Hardware basierte Verschlüsselung

[HoneyBadger]

Ich verstehe nicht so recht, warum hier keiner einfach die Frage des TS beantworten möchte und stattdessen viel zu viel Senf dazugibt, der hier gar nicht hergehört.

You do not have permission to view link please Anmelden or Registrieren

Eigentlich kannst du dir recht einfach eine mehr oder weniger hardwarebasierte Verschlüsselung selbst basteln. Dann hast du Sicherheit und gleichzeitig den Nutzen, dass du kein Passwort mehr eingeben musst. Und das Ganze mit einer Lösung der du wahrscheinlich am Ehesten vertrauen kannst und willst.

Es lässt sich recht einfach über z.B. TrueCrypt lösen.
Platte wie gewohnt verschlüsseln. Das Keyfile allerdings auf einem USB-Stick speichern und nicht auf dem Rechner. In TrueCrypt dann einfach den Standardpfad für den Key auf dem Usbstick und das Passwort speichern. Das dann z.B. über einen Shortcut, den du ja auch in TrueCrypt definieren kannst, speichern. Bei Bedarf nur noch den USB-Stick rein und den Shortcut drücken. Fertig. Wenn der Stick nicht drin ist, gibt´s ne Fehlermeldung.

 

[sia]

Seit wann ist TrueCrypt Hardware?
Hardwarebasierte Verschlüsselung ist eine in Chips gegossene Logik oder eine spezielle Firmware in einem abgeschotteten Bereich (ROM).

Hardwareverschlüsselung ist ein Verfahren, bei dem eine Hardwarekomponente (Verschlüsselungshardware) Daten ohne den Einsatz von zusätzlicher Software verschlüsselt.
[...] Die Verschlüsselungshardware wird in diesem Fall zwischen dem Controller und der Festplatte eingebaut und verschlüsselt in Echtzeit die ausgetauschten Signale.

Seit wann ist

You do not have permission to view link please Anmelden or Registrieren

nach dem Fallenlassen des Projekts durch die (undurchsichtigen) Entwickler immer noch sicher?
Wird es denn weiterentwickelt und werden Sicherheitslücken noch gefixt?

Wie ist es mit den Nachfolgeprojekten wie VeraCrypt – gilt für die das Audit von auch noch? (kleine Hilfe: Nein.)

Hast du überhaupt die restlichen Beiträge gelesen? Mein allererster Beitrag spricht schon von

LUKS, ecryptfs oder Bitlocker

...


Ich vertraue übrigens unabhängigen Gutachtern durchaus, wenn sie sich in der Security-Community bereits einen Namen gemacht haben und ihre Sicherheitskonzepte dem Peer Review standhalten. Genauso wie der Hardware – wenn die Sicherheit durch die Firma selbst bestätigt wird, die die Hardware herstellt, kann man darauf nur einen feuchten Furz geben.

Wie auch immer geprüfte und verifizierte Hardwareverschlüsselung ist hier ja out of scope, daher auch mein sarkastischer Kommentar zur China-US-Verschlüsselung und mein vorheriger Hinweis auf geprüfte Hardware-Appliances für Entitäten mit tatsächlichem Sicherheitsbedarf.

 

[HoneyBadger]

@phre4k: Deswegen sagte ich ja mehr oder weniger. Der TS macht auf mich den Eindruck, dass er eine Methode sucht, eine komfortable Verschlüsselung zu erreichen. Wenn es nur darum geht, ist meine vorgeschlagene Variante durchaus eine Möglichkeit, die ihn zum gewünschten Ziel bringt. Das Veracrypt eine Alternative ist, weiß ich wohl. Deswegen war TC auch nur ein Beispiel. Von Bitlocker halten hier im Forum einige herzlich wenig. Begründet wurde das hier und da auch immer mal.

 

[Skipjack]

Ich verstehe nicht so recht, warum hier keiner einfach die Frage des TS beantworten möchte und stattdessen viel zu viel Senf dazugibt, der hier gar nicht hergehört.

Weil der TS die Frage

Und was ist der Use Case (sprich: was willst Du vor wem schützen)?

nicht beantwortet hat.
Ohne das kann man nicht sinnvoll antworten, weil eine mögliche Lösung abhängig von Bedrohung und Schutzbedarf ist.

Dein Vorschlag ist das beste Beispiel. Mag zwar bei (alleinigem) Verlust der Festplatte schützen, wenn aber der USB-Stick mit wegkommt (weil im Rechner steckend) wenig hilfreich.

--- [2015-10-21 09:02 CEST] Automatisch zusammengeführter Beitrag ---

You do not have permission to view link please Anmelden or Registrieren

Mein (hoffentlich) letztes OT in diesem Thread:

"Nettes Produkt, ich kaufe eine fertige Lösung von Firma A" bietet eben mehr realistische Einfallstore, als eine Lösung, wo ich die Möglichkeit habe, die Komponenten von Leuten zusammenschrauben zu lassen, die ich kenne, denen ich vertraue bzw denen ich am wenigsten misstraue.

Ist leider unrealistisch, da die Leute, die Du kennst und denen Du am wenigsten misstraust keine HW Sicherheitslösungen bauen können. Ist ja nicht, wie beim lokalen PC-Shop, der die Rechner auf Anfrage selber zusammenbaut. Ein Modul mit Algorithmen, die aus Performancegründen ggf. in HW gegossen sind, passender Firmware für die eigentlichen Services und Tamper-Schutz für den Schlüsselspeicher steckst Du wohl kaum mal eben so aus "Standardkomponenten" zusammen.

Ich würde aber gerne an einer generellen Diskussion zum Thema sichere Verschlüsselung auf hardware Basis teilnehmen. Mach einen auf und ich bin dabei. Ich bin selbst an möglichst vielen Informationen zu diesem Thema interessiert.

Mach Du einen auf, wenn Du noch etwas wissen möchtest. Dann kann ich schauen, welche Informationen ich geben kann.

 

[sia]

Man könnte ja meinen, dass etablierte und seriöse Unternehmen wie Western Digital eine verschlüsselnde HDD hin bekommen, oder?

Falsch.

You do not have permission to view link please Anmelden or Registrieren

 

[Pleitgengeier]

Seit wann ist

You do not have permission to view link please Anmelden or Registrieren

nach dem Fallenlassen des Projekts durch die (undurchsichtigen) Entwickler immer noch sicher?
Wird es denn weiterentwickelt und werden Sicherheitslücken noch gefixt?

Es gibt ein Audit, dass bestätigt dass 7.1a keine groben Probleme hat - damit ist es vermutlich die sicherste Software die für Privatanwender verfügbar ist.

Nur weil die Entwickler "überzeugt wurden", die Arbeiten einzustellen, wird dadurch die geprüfte Version nicht rückwirkend unsicher.

 

[mathmos]

Es gibt ein Audit, dass bestätigt dass 7.1a keine groben Probleme hat - damit ist es vermutlich die sicherste Software die für Privatanwender verfügbar ist.

Zwischenzeitlich wurden zwei Schwachstellen gefunden.

You do not have permission to view link please Anmelden or Registrieren

You do not have permission to view link please Anmelden or Registrieren

Nur weil die Entwickler "überzeugt wurden", die Arbeiten einzustellen, wird dadurch die geprüfte Version nicht rückwirkend unsicher.

Da die letzte Version von TruCrypt 2012 veröffentlicht wurde und das Projekt 2014 eingestellt wurde, würde ich eher vermuten, dass die Entwickler keine Lust mehr hatten.

 

[mathmos]

Betrifft jetzt nicht die vom TS angesprochenen Module sondern Platten mit integrierter Verschlüsselung, aber Hardware ist Hardware.

You do not have permission to view link please Anmelden or Registrieren

Edit: Hat phre4k ja schon gepostet. Naja dann halt noch einmal in deutscher Sprache.

 

[Pleitgengeier]

Zwischenzeitlich wurden zwei Schwachstellen gefunden.

You do not have permission to view link please Anmelden or Registrieren

You do not have permission to view link please Anmelden or Registrieren

Sind das nicht eher Windows-Exploits als Truecrypt-Bugs?

 

[Rakorium-M]

Das sind zumindest keine Schwachstellen in der eigentlichen Verschlüsselung, sondern im Truecrypt-Treiber. Diese erlauben es (vereinfacht gesagt) Usern ohne Admin-Rechte, Programme mit Adminrechten auszuführen (genauer: Systemrechte). Die Sicherheit der Daten wird dabei nicht direkt gefährdet, nur eben die des Systems.
Ausgenutzt werden kann das von jedem, der Zugriff auf die Truecrypt-Installation hat - bringt also nur etwas, wenn ein Angreifer ohnehin schon einen Nicht-Admin-Account auf dem PC hat.

Möglicherweise könnten die Schwachstellen noch verwendet werden, um die UAC auszuhebeln.

 

[HoneyBadger]

Da ich kein konkretes Produkt kenne, habe ich ja hier gefragt ob einer Mit derartigen Produkten Erfahrung hat.
Dann läuft es eben auf eine rein Software basierten Lösung raus.

Da der TS offensichtlich nach diesem Post nicht mehr großartig auf das Thema eingegangen ist, dennoch regulär im Board aktiv ist, gehe ich mal davon aus, dass es da keinen Handlungsbedarf mehr gibt. Macht es unter diesem Umständen überhaupt noch groß Sinn, darauf einzugehen und zu diskutieren??