True-/VeraCrypt noch zu empfehlen? Nachfolger

Dieter_P

@opensourcenomad

Thx, hat für mich etwas mit geändertem Konzept zu tun und das muß ich "5Minuten" sacken lassen um mir darüber klar zu sein ob es was für mich ist.

Das verlinkte Cryptsetup ist auch in der Lage TrueCrypt zu lesen etc. also ist es nicht so löchrig/unsicher da es weiterhin breit angeboten und genutzt wird? Wenn es also kein Problem gibt, warum sollte ich mir dann eins künstlich erzeugen auf falschinterpretation meinerseits.

OpenSourceNomad

@dieter_p said in True-/VeraCrypt noch zu empfehlen? Nachfolger:

also ist es nicht so löchrig/unsicher da es weiterhin breit angeboten und genutzt wird?

Denke eher das ist eine Rückwärtskompatibilität um Leute noch die Chance zu geben ihre Daten aus TC container zu holen.

Truecrypt selber gilt als verbrannt und die TC Lizenz lässt gar keine "sichere" Version zu. Deswegen gab es ja bereits vor Jahren den (lizenzrechtlich fragwürdigen) veracrypt fork, der sich allerdings (zumindest zur Anfangszeit) ebenfalls grobe Schnitzer geleistet hat.

Wie weit es überhaupt sinnstifend ist auf einem defacto unsicheren Betriebssystem wie z.B. Windows sicher verschlüsseln zu wollen ist eine andere Frage.

Die bei Windows mitgelieferte Bitlockerverschlüsselung macht nicht nur gerne von hardware crypto Modulen (die gerne mal backdoors oder bugs enthalten) gebrauch sondern schiebt auch gleich noch den master key zur Entschlüsselung in die cloud damit Tante Erna die "Passwort vergessen" Funktion auch nutzen kann

Dieter_P

@opensourcenomad

verstehe Thx. Dann ist "das Bauchgefühl" sich besser heute von TC zu verabschieden als morgen nicht so falsch.
Denke aber eine Containerlösung die sich als neues Laufwerk in Windows einbindet und als Portable Version mit auf der externen Platte liegen kann, hat schon etwas worauf ich ungern verzichten möchte.
Ob es da viel Auswahl gibt? Eine Freeware/OpenSource Lösung hat ja durchaus etwas für sich wie TC gezeigt hat; wenn es das Produkt bzw. die Entwicklung dazu nicht mehr gibt, bleibt es wenigsten einbindbar um die Daten dort rauszuholen.

BananaJoe

@dieter_p welches / welche Betriebssysteme nutzt du denn? Unter Windows 10/11 ist Bitlocker auch für Wechselmedien schön integriert - Einstecken und der Dialog öffnet sich.

Was nicht "nicht umständlich" geht ist es einen Container z.B. auf einem Netzlaufwerk liegen zu haben.
Aber man leicht virtuelle Festplattendateien anlegen die man per Mausklick mounten kann. Und dann auch wieder Bitlocker aktivieren: https://www.windowscentral.com/how-create-and-set-vhdx-or-vhd-windows-10

Ob Windows 10 Hardware nutzt: TPM Chip nur wenn die Betriebssystemplatte im Spiel ist. Festplatten welche die Verschlüsselung nativ das unterstützen ignoriert Windows schon länger und macht trotzdem sein eigenes Ding.
Und die Keys kannst du in der Cloud speichern, musst du aber nicht.

Das einzige Hindernis ist das Bitlocker nicht bei den Home Versionen dabei ist. Home kann kein Bitlocker erzeugen, aber mounten und dann damit umgehen

Dieter_P

@bananajoe said in True-/VeraCrypt noch zu empfehlen? Nachfolger:

@dieter_p welches / welche Betriebssysteme nutzt du denn?
Überwiegend Windows 10 Pro

Was nicht "nicht umständlich" geht ist es einen Container z.B. auf einem Netzlaufwerk liegen zu haben.
Aber man leicht virtuelle Festplattendateien anlegen die man per Mausklick mounten kann. Und dann auch wieder Bitlocker aktivieren: https://www.windowscentral.com/how-create-and-set-vhdx-or-vhd-windows-10

Danke schaue ich mir an.

Ob Windows 10 Hardware nutzt: TPM Chip nur wenn die Betriebssystemplatte im Spiel ist. Festplatten welche die Verschlüsselung nativ das unterstützen ignoriert Windows schon länger und macht trotzdem sein eigenes Ding.
Und die Keys kannst du in der Cloud speichern, musst du aber nicht.

Letzteres mag ich ja gar nicht. Würde lieber ein längeres/komplexes Passwort verwenden.

Dieter_P

@bananajoe
Danke. Habe das jetzt mal genau durchgeschaut und da habe ich dich/das missverstanden. "Speicherung in der Cloud" ist nur die "Notfalloption für den Key" und braucht man nur wenn das Passwort nicht mehr bekannt ist.

Mmmh, ist eine Alternative und kostenfrei mit Boardmitteln. Das Handling über zB die Datenträgerverwaltung sieht eher umständlich aus aber ich probiere das einfach mal mit einem Testcontainer.

BananaJoe

@dieter_p naja, wenn die Datei .vhdxerst einmal erzeugt ist reicht ja ein rechtsklick da drauf. Oder Doppelklick

Dieter_P

@bananajoe said in True-/VeraCrypt noch zu empfehlen? Nachfolger:

@dieter_p naja, wenn die Datei .vhdxerst einmal erzeugt ist reicht ja ein rechtsklick da drauf. Oder Doppelklick

Der Testcontainer hat viele Punkte geklärt und die Bedienung ist ok für mich. Das ist eine echte Alternative.

Nun stelle ich Bitlocker einem neuen VeraCrypt Container gegenüber da wie schon von @OpenSourceNomad angedeutet die Verzahnung von dem OS mit der Verschlüsselung doch sehr eng bzw. aus einer Hand ist. Ob man dem vertraut oder zeitnah Probleme dadurch erwartet ist sehr spekulativ und hat wohl auch mit der eigenen Einschätzung zur Sicherheit seiner Daten zu tun.

VeraCrypt ist nicht mehr das Neuste, aber wird noch gepflegt. Ist als Portable und für alle OS verfügbar.

Ganz pauschal hatte ich mit MS sicher mehr Probleme in der Vergangenheit als mit VeraCrypt. Nutze MS aber pauschal auch ganz anders und öfters und ein solcher Vergleich ist wohl wenig sinnig.

OpenSourceNomad

@dieter_p said in True-/VeraCrypt noch zu empfehlen? Nachfolger:

Ob man dem vertraut oder zeitnah Probleme dadurch erwartet ist sehr spekulativ und hat wohl auch mit der eigenen Einschätzung zur Sicherheit seiner Daten zu tun.

Wahrscheinlich ist das Kind schon in den Brunnen gefallen wenn man ein closed source OS aus den USA benutzt weil diese den 3-letter-agencies gehörig sein müssen.

Mit Multimeter und Logikanalyzer lassen sich bitlocker keys typischweise aus tpm extrahieren, spezial Hardware ist nicht nötig.

Ein Schelm wer hier denkt die obligatorische Hardware crypto für Windoof 11 ist ein Unsicherheitsfaktor.

Mein letzter (schon in die Jahre gskommener) Stand bzgl. Bitlocker war, dass sowohl Hardware crypto modulen vertraut wird uns diese vorzugsweise verwendet werden (z.B. in SSDs). Grundsätzlich ist das aus Sicherheitsgründen schlecht, weil diese Hardware module (zusätzlich zur Software) bugs und backdoors enthalten kann.
Bzgl. den privaten crypto master key in die cloud (Computer andere Leute) schieben, so war das zumindest eine Zeit lang die standard Einstellung, es benötigte, zumindest damals, ein opt-out damit das nicht passiert.

Grundsätzlich ist halt die Frage was man für ein Sicherheitsniveau will und ob es für einen Vertretbar ist closed source Software zu verwenden welche potentiell immer backdoors enthalten kann.

BananaJoe

@dieter_p ich sag mal so: Warum sollten die sich genau für deine Daten interessieren.
Und es ist halte wie bei einer Verschwörungstheorie üblich (wobei ich damit nicht sagen will das es eine ist): Es werden immer Zweifel geben.

Bitlocker ist - richtig eingesetzt - sicher. (Punkt). Klar, wenn du den Wiederherstellungsschlüssel in der Cloud speicherst könnte es sein das man auf diesen Wege an diesen rankommt.

Bitlocker geknackt ... oftmals mit TPM-Chips (booten ohne das man den Schlüssel eingeben muss) und/oder Eisspray. Das wäre aber bei allen anderen Verfahren ähnlich.

Ich kann mir beim besten willen nicht vorstellen wie man eine Hintertür auf lange Sicht geheim halten will. Gerade die Microsoft-Produkte werden von Sicherheitsforschern in aller Welt bis ins kleinste zerlegt und nach Lücken erforscht, eben gerade weil es Closed-Source ist. Der Skandal wäre für Microsoft viel zu groß.

Und er möge mir verzeihen: OpenSourceNomad hat immer was einzuwenden oder kann die erklären warum wir alle "nicht klug" sind wenn wir etwas einsetzen wie Microsoft oder Sprachassistenten oder das Netzwerk falsch konfiguriert haben.

Dieter_P

Genau wie Du es sagst. Der Ursprung aller meiner Dateien stammt zu 99,9% aus eher unsicheren Quellen oder wandert zu erst über recht offene Systeme. Wenn ich grundsätzlich hiermit ein Problem hätte, dann muß ich anders aggieren.

In erster Linie geht es mir aber um meinen digitalen Aktenschrank, da ich nur noch sehr gering Papier aufbewahre und dann reden wir zu 95% über gescannte PDF-Datein. Auf diese teils persönlichen Dateien muß nicht jeder "Spaßvogel" der eine Maus bedienen kann und zufällig eine meiner externen Festplatten in die Finger bekommt sofort Zugriff haben.

Gegen hohen Aufwand krimmineller Energie möchte ich den Aufwand nicht betreiben und am Ende sichert mich dann für die paar Prozent Restrisiko eine Versicherung im Fall von monitären Schäden.
Eine solche digitale Sammlung zu betreiben und gar nichts in Richtung Sicherheit zu unternehmen, geht für mich im Jahr 2022 nur stark in die Richtung Fahrlässigkeit und das sollte in Zukunft eher öfter zutreffen.

BananaJoe

@dieter_p Bei mir laufen alle Bare-Metal-Server mit Verschlüsselung. Mein File-Server hat 6 Festplatten die alle, inklusive Boot-SSD, mit Bitlocker verschlüsselt sind. Das Backup meiner VMs findet aus einer ebenfalls Bitlocker-Verschlüsselten VM statt. Auch Notebooks etc. sind verschlüsselt, die kann man ja noch schneller verlieren.
Meine VMs muss ich zugeben sind nur zum Teil verschlüsselt weil es sonst das Backup schwer macht (verschlüsselte Daten lassen sich nicht komprimieren oder deduplizieren.) Die Backupziele sind wieder verschlüsselt.

Und zwar genau aus deinem Grund: Damit keiner so ohne weiteres etwas damit etwas anfangen kann wenn er zufällig die Hardware in die Hände bekommt, sei es versehentlich oder wegen Diebstahl. Und nicht weil ich besonders Paranoid bin (die Daten liegen in teilen auch noch mal bei Dropbox, OneDrive und GoogleDrive).

Und da alle CPUs heutzutage das Verschlüsseln im Hintergrund machen gibt es auch keine spürbaren Performanceeinbußen.
Bitlocker mit dem Wiederherstellungsschlüssel halte ich sogar vor einen hervorragenden Plan B, der Zettel mit dem Schlüssel gehört in den Tresor oder auf die Bank

OpenSourceNomad

@bananajoe said in True-/VeraCrypt noch zu empfehlen? Nachfolger:

Und nicht weil ich besonders Paranoid bin

Ich würde sogar sagen eher das Gegenteil.

Beruflich bedingt bin ich bei dieser Thematik zwangsläufig sensibilisiert und dies wird von meinen Kunden auch so verlangt.

Bei mir laufen alle Bare-Metal-Server mit Verschlüsselung. Mein File-Server hat 6 Festplatten die alle, inklusive Boot-SSD, mit Bitlocker verschlüsselt sind

Wenn du ein Auftraggeber bist würde ich sagen: Problem erkannt (Daten unverschlüsselt zu speichern ist 2022 als Firma fahrlässig und rechtlich schon eine dunkelgraue Soße), Ausführung grob mangelhaft. Schulnote 5, durchgefallen.

Als Privatperson ist mit Sicherheit irgendeine (wenn auch noch so unsichere und mit backdoors gespickte) Verschlüsselung besser als keine. Wer Angst hat das die Kleinen die privaten Filmchen zu Gesicht bekommen ist allerdings mit einem verschlüsselten 7-zip archiv sicherer dran als mit einem microsoft bitlocker (ordentliche Passwortkomplexität natürlich vorausgesetzt ).

Natürlich würde ich (rein hypothetisch, da ich keine MS ware einsetze) auch ein open source veracrypt einer ms bitlocker Verschlüsselung vorziehen.

OpenSourceNomad

@bananajoe said in True-/VeraCrypt noch zu empfehlen? Nachfolger:

Bitlocker ist - richtig eingesetzt - sicher. (Punkt)

Ende des Märchens?

Vielleicht hast du den Link genau einem Beitrag über deinem nicht gesehen?

Mit Multimeter und Logikanalyzer lassen sich bitlocker keys typischweise aus tpm extrahieren, spezial Hardware ist nicht nötig.

Da wird aus einem ausgeschalteten Windows Laptop mit aktiver Bitlocker Verschlüsselung der Masterkey extrahiert, was daran ist jetzt genau sicher? Das Amen in der Kirche vielleicht?