Forum: PC Hard- und Software Bitlocker - richtig sichern

Wenns wirklich sicher sein muss linux mit veracrypt und da drin nochmal 
ne hidden patition.

so kann nichtmal die Existenz der Date n nachgewiesen werden

Insasse #1 schrieb:
> Festplatten mit Bitlocker zu verschlüsseln mag ja schon mal sicher
> klingen

Klingen, mehr aber auch nicht. Bitlocker ist in etwa so sicher wie 
ROT13.

Sicher is sicher schrieb:
> Wenns wirklich sicher sein muss linux mit veracrypt und da drin nochmal
> ne hidden patition.

+1

Locker schrieb:
> Klingen, mehr aber auch nicht. Bitlocker ist in etwa so sicher wie
> ROT13.

Kannst du das belegen, oder ist das nur dummes gelaber?

Locker schrieb:
> Insasse #1 schrieb:
>> Festplatten mit Bitlocker zu verschlüsseln mag ja schon mal sicher
>> klingen
>
> Klingen, mehr aber auch nicht. Bitlocker ist in etwa so sicher wie
> ROT13.

Na klar...

Das mag gelten, wenn du von der NSA verfolgt wirst, aber gegen 
Notebookdiebstahl oder Industriespionage reicht Bitlocker definitiv - 
AES-256 ist aktuell ungeknackt und eventuelle Backdoors stellt die NSA 
sicher nicht zur Verfügung.

VeraCrypt/TrueCrypt würde ich nur dann einsetzen, wenn man kein Geld für 
Windows Pro ausgeben will oder eben als besagter Whistleblower. Für 
Linux würde ich auch LUKS nehmen statt VeraCrypt, das spielt einfach 
besser zusammen.

Bios Password + grub Password + linux + LUKS.

Sicher is sicher schrieb:
> hidden patition.
> so kann nichtmal die Existenz der Date n nachgewiesen werden


Die Diskussion stelle ich mir interessant vor:
A: Wo sind denn die ganzen Dateien?
B: Das sind alle.
A: Verwenden sie den PC auch? Der letzte Browser History Eintrag ist 
mehrere Jahre alt, und es wurden keine Dokumente, Bilder oder sonstiges 
erstellt?
B: Ich verwende es eben nur noch selten. Für alles wichtige genügt das 
Smartphone.
A: Wie sind dann die ganzen GitHub commits zustande gekommen, und wie 
sie die Open Document Dateien und die Schaltpläne, die sie per Mail 
verschickt und im Internet hochgeladen haben, zustande gekommen?
B: Das muss wohl jemand anderes gewesen sein.
A: Jemand anderes mit der gleichen Mail Adresse wie sie?

OK, machen wir uns nichts vor, das würde wohl eher so ablaufen:
A: Er hat seine Daten verschlüsselt!
B: Das sind auch meine wertvollsten Katzenfotos!
A: Die Beweislage spricht für sich, er muss es gewesen sein, sonst hätte 
er die Daten ja nicht verschlüsseln müssen!
B: Da sind nur ein paar Katzenfotos drauf... Wollen sie nicht einmal 
kurz nachschauen, das Passwort ist ******.
R: Das ist schon sehr merkwürdig. Das reicht mir für eine Beweislast 
umkehr, bei verschlüsselten Daten ist das nicht zumutbar, das wir die 
Beweise liefern müssen. Können sie irgendwie belegen, das sie es nicht 
waren?
B: Wie bitte? Sie können doch nicht einfach so ohne irgendwelche 
Beweise-
R: Ok, eindeutig schuldig, ganz klarer Fall.


Das wichtigste ist erstmal, alle dazu zu bewegen, ihre Daten zu 
verschlüsseln, und das private Verschlüsseln von Daten zu 
destigmatisieren. Das "wie verschlüsseln" ist erstmal nicht so wichtig. 
Die alten Medien (TV, Zeitung, etc.) tragen hier auch zum Problem bei. 
Das grösste Problem ist diese "Nichts zu verstecken haben" Mentalität, 
die jeder zu haben scheint, die läute sind da praktisch unumstimmbar. 
Wie man auch argumentiert, man bekommt immer die selben 
betrifft-mich-nicht Antworten: "Das passiert nur in korrupten Ländern, 
nicht hier" "Das war früher mal, dass kann nicht mehr passieren" "Nein, 
ich hab noch nie was angestellt, das wüsste ich doch!" "Keine Angst, es 
gibt keine false positives. Wenn es nicht funktionieren würde, würde das 
nicht verwendet werden.", etc.

----

Unabhängig davon: Woher weiss veracrypt, dass es keine Blöcke des hidden 
Volume beim sichtbaren Volumen verwenden darf? Wäre ja blöd, wenn es 
einfach so irgendwelche Daten überschreiben würde. Aber wenn es das 
weiss, wüsste man auch, wenn da mehr belegte Blöcke sind, als man sieht. 
Wie funktioniert das? (Angenommen, man hat das Passwort für die 
sichtbare herausgegeben.) Oder hat man einfach 2 Partitionen, und eine 
erscheint Zufallsdaten zu haben? Wäre doch auch merkwürdig, wer würde 
nur die halbe platte nutzen?

Festplattenvollverschlüsselung hilft gegen Szenarien, wo jemand am 
Betriebssystem vorbei auf die Daten zugreifen möchte, etwa:

  * das Gerät wurde verloren/gestohlen und jemand bootet mit Kali-CD
  * die Festplatte wird auf $inserateplattform verkauft und jemand 
versucht, sie zu lesen

Festplattenvollverschlüsselung hilft nicht gegen Restdaten im RAM (Gerät 
ist in hibernate etc.) oder Schwächen innerhalb des Systems (schlechte 
Passwörter, Trojanerbefall, ...).

Fûr Windows ist das Mittel der Wahl Bitlocker (alternativ Veracrypt für 
die Home-Versionen), auf Mac File Vault und Linux cryptsetup/LUKS. Alle 
drei ausgesprochen problemlos. Backup der wertvollen Daten ist ohnehin 
vorausgesetzt - wenn die Neuinstallation des Systems weh tut, dann 
sollte man den Recovery Key gut aufbewahren.


Veracrypt hat seine Stärke vor allem als Container-Verschlüsselung, um
  * sensible Daten, die auch nicht ständig offen gehalten werden müssen 
(z.B. projektbezogene Daten) separat zu sichern
  * für den Transport in Mail oder USB-Sticks
  * zum Ablegen in der Cloud

sekkier-i-di schrieb:
> Festplattenvollverschlüsselung hilft nicht gegen Restdaten im RAM (Gerät
> ist in hibernate etc.) oder Schwächen innerhalb des Systems (schlechte
> Passwörter, Trojanerbefall, ...).

Du meinst suspend. Hibernate ist der Zustand S4, da wird der RAM nicht 
mit Spannung versorgt. Das Image des RAM wird beim schreiben vorm S4 
auch verschlüsselt.