1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Verschlüsselung - Was heißt/ist Sicher?

Dieses Thema im Forum "Internetsoftware" wurde erstellt von exitus, 12.09.09.

  1. exitus

    exitus Antonowka

    Dabei seit:
    29.12.07
    Beiträge:
    359
    Hi,

    ich habe mich nun in mehreren Beiträgen von Pepi und anderen Usern über
    Verschlüsselungstechniken für den Mac Informiert.
    Dort wurden Programme wie "TrueCrypt" oder "PGP" genannt. Nun stell
    sich mir die Frage, welches dieser Programme die bereits genannt sind
    sind Sicher und wie Definiert sich die Sicherheit?

    Was sind denn eure Erfahrungen bezüglich der Verschlüsselung von Daten
    oder der Sicherstellung das dritte diese nicht ungewollt einsehen können?
    Was erachtet Ihr als sicher und was ist in euren Augen eher unsicher?

    Ich hoffe mal auf regen Meinungsaustausch und würde mich auch über die
    Nennung + Erklärung der Vorzüge von anderen Programmen freuen.


    Um das Thema nochmals auf den Punkt zu bringen, wie sichert ihr eure Daten
    und was ist für euch in diesem Punkt Sicherheit?
     
  2. da_jones

    da_jones Luxemburger Triumph

    Dabei seit:
    06.02.06
    Beiträge:
    500
    Mmmh… das kommt halt sehr darauf an, was du machen möchtest. Wenn es dir zum Beispiel um sichere Kommunikation geht, dann empfiehlt es sich die Mails zu verschlüsseln. Skype unterstützt auch durchgehend verschlüsselten Austausch.

    Aber auch wenn du vertrauliche Informationen auf deiner Festplatte hast (bspw. Finanzunterlagen), gibt es sehr verschiedene Möglichkeiten. Ich sichere solch sensiblen Daten meist in einem verschlüsselten Image.

    Die Sicherheit richtet sich nach mehreren Faktoren. Die beiden wichtigsten sind wohl:
    1. Die Technologie: Für heutige Verhältnisse sollte ein digitales Image/Container/etc. schon mindestens mit einer 256 Bit AES-Verschlüsselung gesichert werden. Sicherer geht immer. Es lässt sich aber auch nur schwer eine pauschale Auskunft geben, weil immer der Verwendungszweck die Mittelwahl beeinflusst.

    2. Dein Passwort: Die Sicherheit steht und fällt mit dem (Master-)Passwort. Auch eine Blowfish-Verschlüsselung bringt nichts, wenn das Passwort "Passwort" lautet. Möglichst viele Zeichen, groß und klein, Ziffern, Sonderzeichen sind immer angeraten.

    Soviel erstmal von mir. Hoffe, das hilft dir etwas.

    da_jones
     
    exitus gefällt das.
  3. exitus

    exitus Antonowka

    Dabei seit:
    29.12.07
    Beiträge:
    359
    danke schonmal für die gute auskunft :)

    ok, dann versuche ich mal meine wünsche bzw. das z.B. was ich machen möchte richtig auszudrücken.

    1. datenverschlüsselung: jeder hat ja sensible daten auf dem rechner, ich möchte diese auf sichere weise so das sie wirklich sicher sind (sind unteranderem firmen daten etc.) auf eine externe platte sichern oder generell diese auf meinem macbook sicher aufbewahren. nun fragt sich was sich dafür als sichere lösung eignet. ist truecrypt wirklich sicher oder ist es nur fiktiv?

    2. emailverschlüsselung: ich verschlüssel meine mails heute schon dank ein paar netter klasse tutorials hier mit thwate weiss aber auch nicht ob das wirklich alles so sicher ist. die kommunikation bzw. der datenaustausch läuft ja meistens über mail verkehr, darum möchte ich diesen so sicher wie möglich gestalten.

    3. adium/skype oder andere clients bzw. kommunikationsmöglichkeiten sollten ebenfalls so sicher wie möglich gestaltet werden können.


    ich bin kein sicherheitsfanatiker, aber ich möchte in den heutigen zeiten meine privatsphäre und meine firmeninterne daten so sicher wie möglich wissen. und falls wir wollen es mal nicht hoffen mein mac book oder die "externen" festplatten mal in andere hände geraten möchte ich noch ruhig schlafen können, da ich weiss das meine daten sicher sind. (das alles knackbar ist wenn die nötige zeit und der nötige wille zur verfügung steht ist mir klar ;) )


    so und nun die finale frage, welche programme welche möglichkeiten bieten sich mir bzw. allen die so etwas machen wollen bzw. ihren rechner in ein Fort Knox verwandeln wollen? ^^
     
  4. da_jones

    da_jones Luxemburger Triumph

    Dabei seit:
    06.02.06
    Beiträge:
    500
    zu 1.: Bezüglich TrueCrypt kann ich dir leider keine Auskunft geben. Wie schon geschrieben benutze ich einfach das Festplattendienstprogramm, um mir ein verschlüsseltes Image zu erstellen. Das ist dann natürlich nur noch unter Mac OS X einsetzbar. Wenn du nicht auf andere OS angewiesen bist, haut das schon hin.

    zu 2.: Dann bist du schon auf einem guten Weg. Wenn du bei thawte mindestens einen 2048-Bit-Schlüssel erstellt hast, dann ist das – nach momentanen Stand der Technik – sicher. In einem Jahr kann das schon wieder anders aussehen.

    zu 3.: Skype ist derzeit auch durchgehend sicher. Allerdings wollen staatliche Sicherheitsbehörden weltweit ja gerne Zugriff auf die API. Leider hat Skype eine Zusammenarbeit hier schon bestätigt. Wie das für die Nutzer ausgeht… o_O abwarten.

    Software: Meine Wahl ist das Festplattendienstprogramm. Manchmal erzeuge ich auch einfach ein AES-verschlüsseltes zip-File, wenn ich etwas an andere weitergeben möchte. Bei AT gibt es bestimmt ein paar User, die noch weitere Programme nutzen.

    Ach, und zum Fort Knox – Internetverbindung trennen und den Mac in einen Safe stecken. Viel sicherer geht's nicht ;)
     

    Anhänge:

  5. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    Gerade wenn es um sichere Kommunikation geht, würde ich den größtmöglichen Bogen um die proprietäre Software Skype machen. Skype kann und wird abgehört, die dazu notwendige Software ist OpenSource und ist durchaus in-the-wild und mit an Sicherheit grenzender Wahrscheinlichkeit auch von diversen offiziell (nicht) existierenden Regierungsstellen seit langem in Verwendung.

    Für solche Sachen wäre das Zphone Project wohl eher zu empfehlen.

    Rein Mathematisch gewinnt Länge (Exponent) vor Zeichenvorrat (Mantisse). Es ist immer empfehlenswert beide Möglichkeiten maximal auszuschöpfen. Bei einem schlechten Passwort, hilft die beste Verschlüsselungsmathematik nicht.

    Umgekehrt hilft auch das beste Passwort nichts wenn der verwendete Algorithmus fehlerhaft ist, proprietär ist, die Schlüssellänge zu kurz ist oder Backdoors enthalten sind.

    Der Zweck heiligt die Mittel ist keine neue Erkenntnis. Es ist daher immer wichtig die gestellte Aufgabe mit dem richtigen Werkzeug zu erschlagen.


    Ad 1) Was ist "sicher" für Dich? Welchem Bedrohungsszenario soll Deine Sicherheit für welchen Preis/Aufwand standhalten können? Mußt Du Dich vor einem Angreifer mit (virtuell) unlimitierten Resourcen schützen können? Geht es darum dem Skript Kiddie den Spaß zu verderben, daß er sich ein anderes, leichter exploitbares Opfer sucht? Möchtest Du das zweite Kassenbuch vor der Finanz verstecken? Möchtest Du, daß die Daten garnicht erst als existent gefunden werden können? Wie komplex darf die Handhabung der Technik sein damit Du sie noch anwendest?

    Das technische Design von TrueCrypt ist durchaus als gut zu bezeichnen. Der Komfort der Handhabung ist eine andere Thematik. Hier schneidet TrueCrypt meiner Ansicht nach nicht so gut ab.

    Ein verschlüsseltes DMG File ist sicherlich sehr bequem in der Anwendung. Dafür ist es nicht unabhängig der Plattform einsetzbar.

    Beides gilt zu Teilen für PGP/GnuPG Container.


    Ad 2) Mit S/MIME hast Du eine durchaus sichere und auch komfortable Möglichkeit Deine eMails im Volltext (Abzüglich Header Daten, zu denen unter anderem Absender, Empfänger und auch der Betreff gehören) im Einsatz. GnuPG/PGP bieten hier ein wenig mehr technische Sicherheit, da längere Schlüssel als bei S/MIME möglich sind. Die Frage ist auch, mit wem kommunizierst Du? Welche technischen Möglichkeiten haben diese Leute? Wie komplex und aufwändig darf die Lösung sein um Sicherheit gewährleisten zu können? Was bedeutet Sicherheit für Dich in dem Fall? Unlesbarkeit des Mailinhaltes? Verschleierung der Verkehrsdaten? Verstecken, daß überhaupt eine Kommunikation stattfindet? Anonymität und Privatsphäre sind auch Aspekte von Sicherheit.

    Ad 3) Skype kannst Du getrost abhaken und streichen wenns um Sicherheit geht. Bei Adium gibt es die Möglichkeit der OTR Verschlüsselung, was schonmal nicht schlecht ist. Andere IM Clients bieten auch die Möglichkeit per GnuPG zu verschlüsseln, leiden aber meist an sehr schlechter Usability. Sicherheit hat eben ihren Preis, in welcher Form auch immer dieser zu entrichten ist.


    Mit etwas mehr Abstand zur doch etwas philosophischen Fragerunde…
    Für Deine Mails bist Du mit S/MIME gut bedient.
    Für Deine Daten würde ich, je nachdem ob es plattformunabhängig sein soll oder nicht, TrueCrypt oder ein verschlüsseltes DMG empfehlen.
    Für IM ist Adium mit OTR eine gute Wahl.
    Für Anonymität im Internet gibt es momentan nichts bessers als TOR.

    Kein Tool ist und kann je perfekt sein!
    Gruß Pepi
     
  6. exitus

    exitus Antonowka

    Dabei seit:
    29.12.07
    Beiträge:
    359
    (...)

    Also, mein Problem ist, dass ich sehr oft in verschiedenen Ländern unterwegs bin. Dort für verschiedene Auftragsgeber arbeite (Banken, Versicherungen und andere Dienstleister).
    Mein Firmen Laptop ist natürlich durch gehend durch die Firma geschützt (keine Ahnung wie, aber die IT kümmert sich ja darum (ist ja auch os = windows drauf) somit nicht mein feld ^^)

    Da ich aber öfters meinen Rechner im Hotel habe und dort ab und an auch brisante Daten drauf sind möchte ich ihn so sicher wie möglich wissen. Da ich ja kein Windows benutze und eine Pre-boot- auth. im moment nicht angeboten wird weiss ich nicht wie ich ihn bestmöglich schützen kann.
    Die Daten welche geschützt werden sollen, sollten nach meiner meinung vll garnicht exisitieren. Die Angriffe welche sich meine Firewall zuhause (wurde ebenfalls von der Firma eingerichtet) annehmen muss sind meiner Meinung nach und was man so aus der IT hört nicht gerade Skript Kiddis. Es kann natürlich sein, dass ich hier Wind um nichts mache oder auch übertreibe mit meinen Sicherheits vorkehrungen... Allerdings ist in der heutigen Zeit (dank des Terrorismus) die Zahl der Computer Spionagen extrem angestiegen (was man so hört). Somit bin ich einfach nur um meinen Mac besorgt :p

    Zur Zeit benutze ich TrueCrypt, da ich ja OS übergreifend arbeiten muss. Nur ob das sicher genug ist?

    Die Lösung für dieses Sicherheitspaket kann aufwendig und komplex sein, es sollte allerdings von einem nicht Programmierer wie mir verstanden und nachvollzogen werden können.
    Die Kommunikation ist in alle Richtungen, Kunden (deren Privat email adresse), Familie, Freunde und Bekannte / Die technischen Möglichkeiten sind relativ, lernen kann jeder und jeder in meinem Umfeld setzt auf Sicherheit.
    Mit dem Thwate Zerti. ist das ja schön und gut, allerdings frag ich mich ob es nicht besser geht.
    Sicherheit bedeutet für mich, dass "niemand" den Inhalt und die Anhänge lesen und benutzen kann.

    Skype benutze ich auch nicht. Ich dachte mir schon das es für die Katz ist und hab daran auch keinen gefallen gefunden. Ich werde mir das von dir genannte Programm mal anschauen.
    Bei Adium hab ich das Prinzip noch nicht ganz verstanden, wie man z.B. mit leuten welche ICQ,MSN und CO benutzten sich verschlüsselt unterhalten kann. Da die meisten ja die Clients der Herausgeber benutzen.


    (...)

    Ich werde mich nun direkt mal dem Programm Tor genauer annehmen.

    Schonmal vielen Dank für diesen Ausführlichen Beitrag.

    gruß
    exitus
     
  7. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    Uiui, der böhse Terror… glaub mal bitte nicht allzusehr den Propaganda Reden der Politiker die sich seit dem Kunstgriff 2001 alle nur allzugerne mit jeder Freiheitseinschränkung und neuen Überwachungstaktik auf die Terroristen ausreden. Laß Dir dadurch nicht mehr Angst machen als wirklich notwendig ist.

    Selbstverständlich müssen alle Clients die beteiligt sind die entsprechenden Sicherheitsfeatures unterstützen, sonst kann das nix werden.

    Einfacher in der Handhabung als S/MIME wird es wohl nicht mehr werden. Der Aufwand die Keys zu generieren und sich ein entsprechendes Zertifikat zu besorgen bleibt. Wirklich vertrauen kannst Du auch dann nur Leuten denen zuzutrauen ist, daß sie in der Lage sind deren privaten Schlüssel auch entsprechend vor Fremdzugriffen zu bewahren! An diesem Detail hängen alle asymmetrischen Kryptografie-Verfahren.

    Skipt Kiddies oder Bots, ist auch alles egal. Entweder Dein Firewall hält, oder er hält nicht, durch wen oder warum der geknackt wurde ist im zweifelsfall egal, weil dann zählt nur noch, daß er geknackt wurde. Hoffentlich hat Deine IT nicht die originellen Effekte von IPv6 übersehen. Damit fährt man nämlich auch mal gerne einfach so am Firewall vorbei als ob er garnicht da wäre. Wie praktisch!

    Wenn Du Deinen Rechner unbeaufsichtigt in einer nicht vertrauenswürdigen Umgebung zurücklassen mußt, dann ist es ohnehin egal. Mit physischem Zugriff, kann man quasi alles machen. In diesem Fall sollten Deine heiklen Daten garnicht erst auf dem Rechner liegen. Dann kann ihnen da auch nix passieren, es sei denn es ist allzuleicht den Fernzugriff darauf zu erwirken.

    Gesunder Menschenverstand hilft gegen viele Sicherheitsprobleme, denn technisch kann man nicht alles lösen.
    Gruß Pepi
     
  8. da_jones

    da_jones Luxemburger Triumph

    Dabei seit:
    06.02.06
    Beiträge:
    500
    Aha, wieder was gelernt. :)
     
  9. exitus

    exitus Antonowka

    Dabei seit:
    29.12.07
    Beiträge:
    359
    Naja ich wollte eigentlich nicht über menschliches Versagen spekulieren, sondern eher wissen was sicher ist und wie man sich sichern kann. Auf einem Windowsrechner scheint es dazu ja auch einige Möglichkeiten zu geben.

    Aber da meine Fragen ja eher auf Unverständnis stoßen als auf Erklärung oder Empfehlung ist dies ja hier nicht möglich zu klären, was sicher heißt oder ist.

    Aber wie schon gesagt, danke für den Tipp mit Tor und dem Zphone Project.
     
  10. da_jones

    da_jones Luxemburger Triumph

    Dabei seit:
    06.02.06
    Beiträge:
    500
    Sorry, das kann ich nicht ganz nachvollziehen. Pepi hat das schon ziemlich gut und präzise erklärt: Natürlich ist es möglich, deine Daten sicher auf deinem Mac zu verwahren. Aber die Einschränkung gilt (unabhängig vom Betriebssystem), dass es je nach Anwendungsbereich sichere und unsichere Methoden der Verschlüsselung gibt. Und dass dir die sicherste Methode nichts bringt, wenn du fahrlässig mit den Daten/Zugangskennungen umgehst. Das sollte selbstverständlich sein.

    Kurz zur Beantwortung deiner Frage: Eine Verschlüsselung von Containern, wie es m.E. bei TrueCrypt geschieht, kann bei Verwendung eines 256-Bit-AES-Schlüssels oder besser durchaus als sicher betrachtet werden. Momentan.

    PS: Deine Ungeduld ist in gewisser Weise verständlich. Pepi hat aber Recht damit, dass es keine einfachen Antworten gibt.
     
  11. naich

    naich Pommerscher Krummstiel

    Dabei seit:
    22.11.08
    Beiträge:
    3.059
    Genau das ist das Problem bei Chat-Verschlüsselung. Es gibt nur sehr sehr wenige Chat-Programme (wie Adium), die OTR Verschlüsselung schon integriert haben, dann gibt es sicher einige (wie Pidgin), welche die OTR Unterstützung durch ein einfaches Plugin dazubekommen.
    Und dann gibt es halt andere Programme wie iChat oder die originalen ICQ / MSN ... Programme, die die Sachen nicht integriert haben. Bei denen (zumindest ICQ) soll die Verschlüsselung wohl gehen, wenn ein Proxy dafür dazwischengeschaltet wird, nur das ist noch größerer Auswand.

    Und dieser Aufwand, die Verschlüsselung einzurichten, müssen natürlich deine Gesprächspartner erbringen.

    Das Benutzen dann ist recht einfach. Nachdem man die Schlüssel der Partner als Vertrausenwürdig markiert hat, kann man oben im Chat-Fenster das Schloss zuklappen, und los gehts.
     
  12. exitus

    exitus Antonowka

    Dabei seit:
    29.12.07
    Beiträge:
    359
    danke @naich für deiner antwort, ich habe mich in den letzten Tagen intensiv mit dem Thema OTR / Chatt-Client auseinander gesetzt und habe das prinzip nun zum glück verstanden :) danke aber nochmals für deine erklärung :)

    Ich weiss sehr wohl, dass rein fahrlässig und rein technisch bedingt ein Computer bzw. Mac etc. gegen keinerlei angriffe geschützt ist. Es war auch wohl eher ein fiktives bsp. als das es Real ist.

    Mir geht es eigentlich eher ums Prinzip. Mich interessiert wie ich meinen Mac einfach so sicher wie möglich mache. Der Aufwand interessiert mich nur sekundär.
    Klar Pepi hat das ganze schon relativ gut in seinem ersten und zweiten beitrag erklärt... aber wirklich schlauer bin ich nun auch nicht geworden (soll keine provokation/beleidigung etc. sein! ).

    gibts neben TrueCrypt auch andere Programme, welche die Verschlüsselung übernehmen können oder der gleichen? Ich meine klar, nicht jeder USER eines PC'S nimmt diesen Punkt der "Privatsphäre" nicht wirklich wahr.... Aber trotzdem kann sich doch nicht eine ganze "Mac-Gemeinde" mit 1 oder 2 programmen zufrieden geben oder ?
     
  13. atanneberg

    atanneberg Boskop

    Dabei seit:
    11.03.04
    Beiträge:
    208
    Snow Leopard und die hier angesprochenen Tools

    Interessanter Thread,
    dieses Thema beschäftigt mich auch ; ich suche zur Zeit nach einer Möglichkeit, mein Time Machin-Backup sinnvoll zu schützen.

    Dabei bin ich leider darüber gestolpert, des weder PGP, noch GPG oder Truecrypt bisher unter 10.6 laufen; zumindest habe ich diese Erfahrung gemacht und noch keine Updates gefunden.

    Also aus meiner Sicht für alle die diese Tools benutzen und benötigen heisst es wohl noch abwarten mit !0.6 oder hab ich was verpasst?
     
  14. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    GPG läuft durchaus unter 10.6, was noch nicht funktioniert ist das GPG Mail Plug-In. Engagierte Menschen sind aber schon dabei das zu fixen.

    exitus
    Lesetip: Mac OS X Security Configuration Guides, Corsaire White Paper - Securing Mac OS X 10.5 Leopard
    Weitere Security Tips gibts im Rahmen des BSI Grundschutz, Common Criteria und der ISO 27001.

    Wenn Du genauer sagen kannst, vor welchen Bedrohungsszenarien Du was schützen willst, ist es auch einfacher konkretere Tips zu geben.

    Nie vergessen: Sicherheit ist kein Zustand. Sicherheit ist ein Prozess.
    Gruß Pepi
     
  15. exitus

    exitus Antonowka

    Dabei seit:
    29.12.07
    Beiträge:
    359

Diese Seite empfehlen