Hallo,

da ich mittlerweile viel unterwegs bin und trotzdem hin und wieder auf meine Systeme daheim muss, würde ich gerne meine ssh-keys bei mir tragen, auf einem USB-Stick.
Sollte der Stick verloren gehn, will ich natürlich nicht, dass jemand damit Schabernack treibt. Klar sind die Keys nur gültig mit einem Passwort, aber etwas paranoid bin ich da trotzdem!

Also ich brauche eine Möglichkeit meinen USB-Stick, bzw einen Ordner auf dem USB-Stick zu verschlüsseln. Dabei will ich beim entschlüsseln aber vom Betriebsystem unabhängig sein. Sollte ich dann an einem fremden PC sitzen, wäre es gut, wenn ich nicht groß viel runterladen oder gar compilieren muss, wie das bei dem einen oder anderen Tool so ist...

Hat da einer ein gängiges Konzept?

Auch doof wäre es, die Entschlüsselungs-Software mit auf dem Stick zu haben, da weiß der Finder direkt was Sache ist ;)

Truecrypt auf dem Stick ist doch eine gangbare Lösung. Einfach ein starkes Passwort nehmen, da kann es dir dann egal sein dass jemand weiß dass es mit TC verschlüsselt ist. Gibts für Windows, Linux und Mac.

Mit TrueCrypt beschäftige ich mich grade...
Verschlüssele ich den gesamten Stick, oder nur den Ordner... hrm

TC Binaries für Linux/Win/Mac draufpacken und nen Container dazu. Unabhängiger wirds nicht ;)

Mit TrueCrypt beschäftige ich mich grade...
Verschlüssele ich den gesamten Stick, oder nur den Ordner... hrm

Wie mein Vorredner schon sagte: einfach einen container anlegen und fertig.

Mit TC geht das an einem fremden Win-PC nur, wenn Du Admin Rechte hast.
Weniger sichere aber praktische Alternative: http://geizhals.at/de/506103
Das Ding ist aber recht gross.

http://geizhals.de/506103 ?

Würdet ihr die TC-Dateien für Mac, Linux und Win dazulegen? Dann weiß der Finder ja direkt was Sache ist ;)

Äh ne. Ein Truecryptcontainer sieht aus wie Zufallsdaten.
Nur wenn du da noch TC draufpackst, kann man es erahnen.
Du könntest natürlich Truecrypt in ein 7z-SFX packen, dass kannst du unter windows direkt ausführen und unter Linux/Mac brauchste 7z.

Stick
|- 7z portable Mac/Linux
|- 7z SFX (verschlüsselt) mit TC-Binaries
|- TC Container

gibt es statt mit pin auch mit fingerprint reader
http://geizhals.de/393760
wobei da abzuklären wäre ob das hardwaremäßig auf dem stick passiert oder mit extra software auf dem rechner

auf jeden fall sind sie bei verlust für den finder erstmal gesperrt
auf die so gesicherten sticks kann man dann immer noch truecrypt oder sonstwas packen oder die ssh keys in sonstwas verstecken
z.b. ner hundert seiten langen alphanumerischen plain textdatei in der man nach einem bestimmten nur einem selber bekannten muster sucht hinter dem die keys stehen oder so

Würdet ihr die TC-Dateien für Mac, Linux und Win dazulegen? Dann weiß der Finder ja direkt was Sache ist ;)

Und? Was kann er machen? Nix.

Und? Was kann er machen? Nix.
Das ist bei den verschlüsselten SSH-Keys aber auch schon so. Wenn dem Threadersteller das reichen würde gäbe es den Thread nicht ;)

Ein Container gibt aber keinen Inhalt preis ohne Passwort. Man weiß lediglich das ne verschlüsselte Datei existiert.

Naja, da ich die ssh-keys nur verwenden werde um über das Inet auf Systeme zuzugreifen, habe ich auch die Möglichkeit grad Truecrypt herunterzuladen.
Jetzt ist erstmal ein verschlüsselter Container auf dem Stick mit ein paar anderen belanglosen Daten, recht unauffällig...
Mal sehen wie oft ich den Stick verwende, vllt verschlüssel ich doch noch das komplette Volume...

Wäre nicht eine Möglichkeit die, das man so ein KleinstPC her nimmt, der auf USB Stickgröße daher kommt (aka Cotton Candy unter cstick.com zu finden) und den mit einem verschlüsselten Linux bestückt (oder halt geringer mit verschlüsselter Datenbasis) - per x solltest keine weitere Eingabe/Ausgabeperipherie brauchen und die vom Wirt nutzen können, ansprechen über Browser sollte einfach sein, wen man da ein Fileserver rein hängt.

Mit TC geht das an einem fremden Win-PC nur, wenn Du Admin Rechte hast.
Weniger sichere aber praktische Alternative: http://geizhals.at/de/506103
Das Ding ist aber recht gross.

Von solchen Dingern würde ich Abstand nehmen, wenn es mir um echte Datensicherheit geht. Zwar ein anderes Modell, aber der gleiche Hersteller:

http://www.heise.de/security/artikel/USB-Stick-mit-PIN-Abfrage-270082.html

der neue sollte ne 256bit verschlüsselung haben

und mit den pin gesicherten baut man immerhin eine weitere hürde auf das bei verlust der finder nicht einfach zugreifen kann
zusätzlich zum verstecken der container und vom container im container
und das man nicht wüsste was da drin ist und wofür es ist usw.

gibt auch noch den hier http://www.prosoft.de/produkte/safestick/

Dann eben etwas für den Padlock 2 von der selben Seite:
http://www.heise.de/security/meldung/Trick-17-Tastenkombination-oeffnet-Corsairs-Padlock-2-Sticks-fuer-Unbefugte-1030899.html

Der Schlüssel ist vermutlich im Stick selbst gespeichert (vielleicht sogar bei allen Sticks der selbe um die Produktion zu vereinfachen), und durch Eingabe des PIN-Codes bringt man den Stick nur dazu mit dem Entschlüsseln zu beginnen. Offensichtlich gibt es aber noch andere Wege dies zu veranlassen.

256Bit-Verschlüsselung bedeutet erstmal gar nichts, da die Sicherheit einer Verschlüsselung nicht primär von der Schlüssellänge, sondern vor allem von der Art und Weise wie sie implementiert wurde abhängig ist. Und da bei solchen Fertigprodukten in der Regel kein unabhängiger Dritter jemals die Implementierung überprüft hat, kann man davon ausgehen dass sie Schrott ist (vgl Schneiers Law).

das problem mit der pin eingabe wurde durch firmware updates behoben (auch dazu gab es mal ne meldung)

ansonsten hats da noch nen anderen link zu nem produkt

wie gesagt.. ich würde am stick selber zuerst ansetzen und dort höhere sicherheit verwenden und mich dann um die daten darauf zu kümmern
wieso diese eine hürde von vorn herein weglassen?

Also wenn der OP so paranoid ist, dass das Vorhandensein von Truecrypt Executables Anlass zur Sorge gibt, sollte er sich darueber im klaren sein, dass man die fremden Rechner die er benutzt ohne weiteres so praeparieren kann, dass sie seine Keys kopieren und das Passwort mitlesen.

Dies ist um dutzende Groessenordungen einfacher, als ein Truecrypt Passwort zu knacken.
Auch das Knacken der asymmetrischen SSH Verschluesselung an sich ist um ein vielfaches einfacher als bei der symmetrischen Truecrypt Verschluesselung.

Also letztlich kann es dem OP doch nur um ein bisschen "Security by Obscurity" gehen, und da sollte so nen Padlock Stick locker reichen. Von der Sicherheit her reicht Truecrypt mit einem starken Passwort locker aus.