Theorethisch höchst mögliche Sicherheitsstufe für Privatuser

[Razor-Design]

Hallo,

bevor gleich wieder das gejammer losgeht, möcht ich vorneweg klar machen:

Es geht um die theorethisch !!! höchst mögliche Sicherheitsstufe für Privatuser.

Das heißt konkret: Mich interressieren Dinge wie verschlüsselungen, sicherheitstechniken usw. usw. das hat nichts ! damit zu tun das andere lösungen nicht evtl. schon "sicher genug" sind. Ich möchte hier einfach eine Diskussionplattform haben: Was "machbar" wäre ...( einen luftschutzbunker im keller graben und den pc verstecken wäre z.B. in meinen augen nicht "machbar" ) ... Das alles sollte hier also mehr als ein Gedankenexperiment verstanden werden.

Nun etwas konkreter: Es geht mir darum persönliche Daten zu schützen.

Vor wem konkret sollen die Daten geschützt werden ? Vor allen ! "Freunden" ( also evtl. menschen mit direktzugriff an den pc ), andern Inet usern, behörden, der nasa etc.... einfach allen !

Die Ausgangsbasis stellt dabei folgendes Szenario dar:

Der Pc mit den persönlichen Daten wird mittels Trucrypt vollverschlüsselt, innerhalb des verschlüsselten systems wird ein versteckter container angelegt mit einer weiteren verschlüsselung. In beiden fällen wird dabei die dreifache verschlüsselung aes-tworfish-serpent verwendet und ein 30 zeichen langes Passwort mit sondernzeichen, nummern etc.


Wie lässt sich der Schutz weiter erhöhen ? Ein längeres Passwort ? ( bietet aber evtl. auch mehr angriffsfläche ? ) Wie sicher ist AES überhaupt noch ? ( gab demletzt ja auch bei heise ein szenario in dem es geknackt wurde - allerdings hatten die "täter" schon ein paar infos im vorraus die normal nicht ersichtlich gewesen wären ) ... Welche möglichkeiten bieten sich dar - den Schutz zu erweitern ? ( biometrisch ? ) ...

Ich bin einfach mal gespannt was so kommt

 

[firefox888]

Perfect Privacy und Truecrypt fertig.

// Ich zitiere hier mal einen User der Sicher ist.

naja ich kann irgenwie wieder eingermaßen ruhig schlafen seit dem ich Perfect Privacy , einen Eigenen SSH socks5 benutzte, Alles Gecrypter habe. Keine einzige Rohling mehr besitzte, Einen Briefkasten in Neuseeland ( Privatbox.co.nz), Jabber mit SSH, OTR , Verschlüsselter VPS bei 2x4.ru, 3 PreeBoot Passwörter , Verstecktes Truecrypt Betriebsystem (mit dem ich nur ins internet gehe). Eine Starke Firewall, Einen Webhoster der sich mit PSC bezahlen lässt und niemals meine IP Rausgeben würde (welche ja eh Anonym ist), Anonyme UMTS Flatrate (Vodafone SIMKarte, Anonym bestellt), DNS Server in Russland und Einen Security Check von meinem Webhoster habe das ich so Extrem Sicher bin.
Auserdem habe ich jeden Laptop anschluss mit Heiskleber zugeklebt den ich nicht brauche ,den Akku Entladen und Rausgenommen, Selbst was Programiert das mein Windows Vernichtet wenn ich das Kennwort 10 mal Falsch eingebe (Windows Kennwort), Kaspersky auf Heuristische Erkennung, Firewall in den Trainingsmodus, Windows Update Deaktiviert, dafür gesorgt das ICQ, Firefox und Thunderbird nur über SSH funktonieren, Mail Zertfikate usw...

 

[Razor-Design]

Ok das ist ja schonmal ein Anfang / eine gute Basis um die Dikussion in Gang zu bringen

naja ich kann irgenwie wieder eingermaßen ruhig schlafen seit dem ich Perfect Privacy

Die Frage ob PP loggt oder nicht - sei mal dahingestellt, da man hier nur "vertrauen" kann und es keinerlei möglichkeit gibt ein 100 % ja oder nein dafür zu bekommen. Wahrscheinlich loggen sie aber nicht ( trotzdem hat "wahrscheinlich" wenig mit sicherheit zu tun )

Einen Briefkasten in Neuseeland ( Privatbox.co.nz)

Der Sinn eines solchen Briefkasten erschließt sich mir nicht ? Post wird man an die Addresse wohl kaum senden können - und falls doch könnte man den Empfänger ja herrausbekommen ? ( was hinschicken und schauen wer es abholt ? ) - versteh ich nicht wirklich

Jabber mit SSH, OTR

Hier kommts natürlich stark auf die Sicherheit der ssh verbindung drauf an, denn OTR verbindungen lassen sich nur mit anderen User aufbauen die ebenfalls OTR installiert haben , was auf 99,99 % aller icq / messenger user - nicht zutrifft.

Verschlüsselter VPS

Was genau ist eine VPS ? klärt mich bitte auf

PreeBoot Passwörter , Verstecktes Truecrypt Betriebsystem (mit dem ich nur ins internet gehe)

Preboot Passwörter dürften dann ja VOR dem Truecrypt bootloader kommen ? Aber gibt es hier nicht (bei fast jedem mainboard ) masterkeys ? Oder ist das ein alter hinschinken von anno 1800 ?

Eine Starke Firewall

Definiere "stark" ... es gab mal einen ganz guten Test der gezeigt hat wie gering / nichtig der nutzen einer software firewall wirklich ist.

Selbst was Programiert das mein Windows Vernichtet wenn ich das Kennwort 10 mal Falsch eingebe (Windows Kennwort)

Wie genau soll sich das Windows "vernichten" ? Wenn damit ein löschen gemeint ist - so würde dies um windows sicher ! zu löschen - doch eine enorme zeit in anspruch nehmen ?


Wie gesagt es sind ein paar schöne ansätze dabei ( auch wenn die meisten darauf abzielen alleinig sicher zu surfen ). Wenn der Pc bereits läuft, er besuch empfängt , kurz auf die toilette geht - hat der Besuch erstmal vollzugriff ( da alle pw bereits eingegeben und alles bereits gemountet ist ).

Desweiteren stellt sich die Frage ob man auf TC alleine bauen möchte in Punkto datensicherheit. Es gibt immer wieder gerüchte über etwaige sicherheitslücken bzw. geheime backdoors - könnte man dem (Egal wie unwahrscheinlich diese gerüchte auch sind) nicht entgegenwirken in dem man weitere mechanismen einbaut ? z.B. die Preboot verschlüsselungen vor ! dem TC bootloader geht in diese richtung - oder eine weitere möglichkeit gecrypte Containter von TC über eine andere software ? zusätzlich zu sichern ?

 

[firefox888]

PP loggt nicht, wahrscheinlich gibt es hier auch nicht.
Das was PP leistet ist reine selbstinitiative sie verdienen kein Geld daran.

Wegen dem Briefkasten
http://www.anonym-online.net/#post-1
und richtige Adresse
http://www.privatebox.co.nz/

Der meint mit VPS wahrscheinlich eine virtuelle Maschine auf der er DNS sowie Socks installiert hat.

Preebot halte ich für schwachsinn fals es nicht hardwarebasierend sind. Die ganze Software kann von Spezialisten ausgehebelt werden.

Mit firewall meint er wahrscheinlich IPtables die er dank Router firewall frei konfigurieren kann.

Auf der Windows partition ist nicht viel drauf und auf dem PC, wo er Action mit macht braucht man eh nicht mehr als ein paar Programme und das wars.
Die Daten mit nullen zu überschreiben dauert nicht lange.

Es wird ganz sicher keien razzia geben, fals man sein Internet so krass verschlüsselt hat.
Fals dann hat man immer noch die Beine und wenn man deinen hintern nackt sieht, das kann dir doch eigentlich egal sein.

Es ging das gerücht rum, Truecrypt ist nicht mehr sicher blalblabla wenn der PC aus ist, ist man sicher außer dein PC war mit einem speziellem Trojaner bereits infiziert, mit dem ist es dann nämlich möglich zu entschlüsseln.
Darüber gibt es abern nur Theorien und in der Praxis hat das noch nicht funktioniert.
Außerdem wird bei einem User, der so auf sicherheit achtet ganz sicher kein Trojaner eingeschleußt.

 

[infinity_dev]

Wenn der Pc bereits läuft, er besuch empfängt , kurz auf die toilette geht - hat der Besuch erstmal vollzugriff ( da alle pw bereits eingegeben und alles bereits gemountet ist ).

Dafür kann man den Rechner ja sperren und dabei automatisch alle Laufwerke unmounten lassen (z.B. bei Notebooks durch zuklappen) oder eben ausschalten.

z.B. die Preboot verschlüsselungen vor ! dem TC bootloader geht in diese richtung

Was theoretisch funktionieren könnte, wäre eine Verschlüsselung der Platte mittels TrueCrypt und TPM-Chip was dazu führt, dass sich die Platte an keinem anderen Rechner entschlüsseln lässt und selbst wenn wärs auch egal, wegen doppelter Verschlüsselung.

oder eine weitere möglichkeit gecrypte Containter von TC über eine andere software ? zusätzlich zu sichern ?

Wenn du nur softwarebasierte Lösungen einsetzen willst, dann kannst du ja alle Dateien auf der TrueCrypt-Partition nochmal mit z.B. GnuPG verschlüsseln.

Preebot halte ich für schwachsinn fals es nicht hardwarebasierend sind. Die ganze Software kann von Spezialisten ausgehebelt werden.

Hardwareverschlüsselung halte ich für mindestens genauso gefährlich, da es in der Regel keine offene Plattform ist. Folglich kann man nicht nachvollziehen, ob es nicht doch einen Masterkey gibt. Dabei kommt dann sowas raus: http://www.baseline-security.de/downloads/BSC-Qnap_Crypto_Backdoor-CVE-2009-3200.txt

Alle mir bekannten Angriffe auf den Truecrypt Preboot Loader erfordern physikalischen Zugang oder die Installation von Backdoors, lassen sich einigermaßen vermeiden und gelten teilweise auch für Hardwareverschlüsselung:
- Cold Boot Attacke (PC-Versiegelung, Dismounten und RAM überschreiben)
- Keylogger (PC-Versiegelung, Verschlüsselte Tastatur)
- Akustisch-statistische Analyse des getippten Passworts (Zutrittssicherung zum Rechnerraum, sehr theoretisch da noch in der Erforschung)
- Messung der EM-Strahlung der Tastatur (geschirmte Tastatur, geschirmter Raum)
- Stoned-Bootkit (nur als Admin installierbar, immer von CD oder readonly USB-Stick booten)

In dieser Hinsicht kann man lange Diskussionen führen, was sicherer ist. Letztendlich läuft es immer darauf hinaus, wem man mehr vertraut.

Es ging das gerücht rum, Truecrypt ist nicht mehr sicher blalblabla wenn der PC aus ist, ist man sicher außer dein PC war mit einem speziellem Trojaner bereits infiziert, mit dem ist es dann nämlich möglich zu entschlüsseln.
Darüber gibt es abern nur Theorien und in der Praxis hat das noch nicht funktioniert.
Außerdem wird bei einem User, der so auf sicherheit achtet ganz sicher kein Trojaner eingeschleußt.

Die Cold Boot Attacke ist kein Gerücht, sondern eine Tatsache und im Prinzip von jedem durchführbar. Videodemonstration: http://citp.princeton.edu/memory/
Bootkits, die den MBR ersetzen und so ggf. den Schlüssel mitlesen, sind so alt wie der MBR selbst. Der Schreibzugriff darauf ist eine privilegierte Aktion, die nur mit root-Rechten oder physikalischem Zugriff möglich ist.

 

[TheSane]

Das Anwender im Zitat von firefox888 läßt eins ganz klar ausser Acht, die physikalische Sicherheit. Verkleben von irgendwelchen Schnittstellen ist absoluter Humbug und dürfte nur bei schlecht konfigurierten oder bereits belasteten Systemen eine Rolle spielen. Es kann mit normalen Boardmitteln die Verwendung externer Speichermedien verhindert werden und trotzdem zum Beispiel USB als Schnittstelle für Eingabegeräte und Drucker bereitstellen (OS / Bios).
Das Verkleben ist ja nur im ersten Schritt ein Hinderungsgrund Veränderungen an dem System vorzunehmen, die Leute die so scharf darauf sind, werden ein zweites mal wiederkommen und haben dann die passende Lösung dabei.

Wie kann man also physikalische Sicherheit verbessern, zum einen durch Videoüberwachung die ins Internetstreamen und auf ein Handy eine SMS oder ein Snapshot schicken. Die Videoüberwachung ist ja mit billigen Webcams bereits realisierbar bis hin zu Standalonegeräten mit GSM Modul oder sogar Marke Eigenbau. Als nächster Grundstein sollte der PC abschliebar sein, bei BüroPCs Standard, dass ein Vorhängeschloss angebracht werden kann, bei HeimPCs die Seltenheit im Selbstbau. Sicherlich keine wirklich große Hürde, wenn man an Baumarktschlösser verwendet.
Ein Gimmik ist auch recht interessant gegen den schnellen Zugriff, das Netzteil im PC verbauen und über eine Fernschaltung die Stromzufuhr aktivieren, somit ist eine Fernbedienung notwendig zum einschalten, da der PC abgeschlossen ist kann dies nicht in einem kurzen Handgriff umgangen werden.

 

[firefox888]

Hardwareverschlüsselung halte ich für mindestens genauso gefährlich, da es in der Regel keine offene Plattform ist. Folglich kann man nicht nachvollziehen, ob es nicht doch einen Masterkey gibt. Dabei kommt dann sowas raus: http://www.baseline-security.de/downloads/BSC-Qnap_Crypto_Backdoor-CVE-2009-3200.txt

Alle mir bekannten Angriffe auf den Truecrypt Preboot Loader erfordern physikalischen Zugang oder die Installation von Backdoors, lassen sich einigermaßen vermeiden und gelten teilweise auch für Hardwareverschlüsselung:
- Cold Boot Attacke (PC-Versiegelung, Dismounten und RAM überschreiben)
- Keylogger (PC-Versiegelung, Verschlüsselte Tastatur)
- Akustisch-statistische Analyse des getippten Passworts (Zutrittssicherung zum Rechnerraum, sehr theoretisch da noch in der Erforschung)
- Messung der EM-Strahlung der Tastatur (geschirmte Tastatur, geschirmter Raum)
- Stoned-Bootkit (nur als Admin installierbar, immer von CD oder readonly USB-Stick booten)

In dieser Hinsicht kann man lange Diskussionen führen, was sicherer ist. Letztendlich läuft es immer darauf hinaus, wem man mehr vertraut.


Die Cold Boot Attacke ist kein Gerücht, sondern eine Tatsache und im Prinzip von jedem durchführbar. Videodemonstration: http://citp.princeton.edu/memory/
Bootkits, die den MBR ersetzen und so ggf. den Schlüssel mitlesen, sind so alt wie der MBR selbst. Der Schreibzugriff darauf ist eine privilegierte Aktion, die nur mit root-Rechten oder physikalischem Zugriff möglich ist.

Naja da jetzt eine billige Qnap NAS als Beispiel zu nehmen halte ich für ziemlich gefährlich.
Ich ging von Controllern aus, die man auf dem Mainboard anbringt und dort in Verbindung mit der HDD gebracht werden.
Wie das jetzt genau läuft habe ich nicht mehr im Auge, jedoch kosten diese dinger schonmal über mehrere tausend Euro.
Ich hatte gelesen das die auch nur über Cold boot geknackt werden können.
(Je nach qualität halt, Qnap ist ja ein Witz.)

Wenn man ein sauberes System hat, das nicht vorher schon von Trojanern infiziert worden war dann ist das System nur noch mit Cold Boot auszuhebeln.

Jetzt kommt jedoch die Frage ob bei einer Razzia wirklich ein Polizist mit Eisspray in mein Zimmer rast meinen PC versucht aufzukriegen (schloss/Heißkleber und ihn erstmal aus seiner lage zu heben..)
Bis er das teil dann auf hat, sowie mehrere Ram riegel ausgelesen hat vergeht Zeit.
Wenn der PC bereits 5 min aus war dann ist da nichts mehr drauf.
Da kann man sich ganz sicher sein.
Man kann die Zeitspanne indem die Daten auslesbar sind jedoch noch draßtischer verkleinern indem man einfach den schellen Boot bei im Bios ausschaltet, so das der Speicher länger überprüft wird.

 

[etplayer]

da du schon nasa erwähnst und anscheinend enden willst wie fletscher solltest du deinen internetzugang kappen. deinen kabel zum bildschirm dreifach abschirmen, den PC sicher in den keller verfrachten und ihn doppelt abschirmen. die fenster sollten verdunkelt sein, damit niemand von aussen kameras etc. anbringen kann.
deine brille (falls du eine trägst) sollte möglichst entspiegelt sein.

Bitte immer einen starken elektro magneten neben deinem PC liegen lassen!

den kontakt zu deinen freunden solltest du auch abbrechen!! (man kann nie sicher genug sein!)

deinen zweit pc (den du für den zutritt zum intanetz nutzt) höchst möglich abgeschirmte kabel zum monitor und zum intanetz benutzen. die RamRiegel müssen stärker gekühlt werden um den datenverlust in ihnen zu beschleunigen. surfen bitte nur im tor netzwerk!!! In diesem PC...
ach das ist doch blödsinn du kannst soviel machen wie du willst. wenn die nasa (wir sprechen hier tatsächlich von der nasa) bei dir rein will dann schafft sie das.


stello dir einfach ne bescheuerte externe platte dahin verschlüssel die und surf im internet mit eingeschränkten rechten. du kannst als privatperson (ohne einen immensen aufwand) nicht verhindenr das jemand an deine daten kommt.

 

[firefox888]

Sry aber selbst die NASA hat nicht die besten Hacker an ihrer Seite, was meinst du denn wieso sie früher noch so machtlos waren und sowelche Unternehmen erst etwas machen konnten nachdem sie Hacker aus dem Knast angestellt haben?
Nicht einmal die NASA hat so viel Rechenkraft um verschlüsselungen mit einem langem Passwort (ab 30 stellen) zu knacken.

 

[Brokk]

Bitte immer einen starken elektro magneten neben deinem PC liegen lassen!

Das bringt übrigens garnicht. Effektiver wäre eine umgebaute Microwelle

Ich hab meinen Lappie einfach per Truecrypt verschlüsselt. Das reicht mir bei weitem. Wichtige Daten lege ich in einem seperat verstekcten zweifach verschlüsselten Container ab.

 

[blogscreen]

Sry aber selbst die NASA hat nicht die besten Hacker an ihrer Seite,

Wozu braucht die NASA Hacker?
Meint ihr vllt die NSA?

 

[hostile]

@firefox888
wenn man deine beiträge so liest, merkt man, dass du schwerwiegendere probleme hast als deine privatsphäre zu schützen.

gruß
hostile

 

[Razor-Design]

Diese Cold Boot attacks waren mir bisher neu - sehr interessant. Ich hab dazu folgendes Gefunden (bezogen auf windows 7) :

„Cold Boot Attacks“ verhindern


Außerdem werden so genannte Cold Boot Attacks verhindert, also Angriffe, bei denen einzelne RAM-Bausteine ausgelesen und eventuell vorhandene Schlüssel wiederhergestellt werden. Hierfür wird der Benutzer gezwungen, einen Startup-PIN einzugeben oder ein USB-Laufwerk anzugeben, das den Autorisierungs-Schlüssel enthält – und zwar bevor der Computer neu gebootet wird, oder aus dem Ruhezustand wieder hoch gefahren wird. Vergisst der User seine Start-PIN oder verliert er den USB-Schlüssel, kann der Administrator über Active Directory Domain Services per Fernzugriff helfen.

 

[etplayer]

Wozu braucht die NASA Hacker?
Meint ihr vllt die NSA?

im startpost steht da nasa

mir is auch klar das die keine solchen leute beschäftigen, mir gehts aber um die rechenpower und eierköpfe die da arbeiten.


der thread ist total sinnlos hier imo
wenn das ganze wirklich so extrem sein soll wie er sagt soll er mindestens MINDESTENS im gully forum trollen und nicht im hwl.
mit unseren bescheuerten truecrypt normalo methoden kann man nicht das erreichen was er will.

imo ist seine vorstellung schon bisschen dezent übertrieben.
wenn er so angst hat soll er die leitung zum www kappen, alles aufn stück papier speichern und das in nem safe über offener flamme verstauen.

leute mit solchen vorhaben fragen nicht in einem forum wie im hwl nach sowas.

ich frag ja auch nicht nach quantenphysik bei bild online oder?

 

[Razor-Design]

Wie schon (ausdrücklich) im Anfangspost erwähnt geht es weder um mich noch um meinen rechner. Es ist ein Gedanken!experiment - da ich das thema interressant finde ... nicht mehr und nicht weniger. Mein Rechner hängt ganz "normal" im inet

Ich dachte lediglich es gibt hier evtl. ein paar User die sich in Sachen Krypthographie & co ein bisschen auskennen.

 

[paulianer]

Wie schon (ausdrücklich) im Anfangspost erwähnt geht es weder um mich noch um meinen rechner. Es ist ein Gedanken!experiment - da ich das thema interressant finde ... nicht mehr und nicht weniger. Mein Rechner hängt ganz "normal" im inet

Ich dachte lediglich es gibt hier evtl. ein paar User die sich in Sachen Krypthographie & co ein bisschen auskennen.

Ein sehr interessantes Thema ist es auf jeden Fall, haben im Vor-Studium den Bereich angeschnitten und ich lese mich gerade etwas ein. Ich finde es faszinierend, dass man Daten verschlüsseln kann, es aber auch immer möglich ist, diese ohne Code zu entschlüsseln (das passende Know-How, Rechenpower und Jahre an Zeit vorausgesetzt).

Von daher nur weiter!

Generell kann man von richtiger Sicherheit aber nur sprechen, wenn der Rechner vom Internet getrennt ist und in einem hermetisch abgeriegelten Raum steht. Ich denke da z.B. an Banken. Für Privatpersonen wohl nicht machbar.

Vielleicht muss man das aber auch nur anders angehen und eine kleine Ungleichung aufstellen:

Wert der Daten < Aufwand, der betrieben werden muss, um an die Daten zu kommen (Kosten, Zeit, mögliche Strafen (Kriminalität ^^))

Von diesem Aspekt aus wäre es durchaus theoretisch möglich, sichere Daten zu bekommen. Zumindest in soweit sicher, dass es sich kaufmännisch nicht lohnt, die Daten zu knacken und sie so für den Angreifer wertlos werden.

Nur (m)eine Theorie :P


Off-Topic:
Ich persönlich habe überhaupt gar nichts so wichtiges auf dem PC, will jemand meine Uni-Skripte? Bitte, die würde ich sogar auf Anfrage heraus geben

 

[firefox888]

hää ich habe im 3.? Post einen anderen User Zitiert, ich bin nicht so schezophrenim oder wie man das nennt.
Bei mir reicht Perfect Privacy und Truecrypt.

 

[Seikoa]

keinen pc benutzen und alles in ein büchlein schreiben.. xD

man man es gibt so viele ETU - apps (easy to use) mit so vielen tut´s .. selber gucken macht schlau.

aber wie meine vorgänger schon sagten:

Perfect Privacy

Truecrypt

auch noch eine tolle sache ist peerguardian

 

[hostile]

hää ich habe im 3.? Post einen anderen User Zitiert, ich bin nicht so schezophrenim oder wie man das nennt.
Bei mir reicht Perfect Privacy und Truecrypt.

Achso, entschuldigung.

gruß
hostile