[HaBo]

valenterry

Anzeige

Hi Leute,

ich habe momentan alle meine Festplatten mittels Truecrypt verschlüsselt.
Nun stellt sich mir jedoch folgende Frage: ist es ausreichend sicher, sich von Windows abzumelden, damit niemand an die Daten kommt? Angenommen das Passwort ist sicher und man vernachlässigt solche Dinge, wie das "Extrahieren" des Arbeitsspeichers unter -50°C, um das Passwort herauszufinden... gibt es dennoch Möglichkeiten, irgendwie Zugriff auf Daten zu erhalten?

Knoxx

Die Frage kann man nicht so einfach beantworten.

Mir ist bspw keine Möglichkeit bekannt in einem aktuell gepatchten, laufenden Windows-System ohne Neustart den Login-Screen zu umgehen. Was aber logischerweise nicht heißt, dass es keinen Weg gibt.

Was ist z.B. wenn es andere Konten auf dem System gibt und sich ein anderer User einloggt? Afaik müsste er Zugriff auf noch eingesteckte USB-Sticks und auch entschlüsselte TrueCrypt-Patitionen haben (ich kann es aus Ermangelung eines Win-Systems leider gerade nicht testen).

Der kritischste Punkt ist halt, dass die Daten noch entschlüsselt vorliegen, wenn du dich nur abmeldest. Somit wäre auch denkbar, dass jmd über das NW auf deinen Rechner zugreift und auf diesem Weg an deine verschlüsselten Daten kommt...

6b616e

Wenn du dich abmeldest werden alle TC-Volumes umounted. --> sicher.

WÄRE DA NICHT..: Die Auslagerungsdatei. Keine Ahnung, wie Windows damit verfährt... Aber eine sichere Löschung wird es in den Paar Sekunden wohl kaum sein. Wenn du also sicher sein willst, deaktiviere die Auslagerungsdatei.

CDW

Zur Auslagerungsdatei:
http://www.truecrypt.org/docs/paging-file
mir würden da spontan zwei Lösungen einfallen: TEMP Ordner sowie Auslagerungsdatei auf eine verschlüsselte Partition verschieben. Geht i.R ohne Registryeditierung. Ich kann allerdings nicht sagen, ob das in der Praxis klappt (z.B beim Booten, bevor TC Volumes eingebunden sind) .
Hab mir die Mühe und Kopfzerbrechen durch eine komplette Systemverschlüsselung erspart . Geschwindigkeitsnachteile sind (zumindest subjektiv) keine vorhanden - denn i.R liegt der Win-Kernel eher im RAM.

__________________
Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf!
Selig, wer nichts zu sagen hat und trotzdem schweigt.

valenterry

Ich denke ihr habt mich teilweise falsch verstanden. Mit "ich habe alle Festplatten verschlüsselt" meinte ich wirklich _alle_ Festplatten. Also nicht nur Datenfestplatten, sondern auch die Systemfestplatte.

Um das ganze zu vereinfachen: Angenommen man hat nur genaue eine Festplatte (Systemfestplatte), die verschlüsselt ist - ist es dann z.B. bei einer polizeilichen Durchsuchung möglich, an die Daten zu kommen, wenn man abgemeldet ist und ein Passwort eingeben muss? (Wie gesagt, solch Dinge wie Extrahieren des RAMs nicht eingeschlossen)

Die Daten auf der Festplatte sind ja nun verschlüsselt und nur im RAM entschlüsselt. Fährt man also den Rechner herunter, ist der Inhalt des RAMs verloren. Denkbar wäre aber z.B., dass man mit einer bestimmten Tastenkombination doch wieder zum Desktop zurückkehren kann. Oder eine andere eventuelle Möglichkeit wäre aus meiner Sicht das Einlegen einer CD mit Autostart, die ein Programm beeinhaltet, was z.B. den aktuellen Inhalt des Arbeitsspeichers auf einen USB-Stick kopiert oder so.

Meine Frage zielte eher in diese Richtung.

6b616e

Sollten die Volumes noch gemounted sein (und davon gehe ich bei einer Komplettverschlüsselung aus), so gibt es da Mittel an die Daten ranzukommen. Dass die Bullen die kennen, halte ich eher für unwahrscheinlich. Um auf Nummer sicher zu gehen, empfehle ich dir das Herunterfahren zu automatisieren.

ACHTUNG LÜCKENHAFTE RECHTSKENNTNIS:
Soweit ich weiß, sind die Beamten bei einer Hausdurchsuchung gar nicht berechtigt, etwas anderes zu tun als die Sachen einfach mitzunehmen. Wäre schön, wenn ein Jurist das mal klären könnte.

SilentBoB

Selbst wenn der Rechner nur mit Windowstaste + L gesperrt ist. Du hast das Recht zu Schweigen, dies beinhaltet auch Passwörter. Dann gehe ich mal davon aus, dass sie den Rechner einfach ausmachen und mitnehmen. Und dann ist ja eh die Verschlüsselung aktiv. So denke ich zumindest bei meinem System.

valenterry

Nagut, angenommen es ist nicht die Polizei, sondern ein Geheimdienst oder ein ganz böser Hacker (z.B. hier aus dem HaBo)!

Was würde der tun?

6b616e

Da ich mich mit Windows nicht mehr als nötig auskenne, tue ich einfach mal so als ob es keine Möglichkeit gäbe, per Tastenkombi reinzukommen. Ergo bleibt nur die invasive Methode.

Man klemmt sich an den CPU-Bus und zeichnet ein paar GB Rohdaten auf. Gleichzeitig wird der HDD-Bus angezapft und die Lese/Schreibzugriffe mit den Daten aus dem CPU-Bus zeitlich synchron aufgezeichnet. Dann sucht man in den CPU-Rohdaten nach typischen Files oder Datenströmen.
Wenn man mehrere Sequenzen von (entschlüsselten) Bytes dann genau dem physikalischen Speicherort auf der verschlüsselten HD zuordnen kann, führt man einen Known-Plaintext-Angriff durch.

Da fällt mir noch was ein:
Sofern Windows die Loginversuche protokoliert, wäre auch ein viel effektiverer Chosen-Plaintext-Angriff möglich... Aber wie gesagt, keine Ahnung wie Windows da tickt.

Aber da ist die Methode mit dem RAM wohl unkomplizierter...
Trotzdem, bevor man einfach ins Blaue bruteforced, macht man sich lieber die Mühe es so zu versuchen.

Hackse

- Truecrypt bietet elf verschiedene Krypto-Kombinationen an. Welchen Algorithmus verwendest Du?
- Verwendest Du Key-Files?
- Verwendest Du Hidden Volumes?
- Ist das Page-File abgeschaltet?

Das alles sind Eigenschaften, die die Sicherheit maximieren.

Die Polizei wird sicherlich nicht bei Dir daheim einen Sniffer an HDD- und CPU hängen um Datenverkehr zu lesen, sondern sie werden den PC einfach mitnehmen.

Vorausgesetzt Dein Truecrypt-PW ist nicht trivial, hast Du nichts zu befürchten.

Auch der Geheimdienst kann nicht zaubern, denn Kryptografie ist keine Hackserei, sondern ist und bleibt ein mathematisches Thema und manche Verschlüsselungsverfahren sind nicht in adäquater Zeit zu knacken, selbst dann nicht, wenn man die millionenfache Rechenleistung hätte. Komplexitätstheorie und asymptotische Laufzeitanalyse aus der theoretischen Informatik, stellen den Aufwand plakativ dar.

Viel wichtiger als Truecrypt, ist, wie bereits erwähnt, das Ganze außen herum, z.B. das Pagefile und co.. Die beste Verschlüsselung bringt Dir null Sicherheit, wenn Windows das Passwort im Klartext in das unverschlüsselte Page-File ablegt.

Ich verwende Linux mit Truecrypt samt einer sehr starken Verschlüsselung (die auch etwas auf die Performance geht), Key-Files, Hidden Volumes und habe ebenfalls die Swap-Partition verschlüsselt. Davon ausgehend, dass i. d. Implementierung von Truecrypt kein schwerwiegender Bug i. d. Erzeugung der Schlüssel steckt, bezweifele ich, dass jemand die Platte entschlüsseln kann. Und selbst wenn, wäre der "1.000 Jahre lange Aufwand" umsonst, da die sensiblen Daten in Hidden Volumes liegen, die noch mal separat mit anderen Algorithmen, anderen Keyfiles und anderen PWs verschlüsselt sind.

In einem solchen Szenario kommt man nur an die Daten, wenn sie gemountet sind und man es schafft via Exploit auf den Rechner zu kommen. So was darf und kann die Polizei nicht.

Greetz
Hackse