Hallöchen allerseits.
In letzter Zeit dreht sich sehr viel mm Datenschutz, und je mehr ich mich damit beschäftige, desto unlösbarer scheint die Frage:

"Wie kann ich sicherstellen, dass nur ich an meine Daten rankomme?"

Da ist mir eingefallen, was Firmen zur Authentifizierung von teuren Programmen benutzen bzw. früher gerne benutzt haben. Einen Hardware-Dongle.

Für mich stellt sich die Frage, wie man einen Hardware-Dongle "unique" machen könnte, und das ganze evtl. mit einer Software wie truecrypt zu koppeln. Oder kann man sich seinen eigenen Hardware-Dongle vllt. auf FPGA-Basis bauen ? Den FPGA sogar als Hardware-Accelerator für Verschlüselung benutzen ?

Gruß, seltenerGast

privat oder geschäftlich?

privat

das würde ich als "ein Mann Projekt" garnicht stemmen können. Mir geht es nur um den theoretischen Ansatz auszudiskutieren.

man kann bei Truecrypt mit Keyfiles arbeiten. Die Datei(en) die als Keyfile verwendet werden dürfen dann halt nur auf dem USB-Stick liegen.

Utimaco SafeGuard Easy bietet Tokenunterstützung. Hier kannst du Logindaten auf den Token speichern, welchen du für die Anmeldung dann immer brauchst.

TrueCrypt hat auch SmartCard-Unterstützung. Braucht man halt entsprechendes Equipment. Lässt sich dann aber wohl auch für Online-Banking verwenden.

http://www.gigabyte.de/FileList/WebPage/tech_090302_technology_guide/tech_090302_technology-guide_ultra-safe-1.htm

das sollte wohl reichen

So eine Idee hatte ich auch schon, u. habe da ein kleine Programm als Zusatz für Truecrypt gefunden:

TrueMounter (http://www.truemounter.de/)

muss mich da wirklich mal mit beschäftigen, aber solle eigentlich gut funktionieren,
Keyfile auf eine USB-Stick, u. wenn er eingesteckt ist sind die Daten Verfügbar, wenn man ihn abzieht sind sie geschützt. =)

Bei all der Freude am Verschlüsseln sollte man aber bedenken, dass man damit den USB Stick komplett unbrauchbar macht. Truecrypt ist zwar schön und gut, aber dafür brauche ich einen Treiber, den man nur mit Adminrechten installieren kann. Was glaubt ihr ist eine größere Gefahr für die Sicherheit? Wenn ein paar Daten unverschlüsselt am USB Stick liegen oder wenn man jedem kleinen Ferialpraktikanten Adminrechte am lokalen PC geben kann, mit denen er sich dann gleich den Virenscanner ausschaltet, uTorrent intalliert und sich mit einem Haufen von Raubkopien gleich auch eine Menge andere Viren ins Netzwerk lädt. Man kann schon gar nicht erwarten, dass man einfach so überall in fremden Firmen Adminrechte bekommt, wenn man jemandem schnell etwas rüber spielen möchte.
Für Firmen ist Truecrypt also komplett unbrauchbar und höchstens firmenintern verwendbar, wo es jedoch über das Netzwerk sicher bessere Methoden zum Verteilen von Daten gibt.
Für Private darf ich einmal stark die Frage stellen, wer denn so streng geheime Daten hat, die kein Mensch sehen darf.

Ich handhabe das so, dass ich eine kleine 1.8" USB Festplatte eingesteckt habe. Diese ist grundsätzlich unverschlüsselt, da sie auf jedem Rechner funktionieren muss (ein paar Linux und Mac Rechner, die kein NTFS unterstützen einmal ausgenommen). Dafür lasse ich meine Platte eben nicht so aus den Augen und wenn ich sie jemandem gebe, damit er mir was drauf spielt, dann bleibe ich eben dabei. Die Daten, die eher kritisch sind, die werden noch mit WinRAR mit einem guten Passwort verschlüsselt. Auf die kann ich eben nur von einem von mir verwalteten Rechner zugreifen, aber der Großteil ist unverschlüsselt. Wen interessieren schon ein paar Installer und Windows Updates oder irgendwelche selbst geschriebenen Programme ohne Dokumentation, die zu keinem konkreten Projekt gehören?

Bei all der Freude am Verschlüsseln sollte man aber bedenken, dass man damit den USB Stick komplett unbrauchbar macht. Truecrypt ist zwar schön und gut, aber dafür brauche ich einen Treiber, den man nur mit Adminrechten installieren kann. Was glaubt ihr ist eine größere Gefahr für die Sicherheit? Wenn ein paar Daten unverschlüsselt am USB Stick liegen oder wenn man jedem kleinen Ferialpraktikanten Adminrechte am lokalen PC geben kann, mit denen er sich dann gleich den Virenscanner ausschaltet, uTorrent intalliert und sich mit einem Haufen von Raubkopien gleich auch eine Menge andere Viren ins Netzwerk lädt. Man kann schon gar nicht erwarten, dass man einfach so überall in fremden Firmen Adminrechte bekommt, wenn man jemandem schnell etwas rüber spielen möchte.
Für Firmen ist Truecrypt also komplett unbrauchbar und höchstens firmenintern verwendbar, wo es jedoch über das Netzwerk sicher bessere Methoden zum Verteilen von Daten gibt.
Für Private darf ich einmal stark die Frage stellen, wer denn so streng geheime Daten hat, die kein Mensch sehen darf.

Ich handhabe das so, dass ich eine kleine 1.8" USB Festplatte eingesteckt habe. Diese ist grundsätzlich unverschlüsselt, da sie auf jedem Rechner funktionieren muss (ein paar Linux und Mac Rechner, die kein NTFS unterstützen einmal ausgenommen). Dafür lasse ich meine Platte eben nicht so aus den Augen und wenn ich sie jemandem gebe, damit er mir was drauf spielt, dann bleibe ich eben dabei. Die Daten, die eher kritisch sind, die werden noch mit WinRAR mit einem guten Passwort verschlüsselt. Auf die kann ich eben nur von einem von mir verwalteten Rechner zugreifen, aber der Großteil ist unverschlüsselt. Wen interessieren schon ein paar Installer und Windows Updates oder irgendwelche selbst geschriebenen Programme ohne Dokumentation, die zu keinem konkreten Projekt gehören?
Der werte Gast hat nicht verstanden worum es geht,

es geht nicht darum die Daten auf einen USB-Stick zu verschlüsseln,
sondern den Key auf den USB-Stick zu legen, u. nur wer den Stick hat kann auch auf die Verschlüsselten Daten zugreifen,

wenn man also nicht Zuhause ist u. den Stick dabei hat, kann keiner auf die Daten zugreifen,
weder Familienangehörige, noch die Handlanger des Rollstuhlfahrers,
oder eben im Büro die lieben Kollegen :wink:

Was würde passieren, wenn man dann den Stick verliert oder er nur noch Datenschrott liefern würde? Zweiteres ist mir schon passiert.

mfg.

Sonyfreak

Was würde passieren, wenn man dann den Stick verliert oder er nur noch Datenschrott liefern würde? Zweiteres ist mir schon passiert.

mfg.

Sonyfreak
So wie ich das verstehe kann man die Key-Datei ja mehrfach sichern,
Im Büro verstecken, oder bei einen wirklich guten Freund hinterlegen,
aber das Problem hat man mit der Lösung von Gigabyte im Link oben ja auch. :|

http://www.gigabyte.de/FileList/WebPage/tech_090302_technology_guide/tech_090302_technology-guide_ultra-safe-1.htm

das sollte wohl reichenAls Nachteil "software-gestützer Verschlüsselung" führt man dort "geringe Sicherheit" auf, was natürlich völliger Unfug ist. Wenn man möchte, findet man bestimmt einige Nachteile gängiger Verschlüsselungslösungen wie Truecrypt oder Cryptsetup-Luks, aber geringe Sicherheit gehört ganz bestimmt nicht dazu, wenn richtig angewendet.

Dann doch lieber einen Fingerscanner? Oder ist das auch unsicher?

Dann doch lieber einen Fingerscanner? Oder ist das auch unsicher?

Kommt darauf an wofür und wie viel du ausgeben willst.Geräte unter 100 euro sind nicht wirklich sicher und gute Geräte fangen so bei 500 euro an.

Kommt darauf an wofür und wie viel du ausgeben willst.Geräte unter 100 euro sind nicht wirklich sicher und gute Geräte fangen so bei 500 euro an.


Nur den Finger kann man immernoch abschneiden. (Nein das ist kein Witz)

Das grundsätzliche Problem ist doch, dass man in jedem Fall ein zusätzliches Passwort braucht. Wer schon unbedingt ein Dongle will und auf derart hohe Sicherheitsschranken wert legt, sollte sich nicht nur auf den Dongle verlassen. Zudem ist der Dongle ja auch nicht unfehl- und unkaputtbar, daher sind mehrere von Nöten. Vergleichsweise kann ich auch meine Passwörter notieren und irgendwo deponieren oder sie "einer vertrauenswürdigen Person" geben.
Ein ordentlicher Fingerabdrucksensor oder besser noch ein Irisscanner wäre imho vorzuziehen.

Ob das mit Iris funktionieren würde weiß ich nicht, aber die Fingerscanner in auto zum Diebstahlschutz (z.B. Südafrika) sind wieder ganz schnell aus der Mode gekommen.

Nur den Finger kann man immernoch abschneiden. (Nein das ist kein Witz)

Das hilft höchstens bei einem billigen Fingerabdruckscanner. Bei einem biometrischen Scanner kommt dann nur "dukommsthiernichtrein!dukommsthiernichtrein!dukommsthiernichtrein!dukommsthierni chtrein!dukommsthiernichtrein!".

Das hilft höchstens bei einem billigen Fingerabdruckscanner. Bei einem biometrischen Scanner kommt dann nur "dukommsthiernichtrein!dukommsthiernichtrein!dukommsthiernichtrein!dukommsthierni chtrein!dukommsthiernichtrein!".

Wie prüfen die das, ob der Rest am Finger noch lebt? ^_^ Kenne mich mit so einem Kram überhaupt nicht aus.

Wie prüfen die das, ob der Rest am Finger noch lebt? ^_^ Kenne mich mit so einem Kram überhaupt nicht aus.
Grob gesagt erkennt so ein Scanner auch die feinen Äderchen unter der Haut, u. kann feststellen ob da Blut fließt oder eben nicht. :rolleyes:

Bei etwas besseren Scannern würde die Lebenderkennung bei abgehackten Fingern schon anschlagen. Viele Modelle lassen sich aber auch deutlich einfacher und unblutiger überlisten, indem man einen hauchdünnen Überzug (funktioniert anscheinend auch mit handelsüblichem Cyanacrylat/Sekundenkleber, siehe CT) mit passendem Fingerabdruck über die eigene Fingerkuppe legt. Den Abdruck selbst gewinnt man durch Bedampfen eines brauchbaren Gegenstands sehr einfach wiederum mit Cyanacrylat, wie es die Cops auch machen, wenn sie gerade keine Lust auf Graphitpinselei und Klebstreifen haben. Dämpfe sind unter Umständen giftig, also vorsichtig sein.

Wer selbst einen Scanner in seinem Sicherheitskonzept verwendet, sollte hierfür möglichst nicht die Finger verwenden, deren Abdrücke er in sehr hoher Anzahl und Qualität hinterlässt. Bei einem Rechtshänder eignet sich der linke Ringfinger sehr gut zur Verwendung. Daumen und Zeigefinger der rechten Hand landen ja beinahe schon zwangsläufig auf jedem angefassten Gegenstand in brauchbarer Qualität.

Bei etwas besseren Scannern würde die Lebenderkennung bei abgehackten Fingern schon anschlagen. Viele Modelle lassen sich aber auch deutlich einfacher und unblutiger überlisten, indem man einen hauchdünnen Überzug (funktioniert anscheinend auch mit handelsüblichem Cyanacrylat/Sekundenkleber, siehe CT) mit passendem Fingerabdruck über die eigene Fingerkuppe legt. Den Abdruck selbst gewinnt man durch Bedampfen eines brauchbaren Gegenstands sehr einfach wiederum mit Cyanacrylat, wie es die Cops auch machen, wenn sie gerade keine Lust auf Graphitpinselei und Klebstreifen haben. Dämpfe sind unter Umständen giftig, also vorsichtig sein.

Wer selbst einen Scanner in seinem Sicherheitskonzept verwendet, sollte hierfür möglichst nicht die Finger verwenden, deren Abdrücke er in sehr hoher Anzahl und Qualität hinterlässt. Bei einem Rechtshänder eignet sich der linke Ringfinger sehr gut zur Verwendung. Daumen und Zeigefinger der rechten Hand landen ja beinahe schon zwangsläufig auf jedem angefassten Gegenstand in brauchbarer Qualität.
Deswegen würde ich einen Irisscanner nutzen wollen. Zudem hat ja der findige Datendieb ja relativ viele Fingerabdrücke in unmittelbarer Nähe des Scanners - die Tastatur! Da gibt es bestimmt auch ein paar brauchbare Abdrücke drauf.

Ich frage mich dabei grad, ob man nicht einfach eine Zehe ;D nutzen sollte... Ist zwar für den Login etwas umständlich, insgesamt aber deutlich sicherer sein - ich trage deutlich öfter Socken und Schuhe als Handschuhe, zudem muss erstmal jemand darauf kommen, Zehenabdrücke zu sammeln. Die Frage ist nur, ob das technisch geht, also wie der Qualität des Abdrucks im Vergleich zum Finger ist und ob man nicht irgendwann Probleme bekommt - Hornhaut ftw!

Das klingt ganz schön bescheuert... ;D

Wie prüfen die das, ob der Rest am Finger noch lebt? ^_^ Kenne mich mit so einem Kram überhaupt nicht aus.

Ganz einfach: Die Temperatur.

Deswegen würde ich einen Irisscanner nutzen wollen.
Meine Exfreundin hat da mal ein Paper zu geschrieben. Irisscanner sind nicht wirklich sicherer - heutige Inkjet-Printer drucken genau genug, um einen einfachen Irisscanner zu überlisten.

Meine Exfreundin hat da mal ein Paper zu geschrieben. Irisscanner sind nicht wirklich sicherer - heutige Inkjet-Printer drucken genau genug, um einen einfachen Irisscanner zu überlisten.
Das Problem ist doch immer das Gleiche: wie einfach kommt der Dieb an das Passwort/den Fingerabdruck/den Irisscan, wie leicht kann er es nachstellen oder wie leicht ist es zu überlisten. Es stimmt, Iris ist nicht ideal - an dieser Stelle mal Erreta von mir: ich meinte damit auch einen Netzhautscan - sry dafür!
Denn bei der Iris reicht ja schon wieder ein gut auflösendes Photo, um an den Scan zu kommen, das Nachstellen ist dank guter Drucker kein Problem. Bei der Netzhaut wird es nicht so leicht möglich sein.

Irgendwie gefällt mir der Zehenabdruck als halbwegs sicherer Kompromiss für den Ottonormal-Paranoiden am besten :).

ein guter fingerprint scanner scannt die unteren hautschichten und bemerkt die pulsierenden blutgefässe und sich verändernde poren. allerdings ist ein guter fingerprint scanner auch ziemlich teuer, ich rechne da so mit 5000€. alles darunter ist kacke und leicht zu tricksen. die idee mit dem sekundenkleber ist nur eine mögliche variante.