Archiv verlassen und diese Seite im Standarddesign anzeigen : Wie verschlüsselt man am besten ein komplettes System?
Wandelnde Paranoia
2007-03-29, 21:32:31
Wie der Titel schon sagt; wie glaubt ihr, kann man ein komplettes System, bzw eine ganze Festplatte am aller sichersten verschlüsseln ?
Bezogen auf Normalo Menschen, dh mit Freeware Programmen oder slef-made Lösungen.
Hoffe auf rege Gedankengänge.
GanjaBob
2007-03-29, 22:12:52
boot password, bios password, wenn vorhanden hdd verschlüsselung im bios, boot laufwerk nur auf hdd stellen, Windows EFS und ein 20stelliges password sollten erstmal am kostengünstigstem & schnellsten abdichten
da.phreak
2007-03-29, 22:13:06
Ich mache das mit dm-crypt und cryptsetup-luks (http://luks.endorphin.org/dm-crypt). Ist komplett freeware und außerdem noch Open Source. Letzteres ist wohl eh absolute Voraussetzung für eine Verschlüsselungssoftware.
The Cell
2007-03-30, 09:03:40
Ist komplett freeware und außerdem noch Open Source. Letzteres ist wohl eh absolute Voraussetzung für eine Verschlüsselungssoftware.
Für dich, für mich auch, für die Hersteller der Tools nicht.
Wenn die Software erstmal zertifiziert ist, dann kräht kein Hahn mehr nach dem Sourcecode.
Und LUKS ist eben eine Insellösung für Linux. Nun leben wir aber in einer Welt mit mehr als 95% Windowsen im Endanwenderbereich.
Gruß,
QFT
The Cell
2007-03-30, 09:06:14
Wie der Titel schon sagt; wie glaubt ihr, kann man ein komplettes System, bzw eine ganze Festplatte am aller sichersten verschlüsseln ?
Bei Windows: Safeboot, Winmagic, Secude, Safeguard Easy oder dem kostenfreien Compusec. Alle bieten eine Pre Boot Authentication und unterstützen die gängigen Verfahren bis rauf zu AES 256.
Linux, das was da.phreak gesagt hat.
Gruß,
QFT
da.phreak
2007-03-30, 12:47:48
Wenn die Software erstmal zertifiziert ist, dann kräht kein Hahn mehr nach dem Sourcecode.
Und LUKS ist eben eine Insellösung für Linux. Nun leben wir aber in einer Welt mit mehr als 95% Windowsen im Endanwenderbereich.
Die Entscheidung, Open Source Software zu benutzen liegt ja letztendlich beim Benutzer. Insbesondere sollte dieser bei Software für Verschlüsselung darauf achten. Ansonsten braucht man selbige Software nicht. Vielmehr noch: Ich denke, eine falsche Sicherheit ist schlimmer als keine Sicherheit.
Bei Windows kenne ich mich kaum aus. Man berichtige mich also, wenn es nicht stimmt: Truecrypt ist zwar umsonst, offen und systemübergreifend, verschlüsselt soweit ich weiß aber keine Systempartitionen. Dafür muß man Software kaufen, die dann wiederum nicht quelloffen ist. Tolle Situation ...
Kinehs
2007-03-31, 13:36:08
Also bei Windows habe ich mit CompuSec keine Probleme (ist umsonst). Bezogen auf XP Prof 32bit SP2.
Wie das mit 64bit oder Vista aussieht, k.A.
Pompos
2007-03-31, 15:57:10
Gibts da auch was für Dualboot Systeme?
Sindri
2007-03-31, 16:04:35
Welches kostenlose Programm für Windows XP empfehlt ihr um bereits beschriebene Festplatten zu verschlüsseln? Es geht um (noch) 160GB auf einer SATA und 73GB auf einer IDE (Systemplatte). Wäre die SATA noch nich halb voll würd ich ja truecrypt nehmen, aber dann würden die Daten gelöscht werden.
Hab mich außer für ein truecrypt Container leider nie für Kryptographie interessiert ;(
Bei compusec stand was von ~2,5 h für 40GB, lässt sich das linear rechnen (also ~15 h)?
Dann ist da noch folgender Punkt bei compusec:
Zitat:2. FREE CompuSec® unterstützt keine fremden Boot Loader. Daher bitte vor dem Beginn der FREE CompuSec® Installation alle früheren Boot Loader löschen.
3. Für die Installation von FREE CompuSec® sollte keine Festplattenpartitionierungs software auf dem PC installiert sein. Falls doch, erhalten Sie einen nicht mehr startenden PC, da der FREE CompuSec® Loader geändert sein könnte.
Was genau meinen die mit Boot Loader?
Danke schonmal :)
Wenn die Software erstmal zertifiziert ist, dann kräht kein Hahn mehr nach dem SourcecodeEs koimmt noch drauf an wer sie zertifiziert.
The Cell
2007-03-31, 17:36:39
Natürlich.
Wenn Arsch Depp die Software "zertifiziert" interessiert es evtl. wirklich, was der Source in sich birgt.
Welche Stellen sind FÜR DICH vertrauenswürdig?
The Cell
2007-03-31, 18:49:08
Für mich ist keine closed software Sicherheitslösung vertrauenswürdig auch dann nicht, wenn sie von Institutionen wie zB dem BSI, welches bei uns für EAL resp. CC Zertifizierungen zuständig ist durchgeführt werden.
Gruß,
QFT
Mit dem BSI eine dem Innenministerium unterstellte Behörde als Beispiel für besonders vertrauenswürdige Zertifizierungsstellen anzuführen entbehrt nicht einer gewissen Ironie. "Wir sind die Behörde, der Sie vertrauen sollten." (http://www.heise.de/newsticker/meldung/87421)
Wie auch immer, unter Windows kenne ich auch keine offene Verschlüsselungssoftware mit der sich das ganze System chiffrieren ließe. Man könnte höchstens ein Wirtssystem starten, dort einen verschlüsselten Container erstellen und darin mittels VMware & Co ein virtuelles System installieren. Mit TrueCrypt oder FreeOTFE ließe sich auch eine Plattformunabhängigkeit, zumindest zwischen Linux und Windows, sicherstellen.
Ansonsten bleibt einem unter Windows nur ein proprietäres Produkt mit Pre-Boot-Authentification einzusetzen und zu hoffen, daß die Erklärungen des Herstellers schon stimmen werden und man kein Schlangenöl eingekauft hat: http://www.schneier.com/crypto-gram-9902.html#snakeoil
Gast B
2007-03-31, 19:36:21
Eine andere Frage wäre warum man nicht nur seine Daten, sondern auch seine Exes und DLLs schützen möchte. Soll das vor Trojanern schützen? :|
Eine andere Frage wäre warum man nicht nur seine Daten, sondern auch seine Exes und DLLs schützen möchte.
Es geht nicht um ausführbare Dateien. Es kann aber sein, daß nicht nur der Inhalt von Dateien schützenswert ist, sondern auch deren Namen oder bloße Existenz. Es kann schon unerwünscht sein, daß jemand weiß, daß es die Dateien "D:\Geschäftlich\übernahmexyz.txt" oder "Natascha Nackt[1-50].jpg" gibt, auch ohne deren Inhalt sehen zu können.
Windows und viele Anwendungen besitzen aber die Angewohnheit in sogenannten "most recently used"-Listen die zuletzt geöffneten Dokumente, benutzten Verzeichnisse oder gestarteten Programme zu speichern. Von Dingen wie Auslagerungsdatei oder Cache mal ganz zu schweigen. Allein mit Hilfe eines Teils der Registry läßt sich schon nachvollziehen, was der Benutzer in letzter Zeit auf seinem System getrieben hat, ohne auf irgendeine andere Datei von diesem System jemals zugreifen zu können.
The Cell
2007-04-01, 00:06:54
[QUOTE=Gast;5372718]Mit dem BSI eine dem Innenministerium unterstellte Behörde als Beispiel für besonders vertrauenswürdige Zertifizierungsstellen anzuführen entbehrt nicht einer gewissen Ironie. "Wir sind die Behörde, der Sie vertrauen sollten." (http://www.heise.de/newsticker/meldung/87421)
Naja, Ironie ist anders, aber die Jungs sind eben für die Zertifizierung verantwortlich. Da kann man sich auf den Kopf stellen, man ändert daran aber nichts.
Eine Anmerkung: Schneier hat mal ein Code Review bei Winmagic durchgeführt und der Sache seinen Segen gegeben. Vielleicht stärkt das ein wenig das Vertrauen in closed source Lösungen. ;)
Gruß,
QFT
Gast B @ Gast :D
Ja sicher. Ilona.jpg und aquis.xls sind aber DATEN. Von denen sprach ich. Klar kann man unter Windows, aber das läßt sich mit wenigen Tools erledigen und es läßt sich auch halbwegs automatisieren.
Ich deutet halt nur vorsichtig an ;), daß man schon wirklich richtig Schieß haben muß, wenn man meint daheim Pre Boot Authentication zu brauchen. Womit ich dem Starter nicht gleich alles mögliche unterstellen möchte, aber ob Otto sich damit wirklich abmühen muß? Wegen einem Verweis (!) auf einen Aufruf von pony_kid.mpg wird niemand der Verbreitung von Kinderpornographie mit Tieren beschuldigt. Wenn es sonst keine Indizien gibt.
an der Funktionsweise von Compusec habe ich eigentlich nichts auszusetzen. Irgendwie ist es aber zu einfach. Kein Fremder schneckt einem etwas ohne hintergedanken. Ich trau dem Zeug nicht. Ich kenne das Geschäftsmodell. aufrichtig glauben kann ich es irgendwie nicht. Sorry.
Keine blöden Witze wegen den Fehlern bitte :) Ich sshe sie JETZT :mad: auch alle. Nix arabisch oder so ;)
The Cell
2007-04-01, 08:46:40
Ich deutet halt nur vorsichtig an ;), daß man schon wirklich richtig Schieß haben muß, wenn man meint daheim Pre Boot Authentication zu brauchen. Womit ich dem Starter nicht gleich alles mögliche unterstellen möchte, aber ob Otto sich damit wirklich abmühen muß?
Ich muss zu diesem "Schiss" von dem du hier sprichst noch ein paa Dinge sagen, weil ich dies ungern so stehen lasse.
Jeder Mensch hat das Recht auf Privatssphäre. Dieses Recht nimmt jeder Mensch regelmäßig in Anspruch.
Nur bei Computern und auch dort speziell im Bereich Datenschutz wird plötzlich ein Schuh daraus und man muss argumentieren, WARUM man seine elektronische Privatssphäre möchte.
Jeder Mensch den ich kenne, hat die Klotür zu, wenn er sein Geschäft verrichtet. Jeder Hausbesitzer hat eine Haustür mit Schloss. Wichtige Dokumente verschickt man nicht als Postkarte sondern als Brief/Einschreiben und am besten noch versiegelt. Einen Rollladen lässt man auch herunter, wenn man sich im Zimmer auszieht.
Das hat doch nichts mit Angst zu tun, oder? Ich will einfach nicht, dass manche Leute alles von mir Wissen. Es ist ein natürliches Bedürfnis des Menschen, Geheimnisse zu haben. Nur eben auf dem PC und dort im Privatbereich nicht ... und das sollte sich ändern.
In diesem Sinne: Pro Privatssphäre und Pro Datenschutz!
Gruß,
QFT
Sindri
2007-04-01, 10:03:04
Da ich noch keine Antwort habe frage ich mal anders.
Wenn ich meine Datenplatte (die SATA) als truecryp und die Systemplatte mit compusec sicher, wäre das sicher genug?
Die Daten der SATA könnt ich bei meinem Bruder zwischen lagern, dass wäre nicht das Problem...
Danke schonmal :)
The Cell
2007-04-01, 10:10:12
Da ich mir unter dem Begriff "Sicher genug" nichts vorstellen kann, ist eine Antwort eher schwierig zu geben.
Aber prinzipiell sage ich mal: Verschlüsselung ist immer besser als keine Verschlüsselung.
ABER: Mach dir vorher Gedanken um Sicherheitskopien der Schlüssel und deiner Daten.
Gruß,
QFT
Gast B
2007-04-01, 12:50:48
Ich muss zu diesem "Schiss" von dem du hier sprichst noch ein paa Dinge sagen, weil ich dies ungern so stehen lasseIch denek eher ich habe einen falschen Hlas bei dir erwischt ;)
Jeder Mensch hat das Recht auf Privatssphäre. Dieses Recht nimmt jeder Mensch regelmäßig in Anspruch.
Nur bei Computern und auch dort speziell im Bereich Datenschutz wird plötzlich ein Schuh daraus und man muss argumentieren, WARUM man seine elektronische Privatssphäre möchteNein, eigentlich nicht. Man muß nicht. Die Frage nach dem Aufwand/Nutzen/Kosten galt alleine den Pre Boot Geschichten. Diese Relationen gibt es und sie können merkbar ins Gewicht fallen.
Es ist ein natürliches Bedürfnis des Menschen, Geheimnisse zu haben. Nur eben auf dem PC und dort im Privatbereich nicht ... und das sollte sich ändern.
In diesem Sinne: Pro Privatssphäre und Pro Datenschutz!Oh bitte :| Dagegen hat doch niemand was.
@Sindri
Inwiefern man Compusec mehr vertrauen kann als der CryptoAG, entzieht sich meiner Kenntnis. Sicher wärest du dann in dem Sinne, daß man die Soft alleine wegen dir nicht offentlich kompromitieren würde. Das ist sicher. Man hätte also nichts in der Hand was man vorm Gericht verwenden könnte.
http://jya.com/cryptoag.htm
Aus der kryptologischen Sicht solcher Dinge halte ich Compusec demnach NICHT für sicher. Ich halte es aber für sicher genug um Privatnanwender vor einer Verhandlung zu schützen ;)
Sicherheit ist ein Konzept. Verschlüssellung der Datenträger ist EIN Aspekt davon. Dessen mußt du dir immer bewust sein. Und dessen, daß du vor Dreibuchstabigen nie sicher sein wirst, wenn du deren Interesse geweckt hast.
ein anderer Gast
2007-04-01, 13:04:38
Hallo,
für meine Datenpartitionen nutze ich auch TrueCrypt und bin sehr zufrieden!
Eine OpenSource-Lösung ist logischerweise unerlässlich, denn kommerzielle Anbieter mit Closed-Source könnten ja sonstwas implementieren, d.h. Backdoors einbauen oder Algorithmen schlampig umsetzen!
Zu der Sache mit der Pre-Boot-Authetication:
Soweit ich weiß findet man auf der TrueCrypt-Seite diverse Erweiterungen die sich in Windows einklinken und zumindest den User-Bereich on-the-fly verschlüsseln, bzw. entschlüssen (bei der Anmeldung).
Mir würde so ein System ja fast schon reichen, auch wenn dann natürlich immernoch die Gefahr besteht auf der restlichen unverschlüsselten Systempartition, dank Windows und seinen Helfern (IE, wmplayer, usw.) diverse Spuren zu hinterlassen!
[...]
In diesem Sinne: Pro Privatssphäre und Pro Datenschutz!
Gruß,
QFTSchönes Posting, QFT. :)
(del)
2007-04-01, 19:01:38
Weiß eigentlich jemand wie das damals ausgegangen ist?
Der erste Absatz ist ja nicht von schlechten Eltern. Das wäre mal das genau richtige für die momentane Regierung :P
http://www.heise.de/newsticker/meldung/59892
[QUOTE=Gast;5372718]Mit dem BSI eine dem Innenministerium unterstellte Behörde als Beispiel für besonders vertrauenswürdige Zertifizierungsstellen anzuführen entbehrt nicht einer gewissen Ironie. "Wir sind die Behörde, der Sie vertrauen sollten." (http://www.heise.de/newsticker/meldung/87421)
Naja, Ironie ist anders, aber die Jungs sind eben für die Zertifizierung verantwortlich. Da kann man sich auf den Kopf stellen, man ändert daran aber nichts.
Eine Anmerkung: Schneier hat mal ein Code Review bei Winmagic durchgeführt und der Sache seinen Segen gegeben. Vielleicht stärkt das ein wenig das Vertrauen in closed source Lösungen. ;)AUF JEDEN FALL :biggrin: http://geekz.co.uk/schneierfacts/fact/1
Ich persönlich habe auf meinen Nutzsystemen nichts verschlüsselt, nur ein Loginpasswort.
Die Daten kommen vom Heimserver, auf dem läuft Gentoo. Systempartition unverschlüsselt (wieso auch verschlüsseln?) - Alles wichtige hat eigene Partition / Platte die mit loop-aes läuft. Die GPG Keyfile liegt auf einer kleinen Partition auf USB-Stick, der nur zum mounten angesteckt wird. Zum entschlüsseln des AES Keys in dem GPG Keyfile braucht man mein 24 stelliges Passwort, das keine Wörter, Klein- und Großbuchstaben und Zahlen enthält.
Alles anderen was wichtig ist und ich unterwegs brauche liegt ebenfalls auf dem USB-Stick, aber verschlüsselt (ebenfalls loop-aes, hier nur aes256 ohne gpg keyfile dazwischen).
Ich denke damit fahre ich ganz gut - die unsicherste Stelle ist wohl, dass ich ab und zu Samba anschalt, wenn Leute mit ihren Windoof Notebooks kommen und an einem Projekt (natürlich streng geheim -> Stufe Rot) mitarbeiten.
Irgendwo dazwischen gammeln noch so 100gigs Musik rum. Naja ich glaube kaum, dass jemand das AES256 geknackt bekommen will, nur um mich der Urheberrechtsverletzung anzuklagen :rolleyes:
vBulletin®, Copyright ©2000-2024, Jelsoft Enterprises Ltd.