPP ist momentan das schnellste und Funktionsreichste Verschlüsselungssystem auf dem Markt. Besonderes Augenmerk wurde auf die absolut transparente und unsichtbare Gestaltung der Cryptographischen Softwareteile gelegt.



Pre-Boot Authentifikation
Der User wir durch die Funktion der Pre-Boot Authentifikation(PBA) authorisiert, bevor das Systhem startet. Diese Arte der Systemauthorisierung kann nicht manipuliert werden, PBA garantiert ein Maximum an Sicherheit. Weder Schlüssel noch Passwörter werden auf der Platte gespeichert. Die komplette information, die zum Systemstart benötigt wird, wird durch das Passwort übermittelt. Dies macht auch die Benützung von Harddisc Analysetools zwecklos (Daten bleiben unsichtbar). PBA wird im Zusammenhang mit der BootAuthentication in einem 100% grafisch visualisiertem Screen dargestellt, was eine Bedienung zur Freude macht..


Full Disk Encryption (FDE)
Die automatische und transparente FDE ermöglicht den Einsatz unterschiedlicher Schlüsseldateien (KeyFiles) im Zsammenhang mit unterschiedlichen verschlüsselten Platten. FDE sichert das System selbst und die Tempoären Dateien ab, welche oft sensitive Dateien beinhalten, aber nicht verschlüsselt wurden. Dies funktioniert OHNE DATENVERLUST. Selbst der Ausbau des Laufwerks selbst, wird keine Möglichkeit bieten, auf gespeicherte Daten zurück greifen zu können. FDE arbeitet mit einer "Sektor by Sektor" Verschlüsselung, ohne die Verwendung von tempoären Dateien: Folglich ist im Gegensatz zu anderen Programmen die Entschlüsselung grosser Dateien völlig ohne Zeitverlust möglich. FDE hat aufgrund der Templosen Verarbeitung der Daten natürlich auch keinen Zeitverlust im Bereich der nachträglichen Temp-Reinigung zu verbuchen..


Wie funktioniert es?
Wenn die Daten von der Festplatte eingelesen werden, entschlüsselt DCPP diese automatisch, befor sie in de Speicher gelangen.. Wenn die Daten wieder zurückgeschrieben werden, werden sie automatisch "zurückverschlüsselt".. Dieser Vorgang ist komplett nachvollziehbar für den Benutzer oder der Anwendung. Für den User ändert sich somit überhaupt nichts am täglichen Umgang mit seinem Rechner. Weiterhin muss erwähnt werden, dass nur einzelne Sektoren im Bedarfsfall entschlüsselt werden (nicht die ganze Platte). Andere Produkte, die ebenfalls den Begriff "on the fly" Entschlüsselung verwenden, entschlüsseln ganze Dateien, was in jedem Fall ein Sicherheitsrisiko darstellt.DCPP ist smarter sicherer, weil es nur die benötigten Sektoren entschlüsselt. Somit sind unsichere Daten auf einer DCPP verschlüsselten Partition nicht möglich..


Funktionen und Möglichkeiten

Ein kleiner Überblick:

· 256-bit militärstarker Verschlüsselungsalgorithmus.
· Leichte Benutzung und Installation.
· Starke Pre-Boot Authentication
· Komplett transparent für den Benutzer
· Sektor Level Schutz
· Anti dictionary and brute-force attack Mechanismus, genauso wie DCPP ist es das am schwersten zu attakierende System (im Vergleich zu anderen Systemen auf dem Markt).
· Spezielle Funktionen schützen vor dem "Ausspähen" des Passwortes oder dem "Capturen" des Codewortes.
· Minimaler Administrations- bzw. Schulungsaufwand.
· Network Support.
· Externe Hardware wie USB Token werden unterstützt.
· Unterstützt unterschiedlichste Medien(Festplatten, Floppy, ZIP, JAZ, CD-ROM, DVD etc...)


Note: DCPP läuft zur Zeit nur unter Windows NT /2000 und XP
Die Betriebssysteme 95 /98 /ME werden zur Zeit NICHT unterstützt

[taurus2222]

Moin,

Ich arbeite jetzt seit Dezember mit Saveguard easy auf einem XP System mit NTFS. Die Installation von SGE ist einfach, Handhabung ist einfach.

Nur die Datensicherung, das ist ein riesen Scheiss. Es gibt kein Programm, ausser Actronis True Image das die vercryptete Platte/Partition sichern kann.

ABER: Actronis ist dabei so langsam (weil es die verschlüssele Partiton als fehlerhafte Partition erkennt), dass man es auch vergessen kann, ausserdem kann Acronis dann nur die Platte komplett klonen, anstatt nur die relevanten Daten zu sichern, womit eben mehr Platz gebraucht wird.
Ich hab mit Actronis dann nicht weitergearbeitet, weil mir sowohl der Platz als auch die Zeit ausgegangen sind.

In derselben Zeit hab ich nämlich locker die Datensicherung mit DriveImage gemacht.
Man muß nur vorher die Vercryptung von der Partition nehmen, was über das ADMIN Panel von SGE problemlos geht.
Nach der DS wieder verschlüsseln. Dauert bei mir (Platte etwa 4 GB Daten) 2 x 45 Min ent/verschlüsseln + 30 Min DriveImage DS.

Zum Vergleich, Actronis war nach derselben Zeit noch nicht mal zur Hälfte mit der Datensicherung fertig.

Beim zurückspielen der Datensicherung ist eh alles egal, da Drivespace die Platte vorher formatiert, anschließend muß SGE neu installiert werden, da auch die Einträge im MBR futsch sind. Ne 98 Startdiskette sollte man ebenfals immer haben, damit man ggf. den MBR von Hand zurücksetzen kann. Alles in allem ein bischen Gefummel, aber handelbar.

Auch ein Absturz oder bluescreen bring saveguard (bisher) nicht aus der Ruhe.

NUR sollte man wirklich NUR DIE BOOT PARTITION MIT SGE verschlüsseln, ansonsten ist beim Einspielen der Datensicherung alles andere auch futsch, also andere mit SGE vercryptete Partitionen. Jedenfalls wäre mir beim durchforsten der ganzen SGE Wizzards nichts aufgefallen, womit man diese Problem umgehen kann. Für Hinweise bin ich dankbar.

Die anderen Platten habe ich zum Teil mit Bestcrypt (jeweils 40GB Container) verschlüsselt. Dass es hier zu schleichendem Datenverlust kommt ist mir bisher Gottseidank noch nicht aufgefallen, obwohl der emule den ganzen Tag in einem der Container wurschtelt. Ist allerdings auch das w2k System. Aber auch auf dem XP System gabs noch keine Probleme mit bestcrypt.

[Hells Delight]

Bei einem in DriveCrypt erstellten Container kann man auch nicht mit einem KeyLogger das Passwort abfangen.
Dafür gibt es in DriveCrypt unter den Optionen eine Eigenschaft (weiß nicht mehr, wie's heißt), mit der hat man dann eine sichere Passwort-Eingabe (in einem roten Bildschirm). Hab das mit iOPUS STARR getestet.