Použití TrueCryptu u dualbootu XP-WIN7

Started by fpok, December 27, 2009, 01:38:53 PM

Previous topic - Next topic

fpok

Ahoj,
měl bych prosím dotaz na použití TrueCryptu. Mám samostatné disky C a D (oba jsou dál rozdělené na systém a data). Na C je XP, pak jsem nainstaloval na D WIN 7. Mám funkční dualboot. Systém XP je ostrý, WIN7 je na testování a seznámení s novinkou. Oba disky mají své datové oddíly (u systému XP mám datové oddíly s muzikou a knihami, u systému WIN7 mám datové oddíly s videem). Tolik na vysvětlenou.
Ke každému systému jsem nainstaloval TrueCryp 6.3a (nevím, jestli je to nutné). Chtěl bych, aby při spuštění jakéhokoliv systému bylo možno rozkódovat  VŠECHNY datové oddíly (tedy nejen datové oddíly, které jsou na právě spuštěném systémovém disku, ale i datové oddíly z druhého disku). Oddíl s druhým systémem může zůstat zakódovaný (nevím, co bych tam mohl hledat).
Netuším, jak mám postupovat při kódování. Když zakóduji jako první systém WIN7 (uložen na D), mohu zakódovat i datové oddíly (nejen na systémovém disku, ale i na disku se systémem XP - alespoň si to myslím). Problém je, že když příště nastartuji WINXP, ty datové oddíly nerozkóduji. Já vlastně zakódováním systému WIN7 zakóduji i bootloader, který je určitě uložen na disku C u WINXP (byl tam jako první, pak jsem přidával sedmičky). Abych se dostal k dualbootu, musím zadat heslo. Tady dostanu možnost si zvolit buďto zakódovaný WIN7 nebo volný XP. Systémový disk C nebudu mít ale zakódovaný a ten pak stačí vyndat z PC a dát ho do jiného PC. Pokud si samostatně zakóduji XP, nikdy nerozkóduji datové oddíly, které jsem kódoval pod systémem WIN7.
Nevím jak na to, a jestli je to vůbec možné. Nebo naopak, třeba to je jednoduché a já hledám problém, kde není.
Články ,,Pepaka" jsem přečetl, jsem zase o chlup chytřejší, ale ani jeden se netýkal mého problému.
Děkuji za každou pomoc. Možná, že to je popsané v dokumentaci, ale nejsem angličtinář... Omlouvám se za délku dotazu, ale snažil jsem se můj problém popsat co nejpodrobněji. Sám nemám rád dotazy typu "nejde mně vypalovačka poraďte".

pepak

Nedokážu ti poradit konkrétně, protože ani dual boot ani šifrování systému TrueCryptem nepoužívám. Ale principielně by to jít udělat mělo, protože každý TC kontejner si u sebe nese hlavičku, ve které má všechny údaje potřebné pro dešifrování obsahu.

fpok

A nevěděl by někdo, kdo to zde čte, kde informace získat?

pepak


fpok

Hm, tak to jsem s mojí angličtinou mimo. Tohle dokážu vysvětlit sotva česky. Budu doufat, že se tu časem objeví nějaký český odborník.

pepak

Trochu jsem si s tím teď hrál a skoro to vypadá, že tebou požadovaná konfigurace není podporovaná.

Co se mi zatím podařilo, bylo zašifrovat jedny Windows kompletně a v druhých Windows jenom datovou partition*) s tím, že mohu nabootovat do obou systémů a v obou dokážu zpřístupnit datové partition druhého operačního systému - tzn. mám jedny zašifrované a jedny nezašifrované Windows a zašifrovaná všechna data.

*) Pozn.: Testoval jsem to na XP, takže tu datovou partition druhého operačního systému nemůžu zašifrovat "in-place", musel jsem data z ní zazálohovat, vytvořit novou zašifrovanou partition a pak do ní data obnovit. Pod Vistami nebo Sedmičkami by to mělo jít udělat i při zachování dat.

pepak

Jinak jsem si skoro jistý, že by se celá tebou požadovaná funkčnost dala dosáhnout za pomoci externího boot manageru, pro který bys ovšem potřeboval extra médium (asi buď CDčko nebo nejlépe nějaký miniaturní SSD): Měl bys jeden disk pro každý operační systém. Vždycky bys připojil jen ten jeden disk (ostatní by byly fyzicky odpojené) a zašifroval ho TrueCryptem jako systémový. To by neměl být problém, systémové disky TrueCrypt šifruje v pohodě. Pak bys připojil oba (resp. všechny) disky najednou a nastavil BIOS tak, aby bootoval z toho média, na kterém máš boot manager. V tom BM by sis vybral, že má spustit operační systém z disku 1 nebo z disku 2. BM by spustil tamní master boot record a tam už by normálně převzal činnost TrueCrypt. Tzn. nebyla by to opravdová dual boot konfigurace, ale dvě nezávislé single bootové - vlastně bys vybíral, který z disků má být primární (a tedy bootovaci). To mi připomíná, možná by to šlo udělat i bez boot manageru, jen s "Boot menu" tvého BIOSu.

fpok

K první odpovědi:
Tato varianta je také podle mě možná. První systém (např. W7) a data prvního systému včetně dat druhého systému jsou vlastně šifrovány jediným TrueCryptem, který je nainstalován ve W7. Bohužel není zašifrovaný druhý systém. Pokud do druhého systému (např. XP) také nainstaluji TrueCrypt a systém zašifruji, nedostanu se podle mě ani do jednoho datového oddílu, protože jsem ho zašifroval TrueCryptem nainstalovaným ve W7.
Mít jeden systém šifrovaný a druhý ne, to není to pravé. Cestu z toho zatím nevidím.

K druhé odpovědi:
Tohle by šlo, ale vidím tu jeden zásadní problém. V každém systému musí být nainstalovaný TrueCrypt, protože při šifrování bude druhý disk fyzicky odpojen. Disky samostatně zašifruji a budu je mít možnost spouštět přes boot managera. To by také šlo. Myslím ale, že nikdy neuvidím datový oddíl druhého disku. Ten byl přece šifrovaný s druhým systémem, když první disk byl odpojen. Tady bych řekl, že nepomůže ani nastavení v BIOSu. Zašifrované bude všechno perfektně, bohužel přístup k datům z libovolného systému bude omezen. Nebo jsem špatně pochopil systém šifrování?
Dík za nápad, budu nad tím ještě mudrovat.

pepak

Quote from: fpokPokud do druhého systému (např. XP) také nainstaluji TrueCrypt a systém zašifruji, nedostanu se podle mě ani do jednoho datového oddílu, protože jsem ho zašifroval TrueCryptem nainstalovaným ve W7.
Mýlíš se. Jedna z dobrých vlastností TrueCryptu je ta, že všechny kontejnery jsou (ve stejné verzi TrueCryptu) kompatibilní, bez ohledu na to, na které platformě ten TrueCrypt spouštíš.

QuoteMyslím ale, že nikdy neuvidím datový oddíl druhého disku. Ten byl přece šifrovaný s druhým systémem, když první disk byl odpojen.
Viz výše.

QuoteNebo jsem špatně pochopil systém šifrování?
Ano. TrueCryptovské kontejnery - ať už souborové, partitionové nebo diskové - si nesou s sebou všechny informace potřebné k dešifrování. Klidně bys mohl disk zašifrovat na jednom počítači s Windows a dešifrovat na druhém počítači s Macem nebo Linuxem.

fpok

Aha, takže pochopil špatně. V tom případě s použitím boot managera by to opravdu mohlo fungovat. Boot z CD není moc operativní, SSD znamená nákup ne zrovna laciného hardware. Líbilo by se mi využít boot rovnou z BIOSu. No budu mudrovat.

Jen se ještě zeptám. Ty mluviš o přenositelnosti kontejneru. To chápu, kdysi jsem používal BestCrypt od Jetica na šifrování obsahu přenášených DVD. Fungovalo to bezchybně.
TrueCrypt nabízí tři možnosti šifrování. Souborový kontejner, šifrování nesystémového oddílu/disku a šifrování systémového oddílu/disku. Souborový kontejner je jasný. Když ale poprvé šifruji např. systémový oddíl WIN7 "za pochodu" tak vlastně kontejner nevytvářím. Tady asi ta možnost případného dešifrování sedmiček ze systému XP fungovat nebude, že?
Nebo ano?
Asi bych tedy musel nejdříve na čistých discích vytvořit řekněme dva velké kontejnery (jeden pro systém a druhý pro data) a do prázdného kontejneru nainstalovat systém, do druhého kontejneru dát data a totéž udělat na druhém disku. Potom bych chápal, že každý kontejner otevřu z každého systému.
Pokud si hned na začátku nevyberu kontejner, tak vlastně se asi šifruje bez kontejneru, rovnou, a tady by mohl být při dešifrování problém. Zase uvažuji špatně?

pepak

Quote from: fpokTrueCrypt nabízí tři možnosti šifrování. Souborový kontejner, šifrování nesystémového oddílu/disku a šifrování systémového oddílu/disku. Souborový kontejner je jasný. Když ale poprvé šifruji např. systémový oddíl WIN7 "za pochodu" tak vlastně kontejner nevytvářím.
Vytváříš. Všechno to jsou kontejnery. Jediný rozdíl při mountování je, že u systémového disku nejde použít přímo klasický "Mount" ale "System -> Mount without pre-boot authentication". To je jediný rozdíl.

fpok

No tak dobře. Nemám SSD, tak bych to vyzkoušel ještě s jedním diskem (to nemusí být žádný zázrak a doma něco najdu), na který bych dal externího boot managera a bootoval bych z něj. Ten mi dá vybrat, na který disk chci jít a tady už by se ozval TrueCrypt a žádal heslo. Jasné. Datové oddíly připojím klasicky a systémový (ten druhý, který neběží a chtěl bych ho z nějakého důvodu vidět), půjde přes nabídku "Připojit bez před-bootovací autentifikace".
Nikdy jsem nepoužíval boot managera, ale tyto informace se dají určitě sehnat lépe, než informace o TrueCryptu. Jen tedy ťuknu. Víš o nějakém, co je zadarmo a šikovný?
Musím říct, že si mi hodně pomohl (měl sem pomýlené představy) a možná ta naše diskuze pomůže i dalším lidem. Sice ještě nic hotového není, ale alespoň znám směr, kudy jít.
Jo, koukal jsem do BIOSu a tam je pouze možnost bootu CD, 1. disk a 2. disk. Ani USB tam nemám. BIOS jsem nikdy neupgradoval, protože se řídím heslem "funguje, neexperimentuj", ale třeba bych získal větší nabídku.

pepak

Quote from: fpokJen tedy ťuknu. Víš o nějakém, co je zadarmo a šikovný?
Ne. Více operačních systémů jsem používal kdysi dávno, teď už preferuju virtualizaci.

QuoteJo, koukal jsem do BIOSu a tam je pouze možnost bootu CD, 1. disk a 2. disk. Ani USB tam nemám. BIOS jsem nikdy neupgradoval, protože se řídím heslem "funguje, neexperimentuj", ale třeba bych získal větší nabídku.
To ale musíš mít hodně starý BIOS! Myslel jsem, že za posledních minimálně pět let už je boot z USB standardem. Každopásně ti update spíš nepomůže, výrobci desek vesměs aktualizují tak akorát podporované procesory, výjimečně i hrubé chyby, ale přidávání featur je naprosto ojedinělá věc :-(

fpok

Zase tak starý BIOS nemám. Tak, jak jsem koupil, 12/2007. Desku ASUS P5KC.

Danoboss

Osobne by som ti najskôr poradil, to čo tu spomenul Pepak, ale samozrejme nie som si istý, či by ti to vyhovovalo. Ten Windows 7 čo máš iba na skúšanie by som virtualizoval cez Wmvare či VirtualBox. Strata výkonu je tam minimálna a asi by ti to ušetrilo dosť problémov. Píšem ti to preto, že dual bot som mal kedysi tiež a malo to dosť nevýhod.

Quick Reply

Note: this post will not display until it has been approved by a moderator.

Name:
Email:
Verification:
Please leave this box empty:
Type the letters shown in the picture
Listen to the letters / Request another image

Type the letters shown in the picture:
Shortcuts: ALT+S post or ALT+P preview