WinFuture-Forum.de: VeraCrypt Vollverschlüsselung: Unsicher durch Backups? - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
  • 2 Seiten +
  • 1
  • 2

VeraCrypt Vollverschlüsselung: Unsicher durch Backups?

#1 Mitglied ist offline   j.greil 

  • Gruppe: aktive Mitglieder
  • Beiträge: 94
  • Beigetreten: 27. Mai 05
  • Reputation: 0

geschrieben 02. November 2017 - 17:27

Hallo,

ich benutze bei einem Laptop mit sensiblen Daten die VeraCrypt Vollverschlüsselung. Wenn das ausgeschaltete Gerät jemand stiehlt, dann halte ich das für halbwegs sicher, dass derjenige am Boot Passwort nicht vorbeikommt und auch sonst keine Daten extrahieren kann.

Wie genau ist das jetzt aber bei Backups? Macht man sich dadurch evtl. aufwändig erkämpfte Verschlüsselung nutzlos?

Also ich plane den Laptop komplett (inkrementell nicht zwingend notwendig) automatisiert jede Woche auf ein NAS sichern zu lassen (z.B. per Acronis True Image oder Veeam Agent for Windows). Damit so ein Backup funktioniert, muss der Laptop ja bis ins Windows gestartet sein und die Daten sind somit zu dem Zeitpunkt ja entschlüsselt, sonst würde Windows selbst ja nicht mal starten können. Vermutlich werden die Daten somit auch komplett unverschlüsselt ins Backup File auf der NAS geschrieben, oder?

Es ist jetzt eher unwahrscheinlich, dass die NAS jemand stiehlt, dennoch fände ich es extrem negativ, wenn der Laptop selbst verschlüsselt ist, aber man dann selbst regelmäßig unverschlüsselte Sicherheitskopien erzeugt. Nicht gerade förderlich.

Also ich denke mal, wenn das Backup jemandem in die Hände fällt und der restored es, dann kommt vielleicht sogar die Aufforderung zum Eingeben des Boot Passworts (da 1:1 Kopie), aber mit gewissen Tools können doch dann wahrscheinlich relativ einfach die ganzen Dateien aus dem Backup File extrahiert werden, da dieses ja eigentlich von unverachlüsselten Daten erzeugt wurde, oder?

Wie seht ihr das und gibt es irgendeinen sicheren Weg, wie man von verschlüsselten PCs auch wirklich verschlüs
0

Anzeige

#2 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 7.912
  • Beigetreten: 20. Juli 07
  • Reputation: 871

geschrieben 02. November 2017 - 18:17

Backups sind unverschlüsselt, ja. Deswegen packt man die auch gut weg.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#3 Mitglied ist offline   timmy 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.790
  • Beigetreten: 24. Juni 05
  • Reputation: 118

geschrieben 02. November 2017 - 18:21

Du kannst mit Acronis auch verschlüsselte Backups erstellen, dann wäre das Problem gelöst.
Meines Wissens nach kann man in den Einstellungen auch das Passwort zum verschlüsseln speichern, so das ein automatisches Backup funktionieren würde.
0

#4 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 7.912
  • Beigetreten: 20. Juli 07
  • Reputation: 871

geschrieben 02. November 2017 - 18:51

Dann ist aber das Backup verschlüsselt. Die Daten werden aber als Dateien gesichert. Sinngemäß: Daten auf Platte(verschlüsselt) => Backup-Prozeß liest diese aus => entschlüsselt sie dabei => schreibt sie ins Backup => verschlüsselt sie dabei wieder (optional). Oder anders gesagt, die physikalischen Daten auf der Festplatte unterscheiden sich nachher von den physikalischen Daten auf dem Backupmedium, auch wenn beide (hoffentlich) zu identischen Daten dechiffriert werden können.

Immerhin geht es darum, das Backup in Zweifel wiederherstellen zu können und wenn das nicht geht wegen Verschlüsselung... dann schießt man sich selbst ins Knie.

Solche Backups gehören deshalb gut aufbewahrt, ggf in den Tresor, je nachdem, wie interessant die Daten darin waren.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#5 Mitglied ist offline   j.greil 

  • Gruppe: aktive Mitglieder
  • Beiträge: 94
  • Beigetreten: 27. Mai 05
  • Reputation: 0

geschrieben 03. November 2017 - 14:42

Ich denke, dann wird es am sichersten sein, wenn ich einen VeraCrypt Container auf der NAS ablege und diesen nur vor dem Backup öffne und auf ein lokales Laufwerk mounte.
Dieses Laufwerk gebe ich dann als Backup-Ziel an. Nach dem Backup schließe ich den VeraCrypt Container wieder.
Die Daten sollten somit nie unverschlüsselt auf der NAS liegen, richtig?
Oder seht ihr irgendwelche anderen Nachteile bei dieser Lösung?
0

#6 Mitglied ist offline   timmy 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.790
  • Beigetreten: 24. Juni 05
  • Reputation: 118

geschrieben 03. November 2017 - 16:14

Ich bin mit VeraCrypt nicht so vertraut.
Aber wenn dein Rechner mal komplett abschmiert und du z.B. mit Acronis das Image erstellt hast, müsstest du den Rechner ja mit dem Acronis-Notfallmedium öffnen. Wie bekommt man dann den VeraCrypt-Container geöffnet?
0

#7 Mitglied ist offline   j.greil 

  • Gruppe: aktive Mitglieder
  • Beiträge: 94
  • Beigetreten: 27. Mai 05
  • Reputation: 0

geschrieben 03. November 2017 - 16:15

Den Container kann man auch auf jedem anderen PC öffnen, so lange man das Kennwort kennt.
0

#8 Mitglied ist offline   d4rkn3ss4ev3r 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.983
  • Beigetreten: 03. Januar 09
  • Reputation: 510

geschrieben 03. November 2017 - 23:43

Aber auch nur insofern der Container nicht beschädigt ist.
"Jene, die grundlegende Freiheit aufgeben würden, um eine geringe vorübergehende Sicherheit zu erwerben,
verdienen weder Freiheit noch Sicherheit." (Benjamin Franklin)


ACTA] | IPRED | SOPA | PIPA | CISPA | INDECT | TPP | TAFTA | Stop CETA + Stop TTIP
> Mein Hells Toolbox CMD Script <
Powered by Goanna
0

#9 Mitglied ist offline   j.greil 

  • Gruppe: aktive Mitglieder
  • Beiträge: 94
  • Beigetreten: 27. Mai 05
  • Reputation: 0

geschrieben 05. November 2017 - 10:20

Es gibt ja Backup Produkte / Tools mit denen man die Systemplatte 1:1 klonen kann. Wenn ich das mache und das Backup Wiederherstelle, dann müsste die VeraCrypt Verchlüsselung ja noch aktiv sein, oder?

Aber so einen 1:1 Klon kann man vermutlich von der Systemplatte nicht machen, während Windows gestartet ist, da wahrscheinlich exklusiver Zugriff vom Backup Tool benötigt wird. Also vermutlich nur über Boot Stick oder so möglich.
Oder gibts irgendein Produkt, welches die Systemplatte während des Windows-Betriebs 1:1 sichern kann?
0

#10 Mitglied ist offline   d4rkn3ss4ev3r 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.983
  • Beigetreten: 03. Januar 09
  • Reputation: 510

geschrieben 05. November 2017 - 10:49

Ich glaub du solltest besser die Verschlüsselung sein lassen.
"Jene, die grundlegende Freiheit aufgeben würden, um eine geringe vorübergehende Sicherheit zu erwerben,
verdienen weder Freiheit noch Sicherheit." (Benjamin Franklin)


ACTA] | IPRED | SOPA | PIPA | CISPA | INDECT | TPP | TAFTA | Stop CETA + Stop TTIP
> Mein Hells Toolbox CMD Script <
Powered by Goanna
0

#11 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 7.912
  • Beigetreten: 20. Juli 07
  • Reputation: 871

geschrieben 05. November 2017 - 10:53

Was spricht denn dagegen, das NAS selber zu verschlüsseln? Also da, wo die Backups hingeschrieben werden.

Wenn die Daten tatsächlich so kritisch sind: Hast Du schonmal grundsätzlich überlegt, ob diese Daten dann nicht grundsätzlich vom Laptop fernbleiben können? Zugriffe wären dann ggf via VPN odergleichen zu regeln.

Denn wenn das so kritisch ist, wie das unterschwellig durchscheint, dann sind die Daten nur durch die Tatsache, daß sie sich überhaupt erstmal auf dem Laptop befinden, bereits gefährdet. Klaut ihn jemand, hat er alle Zeit der Welt, auf die vor Ort gespeicherten Daten zuzugreifen; der Aufwand beschränkt sich dann auf die Entschlüsselung und die Frage ist nur noch, in welchem Zeitfenster man akzeptieren kann, daß die Daten entschlüsselt und gelesen werden können (nicht "ob", sondern "wann").

Außerdem sei an dieser Stelle noch angemerkt - als Prüfpunkt --- daß ein Boot-Paßwort nur dann etwas taugt, wenn ein TPM verwendet wird, unter der Maßgabe, daß dieses (noch) nicht ausgelesen werden kann (wobei ich mir einbilde, irgendwas in dieser Richtung irgendwo gelesen zu haben). Ohne TPM reicht es, die Batterie für eine Weile rauszunehmen.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#12 Mitglied ist offline   j.greil 

  • Gruppe: aktive Mitglieder
  • Beiträge: 94
  • Beigetreten: 27. Mai 05
  • Reputation: 0

geschrieben 05. November 2017 - 11:27

Beitrag anzeigenZitat (d4rkn3ss4ev3r: 05. November 2017 - 10:49)

Ich glaub du solltest besser die Verschlüsselung sein lassen.

Aus welchem Grund? Weil ich mich für eine sichere Lösung interessiere, die man auch sichern kann?

Beitrag anzeigenZitat (RalphS: 05. November 2017 - 10:53)

Was spricht denn dagegen, das NAS selber zu verschlüsseln? Also da, wo die Backups hingeschrieben werden.

Ich kenne keine Verschlüsselung für ein Synology NAS, die so sicher ist wie VeraCrypt und ebenfalls bei jedem Start entschlüsselt werden muss. Wenn sich die NAS bei jedem Boot-Vorgang automatisch selbst entschlüsselt hat das für mich keinen Nutzen.
Habs inzwischen aber mit einem VeraCrypt Container gelöst, der auf der NAS liegt und den ich nur fürs Backup manuell öffne. Somit liegen die Daten per VeraCrypt verschlüsselt auf der NAS. Es ist halt nicht der komfortabelste Weg, deshalb habe ich ja wegen dem 1:1 Klon gefragt. Aber das ist vermutlich im Normalbetrieb unter Windows 10 gar nicht möglich, da Exklusiv-Zugriff erforderlich ist, oder?


Beitrag anzeigenZitat (RalphS: 05. November 2017 - 10:53)

Außerdem sei an dieser Stelle noch angemerkt - als Prüfpunkt --- daß ein Boot-Paßwort nur dann etwas taugt, wenn ein TPM verwendet wird, unter der Maßgabe, daß dieses (noch) nicht ausgelesen werden kann (wobei ich mir einbilde, irgendwas in dieser Richtung irgendwo gelesen zu haben). Ohne TPM reicht es, die Batterie für eine Weile rauszunehmen.

Ich rede hier von VeraCrypt, das benötigt ebenfalls ein "Boot-Passwort". Dieses hat jedoch nichts mit einem Bios "Boot-Passwort" zu tun, was man so einfach aushebeln kann. Ebenfalls nichts mit einem TPM Chip.
Es ist eine Vollverschlüsselung der Festplatte, welche bei einem halbwegs sicheren und langen Passwort nicht knackbar ist.
0

#13 Mitglied ist offline   dale 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.210
  • Beigetreten: 15. Februar 08
  • Reputation: 64

geschrieben 05. November 2017 - 11:33

Reicht es nicht die Daten zu verschlüsseln? Warum das System?

UND

was kann soooo "geheim" sein das man auch das Backup verschlüsselt?

Stichwort "Beugehaft"

Dieser Beitrag wurde von dale bearbeitet: 05. November 2017 - 11:33

0

#14 Mitglied ist offline   j.greil 

  • Gruppe: aktive Mitglieder
  • Beiträge: 94
  • Beigetreten: 27. Mai 05
  • Reputation: 0

geschrieben 05. November 2017 - 11:38

Beitrag anzeigenZitat (dale: 05. November 2017 - 11:33)

Reicht es nicht die Daten zu verschlüsseln? Warum das System?

Wäre mir auch lieber, aber leider kann man gewisse Daten nicht / nicht problemlos umlegen und deshalb verschlüssle ich lieber das komplette System.

Beitrag anzeigenZitat (dale: 05. November 2017 - 11:33)

was kann soooo "geheim" sein das man auch das Backup verschlüsselt?

Gegenfrage: Wie blöd muss man sein, wenn man seine Daten verschlüsselt, aber das Backup unverschlüsselt ablegt?
0

#15 Mitglied ist offline   d4rkn3ss4ev3r 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.983
  • Beigetreten: 03. Januar 09
  • Reputation: 510

geschrieben 05. November 2017 - 12:01

Ich warte schon auf den Post in dem es heißt "Hilfe, mein verschlüsseltes Backup ist kaputt. Aber ich brauch das, Hilfe einseinsölf"
"Jene, die grundlegende Freiheit aufgeben würden, um eine geringe vorübergehende Sicherheit zu erwerben,
verdienen weder Freiheit noch Sicherheit." (Benjamin Franklin)


ACTA] | IPRED | SOPA | PIPA | CISPA | INDECT | TPP | TAFTA | Stop CETA + Stop TTIP
> Mein Hells Toolbox CMD Script <
Powered by Goanna
0

Thema verteilen:


  • 2 Seiten +
  • 1
  • 2

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0