Hi, willkommen auf ubuntuusers.de!
StefanieS1 schrieb:
ich wollte mal fragen, ob es sicherer ist, wenn ich meinen gesamten PC mit einer Systemverschlüsselung mit VeraCrypt verschlüssele, und dann auf diesem PC (also wenn das System dann gemountet und hochgefahren ist) nochmal ein mit einem anderen Verschlüsselungsprogramm wie Steganos Safe einen erneuten verschlüsselten Container nutze (und somit zwei hintereinander geschaltete Verschlüsselungen habe), gegenüber dem wenn ich nur Steganos Safe mit einem verschlüsselten Container ohne Systemverschlüsselung mit VeraCrypt nutze?
Zunächst mal: ich kenne beide Programme nicht, eine kurze Recherche hat aber ergeben, dass Steganos Safe eine Windows-Software ist, die funktioniert also unter Ubuntu sowieso nicht, damit hat sich deine Frage eigentlich schon erübrigt.
Ziel dieser „Sicherheit“ ist eine Datei mit meinen Passwörtern in dem verschlüsselten Container und nicht die komplette Systemverschlüsselung als solches.
Hintergedanke: Wenn in einem Verschlüsselungsprogramm ein Bug/Backdoor ist, dann schützt zumindest noch das andere Verschlüsselungsprogramm… oder habe ich hierbei einen Denkfehler?
Jain. Die Antwort darauf ist kompliziert. Zunächst mal: Unter Linux kommt meistens LUKS zum Einsatz um die gesamte Festplatte zu verschlüsseln. Möchtest du darüber hinaus weiter einzelne Dateien verschlüsseln, dann bietet sich GnuPG dafür an, man kann auch ganze Verzeichnisse zum Beispiel mit ecryptfs verschlüsseln.
Die Frage ist vor allem, wovor du dich schützen möchtest und was es da für Angriffsmöglichkeiten gibt (oder auch nicht).
Zunächst einmal sollte klar sein, dass eine Festplattenverschlüsselung (z.B. LUKS) natürlich nur solange wirkt, wie die Festplatte ausgeschaltet ist. Sobald das System gebootet ist und die Dateisysteme gemountet sind, sind alle Daten lesbar und auch schreibbar. Da gibt es mMn zwei Angriffsmöglichkeiten:
Man verschafft sich physischen Zugang zu deinem Computer und installiert einen Keylogger (Hardware) und kommt auf diesem Weg an dein Passwort.
Man greift das laufende System an, zum Beispiel über eine manipulierte Webseite.
In beiden Fällen wird nicht die Verschlüsselung direkt angegriffen sondern andere Schwächen ausgenutzt. Dass jemand unbemerkt physischen Zugriff auf dein System erlangt, um dort einen Keylogger zu installieren halte ich für eher unwahrscheinlich. Ich glaube da wären wir schon im Bereich der staatlichen Ermittlungsbehörden oder Geheimdienste.
Zugriff auf das laufende System ist einfacher, dann stört aber die Festplattenverschlüsselung sowieso nicht mehr, wenn der Angreifer sie überhaupt bemerkt. Nun könnte man sagen: dann verschlüssele ich eine Datei mit meinen Passwörtern (grundsätzlich eine schlechte Idee) nochmal mit einem anderen Programm … aber spätestens wenn du an die Passwörter dran willst, musst du auch diese Verschlüsselung auf machen und dann sind die Daten halt verfügbar und können gegebenenfalls auch von anderen Programmen ausgelesen werden. Wenn sie das überhaupt wollen, also dafür ausgelegt sind.
Ich vermute mal, dass du da vor allem Passwörter für Webseiten und ähnliches meinst … spätestens wenn du die per Copy&Paste in den Browser überträgst könnten diese ausgelesen werden. Entweder aus der Zwischenablage oder direkt aus dem Browser. Gegen Phishing schützt dich sowas übrigens auch nicht. Was man dabei auch nie vergessen darf ist, dass die Passwörter ja zu einer Webseite gehören, es also immer noch einen zweiten Teilnehmer gibt, bei dem solche Daten abgegriffen werden können. Das ist dort mMn auch viel wahrscheinlicher, also wenn ich an Nutzerdaten eines Online-Dienstes kommen wollte, würde ich wohl doch eher an den Betreiber des Dienstes herantreten. Möglicherweise sogar auf legalen Wegen.
Festplattenverschlüsselung ist durchaus sinnvoll. Zum Beispiel könnte mir mein Laptop geklaut werden, oder ich den irgendwo liegen lassen, und ich wäre mir relativ sicher dass kein Unbefugter (Dieb/Finder) den einfach starten kann und meine Daten auslesen kann. Zusätzlich, und das betrifft auch Desktops, kann die Festplatte auch kaputt gehen und ich kann sie einfach entsorgen ohne mir über die Daten darauf Gedanken machen zu müssen, das ist halt auch von einem Datenrettungslabor nicht mehr auszulesen.
Eine zusätzliche Verschlüsselung einzelner Dateien kann Sinn ergeben, wenn man den Rechner mit anderen Menschen teilt und diesen deshalb das Passwort für die Festplattenverschlüsselung geben muss, aber trotzdem einen Bereich haben will, der gesichert ist.
Für alle anderen Fälle gilt immer: https://xkcd.com/538/ 😉
~jug