Benutzt wer PGP Whole Disk Encryption?

Hi,

ich liebäugle mit PGP Whole Disk Encryption, habe jedoch noch unbeantwortete Fragen.
- Kann ich es zusammen mit PGPdisk 8 verwenden oder ersetzt es PGPdisk?
- Ist es nach der Installation noch möglich, mit z.B. Norton Ghost ein Image zu machen?

Gruß

John

Ich kann leider keine der Fragen beanworten, sehe die Sache mit dverschlüsselten Dateisystemen und auch deren Backups aber kritisch. Wenn das alles in einer großen verschlüsselten Datei liegt und die kaputt geht, sind alle Daten futsch.

Und ähm, Norton Ghost nun nicht unbedingt. Aber vielleicht die teuren Server-Tools (True Image) von Acronis. Da gibts doch Demoversionen. Es gibt von TrueImage auch eine legale, kostenlose Version, die zwar keine inkrementellen Backups beherrscht, dafür für den privaten Gebrauch aber vollkommen ausreicht. Man kann die Backups sogar on-the-fly als Laufwerke einbinden in Windows und einzelne Dateien daraus extrahieren.
Dieses Tool nutze ich schon seit langer Zeit für meine Backups. Wurde auch in der c't sehr gut getestet.

Hi,

si wie ich das verstanden habe, muß das Backup Tool vier Voraussetzungen mitbringen:
1. Von CD Booten
2. Ein 100%iges Bit-für-Bit Image machen und zurückspielen
3. Sich nicht im Inhalte des Backups kümmern. Ghost z.B. basiert darauf, lesbare Dateien aus dem Dateisystem zu backupen und das scheitert zusammen mit Whole Disk Encryption, weil nach dem CD Boot die Festplatte verschlüsselt ist
4. Bei PCs mit nur einer HDD muß ins Netwerk gesichert werden, weil die HDD nach dem CD Boot verschlüsselt ist und damit nicht als Zieldatenträger in Frage kommt.

@AK: Erfüllt TrueImage diese Bedingungen?

Gruß

John

Hi John Shaw!

Ich verwende PGP Desktop 9.0 seit ca. 1 Jahr. Habe mich aber gegen die Encrypt Whole Disk Variante entschieden, da man dann keine Partitionierung mehr vornehmen kann. Das ist bei heutigen Plattengrößen aber mehr als sinnvoll. Daher habe ich mehrere virtuelle Disks, die nach Bedarf gemountet werden. Der Backup ist so auch viel einfacher. Einfach die Image Datei irgendwo sichern oder teilen und brennen. Außerdem ist man so laut PGP auch relativ versionsunabhängig, weil die Images auch in älteren und neueren Versionen gemountet werden können sofern diese den Verschlüsselungstyp unterstützen.

Viele Grüße

Ich verwende PGP Desktop 9.0 seit ca. 1 Jahr. Habe mich aber gegen die Encrypt Whole Disk Variante entschieden, da man dann keine Partitionierung mehr vornehmen kann.

Stimmt das wirklich? So wie ich es gelesen habe, sind Partitionen sehr wohl möglich, jedoch sind ALLE Partitionen verschlüsselt.

John

Ich habe das in der folgenden FAQ so verstanden und konnte meine bereits partitionierte Festplatte auch nicht komplett verschlüsseln.

http://www.pgp.com/products/desktop/professional/faqs.html#wde_overview

Wenn du rausfindest wie es trozdem geht, wäre ich über einen Tipp dankbar.

Ich habe das in der folgenden FAQ so verstanden und konnte meine bereits partitionierte Festplatte auch nicht komplett verschlüsseln.

http://www.pgp.com/products/desktop/professional/faqs.html#wde_overview

Wenn du rausfindest wie es trozdem geht, wäre ich über einen Tipp dankbar.

Irgendwo im PGP Forum habe ich von einem User mit mehreren Partitionen gelesen. Sollte das wirklich nicht laufen, fällt es auch für mich raus.

John

Habs auch nochmal auf deutsch gefunden!

Zitat PGP FAQ:

Bietet PGP Whole Disk Encryption For Professionals die Verschlüsselung einzelner Partitionen?

Nein. PGP Whole Disk Encryption For Professionals verschlüsselt komplette Festplatten und USB-Laufwerke. Jedoch kann PGP Virtual Disk genutzt werden, um verschüsselte Volumes zu erstellen, die einzelnen Partitionen entsprechen.

Zitat Ende

Das heist für mich, will man mehrere Partitionen haben, kann man diese mit den Virtual Disks simulieren. Leider kann man bei diesen Virtual Disks die Größe später nicht mehr ändern, also gleich etwas großzügiger planen. Eine weitere Möglichkeit wäre ein neues größeres Volume anlegen und alle Daten kopieren.

Ich habe das auch gelesen, aber anders verstanden. PGP-WDE bietet NICHT die Verschlüsselung einzelner Partitionen getrennt voneinander, sondern verschlüsselt alle Partitionen, die auf einer HDD enthalten sind.

Nachtrag: WDE kann man ja nachträglich installieren. Was passiert denn mit den Daten auf den Partitionen, wenn es nicht unterstützt wird? Sind die weg oder werden sie zu einer Partition zusammengefasst?

John

@AK: Erfüllt TrueImage diese Bedingungen? In der c't 01/06 wurden folgende Festplatten-Imager getestet:
Symantec Norton Ghost 10.0, Acronis True Image 9.0, Tom Ehlert Drive Snapshot, Paragon Software Drive Backup 7.0 Professional, Paragon Software Exact Image 7.0, Runtime DriveImage XML
Das waren aber alles die kostenpflichtigen Versionen.

Den Artikel kann man für 90 Cent online kaufen:
http://www.heise.de/kiosk/archiv/ct/06/01/146/

Ich habe leider momentan keine Zeit, nachzulesen, welche deiner Bedingungen nun im Detail von dem Programm beherrscht werden. Und um dir das kompetent beantworten zu können, müsste ich mich da erst lange einlesen.

Mit der kostenlosen Version geht es auf jeden Fall nicht alles.

Noch mal zur Unterstützung von Partitionen:
http://forums.pgpsupport.com/viewtopic.php?t=4597&highlight=partition
Punkt 2 seiner Antwort: " I have two HDs, both are encrypted and both have several partitions.. worked just fine for me."

Ich denke, WDE stellt einen Treiber zwischen die Festplatte und Windows - jetzt ganz simpel gedacht. Alle, was von der Festplatte kommt und geht, muß da durch und wird verschlüsselt bzw. entschlüsselt.

John

John

Hab nochmal bei meiner PGP Version 9.0.1 versucht meine Platte mit 3 Partitionen komplett zu verschlüsseln. Egal wie ich es anstelle, ich bekomme immer die Meldung Whole Disk Encryption wird für dieses Laufwerk nicht unterstützt.

Dazu auch nochmal ein Auszug aus der Hilfedatei von PGP 9.
---
Die PGP Whole Disk Verschlüsselungsfunktion ist nicht mit Dual-Boot-Systemen, partitionierten Laufwerken und Laufwerken kompatibel, die mit anderen Software-Produkten verschlüsselt wurden. Zur Verschlüsselung solcher Systeme mit PGP Whole Disk müssen Sie die Dual-Boot-Systeme wieder auf "Single Boot" zurücksetzen, die Partitionierung der partitionierten Laufwerke aufheben, alle verschlüsselten Laufwerke entschlüsseln und dann die anwendbare Software deinstallieren.
---

Ich kann dir die pgp.chm auch gern mal zumailen, falls du das noch genauer nachlesen willst. Einfach PM mit Mailadresse an mich.

Ich habe mich damals, nachdem ich das Problem bemerkt hatte, auch noch nach anderen Verschlüsselungsprogrammen umgeschaut aber keins gefunden, was mehrere Partitionen komplett verschlüsselt.

Gruß Anxtfux

Hi,

ich werde das auf einem Test PC aufsetzen. PGP universal als 30 Tage trial enthält seit v9.0.3 auch WDE. Meine Ergebnisse werde ich hier posten...wird aber ein paar Tage dauern.

John

So, ich habe mir ein Testsystem aufgesetzt. 2 Partitionen, WinXP SP2. Die Installation war problemlos möglich und ich konnte beide Partitionen verschlüsseln.
Danach habe ich mit Ghost 2003 versucht ein Backup anzulegen. Dabei startet Ghost normalerweise ein PC-DOS und dann das Ghost selbst. Wie zu erwarten war, ist das gehörig in die Hose gegangen. Der Rechner meldet "missing operation system", weil der WDE Treiber nicht mehr geladen wird, wenn PC-Dos im MBR als zu bootendes System steht.
Ich habe nun die WDE Recovery Disk gebrannt und kann davon booten, allerdings macht der Rechner nach halb gestartetem Windows einen Reset. Als zweite Option werde ich nun versuchen, die HDD über die Recovery Disk zu entschlüsseln...

Mal schauen, was dabei rauskommt.

John

Hallo John,

bei dir klappt also die WDE mit mehreren Partitionen. Kannst du mir da bitte folgende Fragen beantworten?

Sind das beides primäre Partitionen?
Wie bist du vorgegangen?

Danke

Hallo John,

bei dir klappt also die WDE mit mehreren Partitionen. Kannst du mir da bitte folgende Fragen beantworten?

Sind das beides primäre Partitionen?
Wie bist du vorgegangen?


Nein. Eine primäre, eine erweiterte. WDE unterstützt keine "Multiboot" Systeme und somit vermutlich auch keine zwei primären Partitionen.

Weiter in meinen Tests. Mit Ghost 2003 habe ich mir das WDE zerschossen, kein normaler boot mehr möglich. Mittels WDE Recovery CD konnte ich aber die komplette Platte wieder entschlüsseln und XP danach booten.
Werde mich mal an True Image ranmachen.

@adfree: Es wird NUR der öffentliche Teil deines Keys zum Keyserver übertragen. Der private Teil zum Entschlüsseln natürlich nicht. Zum Testen von WDE ist es nicht nötig, den KEy zum KEyserver zu senden. Macht auch bei einer Testinstallation keinen Sinn.

John

Jetzt nach einer Woche mit Whole Disk Encryption kann ich sagen.
-PGP Dektop Home kostet ca. 100 Euro. Das finde ich zu teuer, gibt Freeware.
-Einsatz der Betriebssysteme sehr beschränkt:
http://mitglied.lycos.de/adfree/pgp11.jpg
-PGP WDE ist mit äußerster Vorsicht anzuwenden. Es droht durchaus Datenverlust! Da WDE einiges durchaus anstandslos verschlüsselt, ohne Warnhinweise. Doch erst einmal Handbuch lesen. So wie ich. :mrgreen:
http://mitglied.lycos.de/adfree/pgp10.jpg
-Das dauert ewig, 20 GB waren in 2 Stunden und 160 GB in ca. 8 Stunden fertig verschlüsselt. Ungeachtet des tatsächlich belegten Speicherplatzes, da jeder Sektor verschlüsselt wird. Daraus resultiert das nächste Problem.
-Wenn man auf die glorreiche Idee kommt, zum Beispiel die 160 GB Platte als eine Partition zu verwenden. Dann ein Image anlegt, was durchaus mit True Image 8 funktioniert. Dann hat man auch ein 160 GB großes Image, das auch nur unwesentlich zu komprimieren ist. Das resultiert aus dem nur möglichen Sektorenkopieren.
Ich probier mich mal mit True Crypt, war nur 2,5 MB groß und ist Freeware
http://www.truecrypt.org/downloads.php

MfG

Hi,

ich bin mit meinem WDE Test auch durch. Es funktioniert zwar als einzelnes System ziehmlich gut aber es ist mir nicht gelungen, ein Image meiner Systempartition zu erstellen bzw. es zurückzuspielen. Anfangs hat alles mit Ghost geklappt. Es wurde in 2GB Image von meiner 2GB Partition erstellt, was zu erwarten war, da sich verschlüsselte Daten generell nicht kompremieren lassen. Ich konnte das Image auch zurückspielen, jedoch bootete es nicht auf einer anderen Festplatte - wie bereits erwartet. WDE schreibt einen Zeiger in den MasterBootRecord (MBR), der auf einen Bootloader auf der WDR Partition zeigt. Fehlt der Zeiger im MBR, wird nicht gebootet. Ich hatte daher auch ein Backup meines MBRs angefertigt doch trotz zurückspielen wollte WDE nicht mehr richtig laufen. Es kam zwar der WDE login Bildschirm aber anschließend die Meldung "Problem beim starten des Betriessystems" (oder ähnlich). Mit der WDE Recovery Disk konnte ich die Partition reparieren aber das Problem blieb. Ich weiß nicht, ob ich mit einer XP Reparaturconsole evtl. weiterkommen und habe hier abgebrochen.
Solange PGP als Firma keinen 100% sicheren Weg aufzeigt, eine WDE Systempartition zu sichern und wieder herzustellen, ist die Sache für mich gelaufen.
Aktuell bleibe ich bei PGPDisk und lasse die Systempartition unverschlüsselt. Als kostenlose Alternative zu PGPdisk kann man auch TrueCrypt nehmen.

In einer der letzten cts wurde auch eine HDD mit onboard Verschlüsselung als Teil der HDD Firmware vorgestellt. Da ich sowieso eine größere Festplatte benötige, werde ich mal schauen, was es da so gibt...

John

Die 160 GB in 7 Stunden waren mit einem 850 MHz AMD.
Jetzt wo ich noch einen alten P4 2800 MHz mit der gleichen 160 GB Platte testen konnte, halbiert sich die Zeit. Bei True Crypt kann man sich den Algorithmus selbst aussuchen und kann nochmal die Hälfte der Zeit sparen.

Was ich aber gar nicht so toll fand. Das ist mir auf dem AMD passiert, gleich die erste Installation.
http://mitglied.lycos.de/adfree/pgp12.jpg
Und jetzt auf dem Intel. Beide Male Erstinstallation auf frisches XP.
Diese Meldung kam erst beim Aufruf von Whole Disk Encryption.
Und erfordert entweder eine Neuinstallation oder Reparaturinstallation.
Also am fehlenden SP2, beim ersten Mal, lags nicht.

MfG