Paranoia und Verschlüsselung

[Deven]

Hallo und guten Abend Tintenzirkel!

Da ich mich zu dem kleinen Teil der Menschheit zählen darf die höchst paranoid sind wenn es um Technik und vor allem um die eigenen Bücher geht möchte ich allen hier anwesenden und speziell denen, die es so wie mir ergeht ein ganz besonderes Programm ans Herz legen. Da dieses weniger ein Autorenprogramm ist war ich mir zunächst unsicher wohin mit diesem Post, entschied mich allerdings letzten Endes für dieses Board. Falls nicht genehm bitte ich um Verzeihung und um die Verlegung dieses Textes.
All diejenigen dessen Interesse geweckt wurden sind herzlich dazu eingeladen sich nun zurück zu lehnen und an ihrem frisch aufgebrühtem Tee zu nippen, der Text wird erfahrungsgemäß alles andere als kurz.

Ich habe ja irgendwie eine Allergie dagegen Texte von mir quasi nackig durch das World-Wide-Web zu versenden, sei es per Mail, Privatnachricht, oder Privatdownload mittels eines Hosters. Inzwischen habe ich allerdings auch ein gewisses Unbehagen bei dem Gedanken, dass eben meine Skripte auch quasi nackig auf meinem Rechner ruhen, wenn man bedenkt wie herrlich einfach es heutzutage ist so ziemlich alles abzugreifen was nicht niet- und nagelfest ist. Ich mag vielleicht zu paranoid sein, allerdings gibt es auch sehr viele Leute die diese Gefahr unterschätzen. Als ich 10 Minuten lang im Besitz eines Windows-Rechners war wusste ich wie ich damit eine Website temporär lahmlege. Ich weiß wie ich mit einer CD und einem Computerbefehl in nahezu jedes Betriebssystem reinkomme um die dort befindlichen Daten abzugreifen. Ich könnte noch bevor die Uhr Mitternacht schlägt (23:19 aktuell) eine, wenn nicht gar zwei, oder drei Phishing-Seiten aufziehen, die Ebay, Amazon und meinetwegen auch dem Tintenzirkel auf die Textgröße gleichen und damit die Zugangsdaten aller User abgreifen die zu der Zeit in dem ich die Seiten betreibe auf die eigentlichen Dienste zugreifen wollen. Weswegen ich mich ja noch immer ernsthaft frage warum so viele Menschen noch immer Online-Banking betreiben. Ich mag vielleicht paranoid sein, aber ich halte die Gefahr für durchaus präsent und will daher kein Risiko eingehen. Auf meiner ewigen Suche nach Möglichkeiten meine sensibelsten Daten zu schützen stieß ich auf das kleine, aber feine Programm ,,Truecrypt". Dieses wurde bis vor einiger Zeit von einem Privatmenschen unterhalten und zählt zu den sichersten Verschlüsselungsprogrammen die es auf der Welt gibt, wenn es nicht sogar das Sicherste ist. Wenn man auch noch bedenkt, dass es kostenlos ist muss sich der Eine oder Andere eine Freudenträne verkneifen. Dieses Programm bietet drei verschiedene Verschlüsselungsmethoden, die man auf Wunsch auch als Kaskadenschaltung verwenden kann, sprich: alle Verschlüsselungen werden hintereinander angewandt. Eine dieser Methoden nennt sich ,,AES" und wird von Regierungen und dem FBI verwendet, aber auch sicherlich vielen mehr, da es eine der sichersten Methoden, aber auch die schnellste Methode Daten zu verschlüsseln. An den beiden anderen hat ein Arbeitsspeicher etwas zu rödeln.

Wer mehr Hintergrundwissen über Truecrypt abholen möchte kann hier weiterlesen, der Rest überspringt diesen Absatz einfach:
Die Entwicklung von Truecrypt wurde mit der Version 7.1a eingestellt. Der Entwickler hat sich von einem Tag auf den anderen verabschiedet mit den Worten ,,Truecrypt ist nicht sicher, benutzt stattdessen lieber Programm ,,xyz". Danach war die Gerüchteküche schön am brodeln und die bislang gängigste und wahrscheinlichste Theorie ist, dass der Entwickler von NSA und Konsorten gemahnt wurde, er solle doch bitte für die Hintertürchen einbauen, da sie die Daten sonst nicht lesen können. Einen ähnlichen Fall gab es bereits, daher ist diese Theorie auch so weit verbreitet. Der Entwickler machte sich auch unglaubwürdig als er auf ein Programm verwies, das nachgewiesenerweise nicht sicher ist, da es für NSA, Microsoft und Konsorten Hintertürchen enthält. Danach hat man also den Quellcode von Truecrypt, das worauf das Programm basiert, in Gänze aufeinandergedröselt und festgestellt, dass das Programm wie seit jeher vermutet, bombensicher ist. Zumindest der Quellcode. Truecrypt 7.1a kann man noch immer für alle gängigen Betriebssysteme von verschiedenen Seiten herunterladen, es gilt als allgemein sicher, auch wenn das bei noch nicht allen Menschen angekommen ist.

Möglichkeiten von Truecrypt:
Truecrypt bietet drei verschiedene Möglichkeiten.

Verschlüsselung von Datenträgern:
Man verschlüsselt einen USB-Stick, eine Festplatte, oder gar den eigenen Computer. Bei jedem Start ist dann das Passwort für die Entschlüsselung erforderlich. Dieses sollte möglichst lang und komplex sein.

Erstellung eines verschlüsselten Containers:
Man erstellt eine Datei. Mit dieser kann der Computer ohne das Programm Truecrypt nichts anfangen. Über Truecrypt wird diese Datei als Datenträger erkannt, gebootet und unter den Laufwerken aufgelistet, so wie ein USB-Stick. Wird der Container gebootet wird man zuerst nach dem Passwort gefragt. Danach kann man den Container mit allerlei Dateien befüllen und die enthaltenen Dateien sichten und bearbeiten. Auch Programme können in den Container importiert und von dort aus verwendet werden.

Erstellung eines unsichtbaren Containers:
Für uns sicher eher nicht die beste Wahl, aber dennoch erwähnenswert. Ein unsichtbarer Container befindet sich in einem sichtbaren Container und kann auch eine andere Art der Verschlüsselung verwenden. Man hat, wie bei der Erstellung eines sichtbaren Containers eine Datei auf dem Computer. Das ist ein sichtbarer Container. Anders allerdings als bei dem normalen sichtbaren Container verfügt dieser über zwei Passwörter. Einer ist für den Zugriff auf den sichtbaren Container, der andere ist für den Zugang auf den unsichtbaren Container. Dieser befindet sich in dem sichtbaren Container. Nun ist Vorstellungsvermögen gefragt. Der Container soll ja unsichtbar sein. Wenn der sichtbare Container eine Größe von 10 Gigabyte Fassungsvermögen hat kann man diesen so weit befüllen bis die 10 Gigabyte verbraucht sind. Genau so wie bei einem USB-Stick. Wenn jetzt aber in diesem sichtbaren Container ein unsichtbarer Container mit einer Speicherkapazität von 2 Gigabyte enthalten sind und das aufgelistet würde, dann würde der unsichtbare Container sofort auffallen. Denn von den angekündigten 10 Gigabyte im sichtbaren Container sind ja nur 8 verwendbar. Daher wird, um die Daten im unsichtbaren Container auch unter allen Umständen geheim zu halten, dieser überschrieben, sobald der sichtbare Container mehr Platz als 8 Gigabyte in Anspruch nimmt, da Truecrypt davon ausgeht, dass man lieber die Daten verliert, als sie irgendwem in die Hände zu geben. Daher für uns Autoren wohl eher weniger die Wahl, ich hätte relativ wenig Interesse daran alle meine Skripte zu verlieren.

Man könnte also einen sichtbaren Container am Computer erstellen und in diesem die eigenen Skripte verwahren und bearbeiten, oder aber, wenn man einen Arbeitsrechner hat, der einzig und allein für die Arbeit des Autors gedacht ist, diesen komplett verschlüsseln. Oder aber wiederum gleich den heimischen Rechner. Truecrypt funktioniert auf allen Windows- Linux- und Apple-Betriebssystemen.
Ein Hinweis:
Versucht man mit dem aktuellen OS X Truecryot zu installieren wird man scheitern, sofern man nicht googelt wie es geht, da Truecrypt ja nicht mehr weiter entwickelt wird und das Programm nicht auf die Versionsnummer von OS X Yosemite klar kommt.

Wem das jetzt zu viel Text war und/oder das eher sehen muss anbei eine Verlinkung zu einer professionellen Erklärung.

https://www.youtube.com/watch?v=XwwiCJrUlGA

Wie steht ihr zu dem ganzen? Würdet ihr eure Skripte verschlüsseln und wegsperren damit da bloß niemand rankommt?

Ein anderes Thema, das meines Erachtens aber auch gut hier reinpasst ist die Verschlüsselung von E-Mails, in unserem Fall vielleicht speziell dann eine Überlegung wert, will man fertige Skripte per Mail von A nach B schicken, da es bereits ungeschriebene Tatsache ist, dass sehr wahrscheinlich jemand bei C mithört und mitschreibt. Eine Methode die mir im Kopf hängen geblieben ist ist die asynchrone Verschlüsselungsmethode mittels PGP (Pretty Good Privacy/ Ziemlich gute Privatsphäre). Diese erlaubt es einem Mails mittels zwei Schlüsseln von A nach B und von B nach A verschlüsselt zu senden. Dies funktioniert wie folgt:

Als Inhaber einer E-Mail-Adresse will man seine E-Mails mitels PGP verschlüsseln. Dies erreicht man indem man in dem hauseigenen Mailprogramm, z.B. Thunderbird, Apple Mail usw. über das zu installierende Add-On ein Verschlüsselungszertifikat erstellt. Dieses benötigt dann das persönliche Passwort zum ver- und entschlüsseln und den öffentlichen Schlüssel, den man an Freunde und Verwandte verschicken kann. Sofern diese ebenfalls über PGP verfügen sind sie in der Lage sämtliche damit verschlüsselten E-Mails zu entschlüsseln, aber auch Mails an einen selbst mit dem öffentlichen Schlüssel zu verschlüsseln (soo viele Schlüssel  ). So wird es für C unmöglich mit zu lesen, da dieser im Regelfall nicht über den öffentlichen Schlüssel verfügt.
Es soll wohl auch Schlüsselserver geben in denen man den eigenen öffentlichen Schlüssel hochladen kann, damit andere Menschen einem auch verschlüsselte E-Mails zukommen lassen können, was ich persönlich für weniger ratsam halte, falls sich ein C darunter befindet, der gerne mitlesen möchte.
Wenn ich mich mal aufgerafft habe mich weiter mit dieser Thematik auseinander zu setzen werde ich mir PGP wohl definitiv zulegen, einfach aus dem Aspekt heraus, dass ich relativ wenig Interesse daran habe, dass irgendein wildfremder Hansel meine Skripte liest wenn ich sie an jemanden schicke der sie mir betaliest.

Wie sieht eure Meinung dazu aus, auch zu Truecrypt, das würde mich mal brennend interessieren. Würdet ihr all diese Vorkehrungen treffen, oder haltet ihr das für zu überspitzt?

Freundlichst,
Linc.

[Volker]

Moin!

Wer paranoid sein/werden will, kann mir einfach eine PN oder Mail senden - ich mache das schließlich beruflich...

Ein ganzganzganzgroßer Haken bei aktueller Festplattenverschlüsselung ist: sie funktioniert. 

Das hört sich erst einmal komisch an, aber wer schon mal ein Passwort vergessen hat: bei Festplattenverschlüsselung hilft dann kein Betteln, kein Flehen, kein Admin, kein Hacker oder Geheimdienst: mit einem ausreichend langen Pass-Satz ausgestattet sind die Daten bei Vergessen futsch.
Gnadenlos sicher.
Auch vor Dir selber.
(auch selber schon mal erfolgreich ausprobiert  )

Für die Nicht-Aluhut-Fraktion ist die Verschlüsselung von Festplatte oder Sticks spätestens dann sinnvoll, wenn Dinge das Haus verlassen. Also: für Laptops, oder Sticks, die man weitergibt oder irgendwo liegenlassen (oder geklaut bekommen) kann. Wenn er Laptop nicht verschlüsselt ist, dann hat der Dieb nicht nur die Stories, sondern auch euren Browser-Cache, eventuell darin gespeicherte Passworte, usw.

Damit Sticks von unterschiedlichen Leuten gelesen werden können, sollte das kompatibel gemacht werden: also im Truecrypt-Format (aktuell also Truecrypt 7.1a, Veracrypt oder tcplay).



Zu den Alternativen bei Festplattenverschlüsselung.

Der aktuelle Nachfolger von Truecrypt heißt "Veracrypt" https://veracrypt.codeplex.com/ und ist komplett kompatibel - und für Windows, Linux und Mac zu haben.

Unter Linux und BSD gibt's zusätzlich das Kommandozeilen-Tool TCPLAY, das auf einer komplett neuen Codebasis sauber und kompatibel aufbaut. Wenn man  Zulucrypt als Oberfläche dazuinstalliert, dann ist das sogar "schick".

Linux kann Verschlüsselung meist schon von Hause aus - die meisten Distributionen bieten eine entsprechende Verschlüsselung bei der Installation mit zur Auswahl an.

Für Windows gibt es mit DiskCryptor https://diskcryptor.net/ eine Alternative zu Truecrypt/Veracrypt, die aber nur unter Windows funktioniert und auch nicht mit TrueCrypt kompatibel ist.

[Ginger]

Lieber Volker,

ich habe mir echt ein paar Tage Gedanken zu Deinem Post gemacht.
Was die Bedrohung angeht, brauchen wir nicht diskutieren. Das sehe ich wie Du. Es ist heute nicht mehr paranoid, wenn man davon ausgeht, dass jederzeit die eigenen Daten abgegriffen werden können und im Zweifelsfall auch werden. Man muss auch kein Freund von Verschwörungstheorien sein, um offenen Auges zu sehen, wohin die globale Überwachung steuert.

Ich selbst habe erlebt, wie meine (frühere) Website- und Facebook von einer Behörde genutzt wurde, um einen Sachverhalt zu konstruieren, der mit der Realität nicht übereinstimmt. Auch wenn da noch andere "Indizien" hinzugekommen sind, darf ich mich mit dem Gesamtkonstrukt seit Jahren gerichtlich herumschlagen.

Aber was mache ich damit?

Meine Autorendaten schütze ich genau so wenig, wie ich auch kein Pfefferspray im Handtäschchen mit mir führe oder an einem Kurs für Selbstverteidigung mitmachen würde. Mental erhöht die Vorbereitung auf Eventualitäten die Wahrscheinlichkeit ihres Eintreffens.

Ich benutze iXquick als Browser, statt Google, habe keine Daten in Clouds und das war es schon. Das ist in etwa wie das routinemäßige Abschließen des Autos oder der Haustür. Obwohl ich auch das manchmal vergesse.

Die Nutzung von immer besseren Programmen zur kompletten Verschlüsselung erinnert mich eher an das Wettrüsten im kalten Krieg. Es gibt meines Erachten nur zwei Wege:

1. Eine mit erheblichem, persönlichen Aufwand betriebene, politische oder von mir aus auch Untergrundaktivität, mit allen Konsequenzen.
2. Ein bewusster Umgang mit den eigenen Daten (Handtasche nicht offen rumliegen lassen, während man in der Bar aufs Klo geht) und ansonsten ein offener, freier Lebensstil ohne mehr als den gegebenen Selbstschutz, den der Menschenverstand so hergibt.

Für mich liegt die Antwort in der Frage des selbst gewählten Lifestyles. In dem Maße, in dem ich meine persönliche Zeit und Fokus auf diese bedrohlichen Dinge lege, geht mir etwas an innerer Freiheit verloren.

Es ist unbefriedigend zu wissen, in welche Richtung sich die Dinge entwickeln und ich denke, es gibt keine richtige Antwort für den Umgang damit. Auch wenn ich trotzig genug bin, mich gegen alles schützen zu wollen, widerstehe ich dem Drang. Denn dann haben sie mich schon, sie beschäftigen meine Gedanken, prägen mein Handeln und liefere damit sogar die Pseudo-Bestätigung, dass sie mit ihrem Handeln das Rechte tun. Ich spreche da von offiziellen Stellen, nicht von Computerkriminalität.

Ich bin aber fest überzeugt, dass es Menschen geben soll und muss, die sich innerlich berufen fühlen, ihr Leben voll in den Kampf gegen diese Entwicklungen zu geben. Das ist dann der Lifestyle dieser Leute und ich bewundere sie und habe Achtung und Respekt vor ihnen.

Das nur mal so angerissen, sicher kann man da ins Detail und in die Tiefe gehen. Will ich aber aus oben genannten Gründen nicht.

Liebe Grüße

Ginger

[pink_paulchen]

Ich arbeite in der IT-Sicherheit und bin ein Nerd, natürlich kenne und nutze ich allerlei Verschlüsselung und freue mich, wenn Krypto-Techniken ihren Weg in die Allgemeinheit finden.
Speziell Truecrypt ist allerdings aktuell ein doofes Beispiel, denn da gab es ja jüngst einen Zwischenfall (von dem man nicht genau weiß, was er war, aber sehr gut ahnen kann, dass es wohl das Einbauen und Aushändigen einer Backdoor an Organisationen gewesen sein müssten), der dazu führt, dass man nur noch alte Versionen benutzen kann, die man allerdings nicht mehr gefixt bekommt.
http://www.chip.de/news/TrueCrypt-nach-dem-Ende-So-nutzen-Sie-es-sicher_70049725.html

[Lakota]

Hallo!

Das Thema ist äußerst interessant, hochaktuell und wird Tag für Tag wichtiger. Ganz offiziell beschafft sich sogar unsere eigene Regierung kleine digitale Agenten, die die Bürger ausspähen können.

Ich weiß von großen Firmen (Bereich Datenbanken), die sehr viel Wert darauf legen, dass ihre Daten vor fremden Augen geschützt werden. Und ich und natürlich die Firmen selbst, wissen, dass der Kampf aussichtslos ist, bestenfalls bieten hochgerüstete Verschlüsselungen einen zeitlichen Vorsprung. Wer etwas von Interesse speichert, der hat ein Interesse geweckt ab dem Moment, wo jemand glaubt, dass da etwas Interessantes zu holen ist. Im moralisch besten Fall sind es böse terroristische Aktivitäten. Mittlerweile darf man aber wohl getrost davon ausgehen, dass alles von Interesse sein kann. Man schnüffelt und sammelt einfach alles und bei Bedarf schaut man sich die Daten genauer an.

Mir wäre der Aufwand für meine Daten zu hoch. Natürlich schmeckt es mir nicht, wenn jemand auf meinem Rechner herumschnüffelt, aber andererseits habe ich nichts zu verheimlichen. Ich muss mir ja schon viel Mühe geben, damit meine Romane für einen Verlag interessant werden. Warum sollte die jemand klauen wollen? Aber selbst wenn, kann man es nicht wirklich verhindern. Einen ersten Entwurf, als Plot oder so, per Einschreiben an sich selbst zu schicken, ist da wohl der sicherste Weg, um zumindest im Nachhinein gegen einen Missbrauch vorzugehen.

Ich glaube, dass meine Romane von jemandem auf digitalem Wege geklaut werden, ist weit unwahrscheinlicher, als dass sie plötzlich weg sind (versehentlich gelöscht, Festplatte gehimmelt, ...) Deshalb speichern sogar bekannte Autoren ihre Schätze in der Cloud. Sie verschlüsseln die Daten natürlich, aber das ist nur zur persönlichen Beruhigung gedacht und nicht für einen wirklichen Schutz geeignet.

Aber ich kann gut verstehen, wenn jemand viel Aufwand treibt, um seine Daten vor fremden Augen zu schützen. Ich frage mich auch oft, warum nudelt die blöde Festplatte da jetzt wieder rum, obwohl ich nichts am PC mache. Da kann man schon ins Grübeln kommen. Paranoid ist man deshalb nicht.

Lakota

[Volker]

Truecrypt ist allerdings aktuell ein doofes Beispiel,

Desderwegen gibt's inzwischen Veracrypt und TCPLAY. Aktuell ist immer noch das Truecrypt-Dateiformat, das beide (wie auch das Original-Truecrypt) .nutzen und das dadurch auch zwischen verschiedenen Betriebssystemen funktioniert.
Beim TrueCrypt-Audit haben die zwar ein paar kleinere Macken gefunden, aber nichts, was die Daten ernsthaft gefährdet. Wegen der fehlenden Weiterentwicklung/Patches sollte man das Original-Truecrypt zwar nicht mehr weiter einsetzen, aber geknackt ist die Verschlüsselung weiterhin nicht.

[Volker]

Meine Autorendaten schütze ich genau so wenig, wie ich auch kein Pfefferspray im Handtäschchen mit mir führe
[...]
routinemäßige Abschließen des Autos oder der Haustür.
[...]
Die Nutzung von immer besseren Programmen zur kompletten Verschlüsselung erinnert mich eher an das Wettrüsten im kalten Krieg.

Wie ich bereits schrieb: es ist sinnvoll die Sachen routinemäßig abzuschließen, die relativ einfach wegkommen können und auf denen sensible Daten liegen. Wenn also auf dem Laptop bleistiftsweise Abrechnungen, persönliche Briefe, Passworte&Logins (im Browser gespeichert? Meist ohne Master-Passwort? Im Mailprogramm?) oder andere Daten hat, auf die andere nicht zugreifen können sollen, dann ist es das einfachste, die Platte komplett zu verschlüsseln. Dann ist zwar vielleicht mal der Laptop geklaut, aber man muss dann nicht allen Logins, Diensten und Banken hinterherlaufen und Passworte/PINs etc. ändern.

Wenn der Laptop nie die heimische Höhle verlässt, dann ist da eine Verschlüsselung nicht nötig.
Wer aber laufend auf Tour ist, der sollte ernsthaft über ein solches Abschließen nachdenken.
Gleiches gilt für Backup-Festplatten, wenn man die beispielsweise auf Arbeit lagert.

Die Plattenvollverschlüsselung hilft nur gegen neugierige Blicke, wenn die Geräte wegkommen. Wenn jemand gezielt an die Daten will, dann macht man das meist anders - aus großenDatensammlungen (Facebook, NSA/BND-Schnorchel, ...) oder über  Angriffe gegen den laufenden (entschlüsselten) Rechner, oder direkt gegen den Nutzer https://www.xkcd.com/538/

Ginger, Du hast recht: eine reine technische Eskalation ist nicht die Lösung. Man muss sich halt schon Gedanken machen, wo man weshalb welche Daten hinterlässt - und die nicht überall herumliegen lassen. Ich habe für mich daher u.a. entschieden, Facebook und Twitter u.ä. nicht zu nutzen, sondern nur ausgewählte Plattformen.

Zum sicheren Umgang mit Daten gehört dann aber auch, dass man die Haustür (und/oder Laptop) abschließt, wenn man geht.

Für weitere Details einfach fragen.