Computer doppelt absichern?
- Ersteller OpenMedia
- Erstellt am
- Registriert
- Jan. 2007
- Beiträge
- 1.466
Dann soll er halt die MacAfee Endpint Encryption nehmen.
https://www.mcafee.com/ru/resources/solution-briefs/sb-endpoint-encryption-keeps-data-safe.pdf
Ich glaube das erschlägt so ziemlich alle seine Anforderungen... Man kann sogar USB abschalten..
https://www.mcafee.com/ru/resources/solution-briefs/sb-endpoint-encryption-keeps-data-safe.pdf
Ich glaube das erschlägt so ziemlich alle seine Anforderungen... Man kann sogar USB abschalten..
@Merle
Also Ordnungsgeld und Beugehaft? Ja, die gibt es, aber die erzwingen erstmal gar nichts. Beugehaft geht maximal 6 Monate, muss jeder selbst wissen, ob es ihm das wert ist, aber im Zweifelsfall sitzt man die 6 Monate ab. Und dann? Erneutes Ordnungsgeld / Beugehaft geht nicht.
(Und ob diese beiden Sachen überhaupt angewendet werden können, steht auf einem ganz anderen Blatt, dazu müsste ja erstmal der Verdacht auf eine Straftat oder dergleichen vorliegen)
Also Ordnungsgeld und Beugehaft? Ja, die gibt es, aber die erzwingen erstmal gar nichts. Beugehaft geht maximal 6 Monate, muss jeder selbst wissen, ob es ihm das wert ist, aber im Zweifelsfall sitzt man die 6 Monate ab. Und dann? Erneutes Ordnungsgeld / Beugehaft geht nicht.
(Und ob diese beiden Sachen überhaupt angewendet werden können, steht auf einem ganz anderen Blatt, dazu müsste ja erstmal der Verdacht auf eine Straftat oder dergleichen vorliegen)
andy_m4
Admiral
- Registriert
- Aug. 2015
- Beiträge
- 9.069
Wird in der Tat schwierig. Schon weil man als Beschuldigter sich nicht selbst belasten muss. Wobei ein nicht rausrücken des Passwort ich eher als "Aussage verweigern" interpretieren würde, was ja auch rechtlich zulässig ist.Exterior schrieb:
Erzwingungsmaßnahmen wären demnach nicht mehr rechtsstaatlich, was nicht bedeutet, dass sie in der Praxis nicht vorkommen können. Wenn ich inzwischen eins gelernt hab, dass sich der Staat schon mal ein Auge zudrückt, wenns um die eigenen Gesetze geht.
Ergänzung ()
Wie bereits gesagt, es kommt hauptsächlich darauf an, wogegen Du Dich absichern möchtest. Ne Festplattenverschlüsselung ist gut, wenn sich jemand Dein Rechner "untern Arm klemmen" will. Gegen Bedrohungen aus dem Internet (die ja normalerweise weit häufiger sind) hilft das natürlich wenig.OpenMedia schrieb:
Insofern kommt es mir ein bisschen so vor, als weißt Du gar nicht, welche Maßnahme gegen welches Angriffsszenario überhaupt sinnvoll ist bzw. vielleicht auch welche Angriffsszenarien es gibt.
Daher solltest Du Dich erstmal genauer äußern.
Zuletzt bearbeitet:
Merle
Fleet Admiral
- Registriert
- März 2009
- Beiträge
- 11.624
Formuliere es um und es geht:
"Kooperieren Sie mit uns, und Sie werden sicher entgegenkommender behandelt. Ansonsten nicht."
Aber wie gesagt, ich kann mir vorstellen, dass die eine Droh-/Druckkulisse aufbauen. Erzwingen würde ich das allerdings ebenfalls nicht direkt nennen.
"Kooperieren Sie mit uns, und Sie werden sicher entgegenkommender behandelt. Ansonsten nicht."
Aber wie gesagt, ich kann mir vorstellen, dass die eine Droh-/Druckkulisse aufbauen. Erzwingen würde ich das allerdings ebenfalls nicht direkt nennen.
- Registriert
- Okt. 2016
- Beiträge
- 709
Hallo zusammen,
bevor das hier noch ausartet stoppen wir es einfach mal an dieser Stelle und #BackToTopic mal nebenbei gefragt welche Verschlüsselung ist bei Veracrypt die Stärkste ?
Bzw. was genau ist der Wipe Modus ist das nicht unnötig bei einer SSD ?
bevor das hier noch ausartet stoppen wir es einfach mal an dieser Stelle und #BackToTopic mal nebenbei gefragt welche Verschlüsselung ist bei Veracrypt die Stärkste ?
Bzw. was genau ist der Wipe Modus ist das nicht unnötig bei einer SSD ?
Zuletzt bearbeitet:
Merle
Fleet Admiral
- Registriert
- März 2009
- Beiträge
- 11.624
"Die stärkste" ist natürlich die Kaskade von allen dreien. (Ist doch so wie bei TC, oder?)
Aber das ist sehr unperformant und im normalfall auch nicht Hardwarebeschleunigt.
Sagen wir so: AES ist schnell, da meist Hardwarebeschleunigt, und auch sicher.
Wipe Modus kP.
Aber das ist sehr unperformant und im normalfall auch nicht Hardwarebeschleunigt.
Sagen wir so: AES ist schnell, da meist Hardwarebeschleunigt, und auch sicher.
Wipe Modus kP.
andy_m4
Admiral
- Registriert
- Aug. 2015
- Beiträge
- 9.069
Du hast ja Fragen gestellt bekommen, die Du bisher nicht beantwortet hast. Insofern finde ich es dann etwas komisch, wenn Du Dich "beschwerst", dass sich die Leute derweil anderweitig beschäftigen.OpenMedia schrieb:
Ist hier beschrieben: https://www.veracrypt.fr/en/docs/encryption-algorithms/OpenMedia schrieb:
Lies selbst und entscheide.
Naja. Was heißt unnötig. Er macht halt nicht zwingend, dass was er soll, weil durch das Wear-Leveling man nicht vorhersehen kann, welcher Block tatsächlich überschrieben wird. Es macht also am ehesten Sinn wenn die unverschlüsselten Daten von einer herkömmlichen Magnet-Festplatte kommen (wobei es auch im ungünstigsten [und seltenen] Fall noch Altdaten zurückbleiben können, falls ein Sektor durch einen Reservesektor ersetzt wird).OpenMedia schrieb:
- Registriert
- Okt. 2016
- Beiträge
- 709
andy_m4 schrieb:
Vielen Dank .
Was ich mich manchmal Frage mus ich direkt Illegale sachen machen wenn ich verschlüssele das ist ja in der heutigen Zeit leider weit verbreitet das man denkt nur wenn man lange passwörter / gute verschlüsselung nutzt was zu verbergen hätte. Ich möchte einfach auf nummer sicher gehen Online Angriffe etc. habe ich nicht und daswegen war die verschlüsselung auch nicht gedacht.
PS : Wenn ich eine sehr gute verschlüsselung verwende wird dadurch meine ssd langsamer sprich daten hin und her kopieren etc ?
LMuschelS
Lt. Junior Grade
- Registriert
- Juli 2011
- Beiträge
- 300
Gegen Onlineangriffe bringt deine Verschlüsselung aber halt nichts, denn wenn der PC online ist, dann ist er hochgefahren und entschlüsselt.
Und ja, SSD werden deutlich langsamer und dabei gibt es einiges zu beachten, wie zu z.B. hier bei Sophos Safeguard sehen kannst:
https://community.sophos.com/kb/de-de/113334
Und ja, SSD werden deutlich langsamer und dabei gibt es einiges zu beachten, wie zu z.B. hier bei Sophos Safeguard sehen kannst:
https://community.sophos.com/kb/de-de/113334
andy_m4
Admiral
- Registriert
- Aug. 2015
- Beiträge
- 9.069
Ich zumindest ich nicht so gesagt und auch nicht im Hinterkopf gehabt. Im Gegenteil. Ich finde den Einsatz von Verschlüsselung sogar dann gut, wenn es aus keinem besonderen Grund geschieht.OpenMedia schrieb:
Wie gesagt. Verschlüsselung von Festplatte/SSD schützt primär gegen potentielle Angreifer (ich nenn sie jetzt einfach mal so, weil das gängige Begriffe sind und nicht unbedingt damit was zu tun hat, dass da irgendein Gangster sein Unwesen treibt), die direkten Zugriff auf die Hardware haben. ALso z.B. das Tagebuch gegenüber anderen im Haushalt lebenden Personen absichern. Oder von mir aus auch den Dieb, der die Wohnung inkl. Rechner ausräumt.OpenMedia schrieb:
Ist halt wichtig zu wissen, welche Maßnahme man wofür einsetzt. Das wollte ich nur sicherstellen. Daher die Anmerkung.
Im Klartext: Der Rechner hängt hängt nicht am Internet / Heinnetz. Geschweige denn, damit "surft" man.OpenMedia schrieb:
MyNamesPitt
Banned
- Registriert
- Jan. 2017
- Beiträge
- 653
Was versteckst du denn das dir paranoide Gedanken kommen? 
Spaß Beiseite, Verschlüsselung ist IMMER gut.
Ohje ohje.. hier liest sich ja ein Haufen Blödsinn...
Also da gibt es eine ganze Menge Möglichkeiten.
Es kommt auch noch auf Haufen andere Faktoren an.
Das Thema ist echt zu riesig um auf alles einzugehen, daher mal nur das nötigste:
- Veracrypt: Hidden System Volume AES256/Whirlpool (Hidden: NTFS, Out: FAT32);
Passwort: Mindestens 20 zufällige gewählte ASCI-Zeichen, nirgendwo notiert.
Damit ist schon mal der Offline Zugriff genügend gesichert.
- Generell auf Windows komplett verzichten wäre eigentlich zu empfehlen.
- Online würde ich einen bezahlbaren VPN-Dienst wärmstes empfehlen.
- Keepass und eine Outbond-Firewall wäre auch nicht schlecht.
Alternativ einfach mal Tails, Sandbox und ramdisk in Erwägung ziehen.
Spaß Beiseite, Verschlüsselung ist IMMER gut.
Ohje ohje.. hier liest sich ja ein Haufen Blödsinn...
Also da gibt es eine ganze Menge Möglichkeiten.
Es kommt auch noch auf Haufen andere Faktoren an.
Das Thema ist echt zu riesig um auf alles einzugehen, daher mal nur das nötigste:
- Veracrypt: Hidden System Volume AES256/Whirlpool (Hidden: NTFS, Out: FAT32);
Passwort: Mindestens 20 zufällige gewählte ASCI-Zeichen, nirgendwo notiert.
Damit ist schon mal der Offline Zugriff genügend gesichert.
- Generell auf Windows komplett verzichten wäre eigentlich zu empfehlen.
- Online würde ich einen bezahlbaren VPN-Dienst wärmstes empfehlen.
- Keepass und eine Outbond-Firewall wäre auch nicht schlecht.
Alternativ einfach mal Tails, Sandbox und ramdisk in Erwägung ziehen.
KlaasKersting
Captain
- Registriert
- Okt. 2015
- Beiträge
- 3.272
Irgendwelche zusätzlichen Boot-Passwörter sind genau wie das Windows-Passwort unnötig und erschweren nur dir selbst das Leben.
Sobald die Platte abgesteckt und woanders angeschlossen wird, sind alle diese Schritte abgesehen von VeraCrypt hinfällig.
D.h. die bestmögliche Verschlüsselung bei VeraCrypt einstellen, das Passwort ausreichend lang machen und nur im Kopf aufbewahren.
Wenn du paranoid bist, kannst du deine SSD direkt an den Kontakten mit nicht-leitfähigem Kleber festkleben, macht den potentiellen Ausbau durch Angreifer aufwendiger und auffälliger bzw. sorgt dafür, dass zusätzlicher Aufwand anfällt, bis man mit dem Bruteforcen beginnen kann. Falls du komplett paranoid sein solltest, öffne im Falle einer 2.5" SSD das Gehäuse und fülle es randvoll mit besagtem Kleber, verschließe es anschließend wieder. E: Okay, mit dieser Variante ist das BIOS-Passwort natürlich sinnvoll.
Das Risiko von Zugriffen auf die Hardware ist damit erledigt, sollte der Rechner mit dem Internet verbunden sein, ist das sowieso das größere Risiko. Wenn die Daten sehr sensibel sind, solltest du dir einen separaten PC für die Offline-Verwaltung dieser Daten zulegen oder zwei verschiedene Bootplatten, die niemals gleichzeitig angesteckt sind.
Sobald die Platte abgesteckt und woanders angeschlossen wird, sind alle diese Schritte abgesehen von VeraCrypt hinfällig.
D.h. die bestmögliche Verschlüsselung bei VeraCrypt einstellen, das Passwort ausreichend lang machen und nur im Kopf aufbewahren.
Wenn du paranoid bist, kannst du deine SSD direkt an den Kontakten mit nicht-leitfähigem Kleber festkleben, macht den potentiellen Ausbau durch Angreifer aufwendiger und auffälliger bzw. sorgt dafür, dass zusätzlicher Aufwand anfällt, bis man mit dem Bruteforcen beginnen kann. Falls du komplett paranoid sein solltest, öffne im Falle einer 2.5" SSD das Gehäuse und fülle es randvoll mit besagtem Kleber, verschließe es anschließend wieder. E: Okay, mit dieser Variante ist das BIOS-Passwort natürlich sinnvoll.
Das Risiko von Zugriffen auf die Hardware ist damit erledigt, sollte der Rechner mit dem Internet verbunden sein, ist das sowieso das größere Risiko. Wenn die Daten sehr sensibel sind, solltest du dir einen separaten PC für die Offline-Verwaltung dieser Daten zulegen oder zwei verschiedene Bootplatten, die niemals gleichzeitig angesteckt sind.
Zuletzt bearbeitet:
MyNamesPitt
Banned
- Registriert
- Jan. 2017
- Beiträge
- 653
Vielleicht, vielleicht aber schon.andy_m4 schrieb:
Er fragte ja z.B nach der besten Verschlüsselung.
Es steht nicht viel zur Auswahl und mein Tipp wäre AES256.
Wie ich schon schrieb, das Thema ist extrem umfangreich. Ich könnte ihn jetzt mit sämtlichen Links oder Bücher erschlagen oder einfach ein paar Stichpunkte da lassen wo er sich schon das für ihn interessante raus suchen kann. Ansonsten bin ich mir sicher das er Google kennt und auch nicht zögert bei Unklarheiten zu fragen.
Allemal besser als ihn mit Halbwissen oder nervigen Fragen/Kommentare über sein Sicherheitsbewusstsein zu belästigen und weiter zu verunsichern wie das andere hier machen oder nicht?
Kurze Antwort:OpenMedia schrieb:
Nein, nicht spürbar. Eventuelle Performance Einbuße von maximal 10%.
Zuletzt bearbeitet:
Bei der Frage nach der besten Verschlüsselung wäre AES bei der VeraCrypt-Auswahl bestenfalls die drittschlechteste Wahl, zumindest wenn man die beste Verschlüsselung hinsichtlich der Stärke sucht, wovon ich bei OpenMedias Aussagen ausgehe.
KlaasKersting
Captain
- Registriert
- Okt. 2015
- Beiträge
- 3.272
Man kann AES aufgrund des geringen bis nicht vorhandenen Einflusses auf die Performance auch einfach so zusätzlich mitnehmen, VeraCrypt bietet ja Kaskadierung an.
MyNamesPitt
Banned
- Registriert
- Jan. 2017
- Beiträge
- 653
Aha. Und worauf basiert deine Aussage?
Dir ist schon klar das AES die zurzeit beste Verschlüsselung ist (was er wohl mit stärkste auch meint) und auch aus Sicht vieler Experten die sicherste? Das nicht mal die NSA AES knacken kann. Nicht umsonst auch von der NIST eben als >Advanced Encryption Standard< klassifiziert wurde? Das Kaskaden aus mehreren Verschlüsselungsarten rein NICHTS an zusätzlicher Sicherheit eher an zusätzlichen Rechenaufwand für die CPU ein bringt?
Aber genau davon rede ich ja..
Ich halt mich mal raus, Bis dann.
Dir ist schon klar das AES die zurzeit beste Verschlüsselung ist (was er wohl mit stärkste auch meint) und auch aus Sicht vieler Experten die sicherste? Das nicht mal die NSA AES knacken kann. Nicht umsonst auch von der NIST eben als >Advanced Encryption Standard< klassifiziert wurde? Das Kaskaden aus mehreren Verschlüsselungsarten rein NICHTS an zusätzlicher Sicherheit eher an zusätzlichen Rechenaufwand für die CPU ein bringt?
Aber genau davon rede ich ja..
Ich halt mich mal raus, Bis dann.
KlaasKersting
Captain
- Registriert
- Okt. 2015
- Beiträge
- 3.272
Ich sehe noch immer nicht dein Problem.
Seine Aussage zu AES war zwar falsch, aber ich wollte mir die Diskussion dazu sparen, sie ändert rein gar nichts an den zu ziehenden Schlüssen.
Als Paranoia-User ist Kaskadierung sinnvoll.
Theoretisch kann ein Algorithmus fehlerhaft implementiert werden oder in sich selbst angreifbar sein, das ist kein reales Risiko, nur war in dem Thread doch nie von einem realen Angriffsrisiko die Rede. Es ist allemal sinnvoller als das Setzen 4 verschiedener Passwörter, von denen mindestens 2 gar keinen Einfluss auf die Sicherheit des Systems haben werden und fügt dabei weniger Störung des Nutzers hinzu.
Wenn wir nur über reale Risiken für den Normaluser sprechen:
AES, Browser in the Box, keine unbekannten Downloads, fertig.
Paranoia-User:
- Kaskadierung, Hidden Volume, auf dem Hidden Volume nochmals Container mit separatem Passwort.
- gehärtetes Linux
- 2 PCs oder immerhin 2 Bootdrives, welche nie gleichzeitig angeschlossen sind. Physikalische Trennung > VMs
- Ausbau der Netzwerkkarte aus Daten-PC
- Auf Browsing-PC Windows verwenden, als Browser eine Linux-VM, VPN
- BIOS-Passwort
- SSD des Daten-PC fest mit Mainboard verbinden, Mainboard möglichst fest mit PC verbinden, PC möglichst fest mit etwas anderem verbinden. SSD mit nicht-leitfähigem Kleber füllen, erschwert versuche, die SSD aus ihrem Gehäuse auszubauen, vielleicht gehen beim Versuch ja die NAND-Chips ab oder werden sogar unwiederbringlich beschädigt.
Reale Konstellation für einen ein wenig paranoideren User, der weiterhin ein nutzbares Setup haben möchte:
- 2 Bootdrives, 1x mit Linux, AES, 1x mit Windows, AES, immer die nicht-benutzte abstecken
- Linux-Drive für die sensiblen Daten, Windows-Drive für die Alltagsnutzung
- Browsing auf Windows mit Linux-VM oder fertiger, abgespeckter VM wie Browser in the Box, aufpassen, was man sich runterlädt.
- VPN
Seine Aussage zu AES war zwar falsch, aber ich wollte mir die Diskussion dazu sparen, sie ändert rein gar nichts an den zu ziehenden Schlüssen.
Als Paranoia-User ist Kaskadierung sinnvoll.
Theoretisch kann ein Algorithmus fehlerhaft implementiert werden oder in sich selbst angreifbar sein, das ist kein reales Risiko, nur war in dem Thread doch nie von einem realen Angriffsrisiko die Rede. Es ist allemal sinnvoller als das Setzen 4 verschiedener Passwörter, von denen mindestens 2 gar keinen Einfluss auf die Sicherheit des Systems haben werden und fügt dabei weniger Störung des Nutzers hinzu.
Wenn wir nur über reale Risiken für den Normaluser sprechen:
AES, Browser in the Box, keine unbekannten Downloads, fertig.
Paranoia-User:
- Kaskadierung, Hidden Volume, auf dem Hidden Volume nochmals Container mit separatem Passwort.
- gehärtetes Linux
- 2 PCs oder immerhin 2 Bootdrives, welche nie gleichzeitig angeschlossen sind. Physikalische Trennung > VMs
- Ausbau der Netzwerkkarte aus Daten-PC
- Auf Browsing-PC Windows verwenden, als Browser eine Linux-VM, VPN
- BIOS-Passwort
- SSD des Daten-PC fest mit Mainboard verbinden, Mainboard möglichst fest mit PC verbinden, PC möglichst fest mit etwas anderem verbinden. SSD mit nicht-leitfähigem Kleber füllen, erschwert versuche, die SSD aus ihrem Gehäuse auszubauen, vielleicht gehen beim Versuch ja die NAND-Chips ab oder werden sogar unwiederbringlich beschädigt.
Reale Konstellation für einen ein wenig paranoideren User, der weiterhin ein nutzbares Setup haben möchte:
- 2 Bootdrives, 1x mit Linux, AES, 1x mit Windows, AES, immer die nicht-benutzte abstecken
- Linux-Drive für die sensiblen Daten, Windows-Drive für die Alltagsnutzung
- Browsing auf Windows mit Linux-VM oder fertiger, abgespeckter VM wie Browser in the Box, aufpassen, was man sich runterlädt.
- VPN
Zuletzt bearbeitet:
Ähnliche Themen
