Aufbewahrung von Dokumenten

sonnenwolf · 12. Juni 2022

Zitat von KidCrazy

Aber Achtung bei dieser Herangehensweise:
Wenn sich jemand diese Dateien genauer anschaut, dann kann er leicht herausfinden, dass eine davon (die unbenannte .exe) keine MP3-Datei ist und kommt dann ziemlich schnell darauf, dass da jemand einen verschlüsselten Container verstecken möchte. Der ist dann auch ziemlich schnell entdeckt, denn die einzige Video-Datei, die nicht abspielbar ist, ist die umbenannte Container-Datei. Danach kann man automatisierbar suchen. Und wenn man bereits soweit ist, ist der Schritt nicht weit, sämtliche anderen MP3 und Video-Dateien als Schlüsseldateien auszuprobieren.

Punkt 1: Wer gezielt gesucht wird, wird gefunden.

Punkt 2: Was die NSA (o.ä.) sucht, das wird gefunden.

Alle anderen Fälle: Wer sich Sorgen macht, dass jemand seine Musik/Bild/Video-Dateien durchsucht, der sollte sich mit dem Aufbau der entsprechenden Dateien vertraut machen. Dann lernt man nämlich, welche Dateien ihren Header am Anfang der Datei haben und welche am Ende und welche variabel sind...

Sagen wir einfach: Wer an einer Landesgrenze so interessant ist, dass man anfängt, Mediendateien nach Inhalt zu inspizieren, dem kann man mit Foreneinträgen nicht mehr helfen... Hoffentlich...

Ansonsten gibt es - natürlich - jede Menge alternative Vorgehensweisen.

Die ausführbare Datei von TrueCrypt kann man natürlich jederzeit aus dem Internet herunterladen.

Die Schlüsseldatei ist nicht auffindbar, weil man ja noch das Passwort benötigt.

Den Container kann man - wie gesagt - mit einem gefälschte Header versehen und dann ist es auch nicht so einfach automatisiert auffindbar.

Ein verschlüsselter 7zip-Container ist von einem verschlüsselten TC-Container nicht unterscheidbar und wenn, hilft das separate (interne) Passwort dabei.

Jeder muss abwägen, welches Verhältnis zwischen Sicherheit und Unauffäligkeit für ihn das Richtige ist. Wie beim Tarnen im Gelände halt...

*** Nichts ist "Sicher" *** Kein Plan überlebt die Begegnung mit der Realität *** Blablabla ***

KidCrazy · 12. Juni 2022

Wenn du ein Passwort benutzt, wofür dann die Schlüsseldatei?
Wenn dein Passwort stark genug ist, benötigst du die Schlüsseldatei nicht.

Wenn dein Passwort zu schwach ist, hilft dir eine Schlüsseldatei nicht, die du auf demselben Datenträger lagerst wie den verschlüsselten Container.

In der Kryptographie gibt es nicht ohne Grund seit jeher Kritik an dem Konzept "Security by Obscurity".

Man kann sich natürlich noch so tolle, ausgefeilt Tricks ausdenken um Angreifer zu verwirren.

Die besten Methoden sind aber immer noch diejenigen, bei denen der Angreifer ALLES weiß AUßER dem Schlüssel und TROTZDEM nicht an deine Daten herankommt.

Was ich damit eigentlich sagen möchte: Es lohnt sich auf bewährte Methoden zu setzen und sich keine eigenen aus den Fingern zu saugen.

Und das soll dann auch mein letzter Beitrag in diesem Thread gewesen sein.

sonnenwolf · 13. Juni 2022

Zitat von KidCrazy

Wenn du ein Passwort benutzt, wofür dann die Schlüsseldatei?
Wenn dein Passwort stark genug ist, benötigst du die Schlüsseldatei nicht.
Wenn dein Passwort zu schwach ist, hilft dir eine Schlüsseldatei nicht, die du auf demselben Datenträger lagerst wie den verschlüsselten Container.

Aber die Schlüsseldatei hilft extrem bei der Sicherheit des generierten Schlüssels, wenn mein Passwort so aufgebaut ist, dass ich es mir auch in einer schwierigen Situation merken kann, ohne es aufzuschreiben.

Mein Passwort hat 16 Stellen (mit Sonderzeichen) und steht in keinem Wörterbuch. Die Schlüsseldatei "härtet" das Ganze noch mit zusätzlicher Entropie in einer Menge, die ein Passwort niemals allein erreichen kann.

Weiss ja keiner, dass eine Schlüsseldatei nötig ist, damit das Passwort bestätigt wird.

TrueCrypt sagt ja nur "Passwort falsch" und nicht "bitte zusätzlich Schlüsseldatei auswählen"...

sonnenwolf · 23. Juni 2022

Update:

Heise Online: "Weitere USB-Speicher mit Verschlüsselung geknackt - Ein USB-Speicher mit Fingerabdrucksensor von Verbatim und ein Stick mit Zehnertastatur von Amazon schützen Daten unzureichend."

https://www.heise.de/news/Weit…o.ho.atom.beitrag.beitrag

Da sind einige böse Anfängerfehler dabei...

KidCrazy · 11. August 2022

Aus aktuellem Anlass zum Thema was mit Identitätsdiebstahl möglich ist:

Zitat von https://www.heise.de/

Mitglieder des Chaos Computer Clubs haben mit einfachen Mitteln die Videoident-Verfahren von sechs Anbietern ausgehebelt.
...
Die Online-Identifizierungsverfahren wurden überlistet, um eine ePA anzulegen und zu befüllen. Mit etwas Farbe und einer Open-Source-Software konnten die Verfahren von sechs nationalen und internationalen Anbietern überlistet werden.

Zitat von CCC

Angesichts des enormen technischen Fortschritts hinsichtlich der Angriffe mittels Deep-Fake und der Fokussierung allfälliger Gegenmaßnahmen hierauf ist festzuhalten, dass nicht nur das Gesicht der zu identifizierenden Person, sondern bereits die optische Sicherheitsmerkmale des ID-Dokuments nicht
sicher digitalisiert werden können. Im Gegensatz zu Angriffen auf die Vor-Ort-Identifikation, für die ein Angreifer lokal vor Ort persönlich erscheinen und sein ID-Dokument im Original vorlegen muss, ist der demonstrierte Angriff auf Video-Ident in gewissem Rahmen skalierbar, weltweit anwendbar und nur schwer oder gar nicht rückverfolgbar.

Darius · 11. August 2022

Der CCC war sehr fleißig in den letzten Tagen und hat auch noch eine riesen Sicherheitslücke bei einer Praxissoftware entdeckt. Durch diese war es möglich Millionen Patientenakten samt Diagnosen und Laborbefunden einzusehen...

Bei dem Videoident Verfahren habe ich selber schon die Erfahrung gemacht, dass ich in einem Fall auch ein Stück Pappe hätte hochhalten können. Ich hatte eine schlechte Internetverbindung und der Typ, der da prüfen sollte hatte gar keinen Bock.