Mastodawn

Kuketz-Blog 🛡

IT-Security-Weisheit am Abend 🌙

Wer seine Festplatte nicht verschlüsselt, übergibt beim Verlust seines Laptops nicht nur Hardware - er übergibt Fotos, Dokumente, Passwörter, Steuerdaten und alles, was er je auf diesem Gerät gespeichert hat. Festplattenverschlüsselung ist heute in jedem Betriebssystem eingebaut, kostet nichts und läuft unsichtbar im Hintergrund. Es gibt keine Ausrede mehr, sie nicht zu nutzen.

#ITSecurity #Cybersecurity #Sicherheit

mirabilos🐈‍⬛Jun 2

@kuketzblog nicht in jedes, z.B. nicht in FreeDOS.

Nur in einige prominente.

Ingo Lantschner Jun 2

@mirabilos … das D in FreeDOS steht für Diskette nehme ich an

mirabilos🐈‍⬛Jun 2

@ilanti @kuketzblog war jetzt auch nur eins von vielen aktuellen Betriebssystemen ohne

zucker & 🐢Jun 2

@kuketzblog mein letzter laptopkauf auf ebay lieferte einen mehrjährigen schwung elsterdaten frei haus.

der windowsuser hatte seiner meinung nach vorher das betriebssytsme plattgemacht und 'frisch' neuinstalliert.

@kuketzblog Ich kenne mich hier nicht ganz so aus, aber gab es nicht eine Zeit, wo Windows Home das nicht konnte? Nur die Pro oder Enterprise Version mit BitLocker. Und braucht es für die Geräteverschlüsselung, die es auch für die Home-Version gibt. nicht einen TPM-Chip,, der nur in neueren Geräten verbaut ist?
Und gab es nicht mal Berichte, dass Microsoft diese Schlüsse bei sich in der Cloud ablegt?

Michael S.Jun 3

@Okuna @kuketzblog Für die Festplattenverschlüsselung für den Windows-Home-User gibt es zum Beispiel VeraCrypt (Nachfolger des legendären TrueCrypt). Das ist sicherer als Bitlocker und kann auch einzelne Partitionen verschlüsseln.

Es ist etwas anspruchsvoller in der Einrichtung. Als Laie würde ich das von einem Experten installieren lassen.

Aber auch für VeraCrypt gilt: Anders als mit Bitlocker muss dann das Passwort beim Hochfahren eingegeben werden. Es liegt eben nicht bei Microsoft.

@M_E_ST @kuketzblog Das widerspricht aber dem, was Mike gesagt hat, dass das alles jetzt keine Gründe mehr sind. Also ich kenne keinen Menschen persönlich, der veracrypt für die Verschlüsselung seiner Windows Platte verwendet.

Michael S.Jun 3

Sarkastische Antwort: Ich kenne keinen Menschen persönlich, der noch Windows Home einsetzt.

Ehrliche Antwort: Windows Home enthält inzwischen auch Bitlocker (ich habe nachgeschlagen).

Insofern hat Mike Kuketz recht, es gibt keine Ausrede mehr. Und auch Du hast recht, VeraCrypt zum Verschlüsseln der Windows-Home-Festplatte ist inzwischen überflüssig. Außer es gibt wirklich geheime Daten, welche nicht mit Microsoft geteilt werden sollen.

@M_E_ST @kuketzblog aber nur mit TPM oder?
Und das haben immer noch manche nicht

Kir1t0-λşµ|V - ゲーマー Jun 3

@Okuna
Nicht unbedingt. LUKS unter Linux braucht keinen speziellen Chip. Davon abgesehen. Ich werde das Gefühl nicht los, dass TPM nix anderes ist, als der Clipper Chip aus den 90ern.
@kuketzblog

@kiri @kuketzblog Aber Linux für Menschen, die bisher Windows verwenden. ... War in den letzten Jahren nicht so erfolgreich.

@kuketzblog Sollte heute Standard sein. Leider habe ich noch vor nicht mal drei Jahren von meinem Arbeitgeber ein MacBook bekommen, bei dem die Festplattenverschlüsselung deaktiviert war und dank MDM auch nicht von mir aktiviert werden konnte. Und mit dem Gerät bin ich viel gereist, unter anderem auch in Länder, die Lichtjahre von unserem Demokratieverständnis entfernt sind.

zeitverschreib ⁂Jun 2

@NebulaTide Dann waren/sind Deinem Arbeitgeber die Firmendaten eindeutig ziemlich egal.

Michael S.Jun 3

@NebulaTide Festplattenverschlüsselung gehört nach meinem Dafürhalten heutzutage zum Stand der Technik, so dass diese Firma erhebliche rechtliche Probleme bekommen könnte, wenn ein MacBook mit geschützten Daten weg kommt und die Daten in den Umlauf kommen.

Ich verstehe durchaus, dass sich die Firmen-IT (die ja offenbar MDM beherrscht) sich da nicht ranwagt. Aber die Zeiten, wo das noch akzeptabel war, sind längst vorbei.

Crazy-to-Bike Jun 2

@kuketzblog

Ich verstehe nur nicht, warum die Festplattenverschlüsselung nicht grundsätzlich automatisch bei Installation gemacht wird. 🤷

Jörg Zimmermann Jun 2

Ich Frage mich bei der Angelegenheit immer: wenn die Verschlüsselung von Festplatten so eine brillante Idee ist und es wenig (keine?) Gründe gibt es nicht zu tun, warum muss sich dann ein Betriebssystem darum kümmern? Warum ist es noch grundlegender Bestandteil eines Standards? Warum macht das die Platte nicht von sich aus? Warum kümmert sich nicht das SATA, IDE oder NVME Protokoll darum? Warum müssen sich Nutzer damit auseinander setzen?

@Joerg_Zimmermann @kuketzblog Ich bin wahrscheinlich einer der wenigen, der mehr auf offene Systemen vertraut. Ich würde eine eingebaute Verschlüsselung nicht nutzen. Es gibt solche Festplatten natürlich.

Michael S.Jun 3

@Joerg_Zimmermann @kuketzblog

Festplatten mit Hardwareverschlüsselung heißen SED (self encrypting drives). Der Schlüssel dazu ist der Industriestandard TCG Opal 2.0.

Bitlocker erkennt SEDs übrigens selbstständig. Wer statt Windows ein professionelles Betriebssystem einsetzt, kann die Hardware -Festplattenverschlüsselung im UEFI-Bios aktivieren (SED vorausgesetzt)

SED-Beispielprodukte: Samsung 990Pro, Crucial T500

Jörg Zimmermann Jun 3

@M_E_ST @kuketzblog

Das war hilfreich. Danke.

Jakob Thoböll - R.I.P. Natenom Jun 2

@kuketzblog
auf dem Desktop zuhause habe / hatte ich einiges unverschlüsselt (z.B. Photo-Sammlung und die damals noch in Arbeit befindliche Masterarbeit im Backup), um bei einem Absturz möglichst schnell weiter machen zu können. Aber mobil: alles gesichert. Alles andre ist nicht vertretbar.

@kuketzblog Noob-Frage dazu:

Ich habe die Verschlüsselung bei meinem Laptop aktiviert.

Beim Booten des Laptops muss ich zuerst das Festplatten-PW und dann meinen Login eingeben (Linux Mint).

Wenn ich den Laptop zuklappe (standby) und dann wieder aufklappe, wird nur mein Login abgefragt.

Wenn also mein hochgefahrener, aber zugeklappter Laptop im standby entwendet würde, in welchem Verschlüsselungszustand ist dann die Festplatte (sie wurde ja entsperrt)?

holgersson Jun 3

@dom Hi, bis zum nächsten Neustart ist dein Datenträger "aufgeschlossen", das Betriebssystem behält die Schlüssel im Arbeitsspeicher und der Zugangsschutz beschränkt sich auf dein Anmeldepasswort.
Würde jemand den Datenträger beim Diebstahl rausnehmen, müssten wieder das Datenträgerpasswort eingegeben werden. Gleiches, wenn der Laptop ausgeht.

holgersson Jun 3

@dom Linuxdistributionen nutzen üblicherweise LUKS, was eine Softwareimplementierung im Betriebssystem ist.

Zusätzlich können sich die Datenträger seit ein paar Jahren mit ihrem eigenen Betriebssystem (Firmware) oft oder sogar alle selbst verschlüsseln.

Michael S.Jun 3

Im Standby ist die Festplatte weiterhin entsperrt. Sobald der Rechner aber von Dieb neu gebootet wird, schlägt die Verschlüsselung wieder zu. Es braucht dann schon einen Cold-Boot-Angriff oder so, um die Festplatte zu 'knacken'.

Hier ist der echte Ruhezustand (suspend to disk) sicherer. Allerdings muss dann beim Hochfahren vor der Anmeldung wieder das Festplatten-Passwort eingegeben werden.

Die Einrichtung von Suspend-To-Disk ist unter Linux möglicherweise nicht trivial.

iXb12bL31Hfb Jun 3

@kuketzblog Ich würde jedem Linux-Nutzer wärmstens die Verschlüsselung empfehlen, weil es trivial ist beim Booten den Bootloader so zu manipulieren, dass man sich als root ohne Passwort anmelden kann. FDE verhindert das. Das ist so einfach, dass es Kinder googlen können und bspw. PCs im Computerraum der Schule unbenutzbar machen können. *hust* Frei Erfundene Geschichte.

GTRzilla.eth Jun 3

wie macht er es mit einem dualboot- system, Linux & Win welches auf die gleiche Daten SSD zugreifen soll

veracrypt mit Yubikey /Nitrokey ?

@kuketzblog
Äh doch. Zumindest so lang sie über TPM realisiert wird. Dann sind die Daten eben auch für einen selber unbrauchbar, wenn der Computer defekt ist. Ja, da hilft ein Backup. Aber in der Klaut ist das auch keine gute Idee. Ausser man verschlüsselt lokal. Was aber, wie eine brauchbare Backupstrategie auf eigener HW, nichts für den Durchschnittsuser ist.