Meine Verschlüsselungs Config - Fragen

Hardware_Genius

Lt. Junior Grade
Dabei seit
Aug. 2007
Beiträge
453
Moin liebe Community,

Da ich mich mittlerweile in der Position befinde Vertrauliche Firmengeheimnisse zu bewahren habe ich dazu ein paar Fragen ;)

Ich bin kein unerfahrener PC-User, aber eben nicht bewandert auf dem Gebiet der Daten-Verschlüsselung. Also habe ich mir hier mal was zusammengereimt und benötige die Hilfe der Community ob das so einigermaßen zu empfehlen wäre oder eben doch verbesserungswürdig ist.

Hier meine Fragen:

So würde ich Verschlüsseln,

Lappi mit BIOS und HD Passwort

Virtualisierung AUSGESCHALTET und FireWire Deaktiviert

Dann mache ich einen Hash vom MBR und lade den am besten von CD (Beim Desktop)

Ein Normales Ubuntu mit LUKS und der Standard Verschlüsselung

Darauf dann TrueCrypt mit 36 Stellen Passwort (Random oder selbst ausgedacht weis ich noch nicht)

Die Gesamte Partition ist also mit TrueCrypt verschlüsselt.

Darauf dann ein Verschlüsselter Container in dem der Versteckte TrueCrypt Container ist.

Das was mich wirklich Verrückt macht ist ein "Verdammtes" BootKit oder das man mir den RAM ausliest. Kann ich das wie auch immer Verhindern oder muss man mit dem Risiko Leben?

Wenn man mir den Lappi entwendet und die HDD ausbaut funzt das doch nur wenn die die Platter in eine Baugleiche HDD Reinbauen oder ?

Über ein TPM-Chip hab ich noch nicht genug Infos ob der bei mir Funzen würde ;)

Was haltet ihr von der Config? Geht da noch mehr oder ist das sowieso schonwieder alles für die Tonne und ich kann meine Internas gleich als Plakat aufstellen ?

Wie man vielleicht bemerkt habe ich ein EXTREM HOHES Sicherheitsbedürfnis! Als Hintergrundinfo falls dies von Interesse sein sollte.

Vielen Dank für eure Hilfe,

Hardware_Genius :)
 

flo1977

Ensign
Dabei seit
Feb. 2004
Beiträge
185
AW: Meine Verschlüsselungs Config - Fragen :)

das mehrfache verschlüsseln ist sinnfreier overkill, der im worst case nur eine potentielle fehlerquelle mit der gefahr des datenverlust darstellt. nimm einfach eine methode (ubuntu mit luks oder truecrypt) mit einer ausreichend starken verschlüsselung und das reich dann auch schon.

wenn du ein system wirklich sicher starten willst, dann installiers dir aufn usb-stick, den du immer bei dir trägst.
 

max_1234

Captain
Dabei seit
Feb. 2012
Beiträge
3.682
AW: Meine Verschlüsselungs Config - Fragen :)

Alles nicht verkehrt.

Es würde allerdings reichen:
- Bios Passwort (unsicher bei entwenden)
- Boot Passwort (unsicher bei entwenden)
- Truecrypt auf Systempartition inkl. Boot (sicher, so lange Gerät komplett ausgeschaltet)
- USB Ports mit Sekundenkleber versiegeln
- Bluetooth deaktivieren, falls möglich auch WLAN deaktivieren (Bios)

Sensible Daten kannst du auch einfach in passwortgeschützten RAR-Archiven aufbewahren.
Die RAR Passwortschnittstellen limitieren stark, auch mit GPUs geht da nix unter ein paar tausend Jahren.

Das reicht absolut ... Auch wenn das Teil geklaut wird.
 

Hardware_Genius

Lt. Junior Grade
Ersteller dieses Themas
Dabei seit
Aug. 2007
Beiträge
453
AW: Meine Verschlüsselungs Config - Fragen :)

Moinsen Nochmal und THX für die schnelle Reaktion :)

@flo 1977

Also ich hab mir beim Mehrfach Verschlüsseln Schon was gedacht ;) Das Linux soll den TrueCrypt Container nur als ersten Wall sozusagen abschirmen und die eigentliche Verschlüsselung ist dann der Container ;)

Ich bin seid einem vorfall bei uns ziemlich Paranoid geworden und würde mich besser fühlen wenn der Container erst garnicht zu erreichen währe!

Frage:

Wie könnte ich ein Bootkit effektiv Vermeiden, Verhindern, Umgehen ? Das bereitet mir die größte Sorge. Der rest ist dagegen ja schon ein Klacks :o

Wenn mir irgendwer das PW abfängt kann ich AES-24.000 haben und das bringt nix :D

N Linux von USB, das wäre ne möglichkeit die für die Wurst ist, was genau hätte ich da für Vorteile gegenüber ner Normalen Installation?

Nur das man es schwerer entwenden könnte ? Zumal ich solche Datenmengen habe das ich sie wohl nur Schwer aufn Stick Packen könnte.

THX für weitere Antworten,

Hardware_Genius :)
 
Z

Z3Xyyy

Gast
AW: Meine Verschlüsselungs Config - Fragen :)

Also generell gäbs da mehrere Möglichkeiten, vorallem auf hohem niveau.
Thema Verschlüsselung ist aber auch nen großes Gebiet.
Immerhin hast du dich schon schlau gemacht. :)

Hier erstmal, bevor du was machts, mache am besten, wenn möglich, erstmal nen BackUp.

Ja als erstes wie du schon sagtes: VT und Firewire aus.
Wenn möglich ein BIOS-Passwort für den Boot.

Dann mit Truecrypt generell erstmal vollverschlüsselung der System-Partition.
(Die Verschlüsselungsart und stärke, standard lassen ist schon die beste)
Dabei versteckes Betriebsystem installieren.
Also äußeres FAT32-Dateisystem mit Linux.
Darin dann die wirkliche Partition.

Dann die wichtigen Daten in ein Container.
Hier auch wieder äußeres in FAT32 mit Müll, darin dann die echte.
(Der am besten auf einer anderen Partition bzw externen Platte liegt.)

Für die Passwörter erstmal KeePass besorgen.
Für die beiden äußeren Volumen ein einfaches PW nehmen.
Für das innere Volumen eins mit 64 Zeichen und allen ASCI-Zeichen generien.
(Einfach alles ankreuzen außer High ANSI, und unten die Option für "echten Zufall")

Fürs Booten sowie Keepass ein mindestens 20 stelliges PW nehmen.
(Das womöglich auch ein Mix aus alle ASCI-Zeichensätze enthält)

Alternativ eine Keepass Key-File erstellen und auf USB-Stick, den du immer dabei hast.

Also du hast 6 Passwörter: 3 Muss du dir merken. ;)
- Für den BIOS-BOOT-Schutz: 20 stelliges oder mehr.
- Fürs Booten auf die Schein System-Partition: 3 stelliges.
- Fürs Booten auf die echte System-Partition: 20-Stelliges oder mehr / KeyFile.
- Fürs Starten der KeePass Datei, worin das 64-Stellige PW drin ist: 20 Stelliges oder mehr / KeyFile.
- Fürs Mounten des Schein-Containers: 3 stelliges.
- Fürs Mounten des Echten-Contaiers: 64 Stelliges.

Was den Schutz gegen Bootkit angeht:
So wie ich das selbst verstehe, nistet der sich in die Bootdatei.
(Oder andere die sich angeblichs ins BIOS nisten, aber nicht ins UEFI-BIOS schaffen.)
Einfach ein sauberes Installationsmedieum nehmen, und damit installieren.
(Zuvor die komplette Festplatte formatieren, und anschließend GUTES Antivirensystem drauf.)
Und beim BIOS, einfach Original-BIOS vom Hersteller überspielen und Protect rein. ;)


Natürlich kannst du auch das Betriebsystem + KeePass auf den USB-Stick packen.
Und dann die Platte selbst komplett verschlüsseln bzw einen Container drauf packen.
Aber da hast du mehr das Risiko das irgendwas schief geht, also ich empfehl dir die erste Methode.
(Natürlich wenn die Datenmengen bzw das Budget zulässt eine externe Platte zu nehmen.)

Ein anderer Weg wäre direkt die gesamte Platte zu verschlüsseln.
So entfällt aber die Möglichkeit mit 64 stelligen PW für deine Daten.
(Oder du merkst dir das PW, aber du wirst es beim Booten brauchen. ;) )
So brauchst du aber nur 2 PWs und das hin und her schieben der Daten entfällt.

Aber ein Container in mitten einer schon verschlüsselten Platte kann ich dir nicht empfehlen.
Wie flo1977 schon sagte bringt das äußerst wenig, wobei sich die Expterten streiten...
(Kommt dann auf die Stärke und Art an, wenn was mit verschiedenen Schlüsseln kaskadiert wird.)
Abraten würd ich dir auch von vollverschlüsselung der Daten-Partiition/Festplatte.
Die kann mal gerne ausversehen Formatiert werden, und deine Daten sind weg. ;)

So.
Cheers ;)


EDIT: Da wollte ich nur kurz Tipps geben, krass ich sollte nen HowTo tippen. :p
 
Zuletzt bearbeitet:

Hardware_Genius

Lt. Junior Grade
Ersteller dieses Themas
Dabei seit
Aug. 2007
Beiträge
453
AW: Meine Verschlüsselungs Config - Fragen :)

Juten Morgen liebe Community,

@BrokenZer0

Großes THX an Dich, deine Gedankengänge zu später Stunde haben mir bestätigt das ich mir das GROB Richtig aus den Fingern gesaugt habe.

Die Grundlage bei mir wäre dann sowieso ein Komplett Neuaufgesetztes System was Neukauf der Hardware miteinschliesst. Die Paranoia sagt zwar das die Hersteller mir schon was in der Fabrik draufgeschleust haben, aber damit muss ich leben ;)

Dann werde ich das System so wie bereits Diskutiert aufsetzen und erst danach die Daten in den Container Packen so dürfte das Funzen und wäre geringfügig Sicher.

Hhhm irgendwie Reicht mir das noch Nicht aber zum Testen muss es Erstmal Reichen ;)

ICh bedanke mich Vorrst und warte auf evtl. weitere Ratschläge,

Hardware_Genius :)

PS: Kann ich IRGENDETWAS TUN wenn die Platter ausgebaut werden, ist der Hardwareschutz ja schonmal für die Tonne, und ich geh mal davon aus die wurden jetzt ausgebaut.

Das mag vielleicht dumm klingen aber besteht dann noch der Normale TrueCrypt Schutz oder wird der ausgehebelt wenn die Bit für Bit auslesen ?
 
Zuletzt bearbeitet:

LieberNetterFlo

Commodore
Dabei seit
Feb. 2006
Beiträge
5.041
ist das nicht ein bisschen viel paranoia? einen Betriebssystem im hidden trueCrypt container ist wohl sicher genug? Keiner weiß nämlich dass es da ist, es ist nicht zu erkennen dass da nochmal was ist, die komplette HDD ist von Truecrypt mit wahllosen Daten beschrieben und der Hidden Bereich sieht genau so aus wie der Rest.

Klar, solche Sachen wie BIOS PW und co kannst du zusätzlich machen, ABER selbst wenn du erpresst wirst gibst du denen einfach das PW für das "normale", ebenfalls verschlüsselte OS in TrueCrypt, jeder ist zufrieden und kein Mensch kennt die existenz deines Hidden-OS.
 

alex_k

Commander
Dabei seit
Apr. 2009
Beiträge
2.138
Wenn es nur um Dokumente geht, würde ich nur einen Truecrypt Filecontainer nutzen. - Was bringts Dir, wenn Dein Windows als solches verschlüsselt ist?

Mache ich auch so, und fahre dabei nicht so schlecht. - Ich sichere den Container einmal die Woche auf einer externen HDD.

Ich habe alle vertraulichen Dokumente so gesichert, und mein Notebook hat einen "Vor-Ort Service", d.h. im Servicefall schicke ich das Notebook nicht sein, sondern der Techniker kommt, und kann ihm genau "auf die Finger schauen", da kann man dann keine "Daten klauen".

Mehrfaches verschlüsseln bringt meiner Meinung nach gar nichts.
 

vander

Commander
Dabei seit
Sep. 2002
Beiträge
2.687
Da ich mich mittlerweile in der Position befinde Vertrauliche Firmengeheimnisse zu bewahren habe ich dazu ein paar Fragen ;)

Ich bin kein unerfahrener PC-User, aber eben nicht bewandert auf dem Gebiet der Daten-Verschlüsselung. Also habe ich mir hier mal was zusammengereimt und benötige die Hilfe der Community ...
Du bist User, administrierst deinen Firmenlaptop selber und verwaltest die brandheißen Firmengeheimnisse, interessant. Also dazu denke ich mir mal meinen Teil.

...
Ich bin seid einem vorfall bei uns ziemlich Paranoid geworden und würde mich besser fühlen wenn der Container erst garnicht zu erreichen währe!

Frage:

Wie könnte ich ein Bootkit Rootkit(?) effektiv Vermeiden, Verhindern, Umgehen ? Das bereitet mir die größte Sorge. Der rest ist dagegen ja schon ein Klacks :o
...
Was genau brauchst du eigentlich, ne Zugangsperre/Manipulationssicherung zur Hard/Software, gegen Kollegen/Kunden/Diebe(Außendienst?) oder muß das System auch Netzwerktechnisch abgesichert werden? Beschreib doch bitte erstmal das Nutzungsprofil der Hardware.
 
Zuletzt bearbeitet:
Z

Z3Xyyy

Gast
@ Hardware_Genius
Also noch mehr Sicherheit in Thema HDD Verschlüsselung zu bekommen wird schwierig.
Wie hier andere schon andeuten, ~eigentlich~ reicht das ganze schon ziemlich.

Aber du kannst dich noch von anderer Seite absichern.
Wenn wir da mal mit dem Internet und Windows selbst anfangen, ohje...
Also Schritt 1 wäre erstmal Windows erstmal durch Ubuntu/ect ersetzen.
Durchs Internet ausschließlich durch OpenVPN/SSH mit Professionellen Serverdiensten.
Den Router ersetzt du wie nach Budget durch professioneller Hardware-Konstellationen.
(Sei es auch nur das uralt Modem vom Provider durch eine moderne Fritzbox zu ersetzen.)
Darin gehst du dann mit den selben Bearbeitungen dran, alle Einstellungen abändern.
Generell festen DNS-Server, Root-Zugänge ändern, MAC-Sperren, WLAN einschränken, usw.

Und, was noch garnicht angesprochen wurde:
Desktop-Passwortschutz, sowohl vom Betriebsystem (wobei bei Windows das nicht viel bringt);
Als auch extern, z.B beim einsetzten des Bildschirmschoners bzw manuellen locken des Desktops.

Das die Platten erst garnicht ausgebaut werden, nahja da gäbs ne Möglichkeit:
Ich nenn sie "True-Hardware-Verschlüsselung" - sprich: Schloss an den Case machen. ;)

Zu umgehen das von vornerein irgenwas auf den Platten vom Hersteller ist:
Wioe gesagt einfach komplett formatieren, also auch den MBR.
Das was in der Firmware steckt, nunja: Chance eher gering.

Übrigens, um die Sicherheit bei den Platten nochmals zu erhöhen:
Vor den Truecryptinstallationen, die Platte mehrmals mit Zufallsdaten beschreiben.

Achja und "ahnungslose Angreifer" zu verschrecken gibts noch die Option:
Den Text des TC-Bootloaders abändern, das er wie eine Windows fehlermeldung aussieht.
Ganz beliebt, und meine Empfehlung:" NTLDR is missing" ;)


@ alex_k
Systemverschlüsselung schütz z.B auch die KeePass Datei vor unberechtigten Zugriff.
So auch, wenn so Konfiguriert, die 2# Daten-Partition vor unberechtetigen Zugriff.
Ein Angreifer, wenn vorort muss sich dann erst durch diese Passwörter quälen.
(Wir reden ja von Schutz auf hohem niveau für Paranoide ;) )

Dazu kommt das selbst das Arbeiten mit den Daten verschlüsselt sind.
Bei Windows werden pernament "Schattenkopien" der Daten angelegt die du bearbeitest.
(Kannst du zB mit Office testen, alles was du öffnest kopiert sich irgendwohin...)
Und so auch von außen, ein Hacker kann, wenn überhaupt in deine Daten nur über den RAM.


@ vander
"Vertrauliche Firmengeheminisse" fand ich auch erst etwas hochgestochen, aber wer weiß.
Aber ob er jetzt seine Pornos, harmlose Praktikanten Dateien, oder tatsächlich;
"Vertrauliche Firmengeheimnisse" verschlüsselt, ist mir persönlich total egal. ;)

Übrigens "Bootkit" war schon richtig: http://de.wikipedia.org/wiki/Bootkit
"Rookit"s gibts zwar auch, aber wie der Name sagt, nisten die sich woanders ein.


PENG! Oder so.. xD
Cheers
 
Zuletzt bearbeitet:

max_1234

Captain
Dabei seit
Feb. 2012
Beiträge
3.682
Mach das aus meinem Beitrag + hau alle wirklich wichtigen Daten in ein Passwortgeschütztes Rar-Archiv innerhalb einer Virtuellen Maschine, worin du ebenfalls Truecrypt zum Einsatz bringst.

Dann nutzt es auch nichts "mal eben" Zugriff auf den Rechner/das Notebook zu haben.

Alleine das ist schon sehr paranoid, weiter würde ich auf keinen Fall gehen.
 
Z

Z3Xyyy

Gast
@max_1234

Nichts für ungut aber...
Nahja, nicht sehr sinnvoll alles in ein rar Archiv zu packen.
Musst du jedesmal alles entpacken/neupacken wenn du dran willst.
Da bietet sich ein virtuelles Laufwerk mit Echtzeit verschlüsselung besser an.

USB-Ports mit Sekundenkleber versiegeln ? lol ?
Also wenn dann einfach per BIOS deaktivieren...
Zur not einfach im Gerätemanager rausnehmen.

Verschlüsseltes RAR Archiv in einer Truecrypt-VM ?!
Nahja genauso sinnslos, doppelte Verschlüsselung.

RAR-Passwortschnittstelle ? Du meinst wohl eher den AES256 Algorithmus.
Und auch der zieht nur wenn das Passwort auch gut genug ist...

Paranoid ist das auch alles nicht, das ist einfach nur -> Sicher. ;)

@Hardware_Genius

Letzter Tipp: Die wichtigen Passwörter niemals aufschreiben und liegen lassen.
Nur merken und keinen verraten, und wenn dochn BackUp gebraucht wird;
Dann versteck den Zettel ganz gut, am besten im Portmonee oderso...

Cheers
 
Zuletzt bearbeitet:

Backslash

Captain
Dabei seit
Okt. 2006
Beiträge
3.240
Ganz ehrlich, jede doppelte Verschlüsselung ist doch nur eine Fehlerquelle. Beschränk' es auf ein Minimum und lege einen TrueCrypt Container mit einem Hidden Container (der dann die Daten enthält) an, das reicht vollkommen aus.
Das ganze Konzept ist sowieso nur so stark wie die schwächste Komponente. Ein paar Beispiele:
  • Kennt der Angreifer sich aus, so sind BIOS- und Betriebssystempasswort sowieso kein Hindernis
  • Kennt er sich nicht aus, so hat er, auch wenn die BIOS-/OS-Passwort weglässt keine Chance das TrueCrypt-Volume zu entschlüsseln
Was noch Sinn machen kann ist, das Betriebssystem von einem schreibgeschützten USB-Stick oder einer CD zu booten um hier eine Manipulation zu vermeiden. Wenn jemand sich so gut auskennt, dass er ein Bootkit o.ä. einsetzt ist wiederum BIOS-/OS-Passwort sowieso kein Hindernis.

/edit: "Dann versteck den Zettel ganz gut, am besten im Portmonee oderso..." - Das kann nicht dein Ernst sein oder? Rat' mal wo ein Angreifer zuerst suchen würde...
 
Z

Z3Xyyy

Gast
@Backslash

Natürlich ist z.B ein BIOS-PW für Profis kein wirkliches Hinderniss, da hast du völlig recht.
Aber wir reden ja hier von wirklich maximaler Möglichkeit, also auch noch zu kleiner Zusatz-Schritt. :)

Allein Windows als OS ist schon ein reines Sicherheitsleck, was nur bedingt bearbeitet werden kann.
Daher empfehl ich hier auch schon umzusteigen, - Obwohls Methoden gibt selbst da sicher zu arbeiten.
So das ihm auch keine OS/BIOS-Exploits entgegen kommen könnten. ;)

Wenn ein Angreifer nicht vorbereitet ist, wird er selbst dadran scheitern.
Also ein Beispiel wäre: Lieber direkt z.B Firewire Port deaktivieren;
Als ein offenes System, - weil der ShutDown nicht gelungen ist.
Verstehst du wie ich das mein ? :)

Und hier immernoch der Sinn hinter dem TrueCrypt-OS-Drive: Verschlüsseltes KeePass;
Es reichen 2 ~merkbare~ PWs für das große fast-unmöglich-knackbare PW fürs TC-Volumen.
Wie man das jetzt sieht oder dreht, man kann natürlich auch - nur - ein Volumen erstellen.

Ähm, doch ist mein ernst, mit dem Portmonee... (Allerdings auch nur nen Spontaner Einfall)
- Die Idee, dahinter: Man habe die Geldbörse immer sicher in seiner Hosentasche. ;)
Befindet man sich außer Haus, also nicht am Rechner, ist das PW auch nicht dort...

Natürlich bieten sich da andere Verstecke wohl vielleicht besser an, richtig...
Hinter der Blende zum Service-Point vom LCD oder was auch immer..
Aber wie gesagt, am besten schreibt mans erst garnicht auf.

PS: Oder als Gegenmaßnahme bei einer möglichen HD: "PW-BackUP-Zettel" zum vertrauten Nachbarn geben. ;)

Cheers
 
Zuletzt bearbeitet:
Top