VeraCrypt Header Löschen und Auslagern für mehr Sicherheit

Dann halt alles Offline Verschlüsseln und Entschlüsseln ;-), problem gelöst. Ist denn schon ein fall bekannt geworden wo ein Veracrypt Container geknackt wurde? Und wer so dämlich ist sein Passwort auch noch auf den Bildschirm zu kleben, oder sonst wo im Klartext aufzuschreiben dem ist eh nicht mehr zu helfen ;-)
 
Hi,

Und wer so dämlich ist sein Passwort auch noch auf den Bildschirm zu kleben, oder sonst wo im Klartext aufzuschreiben dem ist eh nicht mehr zu helfen

dann geh bitte einfach mal durch ein typisches deutsches Büro und schau, was da für Dinge an den Monitoren kleben!

Dann halt alles Offline Verschlüsseln und Entschlüsseln ;-), problem gelöst

klar, ein Off-Grid-System schützt erstmal vor Angriffen übers Internet. Aber damit klammerst du eben auch nur kleinere Probleme aus, das Hauptproblem bleibt bestehen.


und ich sag es dir nochmal: so trivial ist das nicht! Deine ungerechtfertige Sicherheitsvermutung ist genau das, was am Ende dann Probleme verursacht. Es gibt in jedem Fall jemanden, der an etwas denkt, was du vermutlich nicht berücksichtigt hast.

VG,
Mad
 
@Nureinnickname! Wenn du so wichtig bist um auch für Geheimdienste interessant zu sein, dann nützt dir auch offline nichts. Die kommen zu dir nach Hause und manipulieren dir deinen PC. Dann warten die ab bist du deinen Container mountest...

Oft wird auch Hardware gleich bei der Auslieferung manipuliert, wenn es sich um interessante Personen handelt.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Bob.Dig
Wenn die es schaffen meinen PC so zu Manipulieren, k
Helge01 schrieb:
@Nureinnickname! Wenn du so wichtig bist um auch für Geheimdienste interessant zu sein, dann nützt dir auch offline nichts. Die kommen zu dir nach Hause und manipulieren dir deinen PC. Dann warten die ab bist du deinen Container mountest...

Oft wird auch Hardware gleich bei der Auslieferung manipuliert, wenn es sich um interessante Personen handelt.

Es geht hier aber wohl nicht darum daten vor Geheimdiensten "Geheim" zu halten. Wohl eher vor evtl Einbrechern welche die Festplatte klauen ect.

Die kommen zu dir nach Hause und manipulieren dir deinen PC. Dann warten die ab bist du deinen Container mountest...

Und was haben die dann davon? Klopfen die dann an die Tür und sagen hallo dürfen wir man in ihren geöffneten Container schauen? Weil abgreifen ist so nicht drin. Die ganz harten machen jedens mal bevor sie ihre HDD mounten ihr System platt. Und vollziehen alles Offline. Aber das wäre wohl nur der Fall wenn der Jenige absolut Strenggeheime Akten von irgendwelchen Staaten hätte welche auf keinen fall in irgendwelche falschen hände gelangen dürften.

Oder ganz simple einen Fake Rechner irgendwo aufstellen wo nur Sinnlose daten drauf sind, natürlich verschlüsselt. Mit der Herrausgabe zögern, und dann zustimmen, die zu schützenden Daten liegen natürlich komplett an einem anderen ort. Gibt 1000 Wege.
 
Auch ein Passwort im Kopf ist nicht sicher. Es gibt genug „Befragemethoden“, die einem alles an Daten liefern. Also reicht es imo, wenn eine Verschlüsselung für den Normalangreifer nicht zu brechen ist. Damit ist es auch egal, ob der weiß, ob es Veracrypt oder was auch immer ist.
Für die, die mehr Sicherheit wollen, hilft nur noch ein Dead-Man-Switch auf ausreichend kurzen Zeitraum eingestellt.
 
Nureinnickname! schrieb:
Und was haben die dann davon? Klopfen die dann an die Tür und sagen hallo dürfen wir man in ihren geöffneten Container schauen?

Es wird deine Tastatur manipuliert, in dem man darin einen Keylogger installiert, Diese benötigt nicht mal eine Sende / Empfangseinheit, sondern wird irgendwann abgeholt und ausgetauscht. Damit wären schon mal deine Passwörter bekannt. Es gibt sogar USB-Kabel mit integriertem Keylogger und einer Sende / Empfangseinheit! Man könnte auch eine kleine Wanze im PC verstecken, die munter vor sich hin sendet. Darüber haben die Zugriff auf deinen PC. Ein bestimmter Personenkreis ist da sehr kreativ :D.
 
Tastatur abgreifen bringt bei mir leider nix. Zumindest nicht bei Veracrypt ;). Alles sehr unwahrscheinlich :D
 
War ja auch nur ein Beispiel, es gibt unzählige Möglichkeiten. Das kann keiner überblicken.
 
Oh weh!
Alles gesagte sehr interessant! und mir nicht fremd!
ABER es ging um was ganz anderes!

Madman1209 schrieb:
Aber es gibt halt auch Leute, die tatsächlich relevante Daten verschlüsseln möchten.
JA die gibt es !!!

Versteckte Volumes hab ich schon lange...
Im Falle eines Falles vor Gericht ist es doch am besten wenn ein verschlüsselter Datenträger überhaupt nicht nachgewiesen werden kann. Also wenn man nur eine leere HDD besitzt mit zufälligen Daten - die ebensogut durch eines der üblichen HDD Wipe-Verfahren (mehrfach überschrieben mit Zufalls-Mustern) erzeugt worden sein könnten...
Hier wird meine Frage übrigens behandelt:
https://sourceforge.net/p/veracrypt/discussion/technical/thread/78cfd3d3/
Und da wird gesagt das verschlüsselte Daten durch hohe Entropie auffallen.
Dann könnten gute Forensiker wahrscheinlich nachweisen, das hier mit einem Verschlüsselungsprogramm gearbeitet wurde und es eben keine leere bzw gewipte Festplatte von Ebay ist!

Mickey Mouse schrieb:
der TE will verhindern, dass jemand "die Verschlüsselung erkennen kann".
aber wo bitte ist der Unterschied zwischen:
a) offensichtlich verschlüsselt
b) offensichtlich so manipuliert, dass man die Verschlüsselung nicht erkennt
.......
.... jeder "Forensiker" wird aber erkennen, dass an dem Volume manipuliert wurde und das ist nicht STandard und wird erst recht misstrauisch machen.
Da ist die Frage.... ob man das erkennt. ..
-------------------------------------------------------------
Also Fazit: VC kann den Header wohl nicht löschen.
Irgendwo schrieb jemand auf sourceforge.net auch welche Sektorbereiche man überschreiben muss....
Mit irgend einem Programm geht das....

Alles in allem wohl zu viel Aufwand für zu wenig Sicherheit - und ich vielleicht zu paranoid?
Verstecktes Volume und Alibi-Daten sind ja schonmal nicht schlecht..... sag ich mal...
-------------------
Aber ich würd mich gern mal reinlesen, wie so ein verschlüsselter Datenträger aufgebaut ist...
Wo steht der Header, wo die Daten.... VC Anleitungen gibts massenhaft im Internet aber wenns tiefer in die Materie gehen soll finde ich da nichts !!

Immerhin hab ich jetzt kapiert das bei einem Hidden Volume kein zweiter Header existiert sondern das alles im Header des outer Volumes steht. Daher ist die Existenz eines Inneren nicht nachweisbar.
Aber das Passwort ist doch irgendwie im Header enthalten! Ist das nicht eine Schwachstelle? Das Passwort herauszubekommen? Von daher, wenn kein Header da ist - wäre es noch sicherer....

--------------------------------
Danke wenn meine Fragen mal gezielt beantwortet werden könnten ...
Meine Passwörter sind übrigens Ü 50 Zeichen + Schlüsseldateien, mein System wird regelmäßig "neu gemacht" um Viren zu löschen, demnächst steig ich auf Linux um. Ich bin kein Neuling auf dem Gebiet! Sorry, Es war ne ganz gezielte Frage! (Ich weis das zur eigenen Sicherheit noch viiiiiiel mehr gehört was man beachten muss.)
 
Zuletzt bearbeitet:
HolyP schrieb:
Im Falle eines Falles vor Gericht ist es doch am besten wenn ein verschlüsselter Datenträger überhaupt nicht nachgewiesen werden kann. Also wenn man nur eine leere HDD besitzt mit zufälligen Daten - die ebensogut durch eines der üblichen HDD Wipe-Verfahren (mehrfach überschrieben mit Zufalls-Mustern) erzeugt worden sein könnten...
Wenn es um den "Schutz" von Dingen geht die gegen unser Rechtssystem verstoßen bist du hier im falschen Forum.
HolyP schrieb:
Wo steht der Header, wo die Daten.... VC Anleitungen gibts massenhaft im Internet aber wenns tiefer in die Materie gehen soll finde ich da nichts !!
Nun ja, die offizielle Doku zu lesen wäre ein Anfang :rolleyes:.
HolyP schrieb:
Von daher, wenn kein Header da ist - wäre es noch sicherer....
Womit wir wieder bei folgendem sind:
Helge01 schrieb:
VeraCrypt Header Löschen macht nur Sinn wenn das Verschlüsseln von Daten verboten ist, sonst ist es "Security by Obscurity".
Das war noch nie eine besonders gute Idee in der IT...
 
Hi,

Dann könnten gute Forensiker wahrscheinlich nachweisen, das hier mit einem Verschlüsselungsprogramm gearbeitet wurde und es eben keine leere bzw gewipte Festplatte von Ebay ist!

das ist aber weder illegal noch sonst etwas. Entweder es gibt konkrete Beweise, dann spielt es keine Rolle ob deine Daten verschlüsselt sind. Oder es gibt keine Beweise, dann bist du fein raus.

Von daher, wenn kein Header da ist - wäre es noch sicherer....

bleibt nach wie vor falsch

VG,
Mad
 
Du musst erstmal einsehen/verstehen das alleine das Vorhandensein einer Verschlüsselung noch kein Indiz dafür ist das sich dort etwas illegales befinden könnte.
HolyP schrieb:
Aber das Passwort ist doch irgendwie im Header enthalten! Ist das nicht eine Schwachstelle? Das Passwort herauszubekommen?
Nun, so arbeitet Veracrypt nunmal und logisch überlegt ist es auch klar das sich irgendwo das Passwort auf dem Datenträger befinden muss, denn es muss ja geklärt werden, ob das Passwort das du eingibst auch das richtige ist. Dieses Passwort steht da natürlich nicht im Klartext drin, sondern lediglich als Hashwert. Und diese Hashwert-Berechnung ist zudem tausende Male hintereinander durchgeführt, so dass von außen keinerlei Rückschlüsse auf das ursprüngliche Passwort möglich sind.
 
Hallo @HolyP,

ich schlage vor du solltest dich eingehender mit der VeraCrypt Dokumentation befassen, insb. die Abschnitte zu Plausible Deniability und dem Volume Header Format. Viele der in diesem Thread fälschlich aufgestellten Aussagen werden dort widerlegt, wenn man sich die entsprechenden Abschnitte aufmerksam durchliest.

Ein mit VeraCrypt verschlüsseltes Volume kann im verschlüsselten Zustand (also ohne Kenntnis des Kennworts) nicht als ein solches erkannt werden, weil sogar der Header selbst verschlüsselt ist. Der einzige nicht verschlüsselte Teil des Headers sind die ersten 64 Bytes, die den Salt enthalten. Dabei handelt es sich aber auch nur um eine zufällig generierte Zeichenfolge; ist also von sog. "Datenmüll" nicht unterscheidbar. Selbst ein Forensiker kann also - solang er dein Kennwort nicht kennt oder den Algorithmus nicht durch eine Schwachstelle knacken kann - ein VeraCrypt Volume nicht als solches identifizieren. Das gilt übrigens für jede Form von VeraCrypt Volumes, nicht nur für die Hidden Volumes. Den einzigen Vorteil, den ein Hidden Volume dir bringt, ist dass du in einer möglichen Zwangslage (z.B. jemand zwingt dich dazu das Passwort herauszugeben) bei korrekter Anwendung immer noch ein Alibi hast, indem du das "falsche" Passwort offenbarst und den "Erpresser" dadurch möglicherweise zufrieden stimmst, weil er dann glaubt sein Ziel erreicht zu haben.

Ein "Auslagern" des Headers auf ein externes Medium ist also gar nicht erforderlich und würde, wie @Madman1209 schon korrekt dargelegt hat, gar keinen Zugewinn an Sicherheit bieten. Es würde dir lediglich mehr Arbeit in der Bedienung schaffen, weil du dann jedes Mal den Header von besagtem externen Datenträger laden müsstest.

Es gibt allerdings einige Situationen die darauf hindeuten können, dass ein Datenträger mit VC verschlüsselt wurde. Zum Beispiel:

  • Du hast nur deine Datenpartitionen verschlüsselt, nicht aber das OS. Ein potenzieller Angreifer (mit dem Begriff schließe ich Forensiker mit ein) bräuchte dann nur dein System booten und würde sehr wahrscheinlich die installierten VeraCrypt Binaries im Programmverzeichnis finden (sofern diese lokal installiert sind). Das ist zwar immer noch kein Beweis dafür, dass ein bestimmtes Volume auch verschlüsselt ist, aber immerhin ein starkes Indiz. Als Ausrede könntest du dann höchstens das Argument versuchen: "Die Festplatte enthält nur Zufallsdaten, weil ich vorhatte diese zu verkaufen und sie deshalb kürzlich mit einem Wiping-Tool überschrieben habe." Deine Chancen, dass der Forensiker dir die Nummer abnimmt sind aber, milde gesagt, gleich Null.
  • Du hast alle Datenträger inkl. der OS-Partition verschlüsselt. Hierbei wird aus Gründen der Bedienbarkeit im Regelfall der VeraCrypt Boot Loader mit installiert. Dabei handelt es sich um ein unverschlüsseltes Binary im ersten Track des Boot Devices. Der Boot Loader ist logischerweise ohne Mühe als solcher zu erkennen und ist somit ein starkes Indiz dafür, dass hier mit VC-Verschlüsselung gearbeitet wurde.

Ich möchte gerne die Frage in den Raum werfen, was genau du mit deiner ursprünglichen Frage zu erreichen versuchst. Die Anwendung von Datenträgerverschlüsselung ist in Deutschland nicht illegal und du kannst z.B. im Falle einer Hausdurchsuchung und Beschlagnahme deiner Hardware von keiner Instanz zur Herausgabe des Passworts gezwungen werden. Die bloße Existenz eines verschlüsselten Datenträgers reicht unter keinen Umständen aus, um dir irgendwas zur Last legen zu können. Solang dir Strafverfolgungsbehörden keine eindeutig illegalen Inhalte nachweisen können, hast du nichts zu befürchten, denn die Beweislast liegt auf deren Seite. Zur Herausgabe des Passworts kannst du auch nicht gezwungen werden, weil du als Beschuldigter grundsätzlich ein Aussageverweigerungsrecht hast.
Das mag in anderen Staaten allerdings anders aussehen. Im Vereinigten Königreich zum Beispiel kannst du im Falle von Ermittlungen dazu verpflichtet werden das Passwort an Strafverfolgungsbehörden herauszugeben, auch wenn du dich damit möglicherweise selbst belasten würdest. Ob man eine solche Gesetzgebung als rechtsstaatlich unbedenklich ansehen möchte, steht auf einem anderen Blatt.

Verabschiede dich von dem Gedanken, dass nur weil jemand Verschlüsselung anwendet, er deshalb irgendwelche illegalen Machenschaften zu verheimlichen hätte. Jeder Mensch hat Geheimnisse, strafbar oder nicht. Und nur weil ich meinen Laptop verschlüssele heißt das noch lange nicht, dass ich unter dem Pseudonym Heisenberg Crystal Meth im Darknet verkaufe. Vielleicht will ich damit auch nur meine privaten Dokumente und Urlaubsfotos vor potenziellen Laptop-Dieben schützen ;)

//edit

Nureinnickname! schrieb:
Warum begrenzt man nicht einfach die möglichen versuche ein Passwort zu Testen auf sagen wir mal 3 und muss dann 1 Stunde warten bis man wieder testen kann? So doof kann doch keiner sein sowas nicht einzubauen. Somit wäre beispielsweise eine Bruteforce attacke nahezu unmöglich.


Es gibt zwar Programme, die solche Funktionen haben; ich weiß dass SafeGuard Easy sowas zumindest damals hatte. Da hat sich bei der Pre-Boot Authentication nach jeder Fehleingabe die Dauer der Tastatursperre verdoppelt. Aber das hält einen technisch versierten Angreifer/Forensiker doch nicht davon ab sein eigenes Tool zum Brute-Forcen zu benutzen. Solange das Volume (Header) Format und die verwendeten Hash- und Encryption-Algorithmen bekannt sind, kann ich doch einfach ein eigenes Cracking-Tool entwickeln, welches diese Eingabebeschränkungen umgeht. Deine vorgeschlagenen Maßnahmen würden allenfalls einen Amateur abschrecken, aber keinen professionellen System Engineer der dafür bezahlt wird Festplattenverschlüsselung zu knacken.
 
Zuletzt bearbeitet: (Nachtrag)
  • Gefällt mir
Reaktionen: Evil E-Lex
Zurück
Oben