ubuntuusers.de

Hallo, Ich befasse mich erst seit kurzem mit Ubuntu und Habe dementsprechend noch nicht so viel Ahnung. Ich habe jetzt sowohl das Host-System als auch das Rechnerystem der virtuellen Maschine mit LUKS verschlüsselt. Könnte ich meinen ganzen Kram, den ich in der virtuellen Maschine nutze, also Firefox, TOR, Textdateien etc. , dann auch nochmal in der VM unter Veracrypt in einen großen Container tun und verschlüsseln?

Warum willst Du das? Es gibt ja nur zwei Möglichkeiten:

• VM ist aus: LUKS verschlüsselt

• VM ist an und in Benutzung: Auch VeraCrypt-Container ist entschlüsselt und mit deinen Rechten lesbar.

Ich sehe da keinen Gewinn drin

Möglich wäre das sicher, aber es kann durchaus sein, dass durch die doppelte Verschlüsselung die Performance dann doch merklich einbricht. Das müsste man einmal versuchen.

Wenn Du beabsichtigst, die VM auch unter Windows laufen zu lassen, und sie zu diesem Zweck mit Veracrypt verschlüsseln möchtest, wäre es sicher sinnvoller, einen Veracrypt-Container in einem nicht verschlüsselten Bereich anzulegen, auf dem man die VMs speichert.

redknight schrieb:

Warum willst Du das? Es gibt ja nur zwei Möglichkeiten:

• VM ist aus: LUKS verschlüsselt

• VM ist an und in Benutzung: Auch VeraCrypt-Container ist entschlüsselt und mit deinen Rechten lesbar.

Ich sehe da keinen Gewinn drin

Ist vielleicht ein wenig übertrieben, aber ich habe mir das so gedacht, dass wenn beispielsweise jemand die LUKS-Verschlüsselung vom Host-System und von der VM knackt, er dann zusätzlich noch am Container, der unter Veracrypt verschlüsselt wurde, zu knabbern hat.

Ich meine klar, bei einer zweifachen LUKS-Verschlüsselung, geht nicht mehr viel an Sicherheit, aber wenn das mit Veracrypt nicht kontraproduktiv ist, außer die Performance-Einbüßung, spricht nichts dagegen, das als i-Tüpfelchen zu verwenden

PeterMaffay99 schrieb:

Ist vielleicht ein wenig übertrieben,

ein wenig?

aber ich habe mir das so gedacht, dass wenn beispielsweise jemand die LUKS-Verschlüsselung vom Host-System und von der VM knackt, er dann zusätzlich noch am Container, der unter Veracrypt verschlüsselt wurde, zu knabbern hat.

Wer LUKS knacken kann, hat vermutlich sehr wenig Mühe, dein System mit einem Keylogger zu infizieren und auch dein Veracrypt-Passwort abzugreifen.

Ich meine klar, bei einer zweifachen LUKS-Verschlüsselung,

Scho0n zweifache LUKS ist einmal zuviel.

geht nicht mehr viel an Sicherheit, aber wenn das mit Veracrypt nicht kontraproduktiv ist, außer die Performance-Einbüßung, spricht nichts dagegen, das als i-Tüpfelchen zu verwenden

Ich finde Performance-Einbußen durchaus als kontraproduktiv.

Vielleicht solltest Du mal darstellen, wie sensibel denn deine Daten sind, dass Du derartige Einbußen in Betracht ziehst.

redknight schrieb:

PeterMaffay99 schrieb:

Ist vielleicht ein wenig übertrieben,

ein wenig?

aber ich habe mir das so gedacht, dass wenn beispielsweise jemand die LUKS-Verschlüsselung vom Host-System und von der VM knackt, er dann zusätzlich noch am Container, der unter Veracrypt verschlüsselt wurde, zu knabbern hat.

Wer LUKS knacken kann, hat vermutlich sehr wenig Mühe, dein System mit einem Keylogger zu infizieren und auch dein Veracrypt-Passwort abzugreifen.

Ich meine klar, bei einer zweifachen LUKS-Verschlüsselung,

Scho0n zweifache LUKS ist einmal zuviel.

geht nicht mehr viel an Sicherheit, aber wenn das mit Veracrypt nicht kontraproduktiv ist, außer die Performance-Einbüßung, spricht nichts dagegen, das als i-Tüpfelchen zu verwenden

Ich finde Performance-Einbußen durchaus als kontraproduktiv.

Vielleicht solltest Du mal darstellen, wie sensibel denn deine Daten sind, dass Du derartige Einbußen in Betracht ziehst.

Dein Fazit also: Kann man machen, ist bei LUKS aber überflüssig?! 😀

Trotzdem so rein aus Interesse...

Könnte man auch Firefox, TOR etc. in eben diesen Container verschlüsseln oder ist das nur mit Dateien möglich?

PeterMaffay99 schrieb:

Dein Fazit also: Kann man machen, ist bei LUKS aber überflüssig?! 😀

sihe dazu:
redknight schrieb:

Ich sehe da keinen Gewinn drin

PeterMaffay99 schrieb:

Könnte man auch Firefox, TOR etc. in eben diesen Container verschlüsseln oder ist das nur mit Dateien möglich?

Du kannst auch die Home-Vershclüsselung mit Bordmitteln einschalten. Hier gilt aber genauso: Der Verlust ist so massiv, dass du sehr sehr gute Gründe haben solltest, das zu machen, Bis dahin gewinsst Du mit tragfähigen KOnzepten deutlich mehr.

Mir scheint, du verstehst nicht so recht, wogegen lokale (im Gegensatz zu Transport-) Verschlüsselung schützt: Gegen phyisches Entwenden von Datenträgern. Dafür ist eine Verschlüsselung mit LUKS genau das Richtige. Kommen die Datenträger in falsche Hände, sind die Daten nicht zu entschlüsseln. Und die Verschlüsselung ist schlichtweg nicht "zu knacken". Also genauer: Die Sicherheit hängt nach aktuellem Stand der Forschung vollständig von deiner Passphrase ab. Wenn die mindestens soviel Entropie besitzt wie die Schlüssellänge der zugrundeliegenden Blockchiffre, dann bist du safe.

Heißt also: Wenn deine Passphrase etwa so aussieht - 7zto0sQ8kA0eK6bPyN8Fu6Qzi - dann kann auch die NSA nur an deine Daten kommen, indem sie dir einen Keylogger unterschiebt. Oder dir eine Knarre an den Kopf hält, wenn der Laptop läuft. Oder dich mit einem Schraubenschlüssel zu verprügeln, bis den es verrätsts.

Jetzt überlegen wir mal, ob sich eine weitere Verschlüsselung lohnt. Der Hinweis ist ja schon gefallen: Wer mit einem Keylogger den Schlüssel für den ersten Container mitlesen kann, der kann auch den zweiten mitlesen.

Die einzige Situation, die man sich vorstellen könnte, wäre, wenn du einen Server betreibst, den du vollverschlüsselt hast (dessen Daten natürlich aber im Betrieb im Klartext verfügbar sind - sonst könnte man ja nicht damit arbeiten) und auf diesem Server eine wiederum unabhängig verschlüsselte Instanz hast, die zufällig gerade nicht läuft. Wenn dann dein Server kompromittiert ist, dann kann der Angreifer, auch einer, der root-Rechte hat, die VM nicht lesen. Aber: Der Angreifer kann natürlich einfach so lange warten, bis du selbst die VM entschlüsselst, weil du sie benötigst. Insofern ist selbst in diesem Szenario kaum mehr Schutz gegeben.

Selbiges gilt für Firefox und co. Wenn die Platte komplett verschlüsselt ist, dann sind alle Daten darauf (auch Firefox und TOR) verschlüsselt gespeichert. Natürlich kann man die auch nochmal und nochmal verschlüsseln, aber dann kommt man 1. selber nur über Umwege ran und hat 2. - siehe oben - keinen Mehrwert. Denn, Faustregel: Daten, mit denen gearbeitet wird, liegen zur Laufzeit (das heißt im RAM) unverschlüsselt vor.

PeterMaffay99 schrieb:

Trotzdem so rein aus Interesse...

Könnte man auch Firefox, TOR etc. in eben diesen Container verschlüsseln oder ist das nur mit Dateien möglich?

Zu Sinn und Unsinn dieses Vorhabens ist sicher genug gesagt worden, vor allem wenn auch die (aus open source code erstellten) binaries in den Container sollen. Aber grundsätzlich geht das. Du musst dann allerdings für alle Dateien bzw. Ordner, die Du in den Container verschoben hast, entsprechende links in deren ursprünglichen Verzeichnissen anlegen. Denn das System bzw. firefox selbst sucht z.B. den firefox-Profilordner in ~./mozilla/firefox und nicht in irgendeinem Container.

Wer mit einem Keylogger den Schlüssel für den ersten Container mitlesen kann, der kann auch den zweiten mitlesen.

keyloggern kann man es etwas schwerer machen, wenn man keyfiles verwendet. Aber die können natürlich auch abgegriffen werden, müssen sorgfältigst aufbewahrt werden und irgendwo sollte sich noch eine ebenso sorgfältig aufbewahrte Kopie befinden, falls das keyfile-Speichermedium verreckt.

Probier's einfach aus, aber leg bis alles stabil klappt erstmal nichts in den Container, von dem Du nicht noch eine Kopie hast.

PeterMaffay99 schrieb:

redknight schrieb:

PeterMaffay99 schrieb:

Ist vielleicht ein wenig übertrieben,

ein wenig?

aber ich habe mir das so gedacht, dass wenn beispielsweise jemand die LUKS-Verschlüsselung vom Host-System und von der VM knackt, er dann zusätzlich noch am Container, der unter Veracrypt verschlüsselt wurde, zu knabbern hat.

Wer LUKS knacken kann, hat vermutlich sehr wenig Mühe, dein System mit einem Keylogger zu infizieren und auch dein Veracrypt-Passwort abzugreifen.

>>> Ich meine klar, bei einer zweifachen LUKS-Verschlüsselung,

Scho0n zweifache LUKS ist einmal zuviel.

geht nicht mehr viel an Sicherheit, aber wenn das mit Veracrypt nicht kontraproduktiv ist, außer die Performance-Einbüßung, spricht nichts dagegen, das als i-Tüpfelchen zu verwenden

Ich finde Performance-Einbußen durchaus als kontraproduktiv.

Vielleicht solltest Du mal darstellen, wie sensibel denn deine Daten sind, dass Du derartige Einbußen in Betracht ziehst.

Dein Fazit also: Kann man machen, ist bei LUKS aber überflüssig?! 😀

Gegen Keylogger kann man Zwei-Kanal Auto-Type-Verschleierung von KeePass 2.34 verwenden. Letzteres ist eine Open-Source-Sicherheitssoftware, die ständig weiterentwickelt wird und Sicherheits-Audits ausgesetzt wird. Zudem kann man bei Veracrypt noch mit versteckten Containern, PIMs und Keyfiles (zB EFS-Verschlüsselt auf Crypto-key/Token unter Win10 Pro) arbeiten. Ein Frage: Wird die Verwendung von Pfeil-Tasten von Keyloggern erfasst oder vom Zwischenablagespeicher? Wenn nicht, dann könnte man per Pfeiltasten oder Mausklick noch ein paar "PINs" in das Passwort "einbauen" oder um ganz sicher zu gehen eben mit Bildschirmtastaturen.