Festplatte mit veracrypt komplett verschlüsseln?
Hallo ich wollte meine Festplatte mit veracrypt komplett verschlüsseln, meine Frage reicht das Verschlüsseln oder sollte ich nach dem Verschlüsseln noch den Leeren speicher überschreiben ?
- wie sicher ist Veracrypt habe ein 20. stelliges Passwort mit verschiedenen Zeichen angelegt ist es Knackbar ? oder ist die Festplatte auch ohne Passwort rekonstruierbar ?
4 Antworten
Wenn du wirklich die ganze Festplatte verschlüsselst, wird sowieso alles mit Zufallszahlen überschrieben.
20 Stellen ist schon mal gut. Jetzt kommt es natürlich auf die Zufälligkeit an. Wenn du immer nur die Ziffern von Null bis Neun wiederholst, dann ist auch ein 30stelliges Passwort unsicher.
(Keylogger und über-die-Schulter-schauen ist ja klar...)
20 Stellen ist schon mal gut. Jetzt kommt es natürlich auf die
Zufälligkeit an. Wenn du immer nur die Ziffern von Null bis Neun
wiederholst, dann ist auch ein 30stelliges Passwort unsicher.
Das gilt aber nur für Wörterbuch Attacken mit Permutation.
Brute-Force kann man ab einer Länge von 7 knicken. Die NSA oder Google schaffen vielleicht noch 8-9 in annehmbarer Zeit. 20 Stellen, sind so nicht knack-bar und rainbow tables gibt es meines Wissens auch nicht bis 20 Stellen.
Lieber ein langes einfaches Passwort, als ein kurzes kompliziertes.
Der Zusammenhang ist a^n wobei a das verwendete Alphabet und n die Anzahl der Stellen im Passwort ist.
Wenn a um ein paar stellen größer wird (also mehr Zeichen die verwendet werden könnten), wird das Passwort kaum stärker.
Aber wenn n größer wird (mehr Stellen im Passwort), ist man mit einem Passwort was nur Zahlen hat bei 20 Stellen bei 10²⁰ möglichen Kombinationen.
Hallo ich wollte meine Festplatte mit veracrypt komplett verschlüsseln, meine Frage reicht das Verschlüsseln oder sollte ich nach dem Verschlüsseln noch den Leeren speicher überschreiben ?
Wenn das Laufwerk komplett verschlüsselt werden soll, würde ich es vorher per ATA Secure Erase löschen, weil das am schnellsten geht. Dann sind aber tatsächlich alle Daten auf dem Laufwerk futsch. Wenn Du also lediglich einen verschlüsselten Container nutzen und "daneben" auch unverschlüsselte Daten auf dem Laufwerk behalten möchtest, ist das nicht geeignet, es sei denn, Du sicherst die Daten, die Du behalten möchtest, vorher und spielst sie anschließend zurück. Wenn Du das Laufwerk vollverschlüsselt betreiben möchtest, würde ich vorher ein ATA Secure Erase durchführen, weil dann der Inhalt des Laufwerks ohnehin gelöscht würde und daher vorher zu sichern wäre.
Falls Dir das zu kompliziert ist (um das ATA Secure Erase Kommando abzusetzen, benötigt man spezielle Tools und in der Regel ein Live-Linux und wenn man sich nicht auskennt, ist schnell das falsche Laufwerk gelöscht), würde ich überschreiben wählen, ansonsten ist bei Sektoren, die noch nicht beschrieben wurden, eben noch der vorherige Inhalt lesbar. Falls das Klartext war, sieht man eben diesen.
Das hängt aber natürlich auch ein bisschen davon ab, was sich vorher auf dem Laufwerk befand. Wenn Du Dir sicher bist, dass auf das Laufwerk niemals "geheime" Daten geschrieben wurden, musst Du auch nichts überschreiben. Von der verschlüsselten Partition wird nichts "leaken", auch wenn Du kein Überschreiben wählst. Es geht nur um die Daten, die sich vorher auf dem Laufwerk befanden. Wenn Du diese nicht überschreibst, sind diese (teilweise) rekonstruierbar, so lange, bis VeraCrypt "zufälligerweise" in den selben Sektor verschlüsselten Inhalt schreibt. Wann das der Fall ist, kannst Du nicht sagen. Gerade bei großen Laufwerken weißt Du nicht einmal, ob es überhaupt jemals der Fall sein wird. Deswegen überschreibt man das ganze.
wie sicher ist Veracrypt habe ein 20. stelliges Passwort mit verschiedenen Zeichen angelegt ist es Knackbar ? oder ist die Festplatte auch ohne Passwort rekonstruierbar ?
Die eingesetzte Kryptographie selbst ist extrem stark, eigentlich schon "zu stark". Kaskadierte Cipher beispielsweise braucht man sehr wahrscheinlich für nichts, außer um absolute Paranoia zu befriedigen und bei vielen anderen Designentscheidungen und Parametern, Iterationszahlen, Design der PRNGs, etc. wurde teilweise stark "übertrieben". Also die Krypto ist wirklich sehr sehr stark, stärker als man es jemals brauchen wird. Da ist also noch eine enorme Sicherheitsmarge drin.
Die einfachsten und soweit auch einzig sinnvollen Möglichkeiten, an den Inhalt Deines verschlüsselten Containers zu gelangen, liegen darin, Dich entweder unter Drogen zu setzen oder zu foltern, bis Du den Schlüssel preisgibst oder Dein System mit Malware zu infizieren oder eine Schwachstelle in sonstiger Software (einschließlich Firmware und Betriebssystem) aufzunutzen, um sich Zugang zum System zu verschaffen und anschließend zu versuchen, entweder den Schlüssel aus dem Hauptspeicher auszulesen, während der Container entsperrt ist, einen Keylogger einzuspeisen, der die Passphrase mitschneidet, während Du sie eingibst und sie an den Angreifer übermittelt, oder auch während der Container entsperrt ist dessen Inhalt zu extrahieren und an den Angreifer zu übermitteln.
Das stimmt, wenn du nicht den gesamten Speicher überschreibst.
Auf SSD-Speichermedien werden die zu beschreibenden Bereiche immer zufällig aufgewählt um eine gleichmäßige Abnutzung zu gewährleisten.
Das muss man differenzierter betrachten.
Flash-Speicher ist overprovisioned (das ist der Fachbegriff dafür), d. h. es ist intern etwas (ca. 7 - 15 %) Speicher mehr vorhanden, als "nach außen hin" (zum Host) sichtbar ist.
Das overprovisioning dient verschiedenen Zwecken.
Zum einen dient es dem wear levelling. Die Daten "ruhen" im Flash-Speicher niemals, sondern werden ständig "umgeschichtet". Flash-Speicher kann nur eine bestimmte Anzahl an Schreibzyklen (ca. 10.000 - 100.000 Stück) pro Sektor durchführen, danach ist der Sektor kaputt. Damit häufig beschriebene Sektoren (z. B. diejenigen, in denen bei einem Journalling-Dateisystem das Journal abgelegt wird) nicht sehr viel stärker abgenutzt werden, führt die SSD intern ein Mapping durch zwischen "logischen Sektoren" (die der Host sieht) und "physikalischen Sektoren" (die im Speicher vorhanden sind). Wenn der Host nun mehrfach den selben Sektor beschreibt, wird die SSD jedes Mal einen anderen Sektor anfordern, die Daten dorthin schreiben und dann in einer Art "Tabelle" vermerken "der logische Sektor N ist nun der folgende physikalische Sektor ...". Daher kann eine "alte Kopie" eines bereits überschriebenen Sektors noch physikalisch im Speicher vorhanden sein.
Für die Datenwiederherstellung/Forensik bringt das allerdings wenig. An der SATA-Schnittstelle des Laufwerks "sehe" ich ja immer nur die "logische Sicht" und da der "alte" Sektor nicht mehr "eingeblendet" ist, habe ich keine Möglichkeit, an ihn heranzukommen. Die einzige Möglichkeit besteht darin, den Flash-Speicher auszubauen und mit spezieller Hardware direkt auszulesen. Das macht allerdings fast niemand, da es zum einen sehr spezielles Equipment benötigt, zum anderen, wie will ich denn einen Sektor finden, von dem ich überhaupt nicht mehr weiß, wo er überhaupt hin gehört, weil das entsprechende Mapping bereits verworfen wurde. In der Praxis kannst Du das daher wohl komplett vergessen. Die Größe eines Sektors ist in der Regel 4096 Byte. Wenn Du direkt auf den Flash-Speicher zugreifst, siehst Du also eine Menge unzusammenhängender 4096-Byte-"Schnipsel". Viel Spaß, darin irgendwas zu finden. ;-)
Bei einer SSD, die den Befehl ATA Secure Erase korrekt implementiert, ist aber auch das kein Problem. Das Kommando ist so spezifiziert, dass es den Flash-Speicher komplett (inklusive "ausgeblendeten Bereichen") physikalisch löscht. Dass hier tatsächlich physikalisch gelöscht wird, siehst Du auch daran, dass der ATA Secure Erase die ursprüngliche Schreibperformance wiederherstellt. Das ist nur möglich, weil die Sektoren im Speicher nicht mehr gelöscht werden müssen, bevor sie neu beschrieben werden, denn sie sind ja bereits gelöscht. ;-)
Flash-Speicher kann man physikalisch betrachtet nicht "überschreiben". Wird ein Sektor neu beschrieben, der bereits beschrieben ist, muss er zuvor gelöscht werden. Ein gelöschter Sektor enthält auch keine "Nullen". Es gibt keinen tatsächlichen "Inhalt", mit dem der Zustand "gelöscht" vergleichbar wäre. Ein Sektor, der beschrieben ist, muss also in jedem Fall gelöscht werden, bevor er erneut beschrieben werden kann, unabhängig davon, mit was er bislang beschrieben ist. Beim Lesen eines gelöschten Sektors wird eine SSD entweder Nullen (heutzutage eigentlich immer) oder (bei ganz alten Laufwerken) eventuell sogar inkonsistente Werte (sprich bei jedem Zugriff was anderes) zurückgeben. "Intern" ist der Zustand allerdings ein anderer, als wäre der Sektor mit Nullen beschrieben. Nach außen hin gibt man aber Nullen zurück, schließlich muss man bei einem Lesezugriff ja irgendetwas zurückgeben und Nullen sind nunmal das, was man von einem "gelöschten Sektor" erwarten würde.
USB-Sticks und SD-Karten (auch Flash-Speicher) kann man in der Regel tatsächlich nicht sicher löschen, weil sie den Befehl ATA Secure Erase nicht unterstützen. Aber auch hier gilt: Wenn sie genullt sind, werde ich nur noch Nullen lesen. Eventuell sind noch Daten physikalisch vorhanden, an die komme ich aber nicht dran. Wenn Du ganz sicher gehen willst, musst Du solche Datenträger physikalisch vernichten. SD-Karten beispielsweise lassen sich ziemlich einfach zerschneiden. Schön durch den Chip durch, dann geht nix mehr. Bei einer MicroSD ist die Karte der Chip. Ein Gehäuse gibt es hier faktisch nicht mehr. Es sind nur ein paar Mikrometer Lack und darunter ist direkt Silizium.
Danke sehr ausführlich 😀, reicht das einfache überschreiben mit radom oder lieber mehrfach?
Bei der letzten Betriebssysteminstallation habe ich einfach die Option "Alle persönlichen Daten verschlüsseln" angewählt. Das kostenfreie und virensichere Linux Mint bietet das standardmäßig an.
Hallo eine andere Frage habe meine Platte mit Seure ereaser ca 7h gelöscht mit Radom also zufällige Daten, als test habe ich jetzt RECUVA laufen Restzeit 2 stunden und er hat bei 5% schon über 20.000 Dateien gefunden, wie kann das sein ?
Hab gelesen das bei ssd festplatten und usb sticks es nix bringt die daten zu überschreiben, stimmt das ?