Diskkryptering - Protecttool vs truecrypt

[petterg]

MS påstår nå at .ost-fila til outlook er kryptert i 2010. De påstår også at offline files er lagret kryptert (om man slår det på) på lokal pc. Men kan man stole på dette? Krypteringene er svært dårlig (offentlig) dokumentert. Og exchangepassord i outlook er vel ganske sikkert lagret på en dekrypterbar måte på pc'n.

 

Ting var enklere før. Da kunne man ha en partisjon kryptert av truecrypt, og velge at filer og thunderbird data skulle lagres der. Filene kunne man ta en manuell sync på når det passet seg. Når man nå nærmest er tvunget til å bruke outlook i alle fall for jobbmailen, ser det også ut som man må kryptere hele disken. Men hva er beste måten?

 

Den nye laptopen er en HP. HP kommer med protecttools ferdig installert. Min vante prosess er å reinstallere nye pc'r med frisk windows før bruk. Men nå lurer jeg på å gi Protect Tools en sjanse. Er det noen som har erfaring med Protect Tools diskkryptering? Er det verdt å prøve, eller bør man heller ta en ren installasjon og truecrypt?

 

Hva er best av de to? Hvilken gir best ytelse? Er begge trygge i forhold til å beskytte dataene når laptopen blir stjålet? Er det andre alternativer som bør vurderes?

 

(Jeg har erfaring med truecrypt på datapartisjoner, men aldri kryptert hel disk eller system partisjon.)

[xcomiii]

Mht til sikkerhet, er det pr i dag et eneste alternativ som gir beskyttelse mot tap av data som følge av pc på avveie, og det er full diskkryptering. Selv om du bare krypterer deler av filene, vil det ligge såpass mye info i MRU lister (Most recently used), logger osv at det hjelper bare litt.

 

TrueCrypt funker greit nok, men mangler managementstøtte til bedriftsmiljøer.

Selv syns jeg PGP er et bedre alternativ, selv om det koster penger.

[petterg]

Både truecrypt og hp protecttools kan kryptere hele disken. Hvilken bør man velge?

[mikeys]

Truecrypt har god støtte på flere OS og er åpent. Skulle du feks. trenge å redde ut data fra disken av en eller annen grunn kan du bare koble disken til en annen PC, installere TrueCrypt på den og hente ut dataene dine

[petterg]

Nå har HP protect tools disk encryption vært forsøkt i en måned. Ytelsen er markaber. Det værste er når maskina skal vekkes fra hibernate tar det 3-4 minutter. Dette er en HP elitebook 8560p med 4GB ram, i7, 5400rpm.

 

Min ett år gamle Multicom med 6GB ram, i5, 5400rpm bruker 10 sekunder på å gjøre det samme, og da har den altså 2GB ekstra med raminfo som må leses fra disk.

 

HP'n bruker altså nær 20 ganger så lang tid på å lese 66% av samme datamengde fra disk når disken er kryptert i forhold til den svakere multicom'en hvor bare datapartisjonen er kryptert med truekrypt.

 

 

Jeg har to grunner for å kryptere hele disken:

1: Outlook lagrer mailpassord på OS-partisjonen

2: Jeg vet ikke hva som vil dukke opp av problemer om offline files ligger på partisjon som ikke er tilgjengelig for OS ved login. Jeg vet heller ingenting om krypteringssikkerheten til offline files som ligger innebygget i windows. Nå vil jeg bruke offline files fordi det (fra w7) virker som den best egnede toveis file-sync som kjører automatisk når man er tilkoblet en windows server med god båndbredde - og lar vær å kjøre når man er på 3G, selv om man kobler til server.

 

Altså, om man finner en løsning som gjør at outlookpassord og offline files kan han en brukbar krypteringssikkerhet, trenger jeg ikke diskkryptering.

 

I mangel av løsning på de to problemene, skal jeg nå prøve å bli kvitt HP protecttools, uten å reinstallere pc'n, og prøve truecrypt på full disk.

[Remlow]

Truecrypt har god støtte på flere OS og er åpent. Skulle du feks. trenge å redde ut data fra disken av en eller annen grunn kan du bare koble disken til en annen PC, installere TrueCrypt på den og hente ut dataene dine

 

Er det ikke nødvendig å skrive inn passordet om du bytter HD til ny datamaskin og laster ned truecrypt? Eller er det bare å bytte sa har du tilgang til filene dine? Trodde man måtte skrive inn passord før du fikk bootet maskinen i det hele tatt

Endret 20. januar 2012 av Remlow

[Bazzey]

Jeg har hørt men aldri prøvet 7zip, men det sies at 7zip funker bra

[mikeys]

Truecrypt har god støtte på flere OS og er åpent. Skulle du feks. trenge å redde ut data fra disken av en eller annen grunn kan du bare koble disken til en annen PC, installere TrueCrypt på den og hente ut dataene dine

 

Er det ikke nødvendig å skrive inn passordet om du bytter HD til ny datamaskin og laster ned truecrypt? Eller er det bare å bytte sa har du tilgang til filene dine? Trodde man måtte skrive inn passord før du fikk bootet maskinen i det hele tatt

 

Når du flytter disken over til en annen PC må du selvfølgelig skrive inn passord for å få tilgang til filene. Det jeg mente var mer i retning av at hvis PCen din kneler så har du muligheten til å koble disken til en annen fungerende PC (med sin egen OS disk) for å hente ut dataene dine.

[mikeys]

Mht til sikkerhet, er det pr i dag et eneste alternativ som gir beskyttelse mot tap av data som følge av pc på avveie, og det er full diskkryptering. Selv om du bare krypterer deler av filene, vil det ligge såpass mye info i MRU lister (Most recently used), logger osv at det hjelper bare litt.

 

TrueCrypt funker greit nok, men mangler managementstøtte til bedriftsmiljøer.

Selv syns jeg PGP er et bedre alternativ, selv om det koster penger.

 

Har du sett på http://freeotfe.org/ , den har støtte for LUKS som blir brukt i Linux som har støtte for flere nøkler pr. disk. Da har du rom for en management nøkkel.

[petterg]

En liten oppfølging på dette - HP support har overhode ingen kompetanse på HP Protect Tool. De vil ikke vedkjenne seg at det er et HP program.

 

Etter å ha lagt inn Protect Tools diskkryptering låses biosinstillingene på maskina. Det tok litt tid før jeg oppdaget. Faktisk ble det ikke oppdaget før etter at disken var dekryptert igjen - ved første boot spurte den først om protect tool passordet (som den ikke burde spørre om når krypteringen er fjernet), etter å ha tastet inn dette passordet kom et nytt protect tool skjermbilde opp, som jeg aldri har sett før. Her ble det også bedt om passord - og ingen tenkelige passord fungerte.

 

HP's råd for dette var å kjøre lowlevel formatering av disken!

Vel, for å kjøre lowlevel formatering må man enten inn i bios eller boote fra CD eller USB. Maskina var satt til å kun boote fra HD, dermed måtte jeg inn i bios uansett. Bios viste seg så å være read-only!

 

HP insisterte lenge på at bios var ikke låst når maskina ble kjøpt, så det ville de ikke ha noe ansvar for. Deres tilbud var å kjøpe nytt hovedkort, for noen bios-reset funksjon har de ikke! Det at bios har gått i lås viser googling at er et ganske utbredt fenomen. Folks løsning er å bruke maskina som best de kan uten mulighet til å gå inn i bios.

 

Etter mye krangling har jeg fått HP til å gå med på å bytte hovedkort på garantien. Det er serviceavtale på maskina "next businessday", så de kommer til å gjøre det i løpet av 2-3 uker!

 

Hva i all verden tar de seg betalt for med slike avtaler?

 

I jobbsammenheng har jeg kjøpt ca 150 PC fra HP med forhåndsinstallert Protect Tools. Etter en test for noen år siden var koklusjonen klar på at absolutt alt relatert til Protect Tools må avinstalleres for å unngå uforklarlige problemer. I de tidlige versjonene av Protect Tools krevde avinstallsjon hele 10 rebooter. Prosessen tok lenger tid enn å blanke disken og installere windows med MS' originale installmedier. Nå har jeg lyst til å få arbeidsgiver til å kreve erstattning for dette ekstra arbeidet som, hvis det ikke hadde blitt utført høyst sannsynlig ville resultert i en rekke defekte hovedkort. Hvis man antar en times ekstra arbeid pr pc, bør altså min arbeidsgiver ha krav på 150.000 kr fra HP!

 

Noen som vil henge seg på og kreve erstattning for søppla HP legger inn?