Im Test: Ordner-Verschlüsselung mit Espionage

JRiggert

Wohlschmecker aus Vierlanden
Registriert
13.08.08
Beiträge
236
Was mich an dem Thema auch noch interessiert:
Ist es möglich solche Images auf einem gespiegeltem RAID laufen zu lassen?
Das heisst ich habe auf 2 Platten das gleiche Image und die Daten sind gespiegelt?
(So dass ich im Prinzip beim Öffnen des verschlüsselten Images RAID-seitig 2x 1 Image öffne und die Daten dann parallel geschrieben werden)

RAID1 dürfte kein Problem sein.
Da macht der Controller ja die ganze Arbeit, der PC kriegt nicht mit wieviel Platten sich da gerade drehen.

Grüße, Jan

PS: Kann mal jemand den Link zum Forum wo ausführlich über verschlüsselte Disk-Images gesprochen wird posten? THX.
 

Phate

Celler Dickstiel
Registriert
04.05.06
Beiträge
797
Unter Windows habe ich ca. 1 Jahr Erfahrung im Umgang mit TrueCrypt (bei täglicher intensiver Nutzung).
War mit dem Programm absolut 100% zufrieden und hatte keinerlei Probleme - umso habe ich mich über den Mac-Clienten gefreut. Leider gibt es den noch nicht so lange, so dass ich im Moment immernoch die DMGs des Festplattendienstprogramms nutze.
Es ist halt nicht mal eben gemacht insgesamt 2,5 TB verschlüsselte Images in andere verschlüsselte Images zu überführen.

Es wird jedoch auch diskutiert, ob TrueCrypt auf dem Mac schon produktiv verwendet werden sollte (bzgl. Datensicherheit), da es sich noch um eine sehr frühe Software-Revision handelt.
 

Zeisel

Spätblühender Taffetapfe
Registriert
07.08.07
Beiträge
2.809
@Phate: Hat es einen besonderen Grund, warum Du von verschlüsselten Images auf TrueCrypt umsteigen möchtest? Wo Du weißt, dass die Images sicher sind und stabil laufen, zudem auf dem Mac (wie ich finde) komfortabler zu handhaben sind und ich kein extra Programm für ihre Benutzung benötige?

Ich verwende TrueCrypt unter OS X nur für den Datentransport (USB-Stick) und wenn diese Daten auch auf einem Windows-Rechner verfügbar sein müssen, und ich habe IMMER eine Kopie dieser Daten auf dem Mac, unverschlüsselt oder als verschlüsseltes Image.
 

Phate

Celler Dickstiel
Registriert
04.05.06
Beiträge
797
@Zeisel:
Ein wirklichen Grund gibt es eigentlich nicht, außer dass ich eben mit Windows sehr gute Erfahrungen mit TrueCrypt gemacht habe und es Open Source ist. Bei OS X ist der Quellcode ja auch nicht frei verfügbar.
Eine Überlegung war auch, es dadurch auch in Windows verfügbar machen zu können, dies wird aber nicht zwingend benötigt.

Da das Überführen in ein anderes Image aber sehr aufwändig ist, werde ich es vermutlich eh nicht machen.
 

Zeisel

Spätblühender Taffetapfe
Registriert
07.08.07
Beiträge
2.809
Beides gute Argumente für TrueCrypt. Aber 2,5 TB sind auch nicht grade wenig... falls Deine Vermutung nicht zutrifft und Du sie doch überführst: Viel Spaß ;)
 

waschbär123

Echter Boikenapfel
Registriert
26.04.08
Beiträge
2.353
ich benutze das mac interne system dafür. die daten die da drin liegen sind bei mir nur word, excle, pdfs, also nichts großes, und da reicht mir so ein image locker aus...
 

Cyrics

Neuer Berner Rosenapfel
Registriert
01.04.05
Beiträge
1.973
Also ich benutze zur Zeit (für meinen Windows-Rechner) Truecrypt. Ich bin damit sehr zufrieden. Einzelne Festplatte zum mounten.

Ich denke TrueCrypt (für Windows) scheint noch eine der vernünftigeren Lösungen zu sein, um seine Daten zu schützen. Unter Linux würde ich eher zu dm-crypt oder cryptsetup greifen. Ich weiss sonst nicht wie schnell auf OS X TrueCrypt portiert wird. Da es eine OpenSource Lösung ist, sehe ich jedoch nichts, weshalb es da scheitern sollte.

Das Problem an dem Programm ist die Kommerzialität.
Wer garantiert mir, dass es fehlerfrei geschrieben wurde, dass es keine Hintertür gibt?

Ich vertraue da lieber auf TrueCrypt. Der Quelltext ist frei zugänglich und für jedermann einsehbar- nur das garantiert Sicherheit (gab dazu vor einiger Zeit auch mal einen sehr interessanten C'T-Artikel).

Das ist der Punkt! TrueCrypt ist OpenSource, und die einzige Antwort. Sie nutzen alt-bekannte und bewährte Verschlüsselungsmethoden. Ich bezweifel zwar, dass diese Verschlüsselungsmethoden heute noch lange standhalten würde, aber zumindest ist dies bewährt.

Gibt es eig. auch eine Möglichkeit (mit Bordmitteln) bspw. Passwort-geschützte Images, oder generell Dateien, nur gegen Eingabe eines Passworts löschen zu können?

Änder die Benutzerrechte dieses Ordners oder Datei. Das geschützte Image gehört wahrscheinlich dir als Benutzer. D.h., dass dir die Datei gehört. Damit kannst du sie auch ohne Nachfrage löschen. Sollte sich die Benutzerkennung geändert haben, und nun root oder einem anderen Benutzer gehören, müsstest du dich erst als diesen authentifizieren, um die Daten zu löschen oder zu ändern.

Was mich an dem Thema auch noch interessiert:
Ist es möglich solche Images auf einem gespiegeltem RAID laufen zu lassen?
Das heisst ich habe auf 2 Platten das gleiche Image und die Daten sind gespiegelt?
(So dass ich im Prinzip beim Öffnen des verschlüsselten Images RAID-seitig 2x 1 Image öffne und die Daten dann parallel geschrieben werden)

Prinzipiell würdest du immer nur ein Image öffnen, der RAID-Controller, oder die Software (abhängig ob Software-RAID oder Hardware-RAID) konzentrieren sich nur auf eines der beiden Medien. Sollten nun Änderungen vorgenommen werden, werden diese Änderungen ohne Prüfung direkt in das redudante Medium geschrieben. Es wird also eine Bit-Stream einfach rüber gebügelt, ohne das andere Image zu öffnen oder dergleichen.

Hier ergibt sich in meinen Augen das Problem deiner Konstellation. Das RAID-1 nutzt dir gar nichts... außer das du viel Speicher-Platz verlierst. Sollte ein Fehler beim ersten Verschlüsselten-Image auftreten, weil du meinetwegen das Image öffnen wolltest, ein anderer Prozess gerade auf den Speicher zugreifen wollte, und irgendwelche Interprozessmechanismen aussetzen (das darf nie passieren ;) ), entsteht nun ein Datenfehler beim Image, der meinetwegen so schwerwiegend ist, dass du nicht mehr in der Lage bist das Image zu mounten. Das Image wurde verändert, was bedeutet, dass das Image nun on the fly auf das redundante Medium geschrieben wird. Damit auch der Image-Schaden. Ein RAID erhöht nur die Verfügbarkeit der Daten, aber nicht die Datensicherheit. Vergiss das niemals!


________
Zum eigentlichen Thema: dieses Lösung von Espionage ist ein Witz. Da ist es ein besserer Schutz seinen zu schützenden Ordner in "temp" umzubennen, und die Datei darin ".00_default_temp_Nr" zu nennen...

Das BKA und Co. werden die Daten 100%ig nicht auf eurem Computer anschauen, sondern Festplatte raus und ran an das Decryption-System. Dateien, die nicht verschlüsselt sind, sind dann sowieso erstmal mit drin im Einkaufswagen. Dateien, die mit AES verschlüsselt sind, setzen die sich eben 2-3 Tage dran, bis das Passwort geknackt ist. Wenn die richtige Länge mit den richtigen Zeichen ergeben sich auch 2-3 Wochen. Die BitZahl 256 erhöht derzeit nur die Zeit, wie lange man warten muss, bis man an den Daten dran ist.

DiskImages sind ja eine schöne Sache etc., aber mir zu riskant, da erstens keine Datensicherheit existiert. Denn ein paar BitFehler reichen schon, um das Image nutzlos zu machen. Die Verschlüsselung ist nicht ausreichend um einem "echten" Test stand zu halten. Ich schränke meinen eigenen Zugriff auf die Daten so stark ein, dass ich Geschwindigkeitsverluste etc. hinnehme, nur um ein kleines bisschen Sicherheit zu bekommen, und ein großes Risiko von Datenverlust....?!

Es gibt OpenSource-Lösungen, die ich weiter oben angesprochen hatte, und die halten einiges mehr, von dem was sie versprechen. Sie sind komplett offen, nutzen bewährte Algorithmen, und letztendlich ist es derzeit eh nur eine Frage bis alle geknackt sind.

Ich nutze derzeit eine XTS-Verschlüsselung, die noch als "experimental" gilt. Derzeit heisst es, dass man dafür einige Jahrzehnte braucht, um dieses zu entschlüsseln. Mit der Entwicklung der neuen Generation von Computern ist ein rechenintensiver Modulos-Algorithmus eh nutzlos geworden...
 

Zeisel

Spätblühender Taffetapfe
Registriert
07.08.07
Beiträge
2.809
Es gibt OpenSource-Lösungen, die ich weiter oben angesprochen hatte, und die halten einiges mehr, von dem was sie versprechen. Sie sind komplett offen, nutzen bewährte Algorithmen, und letztendlich ist es derzeit eh nur eine Frage bis alle geknackt sind.

Es gibt in TrueCrypt auch noch die Möglichkeit, ein "Hidden TrueCrypt volume" anzulegen. Dort versteckt man ein verschlüsseltes volume zwischen wichtig und schützenswert aussehenden Daten im TrueCrypt Container. Wie sicher dieser zusätzliche Schutz wirklich ist, weiß ich allerdings nicht.
 

Ubu

Tydemans Early Worcester
Registriert
29.07.07
Beiträge
388
Das BKA und Co. werden die Daten 100%ig nicht auf eurem Computer anschauen, sondern Festplatte raus und ran an das Decryption-System. Dateien, die nicht verschlüsselt sind, sind dann sowieso erstmal mit drin im Einkaufswagen. Dateien, die mit AES verschlüsselt sind, setzen die sich eben 2-3 Tage dran, bis das Passwort geknackt ist. Wenn die richtige Länge mit den richtigen Zeichen ergeben sich auch 2-3 Wochen. Die BitZahl 256 erhöht derzeit nur die Zeit, wie lange man warten muss, bis man an den Daten dran ist.

DiskImages sind ja eine schöne Sache etc., aber mir zu riskant, da erstens keine Datensicherheit existiert. Denn ein paar BitFehler reichen schon, um das Image nutzlos zu machen. Die Verschlüsselung ist nicht ausreichend um einem "echten" Test stand zu halten. Ich schränke meinen eigenen Zugriff auf die Daten so stark ein, dass ich Geschwindigkeitsverluste etc. hinnehme, nur um ein kleines bisschen Sicherheit zu bekommen, und ein großes Risiko von Datenverlust....?!

Es gibt OpenSource-Lösungen, die ich weiter oben angesprochen hatte, und die halten einiges mehr, von dem was sie versprechen. Sie sind komplett offen, nutzen bewährte Algorithmen, und letztendlich ist es derzeit eh nur eine Frage bis alle geknackt sind.

Naja, jetzt übertreibst du schon ein wenig, oder ;).
Noch ist AES 265 Bit ein sicherer Standard und bei einer klugen Passwortwahl rechnet auch das BKA (es sei denn, sie haben neue Supercomputer gekauft) ein paar Jahrzehnte (Jahrhunderte) daran.

Edit: Natürlich kann die Sache in 2 Jahren schon wieder ganz anders aussehen.
 
Zuletzt bearbeitet:

Fat_Toni

Roter Stettiner
Registriert
15.02.08
Beiträge
975
@Cyrics, sorry habe ich hab das jetzt nicht gefunden, welche Open Source Lösung verwendest du? True Crypt oder was?
 

plaetzchen

Kaiserapfel
Registriert
21.10.05
Beiträge
1.729
Truecrypt gibt es auch für den Mac und es funktioniert sehr gut. Man kann sogar einen USB Stick als Schlüssel benutzen.
 

Boa

Grahams Jubiläumsapfel
Registriert
19.03.05
Beiträge
102
Truecrypt gibt es auch für den Mac und es funktioniert sehr gut. Man kann sogar einen USB Stick als Schlüssel benutzen.
Ist der mit Windows kompatibel? Wenn ich z.B. mit der TrueCrypt verschlüsselte Datei brenne oder auf USB schreibe, kann das entsprechende Programm auf Win die Datei ohne Weiteres lesen? Danke!
 

Zeisel

Spätblühender Taffetapfe
Registriert
07.08.07
Beiträge
2.809
Ja, das ist voll kompatibel. Das ist ja der große Vorteil von TrueCrypt.
 
  • Like
Reaktionen: Boa

radneuerfinder

Damasonrenette
Registriert
02.01.05
Beiträge
488
So gehts mit Bordmitteln:

- verschlüsseltes Image mit Passwortschutz anlegen (per Festplattendienstprogramm)
- zu schützende Ordner in das Image verschieben (cmd-Taste gedrückt halten)
- am urprünglichen Ort des Ordners einen Alias auf den Ordner (der ja nun im ImageOrdner lebt) erstellen

voila:
bei Doppelklick auf den Alias kommt die Passwortabfrage, nach Eingabe öffnet sich der Ordner. Zum Sperren: das Image auswerfen.
 
Zuletzt bearbeitet:

hades

Morgenduft
Registriert
03.12.05
Beiträge
170
Ha!
Ich habe gerade festgestellt, dass sich ein Ordner problemlos auf einem 256-Bit AES verschlüsselten Image erstellen lässt, das wiederum selbst in einem derartig verschlüsselten (größeren) Image liegt und, dass der Zugriff durch einen Alias (zB am Desktop) wunderbar - dh trotz der Verschachtelung - funktioniert...

Also 256-Bit AES in 256-Bit AES ;)

(Nur so als Anmerkung und weil ich nicht wusste, wo ich das sonst hinposten sollte)
 

SilentCry

deaktivierter Benutzer
Registriert
03.01.08
Beiträge
3.831
Also 256-Bit AES in 256-Bit AES ;)
//altkluger Modus ein
Dir ist aber bewusst, dass Du die Sicherheit damit nur "verdoppelst". Also mal angenommen, Du verwendest ein Passwort, das aus einem kleinbuchstabigen Zeichen [a-z] besteht, dann braucht man im Maximum 26 Läufe, um das PWD zu erraten. Bei einem Container im Container dann 26x2=52 Läufe im Maximum. Dahingegen würde ein zweibuchstabiges Wort den Maximalaufwand schon versechsundzwanzigfachen, also 26x26 Maximalversuche=676.
//altkluger Modus aus