TrueCrypt-Verschlüsselung mit PWD + USB-Stick-ID

#1 Hallo allerseits.

System:
Notebook, Linux Mint 8 (Debian/Ubuntu-Ableger) / ext3 / 500GByte HDD.
Alle Passworte gesetzt: BIOS, HDD, User etc.
TrueCrypt 6.3a
Alle Passworte mehr als 20stellig mit Sonderzeichen etc.pp.

Aus gegebenem Anlass möchte/muss ich ein Notebook besonders sichern.
Genauer gesagt geht es eigentlich nur um eine Datenpartition oder Container (100-250GByte), wobei die Zugriffsgeschwindigkeit zu vernachlässigen ist – es geht primär um die Sicherheit.

Gedacht ist folgendes:
Eine Partition oder Container auf dem Notebook und ein oder zwei Sicherungskopien davon auf externen HDDs im Safe.
Die Partition sollte mittels TrueCrypt quasi unsichtbar und verschlüsselt (alle 3 Crypto-Algorithmen in Kombination) sein: Plausible Deniability!
Natürlich müssen die Sicherungskopien ebenfalls verschlüsselt sein!

Jetzt möchte ich drei (oder mehr) gleiche USB-Memory-Sticks (512-4048MB) kaufen (Verlustgefahr).
Auf allen dreien sollte TrueCrypt installiert werden und evtl. ein zusätzlicher Datenschlüssel.
Auf dem Notebook selber wird KEIN TrueCrypt installiert! Plausible Deniability!

Der Zugriff auf die versteckte und verschlüsselte Partition, bzw. Container sollte nur mittels Password PLUS einem der drei USB-Sticks möglich sein.
Also NUR Password ohne Stick = Kein Zugriff
NUR Stick ohne Password = Kein Zugriff

Es sollte also immer eine Kombination aus meinem Password und einer der drei USB Stick-IDs ODER einem auf ihnen gespeicherten weiteren Datenschlüssel sein der meine verschlüsselten Daten öffnet.

Ich studiere noch das TrueCrypt-Handbuch, bin mir aber noch nicht sicher ob meine Idee so überhaupt machbar ist.

Ich bitte jetzt um Meinungen, Tipps, Verbesserungsvorschläge und evtle. Anleitungen dazu.
Vielleicht geht es ja auch gar nicht mit TrueCrypt und jemandem ist ein ähnliches Programm bekannt mit dem es möglich wäre.
Und ja, diese Datensicherheit IST notwendig! Leider...


Für alle Vorschläge dankbar...
Gruß
OldieTux

#2 Hallo

Du willst, wenn ich dich richtig verstanden habe, eine verschlüsselte HDD (Partition) per Passphrase vom USB-Stick entsperren.

Soweit richtig interpretiert ?

Ob da mit truecrypt geht, weiß ich nicht, es geht aber unter Linux mit luks-aes, aber dazu benötigst du eine separate unverschlüsselte /boot, eine modifizierte initrdram und ein kleines script.
__________
Mfg
schwedenmann

#3 Hallo schwedenmann.

Zitat

schwedenmann postete
Hallo

Du willst, wenn ich dich richtig verstanden habe, eine verschlüsselte HDD (Partition) per Passphrase vom USB-Stick entsperren.

Soweit richtig interpretiert ?

Ob da mit truecrypt geht, weiß ich nicht, es geht aber unter Linux mit luks-aes, aber dazu benötigst du eine separate unverschlüsselte /boot, eine modifizierte initrdram und ein kleines script.

NEIN, ich möchte mit Password/Passphrase PLUS Hardware, in diesem Fall einem USB-Stick entsperren. Und dabei sollte es einer von mehreren USB-Sticks sein, wegen der Verlustgefahr etc.

Im übrigen wäre es kein Problem mit einer Passphrase o.ä. auf einem externen Datenträger unter TrueCrypt zu arbeiten.

Ich möchte oder benötige ZWEI Schlüssel. Einen soften (Password) und einen harten (Einer von 3 USB-Sticks).
Beim harten Schlüssel dachte ich an eine Hardware-Identifikation oder evtl. auch eine weiter Passphrase/weiteres Password.

Hoffe genau genug beschrieben zu haben.

luks-aes sehe ich mir aber mal an.

Gruß
OldieTux

#4 Hallo

Zitat

NEIN, ich möchte mit Password/Passphrase PLUS Hardware, in diesem Fall einem USB-Stick entsperren.

hat natürlich den Nachteil, daß du nur per USB + Passphrase an die Daten kommst !
Gehen die Sticks verloren, oder sind nciht mehr brauchbar, ist Hängne im Schacht. Die Methode Booten per Keyfile von USB ist da besser, wenn gleichzeitig noch das Entsprerren per Paßwort ermöglicht wird.
Ich persönlich, würde mich nicht nur auf USB verlassen, egal wieviele Exemplare ich horte. ichz möchte ev. auch per Linux-Livecd die Partitionen mounten können, was bei dir dann nicht möglich ist.
__________
Mfg
schwedenmann

#5 Hallo schwedenmann.

Zitat

schwedenmann postete
Hallo

Zitat

NEIN, ich möchte mit Password/Passphrase PLUS Hardware, in diesem Fall einem USB-Stick entsperren.

hat natürlich den Nachteil, daß du nur per USB + Passphrase an die Daten kommst !
Gehen die Sticks verloren, oder sind nciht mehr brauchbar, ist Hängne im Schacht. Die Methode Booten per Keyfile von USB ist da besser, wenn gleichzeitig noch das Entsprerren per Paßwort ermöglicht wird.
Ich persönlich, würde mich nicht nur auf USB verlassen, egal wieviele Exemplare ich horte. ichz möchte ev. auch per Linux-Livecd die Partitionen mounten können, was bei dir dann nicht möglich ist.

Wie ich zuvor schon einmal erwähnte ist Datensicherheit, bzw. das "Nichtzugänglichmachen" der Daten auf dem Notebook von absoluter Priorität. Sicherheitskopien gibt es ja in Deutschland im Safe.
Betr. Das verlieren der Sticks. - Deshalb sollen es ja min. drei gleiche USB-Sticks sein. Z.B. einer unauffällig am Mann, einer z.B. im Hotelsafe und einer könnte bei einem Kollegen oder Postlagernd vor Ort liegen.
Sollte das Notebook 'verloren gehen' oder die HD zerstört werden - es geht nur darum das die Daten keinen fremden Personen zugänglich werden.

Geplant ist unter Umständen auch das Entsperren durch zwei Personen.
Hauptsache zwei Schlüssel und, wenn irgendwie möglich, einer davon als Hardware.

Gruß
OldieTux

#6 Hallo OT.

Ich "arbeite" nicht mit True- sondern mit Bestcrypt. Das hat was das Sperr- u. Entsperrmanagement angeht vieleicht in deiner Richtung was zu bieten:

- "Public Key Encryption": http://www.jetico.com/bc8_web_help/html/08_1_new_key_generator/02_PKE.htm

- "Secret Sharing Scheme": http://www.jetico.com/bc8_web_help/html/08_1_new_key_generator/03_SSS.htm

Margot

#7 Ach, hier steht noch was:

"6. BestCrypt Volume Encryption supports hardware tokens Aladdin eToken R2 and PRO as a secure hardware storage for encryption keys. With hardware token users get two levels of protection for encrypted data, because in addition to a password it is necessary to connect a small hardware token where the encryption key is stored."

Betrifft aber eben "BC Volume Encryption", also die Version mittels derer sich auch die Primärpartition verschlüsseln läßt.

Margot

#8 Hi Margot,

danke für den Tipp. Werde mich mal drum kümmern.
War bis vor kurzem noch davon überzeugt das es zu TrueCrypt keine ernsthafte Alternative gäbe. Muss mich jetzt also doch tiefer in die Materie einarbeiten, testen und vergleichen.

Evtl. muss ich ja auch meine/unsere Ansprüche überdenken. Also nicht in Hinsicht auf die Sicherheit, aber vllt. über die Art und Weise wie sie erreicht werden kann.

An TrueCrypt gefallen auf jeden Fall die versteckten Container innerhalb verschlüsselter Volumes (quasi unsichtbar), die Verfügbarkeit sowohl unter Linux als auch Windows und die Möglichkeit das Proggi vom USB-Stick laufen zu lassen. Nicht jeder nutzt Linux/Unix...

Gruß
OldieTux

#9 Hast du schon von IRONKEY gehört?

Ist zwar ein bissen teuer aber hat "mechanische" Verschlüsselung

#10 Moin Boris33.

Zitat

Boris33 postete
Hast du schon von IRONKEY gehört?

Ist zwar ein bissen teuer aber hat "mechanische" Verschlüsselung

Habe zu Thema 'IronKey' gegoogelt.
DIESE Art von Hardware-Sicherheit ist nicht ausreichend!
Schon zu oft wurden externe Datenträger mit angeblich 'sicherer' Verschlüsselung angeboten - um nur wenig später als sicherheitstechnisch unzureichend entlarvt zu werden.
Da sind mir 'offene Systeme' wie TrueCrypt allemal lieber...
Des weiteren reicht mir der angebotene Speicherplatz leider nicht aus.
Wie ich schon früher erwähnte benötige ich zumindest 100 GByte Speicherplatz.

OldieTux

#11 Naja, also prinzipiell lässt sich dein Vorhaben mit TrueCrypt umsetzten. TrueCrypt kann mit Kombinationen aus Passphrase und Keyfile umgehen. Allerdings müsste auf allen drei USB-Sticks die selbe (beliebig ausgewählte) Keyfile gespeichert sein, d.h. du kannst nicht gezielt einen einzelnen USB-Stick von der Nutzung ausschließen (z.B. nach Verlust oder Diebstahl), sondern musst dann eine neue Keyfile auswählen und auf die verbleibenden Sticks verteilen.

Allerdings ist es in den wenigsten Fällen notwendig Kaskaden aus mehreren Algorithmen zu verwenden, da prinzipiell jeder der zur Auswahl stehenden Algorithmen ausreichend sicher ist. Auch macht es wenig Sinn Truecrypt bei einem Notebook nicht fest zu installieren, da der Traveller Mode eigentlich für externe Medien, wie z.B. externe Festplatten, USB-Sticks und DVDs, gedacht ist.

Mit plausible deniability hat weder der Traveller Mode, noch die Verschlüsselungskaskade etwas zu tun, da du die Existenz geheimer Daten damit nicht sinnvoll abstreiten kannst (wie willst du z.B. einem Angreifer klarmachen dass du nur zum Spaß 250GB Datenmüll mit dir herum trägst), da der Container oder die Partition an sich ja sichtbar ist. Plausible deniability meint ja das du die Existenz geheimer Daten Verleugnen kannst. Das kannst du mit TrueCrypt zum Beispiel mit Hilfe von Versteckten Containern erreichen. Das bedeutet dass innerhalb des für alle sichtbaren Containers ein zweiter geheimer versteckt wird, der nur mit passendem Passwort sichtbar wird. Also angenommen du wirst gezwungen Zugriff auf die Daten zu gewähren dann rückst du nur die Passphrase und Keyfile für den äußeren Container raus, der mit wichtig und geheim aussehenden Dateien gefüllt ist und kannst dann behaupten, dass das alles ist und, zumindest in der Theorie, kann dir auch niemand das Gegenteil beweisen.

Gruß

Markus