Tips på enklast lösning för kryptera 'hela datorn' (inkl win)?

Truecrypt är grymt men kanske overkill för dig. En stor poäng med truecrypt är dess dolda volymer vilka gör att man kan ha två separata volymer på en disk där det är omöjligt att avgöra ifall den andra existerar inifrån den ena. Mycket användbart om exempelvis ett domstolsbeslut eller liknande tvingar dig att låsa upp datorn, då ger du dem bara lösenordet till den mindre hemliga volymen.

Å andra sidan så är det gratis så om du är villig att lägga lite tid på det så kan du nog få till det väldigt bra.

Tycker truecrypt är smidigt eller så smidigt det kan vara med kryptering och inte inbyggt i oset.
Du kan välja att låsa upp alla dina volymer vid upstart. Eller samla alla dina volymer i favoriter och låsa upp dom med ett lösen.

tips välj samma lösen på alla och välj bara tecken som är samma på ett engelskt tgb för att det ska bli smidigt

Sannolikheten att alla andra nämda program än Truecrypt ovan har bakdörrar är väldigt stor.
TC är skitenkelt att installera och märks inte ens av om du har AES-stöd i processorn.

ganska skoj att lägga ett "fake" windows på en liten partition. när du startar datorn får du en svart skärm trycker du fel lösen så kommer man in i "fake" windows.

Om man glömt lösenordet då? xD då hjälper de inte att ha domstolsbeslut xD

Du har väl inte skyldighet att ge iväg något lösen alls?

Nej, och det kan ju hända att man glömt bort lösenordet

Nja det beror på. Du kanske inte är skyldig att öppna datorn för en åklagare exempelvis, men genom att vägra kan du göra dig skyldig till andra brott (att hindra utredningen på något sätt, vet inte exakt vad lagarna heter). Å andra sidan kan man alltid hävda att man glömt lösenordet.

Fast hela poängen med en dold volym är ju att om någon ber dig öppna datorn kan du säga "Javisst!" och göra det utan att ge dem tillgång till det du vill hålla hemligt och utan att de har någon anledning att misstänka att det du gav dem inte var det som du inte ville ge dem. Alltså om exempelvis polisen gör en husrannsakan hos dig, startar datorn och den stannar vid en lösenordsprompt. Då kommer självklart polisen be dig att skriva in ditt lösenord. Då kan du förstås hävda att du inte kommer ihåg det, eller att du inte har någon skyldighet att uppge det, men det gör ju att polisen har ganska goda skäl att misstänka att du har något olagligt på datorn. Vilket kan leda till att de anstränger sig för att knäcka krypteringen, eller bara att de blir mindre välvilligt inställda till dig (vilket kan innebära stora problem) eller att de försöker få ut data om vad du gjort från din internetleverantör osv. Då är det mycket bättre att bara ge dem ett lösenord och säga: "Titta, det var bara mina semesterbilder/min bokföring/whatever som jag hade på min dolda volym, inget olagligt. Ta era fula gristrynen och stick härifrån och lämna mig ifred."

IT enheten kan säkert hitta nåt som tyder på att det finns nåt gömt
Men kör på det så långt som det bara går.

Hela poängen är att de inte kan det. Sen beror det förstås på hur man lagt upp krypteringen. Har man exempelvis sitt OS okrypterat så kan det finnas referenser till krypterade filer som du använt i OS:et (tillfälliga filer, senast använda filer osv.). Men om man har två separata OS på de två krypterade volymerna så är det omöjligt att avgöra ifall en krypterad disk innehåller en dold volym eller ej. Det går inte att se genom att titta på datan på disken för den dolda volymen ser likadan ut som de slumpmässiga data som resten av disken är fylld med i och med krypteringen.

Väljer man samma lösen för alla så låser man ju upp alla på en gång. Poängen är att kunna låsa upp bara delar utan att på något sätt visa att det finns fler volymer som man inte låst upp. Är man riktigt paranoid kan det vara idé att ha lösenord som liknar varandra (liknar varandra på så sätt att knapptryckningarna ser liknande ut) så att om någon har spanat på dig när du knappat in det kan de inte se ifall du ger det "riktiga" lösenordet eller bara det som låser upp dummy-volymen.

Det enda sättet att hindra någon från att använda datorn är att blockera funktionalitet i BIOS. T.ex. password on boot. Annars kan man köra in en USB sticka och boota ifrån den osv. Hur stark denna bios blockering är kan också diskuteras eftersom man ofta kan nollställa BIOSen.

Kryptera systemdisken är problematiskt eftersom du måste start dekrypterings programmet på något sätt. Du kan inte lägga dekrypteringsverktyget i den krypterade enheten . Visst kanske det finns krypteringsprogram som startas via USB sticka och som kan starta ett OS efter men jag känner inte till ett. OM det finns så är det troligen till Linux. Annars krävs hårdvara så som TPM/bitlocker.

Men här är det positiva: Att försöka hindra någon att använda din dator tjänar inte något syfte. Det är bara en hög med silikon . Att kryptera systempartitionen tjänar inte heller mycket till sålänge du inte lagrar den känsliga informationen där.

Jag kör med TrueCrypt och är nöjd och jag tror att det är vad du behöver.

Jag har vägrat lämna ifrån mig lösenordet till truecrypt vid en utredning en gång, de tog en spegling av disken och försökte själva i ett par veckor tills förundersökningen blev nerlagd. Datorn fick jag hämta ut efter någon dag.
Du har inga som helst skyldigheter att säga ett smack, däremot har du rätt att vara helt tyst.
Var i samband med att Skatteverket fick nys om massa utlandskonton de ville titta i min burk lite.
Långnäsa...

Jag kör truecrypt på bootdiskarna i alla datorer utan några problem, vid uppstart är det enda som syns Truecrypts bootloader som frågar efter lösenordet. Sätter man disken i en annan burk blir det bara yada-yada, d.v.s. totalt krypterat.
Det har brakat en gång, men då hjälpte den eleganta rescue-skivan man (enligt mig) ska skapa när man krypterar burken

att bli tvingat att ge lösenordet till någon är orimligt då man aldrig kan vara skyldig att bevisa sin oskuld. man är alltid oskyldig till motsatsen bevisats, då kan man inte heller bli tvingad att ta fram bevis mot sig själv.

Gäller tyvärr inte när det avser skatteverket, de kan påstå precis vad som helst och det är upp till dig som utpekad att bevisa motsatsen.
Tokigt, men sant.

Ett annat litet tips när SSD är vanligt.
Om du har 120gb disk, gör en partition på 100-110gb, lämna resten.
Det har att göra med wear-leveling, då trim-kommandot är ifrågasatt om det funkar ordentligt på en fullt krypterad SSD.
Om man inte har detta kommer disken degraderas snabbt, då utrymmet för block som trim kan hantera är väldigt begränsat.
Trim funkar inte så bra på krypterade block.

http://www.truecrypt.org/docs/?s=wear-leveling

Klickar du på en disk i utforskaren som är krypterad kommer den fråga om du vill formatera. (gäller inte om du krypterat hela systemdisken, då den mountas vid boot)
Jag tar alltid bort enhetsbeteckningarna på diskar (t.ex. externa) för att inte klanta mig, när de senare mountas i Truecrypt erhåller de en ny enhetsbeteckning ändå.

Antingen krypterar du hela disken så ser du inget i utforskaren, kollar du i diskhanteraren så ser det ut som att disken inte är initierad och då oformaterad. Öppningen av disken görs genom att öppna truecrypt välja vilken disk du ska montera och skriver lösenord och väljer eventuella lösenords filer, sen ploppar den upp i utforskaren med den bokstav du väljer i truecrypt. Vid ominstallation av Windows bör man dock kopplar ur dessa diskar, installationsprogrammet kan nämligen komma på att dendär disken se smaskig ut och lägger tempfiler på den och vips så är all din data borta (kan ev fungera att återfå dessa med truecrypt recoverydisk som man kan välja att skapa när man krypterar disken, men någon sådan hade inte jag så all min data var borta.

Annat alternativ är att göra en partition i windows och seden kryptera denna. Lite osäker på hur det fungerade eftersom jag inte testat själv, men här tror jag du ser en enhet med bokstav tilldelad i utforskaren men som inte är formaterad. När man monterar disken kommer det då upp ytterligare en volym med annan bokstav.

Det finns saker du missar här.
Ofrivilliga bakdörrar pga buggar. Det finns inget sätt att öppet granska låsta system.
Bakdörrar kan existera utan att informationen lämnas ut till utomstående part.
Majoriteten av regeringarna har misslyckats med att införa lagkrav på bakdörrar så därför används trojaner, avlyssning eller cold boot attacker i stor utsträckning.

Rätta mig om jag har fel men sparar inte även andra saker än hårddisken information om användande (i debug-syfte eller liknande) så som exempelvis senaste uppstart, senast lyckade skrivning till hårddisk mm(i bios? firmware? kontroller-chip på disken?) vet iaf att jag kan få data om min ssd även om den krypterats, raderats, formaterats mm. Kan tänka mig att polisen kan jämföra dessa med informationen i ditt öppna os.

Att sedan bevisa det är nog en helt annan femma, men kan nog räcka för att farbror blå börjar bugga din tandkrämstub

Då råkar nog tandborsten illa ut den med.

Truecrypt använder sig alltid av en lagringsplats för att skapa sina virtuella partioner. Lagringsplatsen kan vara:
a) en hel disk
b) en hel partion
c) en fil

Oavsätt vilken typ av lagringsplats du väljer (a,b eller c) så ska du aldrig skriva, radera, modifera, formatera denna. Gör du det så riskerar du att bli av med all din krypterade data.
För att kunna läsa/skriva din krypterade data så behöver du använda truecrypt för att "mounta" din lagringsplats till en enhetsbokstav.

Låt oss säga att du använder din partion F: som lagringsplats. När du gör om den till en truecryptpartion i truecrypt så skrivs hela F: över med slumpad/krypterad data. Det gör att F: kommer upplevas av windows som en partion som behöver formateras. För att kunna läsa och skriva krypterad data så öppnar du truecrypt, väljer partionen F: och försöker mounta den till en annan enhetsbokstav, exempelvis H:.
När H: är mountad så kan du använda den precis som en vanlig okrypterad partion och läsa/skriva till den. Allt som du läser/skriver till H: sparas dock egentligen i krypterad form i F:. Så för att inte bli av med datan så får du inte ändra/modifiera/formatera F:.


Oavsätt vilken lagringsplats du väljer så kan du dock välja att skapa en dold partion. Det Truecrypt då gör är att den tar en bit av utrymmet i slutet av din lagringsplats och använder det för en ny truecrypt-partion.

Så låt oss säga att du använder din partion D: som är 500gb stor och skapar en öppen truecryptpartion på alla 500gb med tillhörande dold partion på 100gb.
Skriver du inte det vanliga lösenordet så mountas den öppna partionen (som är 500gb stor) till den enhetsbokstav du valt. Skriver du istället in ditt dolda lösenord så mountas istället din dolda partion på 100gb.
Eftersom den dolda partionens 100gb ligger i slutet av lagringsplatsen så kommer dessa att skrivas över ifall du i den öppna partionen skriver data någonstans i de sista 100gb, detta pga den öppn partionen ser endast random data där och vet inte att det finns en dold partion. Endast om man har den dolda partionens lösenord så kan man komma åt den dolda partionen.

Finns en massa mer att läsa om hur det fungerar på truecrypts sida, rekommenderar verkligen att man läser igen den

Angående om windows råkar formatera/spara tempfiles på din krypterade disk. Truecrypt skapar en backup av din krypteringens header (typ krypterade lösenordet och det som behövs för att decryptera) längst bak på disken/partionen/filen. Nästa gång testa att använda "restore volume header", vilket gör att truecrypt testar att skriva över början av disken/partionen/filen med sin egen backup. Har räddat mig en gång men även en i forumet som råkade formatera sin krypterade disk.


Hoppas jag inte skrivit något galet ovan, orkar inte läsa igenom

Om du väljer att kryptera Windowspartionen/windowsdisken så kommer truecrypt installera en loader som drar igång innan windows (pga windows är bara en massa krypterad data då, som ändå inte kan läsas utan loadern + rätt lösenord).
När väl loadern drar igång så ges du tillfälle att skriva in lösenord, skriver du in det öppna lösenordet så kommer du in i den normala truecryptpartionen men skriver du istället in det dolda lösenordet så kommer du in där.
Skriver du in ett felaktigt lösenord så kommer inget windows att kunna laddas då allt är krypterat.

Avseende just risken att skriva över ens dolda information så finns det en funktion i truecrypt som gör att när du mountar en partion så kan du även skriva in det dolda lösenordet och därigenom få truecrypt att inte skriva där den dolda partionen är. Vet dock inte om en sådan funktion fungerar när du krypterar windowspartionen (var några år sedan jag testade att kryptera windowspartionen och använde dolda partioner), dvs vet inte om en sådan funktion finns tillgänglig i truecrypt-loadern.

Kan man köra en kryptering på en disk som redan innehåller data, eller måste man göra krypteringen innan man fyller med data?

Dvs jag som redan har Windows installerat, går det att kryptera den i efterhand?

Du är för dåligt insatt i ämnet. Naturligtvis är allt spekulation. Därför jag skrev sannolikheten...
Man använder odokumenterade säkerhetsbrister för att ta sig in i system. Är de dokumenterade så är de faktiska bakdörrar.
Inget system är säkert men ett slutet system som bara kan granskas av ett fåtal parter är ett mindre säkert system än något som kan granskas av alla.
Cold boot attacker kan användas för att få fram nyckeln ur ram till vilket krypterat system som helst så länge datorn är igång.