Fragen zur Sicherheit von Daten, Computer & IT, Survivalpc

Hallo Metaller,

ich fahre zur See und hab deshalb manchmal Monatelang kein Inet. Als erstes muss ich sagen, es gibt ein Leben ohne Netz^^. Für Kurzweil & Co hab ich 3 Festplatten. Die sind mit True Crypt komplett verschlüsselt, sie werden ohne das Programm vom normalen PC nur als unformatierter Datenträger erkannt. Das sollte also genug Sicherheit sein, falls mal jemand so eine Platte / Stick findet.

Für Inet nutze ich zu Hause einen alten Laptop. Nichtmal so sehr wegen Phishing usw. Es geht mir viel mehr darum, meine Haussteuerung, Bilder, Musik usw. vor Abstürzen, Verlusten und Blockierungen zu schützen. Auf den Gedanken einen Rechner mit ins Gelände zu nehmen, bin ich noch nicht gekommen. Was soll ich Outdoor, wenn ich dann alles Mitschleppe um mich Indoor zu fühlen. Mir fällt spontan auch nichts ein, wofür ich draußen einen PC brauche.

Beste Grüße, Olaf

Zitat von Metaller;126917

Ich frage mich, ob man einen eigenen Rechner ohne Verbindung zum Internet bzw. maximal Internet zum Onlinebanking haben sollte.
Darauf könnte man auch alle seine sensiblen Daten speichern.
Und einen eigenen für surfen im Netz. Den man nur dafür nutzt und zum Datenaustausch mit anderen.
Somit wäre man doch optimal geschützt gegen alle Angriffe von außen. Paßwortfishing, Trojaner, Viren und was kreative Köpfe sonst noch geschaffen haben.
Wäre der verseucht, kann man einfach alles plattmachen und gut ist.

Hallo Metaller,

ich würde da eher auf sog. Virtuelle Maschinen setzen. Neben Microsofts Virtual PC kann ich da VMware empfehlen.
Die VM´s funktionieren wie ein PC. Du kannst also weitere Software installieren. Dann kannst Du Dir eine VM zum Surfen, und eine z.B. zum Online-Banking anlegen. Man kann die VM so einstellen, dass sie beim Runterfahren wieder auf den Ausgangszustand zurück gesetzt wird. Also selbst wenn Du Dir einen Virus eingefangen hast, ist der hinterher wieder weg.

Zitat von Metaller;126917

Wie schätzt ihr Dropbox ein? Bräuchte einen Datenspeicher um auf Dienstreisen Filme, Musik u.d.g. parat zu haben. Also um für kurzweil zu Sorgen, nix sensibles also.

Da würde ich eher auf große USB-Sticks setzen. Dropbox ist im Vergleich dazu relativ langsam, und Du verbrauchst bei jedem mobilen Up- oder Download Datenvolumen. Auf einen USB-Stick mit 32 oder 64 GB kriegst Du schon ne Menge Musik und Filme.
Ich hoffe, das hilft Dir weiter.

Gruss trainman

TrueCryt ist ein super Programm, sehr anwenderfreundlich und vor allem sicher. zumindest wenn das Passwort gut ist. Die CPU der meisten Rechner braucht jahre um ein 8-stelliges Passwort aus Groß-, KleinBuchstaben und Zahlen zu knacken. Ein Grafikkartenrack dagegen braucht Stunden, ein Krimineller mit Botnetzwerk teilweise nur Minuten, abhängig von der Größe, den Leistungender angeschlossenen PCs, usw.

Allerdings gibt es genug Generatoren für passwörter udn wenn du zusätzlich noch unübliche Satzzeichen, zB "}" oder "'" einbaust, kann das das Ganze noch stärker absichern. Auch nützlich für besonders sensible Dateien sind versteckte Volumes. Da ist dan quasi im verschlüsselten noch mal ein doppelter Boden.

Zum Thema Festplatten: lasst, wenn irh das Geld habt, die Figner davon und setzt stattdessen auf Micro SD Karten. Jeder PC / Laptop/ Handy, Digitalkamera/Tablet, alles mögliche leist heutzutage diese kleinen Speicherlinge und im Gegensatz zu Festplatten sind sie nazu unzerstörbar (abgesehen von Feuer und Zerbrechen natürlich), da sie keine mechanischen Teile enthalten.
Diese kleinen Speicher gibt es mittlerweile bis zu 64 gb wenn ich mich nicht täusche.
64 Gigabyte die man sich einfach mit einem Stück Klebeband auf die Rückseite vom Halskettenanhänger, auf die Fußsohle oder als Frau auch mal als trendiges Accessoire auf den Fignernagel kleben kann. Wasserdicht sind die meisten auch, der einzige Nachteil ist eben, dass man sie schnell mal verlieren kann.

Von einem Netbook als SurvivalPC halte ich ebenfalls nicht viel, hier würde ich eher auf ein Tablet mit Kapazitiven Bildschirm oder auf ein gröeßres Mobiltelefon mit entsprechend widerstandsfähiger Hülle zurückgreifen.

Bei mir ist das derzeit mein auch im Alltag genutztes Lumia 920 mit Otterbox Defender.
Das Problem sit die Akkulaufzeit. Das ist eigentlich bei jedem Gerät mit großem Bildschirm - abgesehen von E-Readern mit E-Ink Display - der Fall. Abhilfe kann hier ein Solarpanel und ein Externer Akku helfen, die gibt es mittlerweile auch mit 20.000 mAh, kannst dir das ganze ja für deinen Akku mal ausrechnen, mein Handyakku fasst 2000mAh, das wären also 10 Aufladungen, was bei normaler nutzung ca 14 Tage durchhhält, im Notfall als Nachschlagewerk, Kommunikation, usw sogar länger.

Dann will cih auch nochmal auf KleinstPCs zu sprechen kommen, beispielsweise den Raspbery Pi. Mit einem geeigneten Bildschirm mit HDMi Anschluss schluckt der vermutlich sogar noch weniger Strom als ein Handy, dafür ist eben die Leistung begrenzt.

Für Onlinebanking würde ich eine Livedistribution bevorzugen. Da kannst du zwar GARNICHTS mehr speichern, das ganze läuft nur im temporären Speicher ab, dafür kannst du nicht doch versehentlich Passwörter speichern usw.

Wer herausfinden möchte, was von ihm alles jemand mit nur geringen Kenntnissen lesen könnte, dem sei das Programm OSForensics empfohlen. Habe mich ziemlich gewundert, dass Firefox trotz Klicken auf "nicht speichern" doch noch einiges im Gedächtnis behält....

Revedere

Zitat von Romal;127063

TrueCryt ist ein super Programm, sehr anwenderfreundlich und vor allem sicher. zumindest wenn das Passwort gut ist. Die CPU der meisten Rechner braucht jahre um ein 8-stelliges Passwort aus Groß-, KleinBuchstaben und Zahlen zu knacken.

Hallo Romal,

TrueCrypt Container sind äusserst sicher, zumal sie die Einrichtung eines nicht nachweisbaren inneren Containers im Container bieten. Intelligent angelegt, praktisch keine Chance, das zu knacken. Die Schwachstelle ist hier der Mensch, genauer gesagt, das Passwort.

Wie geht der Angreifer vor? Er sucht erst mal Informationen aus dem privaten Umfeld des Opfers.

Ehefrau Sandra, geboren 12.07.72, geheiratet 23.10.01
Tochter Melanie, geboren 17.08.03
Autokennzeichen K-SX 5643

Erste Wahl sind also Sandra120772, Sandra231001, Melanie170803 oder eben das Autokennzeichen. Nach einer Studie, die ich mal gelesen habe, in 30% aller Fälle erfolgreich.

Wenn das versagt, kommt der Wörterbuchangriff. Wörterbuch meint hier nicht den Duden von A-Z durchprobieren. Wörterbücher sind hier spezielle Sammlungen gern genommener Passworte. Büromenschen neigen dazu, bei der Aufforderung zur Passworteingabe Gegenstände in ihrem Gesichtsfeld zu wählen. Monitor, Kaffetasse, Bleistift sind also mal vielversprechend. Da viele Programe/Betriebssysteme über eine Paswortprüfung verfügen, die z.B. mindestens eine Ziffer oder Sonderzeicher fordert, wird der Anwender, der im ersten Versuch mit Kaffetasse scheitert, im zweiten Versuch eben Kaffetasse1 oder Kaffee_Tasse eingeben. Auch das weiss ein Angreifer.

Viele Verschlüsselungsprogramme, wie z.B. PGP/GPG erlauben die Eingabe einer nahezu beliebig langen Passphrase. Das bietet die Möglichkeit, eine leicht zu merkende und beliebig schwer zu erratende Passphrase zu generieren.

Ein Beispiel:

Zwei Schweine sitzen auf der Palme und stricken Uboote. - Leicht zu merken, aber ein Nonsens, auf den so leicht keiner kommt.

Wie sieht ein Boot in ASCII-Zeichen aus? Etwa so: \___/
Die zwei ersetzen wir durch die Zahl.

Passphrase: 2Schweine sitzen auf der Palme und stricken U\___/e.

Damit kann sich ein Array von Supercomputern mehrere Jahrhunderte beschäftigen .... (Hinweis: Jeder Versuch ein Passwort bei 4096 bit RSA auszuprobieren, ist eine ziemlich aufwendige Rechnerei.)

Viele Grüsse

Matthias

P.S. Für alle mitlesenden Geheimdienste: Das ist nicht meine PGP-Passphrase, obwohl die nach einem sehr ähnlichen Strickmuster generiert ist.

ein gutes Passwort erhält man auch, wenn man einen leicht zu merkenden Satz nimmt. Von dem benutzt man dann alle Anfangsbuchstaben oder alle ersten und zweiten Buchstaben
zB. Ich esse Mittags gern 2 Schnitzel mit 4 Kartoffeln.
Das ergibt dann als Passwort IeMg2Sm4K

Mit dieser Methode kann selbst ich mir Passwörter merken und muss nicht jedesmal meine Frau fragen

Beste Grüße, Olaf

Mhm... mal wieder ein IT-Survival-Thema...

Also zuerst möchte ich mal sagen, dass wir schon diverse Threads haben, die in den Bereich IT und IT-Security fallen. Da wir da auch schon teilweise eine Menge Aufwand getrieben haben und sehr viele Fragen dort beantwortet wurden, schlage ich vor die SuFu zu bemühen. Ich sag da mal ganz einfach: Es lohnt sich!

Darüber hinaus, sollten wir nicht evtl. mal einen eigenen Sammelthread zum Thema IT-Security machen? Also die Themen USB-Stick, Passwörter, Verschlüsselung usw. mal in einem Thread zusammenfassen, oder zumindest in einem 'sticky'-Oberthread verlinken, so dass man nicht jedesmal das Tad neu erfinden muss?

Zu der Frage wegen Netbook: Ich find die Dinger doof. Hatte selbst eins, Acer One. Ich würd dir da eher zu einem Sub-Notebook raten, da ist dann auch ein bisschen Leistung dahinter.
Empfehlen kann ich dir die Lenovo X-Serie. Ich hatte bis Weihnachten (ging dann an meine Mutter) noch ein IBM X31, 1.6GHz Singlecore, 2GB DDR1 RAM, 12" 4:3 Display. Das Ding besteht zum größten Teil aus Spezialmaterial, nahezu unkaputtbar.
Meins stammte noch aus 2005. Mit den Lenovo X61 habe ich auch schon des öfteren gearbeitet, und die hat es auch gebraucht ziemlich günstig. Ersatzakkus gibt es für alle gängigen Hersteller deutlich günstiger als als Originalteile, Google hilft.

So long,
Sam

Ist Verschlüsselung überhaupt sicher?

Ist Truecrypt sicher? Kommt darauf an...

Das Kennwort
Mit Sicherheit ist, wie hier auch bereits beschrieben, ein wichtiger Faktor ist das Kennwort. Die Frage die sich stellt ist, ob ein "normaler" Benutzer überhaupt in der Lage ist, ein sicheres Kennwort zu erstellen. Wir erinnern uns (oder auch nicht): Ein Byte besteht im Allgemeinen aus 8 Bits (nein, nicht das Bier und schon gar nicht 8 davon), oder auch ein Oktett, je nach Speicherart bestehend aus Transistoren oder Kondensatoren, womit jedes Bit den Zustand 0 (keine Spannung) oder 1 (Spannung) besitzen kann. Somit kann ein Byte 2^8=256 Zustände annehmen. Das kann man auch als Zahl interpretieren wie z.B. 0 (kein Bit hat Ladung) oder 255 (alle Bits haben Ladung).

Warum ich das etwas kompliziert erkläre: Ein gutes Kennwort sollte, optimalerweise quasi-zufällig, das gesamte Zustandsspektrum eines Bytes abbilden, also die Werte 0-255. In der Praxis wird dieses Spektrum aber von den meisten Benutzern (>99%) sehr stark eingeschränkt, indem sie sich auf die Werte beschränken (müssen), die mit einer üblichen Tastatur abbildbar sind. Und das sind üblicherweise ca. 70 der 255 möglichen Zustände (A-Z, a-z, 1-0 und ein paar Sonderzeichen). Angreifer wissen das natürlich und können so die Möglichkeiten der Kombinationen für z.B. einen Angriff über das Kennwort sehr stark einschränken.

Die Verschlüsselung
Alle Chiffrierungen sind so konzipiert, dass eine Dechiffrierung nur unter Einsatz massiver Ressourcen möglich ist. Die stehen einem normalen Menschen nicht zur Verfügung.

Zum Chiffrieren von Massendaten werden sogenannte symmetrische Verfahren (Blockchiffrierung) verwendet. Übliche Blockchiffrierungen sind AES, DES, Blowfish oder Twofish.

Es sollte jedem klar sein, dass symmetrische Verfahren nicht wirklich sicher sind. Sie sind lediglich ein Kompromiss hinsichtlich Sicherheit und Ressourceneinsatz (sprich RAM- und Prozessorauslastung) für Chiffrierung/Dechiffrierung.

Sicherheitsbewertung der Verfahren
Diese Angaben sind ohne ein weiterführendes wieso und warum eher als Leitfaden für den Laien zu betrachten.

DES/3DES: Nicht mehr sicher
AES, Rijndael: Bedingt sicher. Es bestehen, zurzeit noch nur theoretisch, Angriffsvektoren
Blowfish: Wie AES
Twofish: Zurzeit das wohl sicherste Verfahren für Blockchiffrierung

Truecrypt bietet Twofish an, also sollte das auch angewendet werden.

Hashing und Kennwörter
An verschiedenen Stellen verlangt Truecrypt die Auswahl eines Hash-Algorithmus. Hashing wird für mehrere Zwecke eingesetzt. Ich will gar nicht weiter darauf eingehen, da es, gelinde gesagt, kompliziert ist.

Ein wichtiger Einsatzzweck jedenfalls ist die sichere Verschleierung von Kennwörtern.

Bezogen auf Truecrypt scheint der Einsatz des vom Benutzer ausgewählten Verfahrens nicht sicherheitsrelevant zu sein, da es laut Doku wohl lediglich zur Fütterung eines Zufallsgenerators angewendet wird. Nun habe ich nicht die Zeit, den Source-Code dahingehend zu analysieren. Wo und wie das für Truecrypt angegebene Kennwort verwaltet wird, ist aus der Doku nicht ersichtlich.
Trotzdem: Sollte jemandem mal der Begriff MD5 unter die Augen kommen sollte klar sein, dass dieses Verfahren nicht mehr sicher ist.

Prinzipiell kann man aber sagen, dass eine Kennwort-basierte Verschlüsselung immer Möglichkeiten für einen Angriff bietet. Denn: In irgendeiner wie auch immer gearteten Form ist das Kennwort für Truecrypt ja gespeichert und steht damit auch für Angreifer zur Verfügung.

Zurück zur Frage, ob Truecrypt sicher ist: Da Truecrypt Open Source ist kann man natürlich leicht feststellen, ob Standards angewendet und eingehalten werden. Dies ist schon mal ein wesentlicher Punkt hinsichtlich Sicherheit. Ich nehme an, dass Truecrypt von vielen Fachleuten unter die Lupe genommen wurde und in dieser Hinsicht alles richtig macht.

Aber: An mehreren Stellen muss ein Benutzer entscheiden, welche Verfahren angewendet werden sollen. Und da kann man viel falsch machen.

Merkt Euch also einfach: Twofish ist gut. MD5 ist schlecht.

Arbeitet an Eurem Kennwort.

Ansonsten ist eine Bewertung der Sicherheit solcher Anwendungen durch Laien gar nicht möglich. Ich habe mich sehr viel mit diesen Themen beschäftigt (berufsbedingt) und habe (gefühlt) auch nur an der Oberfläche gekratzt.

Meine persönliche Meinung: Auch ich hatte früher diverse "Sicherheits-Features" auf meinen Rechnern. Darunter auch Truecrypt. Man muss sich die Frage stellen, in welchen Situationen ich Verschlüsselung überhaupt benötige.

Viren
Da Truecrypt in irgendeiner Form als Laufwerk gemountet wird, ist es ab dem Zeitpunkt auch für Viren transparent. Kein Schutz also.

Verlust/Entwendung des Datenträgers
Hier ist Verschlüsselung mit Sicherheit sinnvoll. Vorausgesetzt, die Daten sollen für andere nicht sichtbar sein. Hierzu ist zu sagen, dass von Truecrypt verschlüsselte Volumes/Dateien/sonstwas natürlich erst recht aufmerksam machen werden.

Ich persönlich halte es so wie mit der gesicherten Klinge eines Klappmessers (Achtung: Metapher): Ich handhabe es so als hätte die Klinge keine Sicherung. Damit ist die Sicherung eigentlich hinfällig. Sprich: Daten solcher Art landen nicht auf exponierten Datenträgern. Na ja. Die Metapher hinkt etwas...

Ganz einfach.

Zum Schluss noch ein paar Lesehinweise:

1. http://%22http//www.amazon.de/…6%22?tag=httpswwwaustr-21
Hier wird die Geschichte der Cryptographie bis zur heutigen Zeit interessant und, wie ich finde, verständlich, beschreiben.

2. The Legion of the Bouncy Castle
Cryptography in Action. Für Java und .NET. Nur für Nerds.

3. http://%22http//www.amazon.de/…X%22?tag=httpswwwaustr-21
Ein echter "Schmöker", der mehrere Generationen umfasst. Spannend und unterhaltsam.

Ganz zum Schluss möchte ich mich für die Länge und etwaige Komplexität des Artikels noch entschuldigen. Ich gebe zu, bei dem Thema IT-Sicherheit geht es immer etwas mit mir durch. Aber: Ich bin der Meinung, dass sich niemand in Sicherheit wiegen darf, nur weil er/sie etwas "verschlüsselt".

Gruß

Helmchen

Ich würde sagen: Wiki-würdig!

Trotzdem bin ich der Meinung, dass wir mal die ganzen IT-relevanten Themen konsolidieren sollten...
Ich schlag das mal im Wunsch-Thread vor

So long,
Sam

Kleines Update zum Thema Datensicherheit:

Mittlerweile hat man herausgefunden, dass TLS (Transport Layer Security) angreifbar ist. Dies beschreibt dieser Artikel auf golem.de.

TLS wird wirklich überall eingesetzt. Insbesondere in der verschlüsselten Kommunikation via Internet (Mail, HTTPS, etc). In der Kritik steht hier RC4 (eine Blockchiffrierung), die verstärkt in TLS zum Einsatz kommt.

Nun ja. Sicherheit adieu...

Aber ich will da jetzt nicht dramatisieren. Ich werde das Internet weiterhin nutzen.