VeraCrypt-Verschlüsselung testen

  • Ersteller Ersteller matatagreis
  • Erstellt am Erstellt am
@SI Sun habe ich auch nie gesagt. Man sollte sich immer ganz klar überlegen wie man mit seinen Daten umgeht und was man wie Verschlüsselt. Aber der TE hat sich ja schon einige Gedanken dazu gemacht und wohl eine sehr sichere Verschlüsselung aufgebaut, so das hier das Risiko für seine persönliche Sicherheit wohl höher gewichtet werden sollte als noch mehr digitale Sicherheit.
 
@Marco01_809 Also, ich habe mir den Abschnitt des Gesetzes mal durchgelesen und als IT-ler dürfte ich ja dann automatisch, eben wenn ich nur mein eigenes System damit teste, nicht unter das Gesetz fallen wegen der gutwilligen Nutzung oder?
 
  • Gefällt mir
Reaktionen: Marco01_809
@matatagreis
Solche Fragen solltest du keinen Anonymen / Fremden irgendwo im Internet fragen, sondern einen richtigen Anwalt. ;)

Solange man dich mit einer Straftat mit diesen Tools nicht in Verbindungen bringen kann, ist es auch nicht illegal. Schließlich kann auch jede Privatperson ihr eigenes System testen wollen und muss nicht automatisch terroristische Absichten haben.
 
@SI Sun Da hast du wahrscheinlich recht.

Mich würde noch interessieren, ob es ein portables Programm gibt, mit dem ich einen Linux-Mint Stick erstellen kann? Es gibt ja das Linux Live Programm aber das müsste ich ja installieren und es ist immer ein kleiner Aufwand dann jede Restdatei nach dem Deinstallieren zu entfernen. Bin von daher der Freund von Portabler-Software.
 
@matatagreis
Du kannst mit einem USB-Live-Stick von einem weiteren USB-Live-Stick erstellen, weil ein USB-Live-Stick auch ohne Festplatte alleine im RAM laufen kann.

Einen Live-Stick sollte man grundsätzlich immer haben!

Beispiel:
https://en.wikipedia.org/wiki/List_of_Linux_distributions_that_run_from_RAM
oder
https://www.slant.co/topics/1837/~best-linux-distros-that-run-entirely-in-ram


Du kannst auch das Ganze auch auf die Spitze treiben und ein Tails OS auf deinem USB-Stick haben: https://tails.boum.org/

Da der Staat bzw. der Provider nachgewiesen jeden der den Tor-Browser herunterlädt in einer Datenbank speichert, kannst du, wenn du ganz sicher gehen möchtest, den Tor-Browser herunterladen, darüber Tails OS herunterladen und einen USB-Stick erstellen und über den erstellen Tails-OS-Stick einen weiteren Tails-OS-Stick erstellen, um deine Spuren auf den letzten Bit zu 100% zu verwischen. :p
 
Zuletzt bearbeitet von einem Moderator:
@SI Sun Das ganze wird ja ein richtiger Mission Impossible Akt. :D

Ich erstelle gerade den Mint-Stick und stehe aber vor der Entscheidung, welches Partitionsschema verwendet werden soll. Ich würde jetzt MBR nehmen, weil GPT meines wissens für größere Festplatten sinnvoll ist.
 
Zuletzt bearbeitet von einem Moderator: (Unnötiges Zitat entfernt.)
matatagreis schrieb:
dazu wurde AES, Serpent und TwoFish verschlüsselung gewählt

Bei allem Respekt, aber mit dieser dreifachen Kaskadierung tust du dir keinen Gefallen. Die Hardwarebeschleunigung funktioniert i.d.R. nur für AES, weil heutige CPUs zwar einen integrierten Befehlssatz für AES haben, aber andere Algorithmen davon meist nicht profitieren. Deine CPU wird also AES sehr schnell ver- und entschlüsseln können, aber bei den anderen beiden wird sie ins Rudern geraten. Das merkst du bei dreifacher Kaskadierung daran, dass die Performance in den Keller geht.

Anbei mal ein Beispiel des VeraCrypt Benchmarks bei einer Datenmenge von 200 MiB mit aktivierter Hardwarebeschleunigung auf einem Intel Core i5 6600K bei 4.0 Ghz. Wie du siehst ist AES mit weitem Abstand vorne (wegen der Hardwarebeschleunigung im Durchschnitt bei 4,1 GiB/s), gefolgt von Camellia mit nur 1,5 GiB/s. Deine Dreifachkaskade aus AES/Twofish/Serpent schafft es nur noch auf den 14. Platz mit ganz lausigen 457 MiB/s (das ist im Screenshot leider etwas abgehackt, aber du kannst das auf deinem eigenen System jederzeit testen: VeraCrypt > Tools > Benchmark).

Je nach verwendetem Datenträger bremst du mit dieser Kaskade dein System massiv aus. Bei klassischen Festplatten mag das etwas weniger ins Gewicht fallen, weil dort meist eh irgendwo bei 120 - 140 MB/s Schluss ist, aber wenn du eine SSD oder NVMe damit verschlüsselst, verschenkst du Unmengen an Performance. Das ist so als würdest du einen Trabbi-Motor in einen Porsche stecken.

Praktisch gesehen ist AES alleine nach heutigem Stand der Technik ausreichend sicher, vorausgesetzt du verwendest auch ein sicheres Passwort. Die heute bekannten Angriffsvektoren gegen AES sind rein theoretischer Natur und in der Praxis bisher nicht relevant. Sogar die US-Regierung und deren Militär verwenden diesen Verschlüsselungsstandard für Dokumente mit allerhöchster Geheimhaltungsstufe. Wenn die also auf AES vertrauen, kannst du es erst recht. Ich wage mal zu behaupten dass deine Daten nicht so top-secret sind wie die des Pentagon 😉

Natürlich ist es immer denkbar, dass in naher Zukunft plötzlich doch ein praktikabler Angriff auf AES bekannt werden sollte, aber das halte ich derzeit für unwahrscheinlich. In dem Falle wärst du mit einer Kaskade aus min. 2 verschiedenen Algorithmen natürlich sicherer, aber du musst dann eben auch Abstriche beim Datendurchsatz hinnehmen.

Ergo: Viel viel wichtiger als eine Kaskadierung ist die Wahl eines sicheren Passworts, ggf. ergänzt durch ein Keyfile. Von letzterem solltest du aber mehrere Backups haben (min. 3 Kopien auf verschiedenen Datenträgern), denn wenn du das Keyfile verlierst oder es z.B. wegen Filesystem-Fehlern beschädigt wird, wirst du aus deinem eigenen VeraCrypt-Volume ausgesperrt.
Ergänzung ()

matatagreis schrieb:
Das Passwort hat die maximale mögliche Länge, zufallsgeneriert von Keepass mit allen möglichen Zeichen

An sich keine schlechte Idee, aber auch hier muss dir klar sein: Damit hängt die Sicherheit deines VeraCrypt-Volumes einzig und alleine von der Sicherheit der KeePass Datenbank ab. Es bringt natürlich nichts, wenn dein VC-Passwort ein 64 Zeichen langer Zufallsstring aus Zahlen, Buchstaben, Sonderzeichen ist, aber das Passwort für die KeePass DB "Oma1935" lautet.
 

Anhänge

  • VeraCrypt-Benchmark.png
    VeraCrypt-Benchmark.png
    22,4 KB · Aufrufe: 250
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Marco01_809
@el.com Danke dir, für diese ausführliche Erklärung.

Da ich ja nur einen Stick verschlüsselt habe, würde ich die Geschwindigkeits- bzw. Perfomance einbußen in Kauf nehmen.

Hier würde mich noch interessieren, ob es irgendwelche anderen Nachteile an der dreifachen Kaskadierung gibt. Zum Beispiel, dass der Container sich nicht mehr öffnen lässt oder sowas in die Richtung?

Von den Key-Files hab ich genügend BackUps gemacht.

Danke nochmal für die Antwort.
 
el.com schrieb:
Je nach verwendetem Datenträger bremst du mit dieser Kaskade dein System massiv aus. Bei klassischen Festplatten mag das etwas weniger ins Gewicht fallen, weil dort meist eh irgendwo bei 120 - 140 MB/s Schluss ist, aber wenn du eine SSD oder NVMe damit verschlüsselst, verschenkst du Unmengen an Performance. Das ist so als würdest du einen Trabbi-Motor in einen Porsche stecken.
Für den USB Stick würden "die lausigen 400 MB/s" deiner CPU noch locker reichen. Gerade für NVME SSDs ist VeraCrypt aus Performancesicht (leider) die falsche Wahl da viel zu langsam was alles abseits sequentieller Transfers anbelangt.

matatagreis schrieb:
Hier würde mich noch interessieren, ob es irgendwelche anderen Nachteile an der dreifachen Kaskadierung gibt. Zum Beispiel, dass der Container sich nicht mehr öffnen lässt oder sowas in die Richtung?
Solange du den Header mit deinem Passwort entschlüsseln kannst gibt es keine weiteren Nachteile - aber eben auch keine Vorteile. Dass eine der Verschlüsselungen gebrochen wird ist extrem unwahrscheinlich. Bei einem langen, generierten Passwort mit Sonderzeichen, etc. ist das ebenfalls der Fall.

Die "Schwachstellen" sind dann Angriffe drum herum (Exploit im OS oder Firmware, Überwachung der Eingabe oder Methoden wie sie viele "Helden" in Filmen/Serien einsetzen).
 
Um das Risiko eines Datenverlusts durch Header-Beschädigung zu minimieren, empfiehlt es sich grundsätzlich ein Headerbackup zu erstellen. Zwar schreibt VeraCrypt immer auch ein Headerbackup ans Ende des Volumes, aber noch eine Sicherung getrennt vom Volume zu haben ist immer eine gute Idee. Das machst du in VC über Tools > Backup Volume Header.
Und natürlich solltest du auch von deinen Nutzdaten im Volume immer ein Backup haben. Das gilt ganz unabhängig davon ob der Datenträger verschlüsselt ist oder nicht. Denn auch die beste Verschlüsselung der Welt bringt dir nichts, wenn die Disk kaputt geht.
Ergänzung ()

I'm unknown schrieb:
Gerade für NVME SSDs ist VeraCrypt aus Performancesicht (leider) die falsche Wahl da viel zu langsam was alles abseits sequentieller Transfers anbelangt.

Kann ich ehrlich gesagt nicht bestätigen. Ich habe mein ganzes System mit VC verschlüsselt (inkl. der NVMe und SATA-SSD). Rennt wie Hölle. Auch die OS-Disk. Spürbare Performance-Einbußen habe ich bisher noch nicht merken können.
Anbei mal ein AIDA64 Disk Benchmark auf die NVMe. Die rennt trotz Verschlüsselung ganz gut (allerdings muss ich zugeben, dass ich gerade keinen Vergleichswert habe, wie es ohne Verschlüsselung aussähe).
 

Anhänge

  • AIDA64-Benchmark.png
    AIDA64-Benchmark.png
    20 KB · Aufrufe: 240
Zuletzt bearbeitet:
el.com schrieb:
Anbei mal ein AIDA64 Disk Benchmark auf die NVMe. Die rennt trotz Verschlüsselung ganz gut
Lass mal einen Test mit Atto oder einem anderen Tool laufen welches auch (sehr) kleine Anforderungen sendet. Die Unterschiede sind extrem.
 
Was genau würde mir denn ein Header-BackUp bringen? Und wie kann eine Header-Beschädigung passieren?
 
Der Header steht ganz am Anfang des Volumes und gibt die Formatspezifikation an. Der enthält u.a. auch den verschlüsselten Master Key und andere wichtige Infos zum Entschlüsseln des Volumes. Wenn der beschädigt wird (z.B. weil der Sektor in dem er liegt defekt ist oder er durch fehlerhafte Software oder Anwenderfehler überschrieben wurde), kannst du das Volume nicht mehr mounten. Dafür enthält jedes VC Volume am Ende noch eine Kopie des Headers, um das Original am Anfang der Datei wiederherstellen zu können. Wenn aber auch die Kopie hopps geht (Dateiende beschädigt), ist das Volume irreparabel beschädigt, sofern du vorher kein (externes) Backup davon gemacht hast.
 
Sollte ich dieses BackUp auch verschlüsseln oder reicht es, wenn ich das BackUp einfach wo liegen habe?
 
Das Backup ist bereits automatisch verschlüsselt, weil der gesamte VeraCrypt Header selbst verschlüsselt ist. Zur Entschlüsselung des Headers wird das korrekte Passwort benötigt.
 
matatagreis schrieb:
Was genau würde mir denn ein Header-BackUp bringen?
Das ist in der VeraCrypt Doku alles wunderbar beschrieben - inkl. allem was zu Beachten. Sollte man vor der Verschlüsselung von Daten auf jeden Fall gelesen sowie verstanden haben und noch viel wichtiger: beachten!

Ansonsten ist das Desaster vorprogrammiert. Wenn man die Hinweise umsetzt ist ein VeraCrypt Volume nach meiner Erfahrung nach keinen Deut schlechter bezüglich Datenrettung wie ein unverschlüsseltes Volume!
 
  • Gefällt mir
Reaktionen: el.com
Sahit schrieb:
Passwort (aber schön viele Zeichen inkl. Sonderzeichen usw.)
Wieso eigentlich immer Sonderzeichen?
Wieso ist ein 10 Stellen Passwort mit Sonderzeichen 2#H?$6s/8) eigentlich sicherer gegen Brutforce als eins was nur so aussieht: gk46l039fi ? Oder gar so: 2958406849
Letztere beiden stehen doch auch in keinem Lexikon oder?
 
Zurück
Oben