Hallo, ich möchte ein paar vertrauliche Dateien verschlüsseln, die ich so gut wie nie benutze. Im Wiki wird vom Verschlüsseln nur eines Ordners eher abgeraten und stattdessen empfohlen das ganze System zu verschlüsseln. Wäre es auch sicher, dazu in einer virtuellen Maschine Ubuntu mit automatischer Verschlüsselung zu installieren?
Virtuelle Maschine verschlüsseln?
Anmeldungsdatum: Beiträge: Zähle... |
|
Moderator
Anmeldungsdatum: Beiträge: 8544 |
Das geht sicher. Aber einfacher wäre eine Containerdatei oder eine kleine gesonderte Partition zu verschlüsseln. Kommt halt auf die Anwendung an und was Du mit den entschlüsselten Daten dann tust. |
(Themenstarter)
Anmeldungsdatum: Beiträge: 71 |
Okay, dann wäre vielleicht eine einfachere Lösung, ein verschlüsseltes Ubuntu in eine gesonderte Partition auf der Festplatte oder einen USB Stick zu installieren? Bei einer Teilverschlüsselung habe ich ein bisschen Angst, dass durch irgendeinen Fehler von mir die Daten doch in den unverschlüsselten Bereich gelangen. Eine höhere Sicherheit ist mir da wichtiger als eine einfache Bedienung. |
Anmeldungsdatum: Beiträge: 12067 |
Hallo! Willst du die Daten der VM auf einer verschlüsselten Partition ablegen oder ein verschlüsseltes System in eine VM installieren? Beides denkbar, da letzteres aber einfach umzusetzen ist, würde ich das bevorzugen. Falls es um einzelne Dateien geht, kannst du die auch mittels GPG verschlüsseln. Für mehrere Ordner/Dateien wäre auch eine separate verschlüsselte Partition denkbar, die nur bei Bedarf gemountet und entschlüsselt wird. Links dazu: |
(Themenstarter)
Anmeldungsdatum: Beiträge: 71 |
Ich möchte ein verschlüsseltes System in eine VM installieren. Ich verwende die "geheimen" Dateien nur sehr selten, und jedes mal das ganze System entschlüsseln zu müssen fand ich etwas umständlich. Deswegen dachte ich man könnte vielleicht ein zusätzliches verschlüsseltes Ubuntu in einer VM installieren, das nur dafür da ist mit den "geheimen" Daten zu arbeiten.
Daran hatte ich auch zuerst gedacht, nur habe ich im Wiki gelesen, dass dies nicht so sicher ist:
Die Verschlüsselung sollte schon relativ sicher sein und auch gegen einen gezielten Hackerangriff schützen. Wäre ein verschlüsseltes System in einer VM dazu geeignet? Oder sonst eine Ubuntu Installation auf einem USB Stick? |
Anmeldungsdatum: Beiträge: 11181 Wohnort: München |
Was ist für dich ein gezielter Hackerangriff? Eine laufende VM ist bestenfalls so gut gesichert wie der Host - wenn der Angreifer Code auf den Host ausführen und root-Rechte erlangen kann, ist für ihn der komplette Arbeitsspeicher einsehbar, er kann dir einen Keylogger unterschieben und damit ist dann auch alles erreichbar, was die laufende VM gerade an Daten nutzt.
Warum nicht gleich separate Hardware, die nicht im Netzwerk hängt, um die Angriffsfläche zu reduzieren? |
Anmeldungsdatum: Beiträge: 29240 Wohnort: Germany |
Trenne die Systeme, also Host und Gast ist Mist. Extra Stick nach Installation auf externen Speichermedien würde reichen - die ggf. für die Netzsicherheit nötigen Aktualisierungen auf Sticks sind aber extrem langsam und können nach paar Monaten a 300 MB schon mal 30-45 min dauern und das ganze System in der Benutzung blockieren. Auf einer externen Platte ginge das viel schneller. Achte darauf, dass du nur vertrauenswürdige Hardware nutzt, wo z.B. kein Hardware-Keylogger in der Tastatur oder zwischen Tastatur und PC deine Eingaben wie PWs und $GEHEIME_TEXTE mitlauscht... Wer greift dich an, jemand aus dem Netz oder dem selben Haushalt? Bei letzterem: Man legt dann neben /boot nur eine Partition auf dem Stick an und lässt Swap weg und deaktiviert den Swap vom PC wie folgt: Installation_auf_externen_Speichermedien/#Datenschutzproblem-durch-fremden-Swap. Die eine Partition wird im Installer als verschlüsselte Partition ausgewählt. Auch gegen Angriffe aus dem Netz bist du insofern geschützter, dass ein gehacktes Hauptsystem diesen Stick nicht direkt beträfe. Backup des Sticks nicht vergessen, wenn die Daten drauf unverzichtbar sind: sudo dd if=/dev/sdb of=crypobackup-auf-meinem-pc-mit-unauffaelligem-namen.img dd ansehen, das hier ist nur ein kurzes Beispiel, was passen KÖNNTE. Den Stick könntest du sogar im Dateimanager mit PW entschlüsseln (im Terminal mit luksOpen), aber DANN hat ein Hacker auf deinem System bereits das PW und kann auch den Stick "verseuchen". Aber es ginge immerhin, falls es doch mal bequemer oder schneller gehen soll. Vorsicht: Änderst du das PW, weil jemand dein altes rausgefunden/ mitgelesen hat (z.B. die unzähligen Cams in Bussen und vielen Regionalbahnen), musst du auch alle Backups (mit dem alten PW) löschen...und überschreiben, z.B. ebenfalls wieder mit dd, BEVOR du sie gelöscht hast. |
Anmeldungsdatum: Beiträge: 13 |
Wenn du eine Lösung hast, lass es mich bitte wissen ☺ |
(Themenstarter)
Anmeldungsdatum: Beiträge: 71 |
Tut mir leid, dass ich mich so lange nicht gemeldet habe. Ich habe nun nach Bennos Anleitung Ubuntu auf eine USB Festplatte installiert. Da mein Alltags PC nicht von USB startet, nutze ich außerdem einen separaten Rechner. Vielen Dank an alle die mir geholfen haben! 👍 |
Anmeldungsdatum: Beiträge: 29240 Wohnort: Germany |
Hab gestern auf Ebay (Suche: weltweit) sogar eine externe Festplatte für NEU nur 13 EUR (versandkostenfrei aus China!) gesehn - zwar USB 2.0, aber dürfte deutlich flotter als ein Stick sein, weil darauf Linux extrem lahm wird. 60 GB reichen sogar für eine VM. Vielleicht warte ich aber noch. Und ob sie was taugt - wichtige Daten lieber erst drauf, wenn man den Hersteller der Platte drin ermittelt hat. 😉 Was ist das denn für ein Rechner? Es wurden in den letzten 10 Jahren eigentlich kaum mehr PCs verkauft, welche nicht von USB booten konnten... |
Anmeldungsdatum: Beiträge: 6244 Wohnort: Berlin |
Also habe Bedenken, dass eine verschlüsselte VM den gewünschten Sicherheitsstandards entspricht. Da die VM ja in einem unverschlüsselten Wirt läuft, kann man wohl nicht ausschließen, dass Daten unverschlüsselt im Wirtssystem landen - zumindest im RAM und dadurch möglicherweise im Swap des Wirts. Aus diesem Grund wird ja empfohlen, bei Verschlüsselung eben auch swap mitzuverschlüsseln. Wenn ich dann schon eine vollverschlüsselte Lösung wähle, würde auf das bisschen Komfort für den Start in einer VM verzichten und stattdessen eine verschlüsselte Installation auf USB-Stick oder ~Platte machen, die ich bei Bedarf starte. Ich beziehe mich da vor allem auf die Aussage:
|