Vorbemerkung

Diese Anleitung basiert noch auf dem Cryptoloop, einem inzwischen veralteten System, das dazu noch ein paar prinzipielle Schwächen hat, die allerdings nur bei zu kurzen Passwörtern problematisch sind. Die meisten Probleme bringt aber die Versionsabhängigkeit zu den Userspace-Tools und der Kernel-Version mit sich. Es kommt schon mal vor, dass man nach einem Update von Kernel oder den besagten Tools nicht mehr auf seine Dateien zugreifen kann, besonders wenn man noch die Kernelversion 2.4.x benutzt. Dann ist ein downgrade der entsprächenden Sachen leider notwendig. Trotzdem ist das Crypto-Loop definitiv nicht unsicher, trotz seiner Schwächen. Bei sorgfältiger Einrichtung und ausreichend langem Passwort (min. 8 Zeichen, besser 12 oder mehr) ist es absolut sicher.

Ein Anleitung die auf dem neueren dmcrypt und dmcrypt-luks basiert, ist in Arbeit und wird demnächst veröffentlicht.

In diesem Text geht es nicht um die Analyse einer möglichen Bedrohung. Es geht ausschließlich darum, wie man einen "sicheren" PC aufsetzt. Sicher ist deshalb in Anführungszeichen gesetzt, weil es verschiedene Formen von sicher gibt. Was dem einen völlig ausreicht, kann an anderer Stelle unzureichend sein. Die Anleitung soll zeigen, wie man einen Arbeitsplatzrechner oder Notebook gegen Ausspähung bei Verlust und Beschlagnahme oder vor neugierigen Mitmenschen schützen kann. Es ist eine von verschiedenen Möglichkeiten, alle haben Vor- und Nachteile. Das vorgestellte Verfahren bietet eine hohe Datensicherheit und ist dabei trotzdem praxistauglich. Sie ähnelt übrigens der FileVault-Verschlüsselung von Apple, welche mit MacOS X ausgeliefert wird. Apple-User sollten die auf alle Fälle einschalten.

Gegen Abhören zum Beispiel der Monitorabstrahlung oder Angriffe auf einzelne Software hilft diese Anleitung nicht, darauf einzugehen würde den Rahmen des Textes sprengen. An dieser Stelle sei auf die entsprechenden Anleitungen zu diesen speziellen Diensten verwiesen. Neben der technischen Sicherheit gehört noch viel mehr das Userverhalten zu einem sicheren System, weshalb eine solche Anleitung nur einen Teil der Gesamtsicherheit abdecken kann. In jedem Fall ist ein weiteres Studium zum Verständnis der Zusammenhänge ratsam. Man sollte immer bedenken, dass man nicht nur seine eigenen Daten gefährdet, sondern letztlich auch die von den Menschen, mit denen man irgendwie zusammenarbeitet.

Als Basissystem kommt Linux zum Einsatz. Das liegt nicht an einer grundsätzlichen Ablehnung von Windows (Oder doch?), sondern an ganz praktischen Gründen. Es gibt kaum einen Bereich, wo es unter Linux nicht die passende Software gibt und das Argument, man bräuchte diese oder jene Software ist meistens nichts als eine Ausrede, weil jemand Angst vor Veränderung hat. Im Gegenteil, die alternativen Programme sind oft mächtiger und praktikabler. Gegen Windows spricht eine Sache, die man auch mit noch so viel Mühe nicht umgehen kann. Man weiss nicht, was im Hintergrund so alles stattfindet, wahrscheinlich weiss das nicht mal Microsoft selbst. Es gibt zahlreiche Beispiele, wo Leute verurteilt worden, weil die Polizei Daten auf dem Computer gefunden hat, von dem der Besitzer nicht wusste, dass Windows sie in temporären Dateien, Logfiles oder einfach so irgendwo auf die Platte geschrieben hatte. Das macht Windows auch dann, wenn diese Daten in einer verschlüsselten Partition wie PGP-Disk oder die Daten auf einem externen Datenträger wie einer Diskette oder CDROM gespeichert sind. In der Regel reicht das Öffnen der Datei, spätestens beim Ausdruck erstellt Windows eine temporäre Datei, aus der sich das Dokument komplett rekonstruieren läßt. Zwar löscht Windows solche Dateien in der Regel, aber sie lassen sich mit bestimmten Programmen trotzdem wieder herstellen. Beim Umfang von Windows ist es so gut wie unmöglich ständig alle Dateien im Blick zu haben, selbst wenn man regelmäßig den freien Festplattenplatz wiped (überschreiben mit Zufallsdaten und anschließendem Löschen), wie es zum Beispiel Programme wie PGP anbietet, werden davon nicht gelöschte Temporärdateien, Logfiles und ähnliches nicht bereinigt.

Natürlich werden auch unter Linux solche Dateien geschrieben, aber wir werden zeigen, wie man das in den Griff bekommt. Der große Vorteil von Linux besteht darin, dass es sehr transparent ist und durch seine offene Struktur kann jemand mit dem entsprechenden Wissen jederzeit nachvollziehen, was das System macht. Auch die Stellen, an denen Temporärdateien, Userdaten und Logfiles geschrieben werden, sind definiert und leicht in den Griff zu bekommen. Der User und die von ihm benutzten Programme können nur in ganz bestimmten Verzeichnissen seine Daten speichern, seinem Homeverzeichnis und eventuell extra für ihne freigegebene Verzeichnisse. Auf einem Arbeitsrechner oder Laptop ist das in der Regel das Homeverzeichnis. Unser Ziel ist es, genau diese Verzeichnisse vor unberechtigtem Lesen zu schützen, bzw. dafür zu sorgen, dass Tempörärdateien und Logfiles nicht auf die Festplatte geschrieben werden. Dazu werden wir uns des Crypto-Loops des Linuxkernels bedienen.

Aber bevor es soweit ist, muss erst einmal die Installation des Systems vorbereitet werden. Grundsätzlich funktioniert der beschriebene Weg mit jeder halbwegs aktuellen Linuxdistribution. Ob man Debian noch dazu zählen kann ist fraglich, die mitgelieferten Softwarepakete sind teilweise uralt und müssen ausgetauscht oder gepatcht werden. Weil das alles recht umfangreich ist, verzichte ich an dieser Stelle auf eine Beschreibung der einzelnen Schritte und verweise auf Anleitungen im Internet, die sich die Leute, die unbedingt Debian einsetzen wollen, vorher durchlesen sollten. Mit SuSE, RedHat/Fedora, Mandrake oder Gentoo ist man auf der sicheren Seite, so lange die Distribution nicht älter als ein paar Monate ist. Bei einer Neuinstallation, um die es ja hier geht, sollte man so oder so die neueste Version nehmen. Fedora, Mandrake und Gentoo sind frei im Internet herunterzuladen, SuSE und RedHat liegen manchmal als Testversion Zeitungen bei. Linux-Anfängern rate ich grundsätzlich zu SuSE, was nach meinem Geschmack nicht die ideale Distribution ist, aber sie tut was man von ihr erwartet und sie ist sehr weit verbreitet und man findet immer jemanden, der einem helfen kann. An Gentoo sollten sich nur Leute wagen, die wissen was sie tun. Es ist eine sehr leistungsfähige Distribution, welche aber ein hohes Linuxwissen voraussetzt, weil man alles (wirklich alles!) von Hand machen muss.

Vor der eigentlichen Installation muss man sich noch klar werden, ob man auf seinem Computer noch Windows laufen lassen möchte (Wozu eigentlich???) und wie man in dem Fall die Festplatte partitionieren möchte. Ich empfehle grundsätzlich Linux als alleiniges Betriebssystem, mindestens aber für alle kritischen Aufgaben und dazu gehört auch das Surfen im Internet. Nachdem klar ist, wie viel Platz ihr für Linux verwenden wollt, kann die Installation losgehen. Die Installation von Linux unterscheidet sich je nach der gewählten Distribution in einigen Details. Allen Distributionen liegen aber umfangreiche Installationsanleitungen bei. Macht am besten eine ganz normale Standardinstallation, es sei denn ihr wisst was ihr tut.

Für die Einrichtung der Verschlüsselung ist es irrelevant, ob sich das Linux die Platte mit Windows teilen muss oder nicht. Wichtig ist nur, dass ausreichend Platz verhanden ist. Wie viel das ist, hängt auch von der zu erwartenden Datenmenge ab und das könnt nur ihr wissen, wie viel ihr brauchen werdet. Ein Linuxsystem nimmt je nach installierter Software bis etwa 3GB für sich ein, aber das ist dann auch schon viel. In den meisten Fällen kommt man mit 1.5-2GB für das System aus. Dazu müsst ihr dann noch eure Daten rechnen, aber bei heutigen Festplattengrößen ist es ja kein Problem 10GB oder so freizuräumen. Damit ist man dann auf der sicheren Seite, es sei denn ihr wollt auch die MP3- und Videosammlung verschlüsselt aufbewahren, was grundsätzlich eine gute Idee ist. Durch die Verschlüsselung geht übrigens kein Plattenplatz verloren.

Wie schon weiter oben angedeutet wollen wir zur Verschlüsselung der Daten das Crypto-Loop des Linux-Kernels benutzen. Es gab in der Vergangenheit eine umfangreiche Diskussion um die Sicherheit dieser Methode und viele Experten haben sich damit beschäftigt. Es gibt sicherlich intelligentere Verfahren, aber bei einem ausreichend langen und halbwegs vernünftig gewählten Passwort kann man das Crypto-Loop als sicher betrachten. Die Sicherheit hängt natürlich auch vom verwendeten Verschlüsselungsverfahren ab. Das Crypto-Loop unterstützt eine ganze Anzahl verschiedener Verfahren, ich rate zu AES (Advanced Encryption Standard), Blowfish oder Twofish. Diese gelten als sicher und sind schnell. Gerade letzteres ist bei einer Festplattenverschlüsselung wichtig um nicht zu viel Systemperformance einzubüßen. Für die Schlüssellänge sind mindesten 128bit, besser aber 256bit empfehlenswert. Da halbwegs aktuelle Prozessoren genug Rechenpower haben, bremsen die längeren Schlüssel auch nicht merklich. Nur bei wirklich alten Rechtern (486, Pentium I) merkt man beim normalen Arbeiten die höhere Last.

Unter Linux liegen die Userdateien in der Regel im Homeverzeichnis unter /home. Deshalb werden wir das komplette Verzeichnis und all seinen Inhalt verschlüsseln. Anders als bei PGP-Disk und ähnlichen Lösungen hat das zwei Vorteile. Wirklich alle Userdaten werden verschlüsselt, also zum Beispiel auch der Browsercache und die History. Der zweite Vorteil besteht darin, dass die Verschlüsselung voll transparent ist, man also nichts davon merkt. Nur beim Start muss ein Passwort eingegeben werden, das ist alles. Ab da arbeitet man genauso wie ohne Verschlüsselung und muss sich keine Gedanken darüber machen, welche Dateien wo gespeichert werden müssen, vorausgesetzt natürlich man speichert seine Dateien im Homeverzeichnis. Sollen die wo anders abgelegt werden, was nur bedingt sinnvoll ist, dann muss natürlich dieses Verzeichnis verschlüsselt werden. Wir gehen davon aus, dass das Homeverzeichnis und alle Userdaten verschlüsselt werden sollen.

Nachdem das Linux installiert ist, müssen wir als erstes das Crypto-Loop einrichten. Solltet ihr eine bestehende Linux-Installation benutzen, sichert vorher eure Daten! Das Crypto-Loop kann verschiedene Datencontainer benutzen, ein File oder ein Blockdevice wie zum Beispiel eine Festplattenpartition. Die Sicherheit ist bei beiden Verfahren gleich, die Geschwindigkeit bei der Benutzung eines Blockdevices ist etwas höher, weil kein Umweg über ein Dateisystem gemacht wird. Der Datencontainer wird vom Crypto-Loop als ein virtuelles Blockdevice zur Verfügung gestellt, welches man formatieren und mounten kann wie eine Festplattenpartition, nur mit dem Unterschied, dass die Datem verschlüsselt auf diesem Blockdevice liegen. Ich gehe kurz auf die Installation beider Möglichkeiten ein. Eine umfassende Beschreibung der Installation eines Crypto-Loops findet sich hier: http://www.linux.com/howtos/Cryptoloop-HOWTO/index.shtml Auf die wesentlichen Punkte gehe ich aber auch in dieser Anleitung ein.

Installation in ein Container-File

Wenn du bei deiner Linux-Installation keine Partition für /home erstellt hast, muss das Crypto-Loop auf ein Containerfile zurückgreifen. So groß wie dieses File ist, wird dann auch die spätere Kapazität sein, von ein wenig Overhead des Dateisystems abgesehen. Wer eine extra Partition nutzen möchte, kann diesen Punkt überspringen und direkt bei Installation in eine Festplattenpartition weiterlesen.

Das Containerfile erstellen wir mit folgendem Befehl und füllen es mit Zufallsdaten, damit später nicht erkennbar ist, wie weit das Crypto-Loop bereits gefüllt ist. Unter Umständen könnte das eine Attacke erleichtern. Das kann je nach Größe des gewünschten Containerfiles und Geschwindigkeit des PCs bis zu mehreren Stunden dauern. Bei sehr großen Containerfiles und langsamen Rechnern sind durchaus auch ein bis zwei Tage drin. Bevor man anfängt sollte man sichergehen, dass in dem Zielverzeichnis /var genug Plattenplatz frei ist. Dazu benutzt man den Befehl df.

Der Befehl

dd if=/dev/urandom of=/var/cryptofile bs=1M count=1024

erstellt ein Containerfile von 1GB Größe in dem Verzeichnis /var. Wird mehr Speicherplatz gebracht, ist die Zahl bei count zu erhöhen. Count=10240 bedeutet zum Beispiel 10GB, count=512 sind 512MB. Man sollte immer darauf achten, die Festplatte nicht bis zum Ende zu füllen, da sonst Linux nicht mehr einwandfrei läuft. Man sollte immer ein paar hundert Megabytes Reserve haben.

Wenn das File angelegt wurde, können wir als nächstes die Verschlüsselung anlegen. Dabei wird nicht nur die Verschlüsselung als solches auf das Containerfile übertragen, sondern auch das Containerfile so vorbereitet, dass es später wie eine Festplatte gemountet werden kann.

Mit dem Befehl

losetup -e aes-256 /dev/loop0 /var/cryptofile

wird eine Verschlüsselung mit AES und 256bit eingerichtet. Gleich zu Anfang wird man nach einem Passwort gefragt. Das Passwort sollte mindestens 10-12 Zeichen lang sein. Weil später beim Laden des Crypto-Loops noch keine Zeichentabelle geladen sein kann (abhängig von der benutzten Distribution), muss man bei der Wahl des Passworts etwas vorsichtig sein, sonst kann man es später vielleicht nicht richtig eingeben. Wenn keine Zeichentabelle geladen ist, benutzt Linux in der Regel die englische Tastaturbelegung, bei der einige Buchstaben und Zeichen auf anderen tasten liegen. Auf Sonderzeichen und Umlaute würde ich bei diesem Passwort verzichten und dafür lieber ein längeres Passwort oder kurzen Satz (über 20 zeichen) mit Zahlen benutzen. Dabei sollte man darauf achten, dass Z und Y bei deutscher und englischer Tastatur vertauscht sind.

Da bei der Einrichtung unter Garantie die deutsche Tastaturbelegung geladen ist, werden solche Verwechslungen nur später bei der Eingabe des Passworts beim Booten vorkommen. Es empfiehlt sich an dieser Stelle darüber nachzudenken und das Passwort gleich mit den vertauschten Buchstaben einzugeben, so dass sie später immer richtig eingegeben werden können. Das bedeutet auch, dass dabei Passwörter herauskommen, die in keinem Wörterbuch zu finden sind.

Beispiel:

Das ist ein zuverlaessiges Passwort

Wird zu

Das ist ein yuverlaessiges Passwort

Später gibt man es aber in der originalen Form ein, weil z und y vertauscht sind.

Die Verschlüsselung ist jetzt eingerichtet und wir können das Crypto-Loop formatieren. Welches Dateiformat man nimmt, ist Geschmachssache, aber ich würde ein journalisierendes Dateisystem nehmen.

mkfs -t ext2 -j /dev/loop0

formatiert das Crypto-Loop mit der journalisierenden Variante von ext2, auch ext3 genannt. Damit sollte jedes Linux zurechtkommen. Andere stehen auf ReiserFS?, welches man mit diesem Befehl einrichtet:

mkreiserfs /dev/loop0

Im Prinzip läßt sich das Crypto-Loop mit jedem Dateisystem formatieren, welches Linux ansprechen kann. Bitte entscheidet euch für eines und merkt euch, was ihr genommen habt. Die Einrichtung des Containerfiles ist damit erst mal abgeschlossen. Die Einbindung in das System wird nach dem folgenden Kapitel fortgesetzt.

Installation in eine freie Partition

Wenn du bei deiner Linux-Installation eine Partition für /home erstellt hast, kann diese für das Crypto-Loop benutzt werden. So groß wie dieses Partition ist, wird dann auch die spätere Kapazität sein, von ein wenig Overhead des Dateisystems abgesehen. Wer ein Containerfile für das Crypto-Loop benutzt, kann diesen Abschnitt überspringen und bei der Integration ins System weiterlesen.

Jetzt wird es gefährlich. Wenn ihr hier einen Fehler macht, könnt ihr nicht nur euer System abschießen, sondern auch alle Daten verlieren. Deshalb müsst ihr euch ganz sicher sein, welche Partition ihr für euer /home benutzen wollt. Leider kann man das nicht pauschal sagen, das könnt nur ihr alleine wissen. Ich gehe im weiteren Verlauf davon aus, dass /dev/hda3 das Homeverzeichnis ist. Wer ganz sicher gehen will, kann auch eine neue Platte einbauen und diese ausschließlich für das Homeverzeichnis nutzen.

Die Partition füllen wir als erstes mit Zufallsdaten, damit später nicht erkennbar ist, wie weit das Crypto-Loop bereits gefüllt ist. Unter Umständen könnte das eine Attacke erleichtern. Das kann je nach Größe der Partition und Geschwindigkeit des PCs bis zu mehreren Stunden dauern. Bei sehr großen Partitionen und langsamen Rechnern sind durchaus auch ein bis zwei Tage drin.

Der Befehl

dd if=/dev/urandom of=/dev/hda3 bs=1M

erstellt die Zufallsdaten auf der Partition. Sollten sich noch irgendwelche Daten auf der Partition finden, sind sie jetzt unwiederbringlich fort. Wenn die Partition gefüllt ist, beendet sich das Programm. Die Fehlermeldung könnt ihr ignorieren. Statt /dev/hda3 müsst ihr natürlich eure Partition angeben.

Wenn die Zufallsdaten geschrieben wurde, können wir als nächstes die Verschlüsselung anlegen. Dabei wird nicht nur die Verschlüsselung als solches auf die Partition übertragen, sondern auch die Partition so vorbereitet, dass es später für das Crypto-Loop benutzbar ist..

Mit dem Befehl

losetup -e aes-256 /dev/loop0 /dev/hda3

wird eine Verschlüsselung mit AES und 256bit eingerichtet. Gleich zu Anfang wird man nach einem Passwort gefragt. Das Passwort sollte mindestens 10-12 Zeichen lang sein. Weil später beim Laden des Crypto-Loops noch keine Zeichentabelle geladen sein kann (abhängig von der benutzten Distribution), muss man bei der Wahl des Passworts etwas vorsichtig sein, sonst kann man es später vielleicht nicht richtig eingeben. Wenn keine Zeichentabelle geladen ist, benutzt Linux in der Regel die englische Tastaturbelegung, bei der einige Buchstaben und Zeichen auf anderen tasten liegen. Auf Sonderzeichen und Umlaute würde ich bei diesem Passwort verzichten und dafür lieber ein längeres Passwort oder kurzen Satz (über 20 zeichen) mit Zahlen benutzen. Dabei sollte man darauf achten, dass Z und Y bei deutscher und englischer Tastatur vertauscht sind.

Da bei der Einrichtung unter Garantie die deutsche Tastaturbelegung geladen ist, werden solche Verwechslungen nur später bei der Eingabe des Passworts beim Booten vorkommen. Es empfiehlt sich gleich an dieser Stelle darüber nachzudenken und das Passwort gleich mit den vertauschten Buchstaben einzugeben, so dass sie später immer richtig eingegeben werden können. Das bedeutet auch, dass dabei Passwörter herauskommen, die in keinem Wörterbuch zu finden sind.

Beispiel:

Das ist ein zuverlaessiges Passwort

Wird zu

Das ist ein yuverlaessiges Passwort

Später gibt man es aber in der originalen Form ein, weil z und y vertauscht sind.

Die Verschlüsselung ist jetzt eingerichtet und wir können das Crypto-Loop formatieren. Welches Dateiformat man nimmt, ist Geschmachssache, aber ich würde ein journalisierendes Dateisystem nehmen.

mkfs -t ext2 -j /dev/loop0

formatiert das Crypto-Loop mit der journalisierenden Variante von ext2, auch ext3 genannt. Damit sollte jedes Linux zurechtkommen. Andere stehen auf ReiserFS, welches man mit diesem Befehl einrichtet:

mkreiserfs /dev/loop0

Im Prinzip läßt sich das Crypto-Loop mit jedem Dateisystem formatieren, welches Linux ansprechen kann. Bitte entscheidet euch für eines und merkt euch, was ihr genommen habt. Die Einrichtung der Partition ist hiermit abgeschlossen.

Die Integration der Verschlüsselung in das System

Damit wir die Verschlüselung benutzen können, muss sie so in das System integriert werden, dass sie beim Systemstart geladen werden. Es ist zwar auch möglich, das Crypto-Loop von Hand zu laden, aber das ist umständlich und in der Praxis wenig brauchbar. Aber bevor es um das Laden des Crypto-Loops geht, muss erst einmal ein potentielles Sicherheitsloch beseitigt werden. Dieses Problem ist das Auslagern von Speicherinhalt auf die Festplatte. Unter Linux passiert das in der Regel mit einer Swap-Partition, in seltenen Fällen auch mittels Swap-File. Das Problem besteht darin, dass unter Umständen sensible Daten in diesen Swap-Bereich geschrieben werden, möglicherweise das Passwort für das Crypto-Loop im Klartext. Dort hätte dann jeder mit etwas PC-Kenntnissen und Zugriff auf den Rechner die Möglichkeit, das Passwort auszulesen.

Das Auslagern von Speicherinhalt auf die Festplatte deaktiviert man, indem man in dem File /etc/fstab die Zeile auskommentiert (# davorsetzen) oder löscht, in der an dritter Stelle swap steht. Bei mir sieht das so aus:

# /dev/sdb1 none swap sw 0 0

Bei euch ist das garantiert eine andere Partition, zum Beispiel /dev/hda2. Die Swap-Partition sollte man nur dann eingeschaltet lassen, wenn man wenig Arbeitsspeicher hat. Besser ist es, Arbeitsspeicher freizuräumen, indem unbenutzte Systemdienste beim Start nicht geladen werden oder auf Resourcenverschwendung durch optische Effekte beim Windowmanager verzichtet. Besonders KDE und Gnome können ganz schön Speicher verschwenden, wenn man sie lässt. Lässt man die Swap-Partition eingeschaltet, kann das wie gesagt zur Offenlegung des Passworts führen. Übrigens ist genau das die Schwachstelle des anfangs erwähnten Verfahrens von Apple.

Wenn wir die Datei schon mal offen haben, können wir auch gleich die restlichen Änderungen vornehmen. Sollte eine Zeile dabei sein, in der in der zweiten Spalte /home steht, löscht oder kommentiert diese aus. Die mountet das unverschlüsselte Homeverzeichnis. Statt dessen kommt dafür diese Zeile in die /etc/fstab:

/dev/hda3 /home reiserfs defaults,loop,encryption=aes-256 0 0 0 0

Wie ihr seht, habe ich mich für ReiserFS entschieden. Wenn ihr etwas anderes genommen habt, muss das dort entsprechend eingetragen sein.

Nach dem Reboot des Systems solltet ihr jetzt nach einem Passwort gefragte werden. Ist das Passwort korrekt eingegeben, wird das Homeverzeichnis gemountet. Wenn nicht meldet der Rechner, dass er das Dateisystem nicht kennt und entsprechend auch nicht mounten kann. In so einem Fall muss man den Rechner erneut starten um das Passwort eingeben zu können.

Sobald alles funktioniert, könnt ihr eueren Useraccount, mit dem ihr später arbeiten wollt, anlegen. Das Verzeichnis von root ist ausdrücklich nicht verschlüsselt und damit geschützt! Mit dem Root-Account arbeitet man auch nicht und dem gehören normalerweise auch nur Systemdateien. Für den Fall, dass ihr das Crypto-Loop auf einem bereits bestehenden System installiert habt, dann müsst ihr das Verzeichnis des oder der User in /home neu anlegen und dann die Dateien aus eurem Backup zurückspielen.

Fertig. Ab diesem Punkt sind eure Daten verschlüsselt. Sobald der Rechner heruntergefahren oder einfach vom Strom getrennt wird, dann sind die Daten nach menschlichem Ermessen nicht mehr lesbar. Nur wenn der Rechner mit dem korrektem Passwort gebootet wird, kann auf die Daten zugegriffen werden. Diese liegen aber selbst dann nicht unverschlüsselt auf der Festplatte, sondern nur "virtuell" im Arbeitsspeicher. Sie werden in Echtzeit ver- und entschlüsselt.

Alexander Heidenreich

Zu Fragen, Anregungen und Kritik könnt ihr mich unter dieser Email-Adresse erreichen: Diese E-Mail-Adresse ist gegen Spam geschützt. Zur Anzeige muss Javascript aktiviert sein.

Dieses Dokument darf frei weiterverbreitet werden, so lange ein Link oder sonstiger Verweis auf die Originalquelle enthalten ist.