Diese Festplatte SSD 4TB Samsung 2,5" SATAIII 860 EVO Basic ist teurer als die andere 4 TB SSD Festplatte. In der Spezifikation ist Verschlüsselung angegeben und zwar 256-Bit-AES. Meine Frage: Wie funktioniert das genau? Wenn ich meine Daten draufkopiere, werden die automatisch verschlüsselt? Und wie wird der Schlüssel hinterlegt? Hat diese Platte Backdoor eingebaut?
Robotiker schrieb: > In der Spezifikation ist > Verschlüsselung angegeben und zwar 256-Bit-AES. In den technischen Daten steht, dass die Platte Hardware-Verschlüsselung mit 256bit unterstützt. Das heißt, das Gerät wo sie eingebaut wird, muss ebenfalls Hardware-Verschlüsselung unterstützen. Aber so ganz unproblematisch ist das Ganze nicht, siehe: https://www.heise.de/security/meldung/Daten-von-einigen-selbstverschluesselnden-SSDs-ohne-Passwort-einsehbar-4212191.html
Prinzip solcher Disks: Die Disk hat intern AES Hardware, und einen (offiziell) nicht von aussen zugänglichen AES Key. Dieser Key wird mit dem externen Schlüssel für die Operationen freigegeben. Die Verschlüsselung ist immer aktiv. Ist kein externer Schlüssel angegeben, wird der stets vorhandene AES Key automatisch freigegeben. Um eine solche Disk komplett zu löschen, muss folglich nur ein neuer AES Key erzeugt und der vorherige gelöscht werden. Die Altdaten sind dann zwar noch drauf, aber nicht mehr entschlüsselbar.
:
Bearbeitet durch User
https://en.wikipedia.org/wiki/Export_of_cryptography_from_the_United_States Südkorea und auch deutschland tanzt nach der Pfeife der...
Robotiker schrieb: > Hat diese Platte Backdoor eingebaut? Vermutlich. Wenn eine solche Festplatte einen ATA-"Security Erase"-Befehl erhält, wird wahrscheinlich der aktuelle Plattenschlüssel asymmetrisch mit einem Schlüssel einer bekannten Drei-Buchstaben-Organisation verschlüsselt und in einem nicht-öffentlichen Teil der Festplatte gespeichert. Als nächstes wird der aktuelle Plattenschlüssel überschrieben. Damit ist sichergestellt, dass die Daten effektiv gelöscht sind, selbst für die Herstellerfirma der Festplatte nicht rekonstruierbar. Mitarbeiter der obigen Organisation, im Besitz des privaten Schlüssels, können den Inhalt jedoch wieder herstellen. Seagate und Western Digital z.B. sind beides Firmen, die im Hoheitsbereich einer Drei-Buchstaben-Organisation angesiedelt sind, die auch mal kreative Problemlösungen generiert. Achtung! Selbstzensur: Alles was Sie oben lesen ist pure Verschwörungstheorie!
Uwe schrieb: > https://en.wikipedia.org/wiki/Export_of_cryptography_from_the_United_States > Südkorea und auch deutschland tanzt nach der Pfeife der... Noch einer von diesen schrägen Querdenkern.
Peter M. schrieb: > Alles was Sie oben lesen ist pure Verschwörungstheorie! ;-) In Zeiten von SSDs verteilt sich das allerdings ein wenig anders. Samsung sitzt in Korea, ADATA in Taiwan, und Ali bietet einen Haufen Nonames aus der Volksrepublik. Ob letztere auch ver- und entschlüsseln weiss ich nicht, aber ganz bestimmt nicht für die 3 Buchstaben.
:
Bearbeitet durch User
Hallo A. K., (prx) A. K. schrieb: > Peter M. schrieb: >> Alles was Sie oben lesen ist pure Verschwörungstheorie! > > ;-) > > In Zeiten von SSDs verteilt sich das allerdings ein wenig anders. > Samsung sitzt in Korea, ADATA in Taiwan, und Ali bietet einen Haufen > Nonames aus der Volksrepublik. Ob letztere auch ver- und entschlüsseln > weiss ich nicht, aber ganz bestimmt nicht für die 3 Buchstaben. Jeder verantwortungsvolle Staat ordnet so etwas an. Das geht auch informell. Nur ist das im Falle der Volksrepublik China natürlich eine andere 3-Buchstaben-Organisation. Disclaimer: Meine Darstellungen zum Thema sind rein fiktionales Erzählgut!
Also mal ganz ehrlich.Wer sich nicht auf Kriminalitaet spezialisiert hat und auf Biegen und Brechen auch der Polizei nicht den Inhalt seiner Festplatte offenlegen will,der nimmt einfach noch das gute alte TrueCrypt(VeraCrypt traue ich nicht...)Vielleicht gibt es es mittlerweile eine Hintertuer,aber zumindest der Nachbar sollte nicht so ohne weiteres in private Angelegenheiten herumschnueffeln koennen. In Irland wird momentan darueber diskutiert,der Polizei das Recht zu geben ,dass Passwort zu verlangen und wer es nicht herausgibt muss mit 5 Jahren Freiheitsstrafe rechnen und zusaetzlich eine Geldstrafe von bis zu 30000€ bezahlen. Eine "Backdoor" spielt da dann keine Rolle mehr.... In Russland,China oder sonstwo wird man wahrscheinlich sowieso so lange einer Tortur unterzogen,bis man freiwillig das Passwort mitteilt. https://www.irishtimes.com/news/crime-and-law/extraordinarily-invasive-concerns-over-proposals-to-allow-garda-demand-passwords-1.4593349
Toxic schrieb: > In Irland wird momentan darueber diskutiert,der Polizei das Recht zu > [...] > einer Tortur unterzogen,bis man freiwillig das Passwort mitteilt. https://imgs.xkcd.com/comics/security.png Das bringt - wenn man vorher etwas Zeit hatte - aber wenig: (prx) A. K. schrieb: > Um eine solche Disk komplett zu löschen, muss folglich nur ein neuer AES > Key erzeugt und der vorherige gelöscht werden. Die Altdaten sind dann > zwar noch drauf, aber nicht mehr entschlüsselbar. Toxic schrieb: > der nimmt einfach noch das gute alte > TrueCrypt(VeraCrypt traue ich nicht...) Ich würde dringend zu VeraCrypt raten.
Peter M. schrieb: > Mitarbeiter der obigen Organisation, im Besitz des privaten Schlüssels, > können den Inhalt jedoch wieder herstellen. Wobei nicht unwichtig ist, gegen wen man sich absichern will. Gegen die 3 Buchstaben, oder gegen jene, der eine Disk in einen Rechner stecken können.
Toxic schrieb: > der nimmt einfach noch das gute alte > TrueCrypt(VeraCrypt traue ich nicht...) Ich glaube mal gelesen zu haben, dass man in TrueCrypt die Existenz eines versteckten Laufwerks ('Hidden Volume') nachweisen kann. Das wäre ungünstig, wenn man gezwungen werden soll, das Passwort zu verraten.
Toxic schrieb: > TrueCrypt ... Besser man setzt sich mit den Algorithmen auseinander und schreibt die Verschlüsselung selbst. Es gibt recht einfache Algorithmen (z. B. AES).
Dussel schrieb: > Ich glaube mal gelesen zu haben, dass man in TrueCrypt die Existenz > eines versteckten Laufwerks ('Hidden Volume') nachweisen kann. Das wäre > ungünstig, wenn man gezwungen werden soll, das Passwort zu verraten. Was soll das sein ein "Hidden Volume"? Weil Windows es nicht anzeigt? Lächerlich - jeder der sich halbwegs mit dem Thema auskennt kann in kürzester Zeit so ein Volume ausfindig machen, man muss nur wissen wo man suchen muss. Es gab mal Ansätze Daten in Bildern oder MP3 zu verstecken, so dass man da jeweils nur alle paar Byte ein einzelnes Bit verändert - sieht/hört man nicht selbst wenn man die Datei anschaut/abspielt. In meinen Augen der einzig halbwegs passable Ansatz Daten zu verstecken. Taugt aber nicht für große Mengen.
Kies schrieb: > Besser man setzt sich mit den Algorithmen auseinander und schreibt die > Verschlüsselung selbst. Als normaler Gebrauchsprogrammierer hilft das aber wahrscheinlich nur gegen jene, die sich nicht wirklich ernsthaft für die Daten interessieren. Es ist nicht ganz einfach, sowas zu schreiben, ohne versehentlich Löcher und Side Channels einzubauen.
Andreas M. schrieb: > eder der sich halbwegs mit dem Thema auskennt kann in > kürzester Zeit so ein Volume ausfindig machen, man muss nur wissen wo > man suchen muss. Auch hier: Gegen wen soll das absichern? Gegen Experten, oder gegen Gelegenheitsdatendiebe.
(prx) A. K. schrieb: > Kies schrieb: >> Besser man setzt sich mit den Algorithmen auseinander und schreibt die >> Verschlüsselung selbst. > > Als normaler Gebrauchsprogrammierer hilft das aber wahrscheinlich nur > gegen jene, die sich nicht wirklich ernsthaft für die Daten > interessieren. Es ist nicht ganz einfach, sowas zu schreiben, ohne > versehentlich Löcher und Side Channels einzubauen. Das ist mir zu allgemein. Welche möglichen Löcher und Side Channels siehst Du? Konkretes Beispiel aus der Praxis? Bleiben wir beim AES: der ist so übersichtlich, dass man ihn fast aus der Wikipedia abschreiben kann. Einzelne Dateien verschlüssele ich mit einem selbstgeschriebenen AES128.
Kies schrieb: > Das ist mir zu allgemein. Welche möglichen Löcher und Side Channels > siehst Du? Nicht so sehr in der Implementierung des AES Algorithmus selbst. Das ist copy-and-paste. Sondern im sicheren Umgang mit den Key.
Andreas M. schrieb: > Was soll das sein ein "Hidden Volume"? Weil Windows es nicht anzeigt? > Lächerlich - jeder der sich halbwegs mit dem Thema auskennt kann in > kürzester Zeit so ein Volume ausfindig machen, man muss nur wissen wo > man suchen muss. Glaubst du ernsthaft, dass ein u.A. durch das BSI geprüftes, OpenSource-Programm einfache Windows-Tricks verwendet, um ein "Hidden Volume" bereit zu stellen? https://de.wikipedia.org/wiki/VeraCrypt#Glaubhafte_Abstreitbarkeit Kies schrieb: > Besser man setzt sich mit den Algorithmen auseinander und schreibt die > Verschlüsselung selbst. Es gibt recht einfache Algorithmen (z. B. AES). Ich zitiere hier auch mal aus Wikipedia: "In einer erst im Dezember 2019 veröffentlichten Sicherheitsuntersuchung der Vorgängersoftware TrueCrypt aus dem Jahr 2010 durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden zahlreiche als sicherheitsrelevant eingestufte Fehler aufgeführt, von denen viele auch in der zur Zeit der Veröffentlichung aktuellen Veracrypt-Version (1.24) noch enthalten gewesen seien. Allerdings sei keine der Schwachstellen einzeln betrachtet dramatisch und wurden einige der Fehler umgehend behoben." Da hängen sicherlich andere Programmierkaliber dran, als es geschätzt 99,99% aller Leute hier sind die sagen "ich kann programmieren". Und wenn selbst denen, bei angeblich solch einfachen Implementierungen, Fehler unterlaufen, will ich nicht wissen, was anderen passiert. Ich traue, gerade in solchen Bereichen, jeder Anwendung die auf OS setzt mehr, als jemand der mit "haben wir selbst gemacht" um die Ecke kommt. Insbesondere wenn es dann noch "security by obscurity" ist. Auch div. Sicherheitslücken haben schon bewiesen, dass hier gerne auch mal Flüchtigkeitsfehler passieren, die die komplette Verschlüsselung leicht knackbar machen. Als Beispiel sei auf die schnelle etwa Heartbleed angeführt. Grundsatz für gute Programmierer: "mach es nicht selbst".
Andreas M. schrieb: > Was soll das sein ein "Hidden Volume"? Weil Windows es nicht anzeigt? > Lächerlich - jeder der sich halbwegs mit dem Thema auskennt kann in > kürzester Zeit so ein Volume ausfindig machen, man muss nur wissen wo > man suchen muss. Tendenziell finde ich es eher lächerlich, ohne Ahnung und ohne sich mal kurz zu informieren etwas als lächerlich zu bezeichnen. Aber klar, das hochgespriesene Truecrypt basiert darauf, dass die Daten im Betriebssystem einfach nicht angezeigt werden. Ein 'Hidden Volume' (wie heißt das auf Deutsch?) ist ein zweites im Container verstecktes verschlüsseltes Laufwerk, das mit einem vom normalen Laufwerk unabhängigen Schlüssel verschlüsselt ist. Da sich verschlüsselte Daten im Normalfall nicht von Zufallsdaten unterscheiden lassen, kann man nicht erkennen, ob im freien Bereich Zufallsdaten oder verschlüsselte Daten liegen.
Hallo Dussel, Dussel schrieb: > Toxic schrieb: >> der nimmt einfach noch das gute alte >> TrueCrypt(VeraCrypt traue ich nicht...) > Ich glaube mal gelesen zu haben, dass man in TrueCrypt die Existenz > eines versteckten Laufwerks ('Hidden Volume') nachweisen kann. Das wäre > ungünstig, wenn man gezwungen werden soll, das Passwort zu verraten. ja natürlich, da steht dann lesbar in einem Sektor: "Ich bin ein hidden volume." :) Dussel, vielleicht liest Du ja einfach mal das Truecrypt-Handbuch, bevor Du solche Ammenmärchen erzählst? Hallo Andreas M., Andreas M. schrieb: > Was soll das sein ein "Hidden Volume"? Weil Windows es nicht anzeigt? > Lächerlich - jeder der sich halbwegs mit dem Thema auskennt kann in > kürzester Zeit so ein Volume ausfindig machen, man muss nur wissen wo > man suchen muss. genauso wie Dussel kennst Du Dich mit dem Thema nicht aus. Bitte stell' Dich in die Ecke, schäm' Dich und pack' die Tränenvase aus, ob des Unsinns, den Du hier verbreitest! Bei solchen Beiträgen zum Thema weiß man nie, ob es nur Dummheit ist, oder gezielte Verunsicherung à la FUD ("fear, uncertainty, doubt").
Peter M. schrieb: > Hallo Dussel, > > Dussel schrieb: >> Toxic schrieb: >>> der nimmt einfach noch das gute alte >>> TrueCrypt(VeraCrypt traue ich nicht...) >> Ich glaube mal gelesen zu haben, dass man in TrueCrypt die Existenz >> eines versteckten Laufwerks ('Hidden Volume') nachweisen kann. Das wäre >> ungünstig, wenn man gezwungen werden soll, das Passwort zu verraten. > > ja natürlich, da steht dann lesbar in einem Sektor: "Ich bin ein hidden > volume." :) > > Dussel, vielleicht liest Du ja einfach mal das Truecrypt-Handbuch, bevor > Du solche Ammenmärchen erzählst? Tja, was soll man dazu sagen, außer dass du deinen Tipp beherzigen solltest: Peter M. schrieb: > Bitte stell' > Dich in die Ecke, schäm' Dich und pack' die Tränenvase aus, ob des > Unsinns, den Du hier verbreitest! Aber der Beitrag hat auch was Gutes, denn ich habe nochmal nach Informationen dazu gesucht: https://www.golem.de/news/veracrypt-und-truecrypt-hidden-volumes-sind-nicht-versteckt-1608-122826.html
Hallo Dussel, Dussel schrieb: >>> Ich glaube mal gelesen zu haben, dass man in TrueCrypt die Existenz >>> eines versteckten Laufwerks ('Hidden Volume') nachweisen kann. Das wäre >>> ungünstig, wenn man gezwungen werden soll, das Passwort zu verraten. > Aber der Beitrag hat auch was Gutes, denn ich habe nochmal nach > Informationen dazu gesucht: > https://www.golem.de/news/veracrypt-und-truecrypt-hidden-volumes-sind-nicht-versteckt-1608-122826.html ich habe Dich zu Unrecht angegriffen! Ganz offensichtlich wurde diese alte Lücke auch nicht beim Truecrypt-Audit gefunden. Man kann zwar ein erzeugtes, verstecktes Laufwerk nicht entschlüsseln, aber offensichtlich gibt es eine numerische Unzulänglichkeit, die die "plausible deniability" für das versteckte Laufwerk aufhebt. Vielen, vielen Dank!
Peter M. schrieb: > ich habe Dich zu Unrecht angegriffen! Also Peter M. schrieb: > Bitte stell' Dich in die Ecke, schäm' Dich ;-)
MEINE Tränenvase ist schon halb voll! :( Darf ICH bitte wieder aus der Ecke raus?
:
Bearbeitet durch User
Robotiker schrieb: > Hat diese Platte Backdoor eingebaut? Ziemlich sicher, aber je nach Land kann es schon eine Straftat sein wenn du deinen Passwort zum Rechner nicht rausrueckst wenn du danach gefragt wirst, AES ist auch "nur" eine symmetrische Verschluesselung, ist zwar schnell aber eben nicht so sicher wie asymmetrische Verschluesselung welche recht langsam ist, das heisst dass in der Praxis nur der schluesselaustausch asym. gemacht wird und danach wird mit symetrischer Verschluesselung gearbeitet wird. Ist alles aber IMO gar nicht relevant fuer Privatanwender, sondern nur fuer Firmen welche aus rechtlichen Gegebenheiten Festplatten etc. verschluesseln muessen. In der Realitaet bekomt man alle Geheimnisse mit sehr guenstigen, einfachen und schnellen "Werkzeugen", wie zB. einer grossen Wasserrohrzange von den Geheimnistraegern: https://xkcd.com/538/ Persoenlich habe ich beschlossen dass ich gar nicht so relevant bin, spare mir das Verschluesseln weil das lesen/schreiben dann auch schneller ist.
:
Bearbeitet durch User
Dussel schrieb: > Aber der Beitrag hat auch was Gutes, denn ich habe nochmal nach > Informationen dazu gesucht: > https://www.golem.de/news/veracrypt-und-truecrypt-hidden-volumes-sind-nicht-versteckt-1608-122826.html Nicht zu vergessen ist, dass man relativ schnell merkt, dass da das Fake-Volume aufgemacht wurde, wenn z.B. Windows erstmal Updates der letzten 3 Jahre zieht. Oder man 5 Minuten braucht um sich an das Passwort zu erinnern...
Dussel schrieb: > Ein 'Hidden Volume' (wie heißt das auf Deutsch?) ist ein zweites im > Container verstecktes verschlüsseltes Laufwerk, das mit einem vom > normalen Laufwerk unabhängigen Schlüssel verschlüsselt ist. Da sich > verschlüsselte Daten im Normalfall nicht von Zufallsdaten unterscheiden > lassen, kann man nicht erkennen, ob im freien Bereich Zufallsdaten oder > verschlüsselte Daten liegen. Genau diese Zufallsdaten sind der Hinweis darauf das dort was versteckt wird. Spätens nachdem man die Belanglosigkeit des Inhalts des äußeren Containers erkannt hat wird der "Behörde" schon ein Weg einfallen das relevante Passwort zu bekommen...
Auch in einem Leeren Bereich der mit Nullen oder was auch immer Gefüllt ist sind die Daten nicht von Zufallszahlen zu unterscheiden, wenn die Verschlüsselung gut ist. Und diese ist bei AES256 etc. gut.
Andreas M. schrieb: > Genau diese Zufallsdaten sind der Hinweis darauf das dort > was versteckt wird. Wo ist jetzt nochmal genau der Hinweis, dass in beliebigen Zufallsdaten irgendwas "versteckt" sein soll? Das könnte dann ja fast unendlich viel sein... Ach ja: vom "unverdächtigen" Laufwerk aus ist der gesamte Bereich zugreifbar, das versteckte Volume wird beim Schreiben in das unverdächtige Lw zerstört. > Spätens nachdem man die Belanglosigkeit > des Inhalts des äußeren Containers erkannt hat Es gilt immer noch: Die wollen was finden? Gib ihn en was... Man sorgt natürlich dafür, dass die Behörde evtl. etwas unbelangloses findet - und hofft, dass die sich ggf. damit zufrieden geben.
Thread beobachten
Seitenaufteilung abschalten
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.