Generelle Frage zu Verschlüsselung

[StrammerMax93]

Guten Tag,

ich habe eine generelle Frage zu Verschlüsselungen.
Ich verstehe grob wie es funktioniert - kenne mich aber nicht so gut aus um die folgende Frage beantworten zu können.

Man stelle sich vor man hat eine Festplatte. Auf dieser Festplatte möchte man streng vertrauliche Firmendaten speichern.

1. Schritt: Komplettes Laufwerk mit VeraCrypt AES-Twofish-Serpent verschlüsselt mit SHA-512, Passwort, PIM, Schlüsseldatei.

2. Schritt: Auf dem verschlüsselten Laufwerk einen Container erstellen mit VeraCrypt Serpent-Twofish-AES verschlüsselt mit Whirlpool, Passwort, PIM, Schlüsseldatei.


Die Frage die sich jetzt stellt - bringt der 2. Schritt (theoretisch) eine erhöhte Sicherheit oder funktioniert das technisch nicht so wie ich es mir vorstelle?

Nach meiner Logik müsste der innere Container ja immer noch geschützt sein wenn z.B. SHA 512 irgendwann auffliegt, da er Whirlpool nutzt.


Mir ist auch bewusst, dass zum aktuellen Stand selbst der 1. Schritt schon völlig over the top ist.

 

[alex_k]

Also Du willst zuerst ein komplettes Laufwerk verschlüsseln, und dann auf diesem Laufwerk nochmals einen Container habne, der verschlüsselt ist.

Wenn ich das richtig deute sind die Dtaen in de Container dann quasi "doppelt" geschützt, wenn

- 2 komplett andere Passwörter verwendet werden, sie keinerlei Bezug zueinander haben, ggf sogar unterschiedlich lang sind.
- es in diesem Programm keine Backdoor gibt.

 

[StrammerMax93]

Also Du willst zuerst ein komplettes Laufwerk verschlüsseln, und dann auf diesem Laufwerk nochmals einen Container habne, der verschlüsselt ist.

Wenn ich das richtig deute sind die Dtaen in de Container dann quasi "doppelt" geschützt, wenn

- 2 komplett andere Passwörter verwendet werden, sie keinerlei Bezug zueinander haben, ggf sogar unterschiedlich lang sind.
- es in diesem Programm keine Backdoor gibt.

Genau. Im Container liegen dann die eigentlichen Dateien.

Passwort, Pim, Schlüsseldatei sind völlig unterschiedlich und haben keinerlei Bezug zueinander.

 

[Kord]

bei dem vorhaben aber das backup nicht vergessen.

 

[StrammerMax93]

bei dem vorhaben aber das backup nicht vergessen.

Backup der Dateien?

 

[ghostwriter2]

Ja, bei wichtigen Dateien IMMER ein Backup machen. Wie oft lese ich hier, das ganz wichtige Dateien auf einem Datenträger verloren gegangen sind, und können nicht mehr Wiederhergestellt werden. (z. B. was machst du, wenn die HDD/SSD kaputt geht?)

 

[StrammerMax93]

Ja, bei wichtigen Dateien IMMER ein Backup machen. Wie oft lese ich hier, das ganz wichtige Dateien auf einem Datenträger verloren gegangen sind, und können nicht mehr Wiederhergestellt werden. (z. B. was machst du, wenn die HDD/SSD kaputt geht?)

Keine Sorge - es gibt 2 exakt identische Festplatten um Redundanz zu gewärhleisten.

 

[eklipse]

Entweder AES, Twofish oder Serpent. Für Paranoia eine Kombination aus zwei der vorgenannten. Aber alle drei zusammen sind nicht nötig.
Schritt zwei macht i.d.R. keinen Sinn.

Abgesehen davon stellt sich hier eher/zudem die Frage, auf was für sonstigen (ungesicherten) Rechnern die Daten sonst noch lagern, bzw. Zugriff darauf erfolgt. Es nützt einem nichts, wenn die Daten in 'Sicherheit' liegen, aber alle Nase lang Kopien der Dateien (oder Teile daraus) auf diversen (ungesicherten) Rechnern umhergeistern.

Wenn nur von einem Rechner aus zugegriffen wird, so ist dieser Rechenr ebenfalls zu verschlüsseln. D.h. eine Vollverschlüsselung des Betriebssystems. Alles andere macht bei Paranoia keinen Sinn.


$0.02

 

[BlubbsDE]

Überflüssig. Die Daten sind immer dann unsicher, wenn die HDD gemounted ist und der Container geöffnet. Dann gibt es eben Vollzugriff.

AES ist immer noch nicht knackbar. Eine AES Verschlüsselung reicht aus. Als nur die HDD verschlüsseln ist genau so sicher, wie nachfolgend noch zig weitere Verschlüsselungen vorzunehmen.

 

[StrammerMax93]

Ich habe doch oben gesagt, dass ich weiß dass es over the top ist.
Die Frage war nur ob der 2. Schritt THEORETISCH mehr Sicherheit bringt oder ob das technisch nicht möglich ist.

Dass die Daten bei jedem mount unsicher sind weiß ich auch. Es geht nur darum, dass jemand dem die Festplatte physisch in die Hände fällt damit nichts anfangen kann.

 

[eklipse]

Einfach per AES die Platte verschlüsseln. Damit ist dein Ziel erreicht.
Schritt 2 bringt kein mehr an Sicherheit.

 

[Kord]

@BlubbsDE, eklipse
da verschlüsselung auf wahrscheinlichkeiten basiert bringt jeder weitere schritt mehr sicheheit, sofern ein anderes passwort benutzt wird.

 

[eklipse]

Nein, es bringt nicht mehr Sicherheit.
Selbst wenn man das nicht glauben mag.


Das Spielchen, das er (im Gedanken) veranstaltet ist...
ein als "hinreichend sicher" (Rijndael/AES) geltendes Verfahren und zwei als "hoch-sicher" (Twofish und Serpent) geltende Verfahren in Kaskade anzuwenden. Das was da hinten rauskommt ist für einen unbeteiligten Dritten Datenmüll.

Jetzt herzugehen, und das Verfahren nocheinmal anzuwenden, ist gleichbedeutend mit...
einen Datenmüll / ein Rauschen der Form A in ein Datenmüll / ein Rauchen der Form B umzuwandeln. Eine Formumwandlung ist keine Steigerung von Sicherheit.



Gruß

 

[The Ripper]

natürlich bringt die 2. Ebene mehr Sicherheit.
​Natürlich nur, wenn man durch Knacken der Ebene 1 automatisch auch Ebene 2 knacken kann (selbes Passwort, Passwort nach Ebene 1 einsehbar).

​Nicht mehr Sicherheit bringen würde es nur, wenn man davon ausgeht, dass Ebene 1 bereits 100% unknackbar ist. Dies ist aber eher auszuschließen.

 

[StrammerMax93]

Nach aktuellem technischen Stand finde ich 3-fach kaskadierende Verschlüsselung mit SHA 512, einem sehr sehr langen Passwort, einem PIM der weit überm Standard liegt + mehrere Schlüsseldateien schon ziemlich sicher.

Aber wenn z.B. SHA 512 geknackt werden sollte würde die erste "Hülle" wegfallen.

Und dann bleibt noch die zweite Hülle die mit Whirlpool verschlüsselt ist.

 

[BlubbsDE]

Wenn Deine einfache AES Verschlüsselung geknackt wird, dann hast Du ganz andere Probleme. Theoretisch hat The Ripper wohl recht. Praktisch ist es überflüssig. Immer noch.

 

[StrammerMax93]

Wenn Deine einfache AES Verschlüsselung geknackt wird, dann hast Du ganz andere Probleme. Theoretisch hat The Ripper wohl recht. Praktisch ist es überflüssig. Immer noch.

Mag sein. Aber wenn es die Möglichkeit gibt - wieso sollte man sie nicht nutzen?
Eine Schutzweste mit einer 3 mm Stahleinlage hält vermutlich auch einen Schuss aus - trotzdem nehme ich lieber 5-6 mm um sicher zu sein.

Der Aufwand beim einrichten ist minimal - und die Performanceeinbußen stören mich nicht. Dient ja nur als Backup und wird vielleicht alle 3 Monate mal benutzt.