Verschlüsselung von optischen Medien

[stehlo]

Hallo,
ich möchte meine Daten auf einer Blueray RE Disc als offline Backup speichern.
Da jedoch durchaus auch Daten dabei sind, die nicht unbedingt jeder sehen sollte, wenn er die Disc einlegt, möchte ich die Disc verschlüsseln.
Securdisc von Nero kenne ich, kostet aber etwas und hat den nachteil, dass man immer ein Programm dafür braucht, um die Daten wieder entschlüsseln&lesen zu können.
Ich suche eine sichere Verschlüsselungsmethode (z.B. AES256), womit ich die Daten Brennen kann und wenn wer Zugriff auf die Disc möchte, das Passwort eingeben muss. Wichtig ist mir, dass dies ohne zusätzliches Programm geht (also auf jedem PC die Disc ins Laufwerk & Zugriff auf die Daten per Passworteingabe ohne irgendwelche Installationen).
Sollte es das nicht geben, wäre für mich auch eine Alternative die Daten vor dem Brennen zu verschlüsseln, die möchte ich dann aber auch ohne Programm (alternativ mit einem Protablen Programm, welches auf der Disc hinterlegt werden kann) wieder entschlüsseln können, um auch noch in 20 Jahren auf jeden Fall zugreifen zu können.
Kennt da jemand eine gute Lösung?
Vielen Dank im Voraus!

 

[Nilson]

VeraCrypt gibt es auch als protable Version. Einfach ein Cointainer erstellen, den füllen und dann brennen.

 

[Cardhu]

Wie soll es denn verschlüsselt werden ohne Programm? Mit Windows? Und wenn du in 20 Jahren kein Windows mehr benutzt? Oder Windows das nicht mehr implentiert hätte?

 

[leichenpriester]

Ich werfe mal Luks in den Raum, funktioniert halt nur mit Linux, ist aber dann nicht an ein Programm gebunden.

Ansonsten wäre noch die Frage warum du Blu Rays verschlüsseln magst, du schützt ja damit deine Daten nur vor Physischem Diebstahl. Eventuell kommt da auch ein Safe in Frage.

 

[stehlo]

Danke für die Rückmeldungen!
@leichenpriester ja das stimmt ein Safe wäre für mich eigentlich auch eine Alternative, ich werde mal den Vorschlag von @Nilson probieren, soweit es möglich ist die Disc einzubinden und dann wie ein Laufwerk zu nutzen.

 

[DeusoftheWired]

Wichtig ist mir, dass dies ohne zusätzliches Programm geht (also auf jedem PC die Disc ins Laufwerk & Zugriff auf die Daten per Passworteingabe ohne irgendwelche Installationen).

Ohne Programm keine Ver- oder Entschlüsselung. Nimm VeraCrypt oder ganz einfach 7-zip und leg damit ein passwortgeschütztes Archiv auf die Blu-ray. Passwort natürlich ordentlich lang.

 

[ChristianSL]

Die Anforderung ist ziemlich fragwürdig. Niemand kann sagen wie die Technik in 20 Jahren aussehen wird. Im dümmsten Fall musst du lauffähige Technik gleich mitkonservieren. Und warum kein Extraprogramm? Willst die AES mit der Hand rechnen? So wird das nichts. Im Zweifel kann man doch das Tool mit auf den Datenträger packen.

Meine aktuelle Lösung für offsite Backup:
Zentrales Einsammeln/Backup aller clients mit restic (verschlüsselt, snapshots, Deduplizierung, ssh,...) und täglicher Transfer auf einen Raspi mit externer HDD im Büro via rsync + wireguard.

 

[syfsyn]

Im Grunde braucht man immer ein Programm wenn was verschlüsselt werde soll.
backupsoftware (nicht kostenlose) haben das intrigiert
bsp wären hier O&O paragon puresync usw
manch Programm aufwendiger manch einfacher aber dafür schlechter komprimiert
das einfachste ist winrar oder 7zip kostenlos
Diese aber müssen die daten entpacken.
Da sind backupsoftware praktischer.
O&O bietet virtuelle Datenträger an um deren gespeicherten images bereitzustellen egal welches medium diese gespeichert sind.
Diese kann man auch mitn Passwort verschlüsseln.
In windows explorer intrigiert gibt es schlicht nicht.
Da ist nur windows eigener Dienst bitlocker das aber verhindert nur dann zugriffe auf anderen PC zudem ist kein zugriff mehr über fremde Laufwerke möglich.
Und mit der Häufigkeit von hardware Wechsel ist das keine gute Idee da die Laufwerke nach hardware ID und windows Aktivierung sortiert werden.

 

[calippo]

Ein bisschen krude, diese Anforderungen
Ein Backup muss ja nicht zwangsläufig direkt vom Backupdatenträger zugriffsfähig sein. Bei Datenverlust sicher man die Daten halt komplett zurück und greift dann auf einzelne Dateien zu. Dass ein verschlüsselter Container von BD gut lesbar und sogar schreibbar ist, würde ich erstmal nicht vermuten.

Der Vorschlag mit Veracrypt portable oder Zip erscheint mir am sinnigsten, da kann man das Programm gleich mit auf den Datenträger brennen.

 

[KitKat::new()]

Sollte es das nicht geben, wäre für mich auch eine Alternative die Daten vor dem Brennen zu verschlüsseln, die möchte ich dann aber auch ohne Programm (alternativ mit einem Protablen Programm, welches auf der Disc hinterlegt werden kann) wieder entschlüsseln können, um auch noch in 20 Jahren auf jeden Fall zugreifen zu können.
Kennt da jemand eine gute Lösung?

Bitte ggf. berücksichtigen, dass die Disc in 20 Jahren gar nicht mehr lesbar sein könnte

 

[Ranayna]

Nach meiner Definition ist das ja eigendlich kein Backup mehr, sondern Archivierung.

Und bei einer Archivierung ist aus den oben schon erwaehnten Gruenden eine Verschluesselung durchaus kritisch zu betrachten.
Die Verfuegbarkeit von Laufwerken in der Zukunft wurde ja schon erwaehnt.
Aber das ist ja auch nur ein Teil: Was ist zB mit der Schnittstelle mit der das Laufwerk verbunden wird? Den Treibern? Zum Vergleich: Vor 20 Jahren gab es SCSI und IDE als Schnittstellen. Beides ist heutzutage tot. Vielleicht gibt's Adapter, aber die muessen auch noch mit der Hardware und den Protokollen kompatibel sein.
Reales Beispiel: Firmenbackups, etwa 15 Jahre alt. Gemacht auf DDS4 Baendern. Laufwerke liegen noch im Schrank, mit SCSI Schnittstelle. SCSI Adapterkarten und Zubehoer liegen noch um Schrank. Es sind sogar noch Karten, fuer die man Windows 7 Treiber bekommen kann. Knackpunkt: Die Karten sind PCI, bzw PCI-X, passende Mainboards sind aber nicht mehr im Schrank

Da dann noch eine weitere Abhaengigkeit oben drauf zu legen sollte man sich gut ueberlegen.

Regelmaessiges Ueberpruefen der Medien ist ebenfalls unerlaesslich, genauso wie das anlegen mehrerer Kopien die an unterschiedlichen Orten gelagert werden muessen.

Wenn verschluesselt werden muss, sollte auf alle Faelle ein open source Programm mit bekanntem Algorithmus dafuer genommen werden. Dann hat man zumindest auf der ebene auch in der Zukunft auch auf einem neuen OS zumindest eine Chance die Verschluesselung lesen zu koennen. Eine konkrete Empfehlung kann ich nicht geben.
Wichtig ist auch das Schluesselmanagement. Der Schluessel ist mindestens genauso wichtig wie die Daten, sollte aber logischerweise nicht zusammen mit diesen aufbewahrt werden.
Wie schlechtes Schluesselmanagement ausgehen kann ist hier zu lesen:
https://www.golem.de/news/kryptowae...00-millionen-euro-in-bitcoin-2101-153373.html

Verschluesselung macht ein so schon nicht triviales Thema nur um so komplexer.

 

[HITCHER_I]

7-zip kann keine defekten Archive reparieren, deshalb sollte man bei Langzeit-Archivierung noch zusätzliche Reparaturdateien mit MultiPar (par2, Quickpar, ICE-ECC, etc.) erstellen.

 

[stehlo]

@Ranayna Danke für den ausführlichen Text!
Es handelt sich dabei wirklich um langfristige Datensicherungen und ich muss zugeben, von dieser Seite aus habe ich das noch nicht betrachtet... danke für das anschauliche Beispiel!
Wahrscheinlich ist das Verschlüsseln tatsächlich nicht die beste Variante, sondern die gebrannten Medien lieber sicher aufbewahren.

Ergänzung (14. Januar 2021)

@HITCHER_I Danke für den Einwand, diese Reparaturdateien sind mir ganz neu. Wie viel zusätzlichen Speicher braucht man für diese Dateien?

 

[HITCHER_I]

5%

 

[ogi.nic]

7-zip kann keine defekten Archive reparieren, deshalb sollte man bei Langzeit-Archivierung noch zusätzliche Reparaturdateien mit MultiPar (par2, Quickpar, ICE-ECC, etc.) erstellen.

Danke für den Einwand, diese Reparaturdateien sind mir ganz neu. Wie viel zusätzlichen Speicher braucht man für diese Dateien?

Unterscheidet sich das von der (Win)RAR Option 'Add recovery record'? Standardmäßig sind dort 3% eingestellt, das lässt sich aber beliebig anpassen (1-100%).

 

[HITCHER_I]

Das WinRAR Recovery Record kann man nur mit WinRAR verwenden, PAR2 aber für alle denkbaren Dateien, oder für Liste von Dateien erstellen, zB. eben 7-Zip Dateien. Man kann mit PAR2 auch viele kleine Reparaturdateien erstellen, dann kann man sogar einige davon verlieren und die geschützten Dateien immer noch reparieren, solange nicht zu viele Fehler sind, bzw. man noch genügend Reparaturdateien mit ausreichender Informations-Redundanz hat. Man könnte sogar die Reparaturdateien selbst ebenfalls mit PAR2 schützen.