Hallo
@HolyP,
ich schlage vor du solltest dich eingehender mit der VeraCrypt
Dokumentation befassen, insb. die Abschnitte zu
Plausible Deniability und dem
Volume Header Format. Viele der in diesem Thread fälschlich aufgestellten Aussagen werden dort widerlegt, wenn man sich die entsprechenden Abschnitte aufmerksam durchliest.
Ein mit VeraCrypt verschlüsseltes Volume kann im verschlüsselten Zustand (also ohne Kenntnis des Kennworts) nicht als ein solches erkannt werden, weil sogar der Header selbst verschlüsselt ist. Der einzige nicht verschlüsselte Teil des Headers sind die ersten 64 Bytes, die den
Salt enthalten. Dabei handelt es sich aber auch nur um eine zufällig generierte Zeichenfolge; ist also von sog. "Datenmüll" nicht unterscheidbar. Selbst ein Forensiker kann also - solang er dein Kennwort nicht kennt oder den Algorithmus nicht durch eine Schwachstelle knacken kann - ein VeraCrypt Volume nicht als solches identifizieren. Das gilt übrigens für jede Form von VeraCrypt Volumes, nicht nur für die Hidden Volumes. Den einzigen Vorteil, den ein Hidden Volume dir bringt, ist dass du in einer möglichen Zwangslage (z.B. jemand zwingt dich dazu das Passwort herauszugeben) bei korrekter Anwendung immer noch ein Alibi hast, indem du das "falsche" Passwort offenbarst und den "Erpresser" dadurch möglicherweise zufrieden stimmst, weil er dann glaubt sein Ziel erreicht zu haben.
Ein "Auslagern" des Headers auf ein externes Medium ist also gar nicht erforderlich und würde, wie
@Madman1209 schon korrekt dargelegt hat, gar keinen Zugewinn an Sicherheit bieten. Es würde dir lediglich mehr Arbeit in der Bedienung schaffen, weil du dann jedes Mal den Header von besagtem externen Datenträger laden müsstest.
Es gibt allerdings einige Situationen die darauf hindeuten können, dass ein Datenträger mit VC verschlüsselt wurde. Zum Beispiel:
- Du hast nur deine Datenpartitionen verschlüsselt, nicht aber das OS. Ein potenzieller Angreifer (mit dem Begriff schließe ich Forensiker mit ein) bräuchte dann nur dein System booten und würde sehr wahrscheinlich die installierten VeraCrypt Binaries im Programmverzeichnis finden (sofern diese lokal installiert sind). Das ist zwar immer noch kein Beweis dafür, dass ein bestimmtes Volume auch verschlüsselt ist, aber immerhin ein starkes Indiz. Als Ausrede könntest du dann höchstens das Argument versuchen: "Die Festplatte enthält nur Zufallsdaten, weil ich vorhatte diese zu verkaufen und sie deshalb kürzlich mit einem Wiping-Tool überschrieben habe." Deine Chancen, dass der Forensiker dir die Nummer abnimmt sind aber, milde gesagt, gleich Null.
- Du hast alle Datenträger inkl. der OS-Partition verschlüsselt. Hierbei wird aus Gründen der Bedienbarkeit im Regelfall der VeraCrypt Boot Loader mit installiert. Dabei handelt es sich um ein unverschlüsseltes Binary im ersten Track des Boot Devices. Der Boot Loader ist logischerweise ohne Mühe als solcher zu erkennen und ist somit ein starkes Indiz dafür, dass hier mit VC-Verschlüsselung gearbeitet wurde.
Ich möchte gerne die Frage in den Raum werfen, was genau du mit deiner ursprünglichen Frage zu erreichen versuchst. Die Anwendung von Datenträgerverschlüsselung ist in Deutschland nicht illegal und du kannst z.B. im Falle einer Hausdurchsuchung und Beschlagnahme deiner Hardware von keiner Instanz zur Herausgabe des Passworts gezwungen werden. Die bloße Existenz eines verschlüsselten Datenträgers reicht unter keinen Umständen aus, um dir irgendwas zur Last legen zu können. Solang dir Strafverfolgungsbehörden keine eindeutig illegalen Inhalte nachweisen können, hast du nichts zu befürchten, denn die Beweislast liegt auf deren Seite. Zur Herausgabe des Passworts kannst du auch nicht gezwungen werden, weil du als Beschuldigter grundsätzlich ein Aussageverweigerungsrecht hast.
Das mag in anderen Staaten allerdings anders aussehen. Im Vereinigten Königreich zum Beispiel kannst du im Falle von Ermittlungen dazu verpflichtet werden das Passwort an Strafverfolgungsbehörden herauszugeben, auch wenn du dich damit möglicherweise selbst belasten würdest. Ob man eine solche Gesetzgebung als rechtsstaatlich unbedenklich ansehen möchte, steht auf einem anderen Blatt.
Verabschiede dich von dem Gedanken, dass nur weil jemand Verschlüsselung anwendet, er deshalb irgendwelche illegalen Machenschaften zu verheimlichen hätte. Jeder Mensch hat Geheimnisse, strafbar oder nicht. Und nur weil ich meinen Laptop verschlüssele heißt das noch lange nicht, dass ich unter dem Pseudonym Heisenberg Crystal Meth im Darknet verkaufe. Vielleicht will ich damit auch nur meine privaten Dokumente und Urlaubsfotos vor potenziellen Laptop-Dieben schützen
//edit
Nureinnickname! schrieb:
Warum begrenzt man nicht einfach die möglichen versuche ein Passwort zu Testen auf sagen wir mal 3 und muss dann 1 Stunde warten bis man wieder testen kann? So doof kann doch keiner sein sowas nicht einzubauen. Somit wäre beispielsweise eine Bruteforce attacke nahezu unmöglich.
Es gibt zwar Programme, die solche Funktionen haben; ich weiß dass SafeGuard Easy sowas zumindest damals hatte. Da hat sich bei der Pre-Boot Authentication nach jeder Fehleingabe die Dauer der Tastatursperre verdoppelt. Aber das hält einen technisch versierten Angreifer/Forensiker doch nicht davon ab sein eigenes Tool zum Brute-Forcen zu benutzen. Solange das Volume (Header) Format und die verwendeten Hash- und Encryption-Algorithmen bekannt sind, kann ich doch einfach ein eigenes Cracking-Tool entwickeln, welches diese Eingabebeschränkungen umgeht. Deine vorgeschlagenen Maßnahmen würden allenfalls einen Amateur abschrecken, aber keinen professionellen System Engineer der dafür bezahlt wird Festplattenverschlüsselung zu knacken.
.
.
