Mein digitaler Schutzschild TrueCrypt – der Tresor auf der Festplatte
Seite 2/3:
Hidden Volumes – Container, die in einem anderen Container versteckt werden
Zugabe Hidden Volume
Es gibt Menschen, die versuchen, die TrueCrypt-Spuren auf ihrem Rechner zu verwischen. Das beginnt damit, das Start-Icon nicht auf dem Desktop zu belassen. Sie verstecken aber auch ihre Container, indem sie ihnen unauffällige Dateinamen samt Endungen wie .sys geben und sie tief im Dateisystem vergraben. Doch solche Tricks sind auch bei Strafverfolgern und anderen Behörden bekannt. Die finden in jedem Fall das Programm selbst und schließen dann daraus, dass sich auf dem Computer auch Container befinden. Es gibt auch spezielle Forensiksoftware wie TCHunt, mit der diese sich dann aufspüren lassen. Wer so "auffliegt", ist erst recht verdächtig.
Die meisten TrueCrypt-Nutzer verlassen sich auf das Prinzip der "glaubhaften Abstreitbarkeit". Sie stecken ein Hidden Volume in den Container. Wird der Container entdeckt und werden sie zur Herausgabe des Passworts gezwungen, öffnet sich der Container, das Hidden Volume darin aber bleibt unsichtbar. Unsichtbar, weil es aussieht wie ein Haufen Zufallsdaten – und TrueCrypt füllt den nicht genutzten Raum eines Containers immer mit solchen Zufallsdaten. Nun kann man also versuchen abzustreiten, dass es ein solches verstecktes Volume gibt. Auch das dürften erfahrene Strafverfolger kennen, aber sie müssen dem Verdächtigen erst einmal nachweisen, dass er lügt.
Um es aber noch einmal deutlich zu machen: Der Durchschnittsbürger wird nie in solche eine Situation geraten. Dennoch finde ich die Möglichkeiten von TrueCrypt so spannend, dass ich sie ausprobieren will.
Ich erstelle nun als einen versteckten Container, ein Hidden Volume. Dazu starte ich TrueCrypt und klicke auf Create Volume und danach auf wie gehabt auf Create an encrypted file container. Danach wähle ich Hidden TrueCrypt volume. Nun kreiere ich erst einen neuen äußeren, später dann darin den inneren Container. Ich klicke mich dazu in den Ordner, in dem der neue äußere Container liegen soll, und gebe ihm einen Namen. Den Namen einer Datei, deren Existenz auf meinem Rechner so normal ist, dass sie keinen Verdacht auslöst.
Die Voreinstellungen zur Verschlüsselung lasse ich wieder unverändert. Dann bestimme ich die Größe des äußeren Containers, in diesem Fall zwei Gigabyte.
Jetzt muss ich mir wieder ein starkes Passwort überlegen – und später noch ein zweites für den inneren Container. Nebenbei bemerkt: Mit meinem Passwort für den Ubuntu-Nutzeraccount, für den VPN-Zugang, Hushmail, die Passphrase für meinen privaten PGP-Schlüssel sowie den im ersten Schritt angelegten TrueCrypt-Container sind das nun die Passworte Nummer sechs und sieben, die ich im Laufe dieses Projekts anlege und mir merken muss. Hätte ich bei der Installation von Ubuntu auch die Option zur Verschlüsselung der gesamten Festplatte genutzt, wäre es noch ein Passwort mehr.
Jetzt werde ich wieder aufgefordert, den Cursor wild zu bewegen, während TrueCrypt die Verschlüsselung anlegt.
Danach geht es mit einem Klick auf Next weiter. Ich klicke nun so lange Next, bis ich aufgefordert werde, die Größe des inneren Containers anzugeben. Ich wähle einfach 999 Megabyte. Nun muss ich mir, wie schon angekündigt, ein weiteres Passwort überlegen, das möglichst nichts mit dem vom äußeren Container zu tun hat. Abschließend wähle ich noch das Dateisystem für den inneren Container aus, bestätige, dass ich ihn nur vom Linux-System aus mounten werde und bewege im letzten Abschnitt wieder den Cursor kreuz und quer, während die Verschlüsselung erstellt wird.
Nun ist das Hidden Volume fertig. TrueCrypt weist noch darauf hin, dass man bestimmte Vorgaben erfüllen muss, wenn man ausschließen will, dass jemand die Existenz des Hidden Volumes nachweisen kann. Auf der Website gibt es unter dem Punkt Protection of Hidden Volumes Against Damage außerdem noch Hinweise, wie man es vermeidet, beim Befüllen des äußeren Containers den Inhalt des inneren versehentlich zu überschreiben.
Um die wirklich schützenswerten Dateien in den inneren Container zu bekommen, muss ich diesen nur noch mit dem entsprechenden zweiten Passwort mounten. Dann kann ich beliebige Dateien dort hinein verschieben.
Der Alltag mit TrueCrypt
Ich habe nicht sehr viele Dateien, die ich unbedingt verschlüsseln will, und es kommen vor allem nicht ständig neue hinzu. Deshalb ist TrueCrypt trotz der komplizierten Passworte und der Gefahr, versehentlich die Dateien in einem Hidden Volume zu überschreiben, recht überschaubar.
Wer das Programm häufig nutzt, muss den Überblick über seine Container behalten: Wo liegen sie, was ist drin und beinhalten sie auch versteckte Container? Außerdem muss er sich für jeden Container das hoffentlich starke Passwort merken können oder sie alle mithilfe eines Passwortmanagers verwalten.
Ich persönlich mag Passwortmanager nicht, weil dann gleich alles, was ich so mühsam schützen will, am Masterpasswort hängt. Deshalb benutze ich jedes Programm lieber so häufig, bis ich mir das jeweilige Passwort wirklich gemerkt habe.
Übersicht zu diesem Artikel
- Seite 1 TrueCrypt – der Tresor auf der Festplatte
- Seite 2 Hidden Volumes – Container, die in einem anderen Container versteckt werden
- Seite 3 Fazit: Mein digitaler Schutzschild hat Löcher
Anzeige
- Datum 01.02.2013 - 06:56 Uhr
- Seite 1 | 2 | 3 | Auf einer Seite lesen
- Serie Mein digitaler Schutzschild
- Quelle ZEIT ONLINE
- Kommentare 50
- Versenden E-Mail verschicken
- Empfehlen Facebook, Twitter, Google+
- Artikel Drucken Druckversion | PDF
-
Artikel-Tools präsentiert von:
Wesentlich für die Sicherheit eines Passwortes ist es, neben kleinen und Großbuchstaben auch Zahlen und Satzzeichen zu nutzen. Ferner darf es
in einem Wörterbuch nicht zu finden sein.
http://www.php-einfach.de...
Für die Serie "Mein digitaler Schutzschild" sage ich Zeit-Online herzlichen Dank!
Prinzipiell steigt die Entropie mit Verwendung von Buchstaben, Zahlen und Satzzeichen.
Ausser es ist bekannt das dem so ist.
Dann sinkt die Entropie unter dem eines rein Alphabetischen.
https://xkcd.com/936/
Prinzipiell steigt die Entropie mit Verwendung von Buchstaben, Zahlen und Satzzeichen.
Ausser es ist bekannt das dem so ist.
Dann sinkt die Entropie unter dem eines rein Alphabetischen.
https://xkcd.com/936/
Es bleibt mir ein Rätsel, wieso Sie derart vehement gegen eine Vollverschlüsselung argumentieren.
"Denn die vollständige Verschlüsselung hätte zur Folge, dass ich bei jedem Systemstart ein langes Passwort eingeben müsste."
Tragisch. Ein langes Passwort, das man einmal (!) eingeben muss.
"Das TrueCrypt-Passwort [...] Man muss es jedes Mal (!) eingeben, wenn man die Daten im verschlüsselten Container benötigt oder neue hinzufügen möchte."
Huch. Nanu?
Das Container-Passwort muss man also sogar häufiger eingeben?
(Eigentlich muss man es auch nur einmal eingeben, um den Container zu mounten, dann kann man beliebig viele Dateioperationen durchführen.)
Doch ihrer Aussage nach (jedes Mal) wäre es viel aufwändiger als die Systemverschlüsselung.
Ist Ihnen das nicht aufgefallen?
Auch Ihr Klagen über die Menge der zu merkenden Passwörter zielt auf das Verteufeln der Vollverschlüsselung, wenn Sie schreiben:
"Hätte ich bei der Installation von Ubuntu auch die Option zur Verschlüsselung der gesamten Festplatte genutzt, wäre es noch ein Passwort mehr."
Tja, aber dann bräuchten Sie nicht unbedingt den TrueCrypt-Container. Schon ist die Passwort-Flut wieder nivelliert.
Zudem: manche nutzen sogar mehrere TC-Container - also viel mehr Passwörter als bei einer Systemvollverschlüsselung.
Es gibt mehrere Nachteile wenn man nur Vollverschlüsselung verwendet.
Die glaubhafte Abstreitbarkeit fällt schon mal flach. Wird man dann gezwungen, das Passwort freizugeben, liegt die ganze Festplatte offen.
Würden Sie z.B. bei der Reise in die USA nach Ihrem Passwort gefragt, ist nicht abzusehen, was mit Ihren Daten passiert, weil Sie sich ja unkooperativ zeigen. Ihr Notebook dürften Sie wahrscheinlich nicht mehr wieder sehen.
Daher sind in einem solchen Fall zusätzliche verschlüsselte Container notwendig, um Ihre Daten geheim zu halten. Dann könnten Sie das Passwort freigeben und hätten viel weniger Ärger.
Notebooks werden - wie im Artikel beschrieben - häufig von mehreren Menschen geteilt. Es ist nicht ratsam die Pornosammlung nur auf einer vollverschlüsselten Festplatte abzulegen, wenn Kinder das Notebook benutzen. Das gleiche gilt für Bank- und Steuerdaten, wenn die Freundin das Notebook mitbenutzt. Usw...
Vollverschlüsselung hat seine Vorteile - z.B. Verschlüsselung von Temp-, Loggingdaten oder Bookmarks im Browser - aber sie ist nicht in jedem Fall zielführend oder gar das alleinig beste Mittel, Daten zu verschlüsseln.
Mit demselben Argument koennte man argumentieren, dass eine Bank nicht nur den Tresorraum, sondern alle Raeume wie einen Tresor mit Stahlwaenden ausbausen sollte - schliesslich gibt es Geld und andere Wertgegenstaende auch ausserhalb des Tresors.
Wenn man die verschluesselten Daten nicht bei jedem Systemstart braucht, sondern nur bei Bedarf den Container oeffnet (z.B. die Bank-Daten zweimal im Monat), dann muss man das Passwort eben nur zweimal im Monat und nicht jeden Tag eingeben.
Ausserdem kann die Sicherheit durch die Verwendung von Containern statt Vollverschluesselung sogar erhoeht werden: Wenn man den Container wie beschrieben nur bei Bedarf oeffnet und anschliessend wieder schliesst, dann sind die Daten eben auch nur zweimal im Monat fuer eine halbe Stunde lesbar. Die schoenste Vollverschluesslung nuetzt nichts, wenn der Rechner bei einer Hausdurchsuchung (oder einem Einbruch) laeuft und somit alle Daten lesbar sind.
Im Bank-Beispiel wuerde dann waehrend der Geschaeftszeiten eben die "Tresortuer" am Haupteingang zu den Geschaeftszeiten staendig offen stehen, so dass es fuer die Gegenstaende im Tresorraum keine Sicherheit gegenueber boeswilligen Kunden gibt.
Da stimme ich dem Autor zu: Lieber einmal ueberlegen, welche Daten sensibel sind, und die in den Container packen, der dann nicht permanent offen steht.
Auch von mir vielen Dank fuer die Serie - hoffentlich bringt sie eine nennenswerte Anzahl von Einsteigern dazu, ihre Sicherheit zu erhoehen!
Ich besitze ungefähr 10 Tc Container auf meiner Festplatte allesamt mit mindestens 20 stelligem Passwort, die wichtigen jedenfalls, mein Tipp immer 2 Verschlüsselungen gleichzeitig anwenden also AES+Twofish am besten 3 was die Erstellung eines Volumens allerdings extrem verlangsamt, und das volume hinterher einfach hochzeit.mpeg oder geburstag.avi nennen so erkennt der Computer bei normalem öffnen der Datei diese als Video Datei und versucht sie abzuspielen gibt da aber eine Fehlermeldung das die Datei beschädigt ist, da Videos durch HD auch teilweise enorm groß sein können stimmt auch die Größe bei großen Volumens über 1 Gb und true cript als portable Version von Usb stick starten so wird niemand auch nur auf die Idee kommen das sich auf dem PC verschlüsselte Daten befinden.
Als Nachtrag möchte ich noch auf cryptocat hinweisen,
ein hervorragendes Browser Addon um verschlüsselt mit anderen Menschen zu chatten hinweisen.
https://crypto.cat/
Es gibt mehrere Nachteile wenn man nur Vollverschlüsselung verwendet.
Die glaubhafte Abstreitbarkeit fällt schon mal flach. Wird man dann gezwungen, das Passwort freizugeben, liegt die ganze Festplatte offen.
Würden Sie z.B. bei der Reise in die USA nach Ihrem Passwort gefragt, ist nicht abzusehen, was mit Ihren Daten passiert, weil Sie sich ja unkooperativ zeigen. Ihr Notebook dürften Sie wahrscheinlich nicht mehr wieder sehen.
Daher sind in einem solchen Fall zusätzliche verschlüsselte Container notwendig, um Ihre Daten geheim zu halten. Dann könnten Sie das Passwort freigeben und hätten viel weniger Ärger.
Notebooks werden - wie im Artikel beschrieben - häufig von mehreren Menschen geteilt. Es ist nicht ratsam die Pornosammlung nur auf einer vollverschlüsselten Festplatte abzulegen, wenn Kinder das Notebook benutzen. Das gleiche gilt für Bank- und Steuerdaten, wenn die Freundin das Notebook mitbenutzt. Usw...
Vollverschlüsselung hat seine Vorteile - z.B. Verschlüsselung von Temp-, Loggingdaten oder Bookmarks im Browser - aber sie ist nicht in jedem Fall zielführend oder gar das alleinig beste Mittel, Daten zu verschlüsseln.
Mit demselben Argument koennte man argumentieren, dass eine Bank nicht nur den Tresorraum, sondern alle Raeume wie einen Tresor mit Stahlwaenden ausbausen sollte - schliesslich gibt es Geld und andere Wertgegenstaende auch ausserhalb des Tresors.
Wenn man die verschluesselten Daten nicht bei jedem Systemstart braucht, sondern nur bei Bedarf den Container oeffnet (z.B. die Bank-Daten zweimal im Monat), dann muss man das Passwort eben nur zweimal im Monat und nicht jeden Tag eingeben.
Ausserdem kann die Sicherheit durch die Verwendung von Containern statt Vollverschluesselung sogar erhoeht werden: Wenn man den Container wie beschrieben nur bei Bedarf oeffnet und anschliessend wieder schliesst, dann sind die Daten eben auch nur zweimal im Monat fuer eine halbe Stunde lesbar. Die schoenste Vollverschluesslung nuetzt nichts, wenn der Rechner bei einer Hausdurchsuchung (oder einem Einbruch) laeuft und somit alle Daten lesbar sind.
Im Bank-Beispiel wuerde dann waehrend der Geschaeftszeiten eben die "Tresortuer" am Haupteingang zu den Geschaeftszeiten staendig offen stehen, so dass es fuer die Gegenstaende im Tresorraum keine Sicherheit gegenueber boeswilligen Kunden gibt.
Da stimme ich dem Autor zu: Lieber einmal ueberlegen, welche Daten sensibel sind, und die in den Container packen, der dann nicht permanent offen steht.
Auch von mir vielen Dank fuer die Serie - hoffentlich bringt sie eine nennenswerte Anzahl von Einsteigern dazu, ihre Sicherheit zu erhoehen!
Ich besitze ungefähr 10 Tc Container auf meiner Festplatte allesamt mit mindestens 20 stelligem Passwort, die wichtigen jedenfalls, mein Tipp immer 2 Verschlüsselungen gleichzeitig anwenden also AES+Twofish am besten 3 was die Erstellung eines Volumens allerdings extrem verlangsamt, und das volume hinterher einfach hochzeit.mpeg oder geburstag.avi nennen so erkennt der Computer bei normalem öffnen der Datei diese als Video Datei und versucht sie abzuspielen gibt da aber eine Fehlermeldung das die Datei beschädigt ist, da Videos durch HD auch teilweise enorm groß sein können stimmt auch die Größe bei großen Volumens über 1 Gb und true cript als portable Version von Usb stick starten so wird niemand auch nur auf die Idee kommen das sich auf dem PC verschlüsselte Daten befinden.
Als Nachtrag möchte ich noch auf cryptocat hinweisen,
ein hervorragendes Browser Addon um verschlüsselt mit anderen Menschen zu chatten hinweisen.
https://crypto.cat/
Überhaupt scheinen Sie das Prinzip der Verschlüsselung nicht so recht verstanden zu haben.
"Ich habe nicht sehr viele Dateien, die ich unbedingt verschlüsseln will"
Sie können nicht wissen, was verschlüsselungswerte Dateien sind.
Abgesehen vom Aufwand, sich jedes Mal überlegen zu müssen, ob man diese oder jene Datei nun in den TC-Container legen oder "normal" behandeln möchte, gibt es zahlreiche nicht aktiv erstellte Daten wie bspw. die Browser-History oder all die temporären Systemdateien, die sehr viel über die Benutzung verraten.
Auch aktiv erstellten Daten mögen für Sie "harmlos" erscheinen, für Dritte aber interessante Informationen beinhalten.
Gerade all Ihre Exkurse von wegen der Durchschnittsbürger habe nichts zu befürchten, man mache sich verdächtig, wenn man sich um seine Privatssphäre kümmert - die ich nicht teile - verweisen darauf, daß eine Vollverschlüsselung viel adäquater wäre als eine punktuelle.
Ich finde es bedenklich und schade, daß Sie hier die singuläre Verschlüsselung als komfortabler und geeigneter gegenüber einer Vollverschlüsselung darstellen, denn diese Aussage hält auf keiner Ebene einer Kritik stand.
True Crypt ist nicht wirlich Freie Software, encfs schon.
Gerade im sicherheitsrelevanten Bereich essentiell:
http://www.arg0.net/encfs
Prinzipiell steigt die Entropie mit Verwendung von Buchstaben, Zahlen und Satzzeichen.
Ausser es ist bekannt das dem so ist.
Dann sinkt die Entropie unter dem eines rein Alphabetischen.
Man kann einen Schlüssel für die Komplettverschlüsselung auch auf einen USB Stick speichern, dann bootet / entschlüsselt der Rechner ohne Passwortabfrage wenn der Stick eingesteckt ist. Wenn nicht fragt er nach einem Passwort.
besonders auch als Backup für jene, die gerne mal Passwörter vergessen ;-)
Anleitung hier: http://wiki.ubuntuusers.d...
besonders auch als Backup für jene, die gerne mal Passwörter vergessen ;-)
Anleitung hier: http://wiki.ubuntuusers.d...
zB manche Webdienste oder Firmen fordern stur ein mindestens 8-stelliges PW in welchem Groß- und Klein-Buchstaben vorkommen, mindestens eine Zahl und ein Sonderzeichen.
Damit man sich diese Konstrukte überhaupt noch merken kann verwenden die meisten User eben auch 8 Stellen.
Nun ist das Passwort damit so reglementiert das viele Möglichkeiten schon von vorneherein wegfallen (zB DIEKUHLIEFUMDENSEE), und senkt die Anzahl der möglichen Passwörter soweit das es weniger Möglichkeiten gibt als ohne Reglementierung und einem rein Alphabetischen Passwort. Allerdings gibt es dadurch auch keine _ZU_ simplen Passwörter.
Quasi unten gestopft aber oben beschnitten.
Für TC Passwörter die eh sicherer gestaltet werden sollten (im Artikel auch geschrieben) ist dies quasi irrelevant aber pauschal empfehlen sollte man dieses auch nicht.
Ihr "Jein" ist berechtigt. Eine Beschränkung auf 8 Ziffern ist töricht, eine Nutzung von Klein - und Großbuchstaben, Ziffern und Satzzeichen ändert daran wenig. Insofern war mein erster Beitrag unvollständig.
Unter folgendem Link kann man bestimmen, wie lange es ungefähr dauert ein Passwort zu knacken, abhängig von der Passwortlänge, der Zeichenzahl aus der man sein Passwort zusammensetzt und der Rechenleistung des verwendeten Computers:
http://www.php-einfach.de...
Beispiel: Ein Rechner mit einer Leistung von 25 Mio. Passworteingaben pro Sekunde benötigt bei einem Passwort mit 8 Stellen nur gut einen Tag um es zu knacken, bei 14 Stellen jedoch mehr als 1 Jahr!
Die Forderung mancher Firmen nach einem 8-stelligen PW ist reine Augenwischerei.
Ihr "Jein" ist berechtigt. Eine Beschränkung auf 8 Ziffern ist töricht, eine Nutzung von Klein - und Großbuchstaben, Ziffern und Satzzeichen ändert daran wenig. Insofern war mein erster Beitrag unvollständig.
Unter folgendem Link kann man bestimmen, wie lange es ungefähr dauert ein Passwort zu knacken, abhängig von der Passwortlänge, der Zeichenzahl aus der man sein Passwort zusammensetzt und der Rechenleistung des verwendeten Computers:
http://www.php-einfach.de...
Beispiel: Ein Rechner mit einer Leistung von 25 Mio. Passworteingaben pro Sekunde benötigt bei einem Passwort mit 8 Stellen nur gut einen Tag um es zu knacken, bei 14 Stellen jedoch mehr als 1 Jahr!
Die Forderung mancher Firmen nach einem 8-stelligen PW ist reine Augenwischerei.
8 bis 10 Zeichen, Sonderzeichen und Zahlen - das war einmal. Programme zum knacken von Passworten probieren einfach alle Kombinationen durch. Und Dank der aktuellen Rechenpower ist das schneller passiert als man denkt.
Es sei denn, das Passwort ist lang. Zwanzig, besser dreissig Zeichen. Aber wie soll man sich so ein langes Passwort merken können? Na, so http://xkcd.com/936/
Ich hoffe, ihnen ist klar, dass die Methode in dem Comic wirklich nur ein Scherz ist. Dass ein Passwort nicht im Wörterbuch vorkommen soll, wurde ja schon erwähnt. Ob nun 1 oder 4 Wörter verlängert die Zeit zum Knacken eben um den Faktor 24 und das ist alles andere als sicher.
Ich hoffe, ihnen ist klar, dass die Methode in dem Comic wirklich nur ein Scherz ist. Dass ein Passwort nicht im Wörterbuch vorkommen soll, wurde ja schon erwähnt. Ob nun 1 oder 4 Wörter verlängert die Zeit zum Knacken eben um den Faktor 24 und das ist alles andere als sicher.
Bitte melden Sie sich an, um zu kommentieren