Verschluesselung

Natürlich. Ist genauso wirksam wie Schlangenöl gegen Lungenkrebs und ungewollte Schangerschaften. Nur zu empfehlen.

Meine Fresse, bist du phantasielos. Da baue ich dir einfach in deine Tastatur einen anderen Tastaturcontroller ein (das kann jeder kleine

8-Bitter mit genügend Pins für die Tastaturmatrix) und ab der nächsten "Pre-Boot-Authentification" weiß ich deine Passphrase.

Schraubst du vor jeder Verwendung deine Tastatur auf und kontrollierst sie auf Manipulationen?

Am 20.10.2011 11:15, schrieb Michael Welle:

Das wären jetzt mehrere völlig verschiedene Dinge, für die völlig verschiedene Lösungsansätze erforderlich sind.

Sprache analog: Frequenzinversion, diverse "schräge" Modulationsverfahren, alles mir etwas Knowhow leicht zu knacken.

Sprache ISDN: diverse Fertiglösungen

Sprache IP: z.B. VPN

email: PGP und Verwandte

Wenn man davon ausgeht, daß sich interessierte Kreise im Bedarfsfall unbemerkt Zugang zur Wohnung verschaffen können, ist *alles* unbemerkt manipulierbar.

Zum Beispiel wird beim ersten Besuch ein (Hardware-)Keylogger installiert, um bei einem zweiten Besuch dann alle relevanten Passwörter zu kennen.

Oder man baut einen Sender in den PC-Bildschirm ein, welcher laufend Screenshots an ein auf der Strasse geparktes Auto mit der Aufzeichnungstechnik sendet. Wann hast du deinen Monitor das letzte mal geöffnet?

Oder man installiert zum Abhören von Sprache einfach eine klassische Wanze.

Oder...

Eine zugekaufte Blackbox (etwa ein IP-Telefon mit Verschlüsselungsfunktion) ist immer leicht zu manipulieren, da du als "dummer" Anwender die Unversehrtheit nicht prüfen kannst. Im Worstcase ist das Gerät bereits bei Lieferung mit Hintertüren versehen, weil $Geheimdienst den Hersteller entsprechend unter Druck gesetzt hat oder weil kriminelle Kreise irgendwo auf dem Vertriebsweg Zugang hatten. Es sollen schon EC-Karten-Terminals mit heimlich eingebautem GSM-Modem direkt vom Hersteller ausgeliefert worden sein...

Bei einer physichen Trennung von Endgerät und Verschlüsselungs-Box lässt sich zudem die Schnittstelle zwischen den Geräten abhören.

Wenn du in der Lage bist, eine "Verschlüsselungs-Box" mit Opensource-Software manipulationssicher aufzusetzen, dann kannst du auch gleich deinen Arbeitsplatz-PC manipulationssicher einrichten. Im Zweifelsfall darf Windows halt nur in einer VM laufen, und als Wirt dient was Vernünftiges.

Hergen

Am 20.10.2011 21:17, schrieb Heiko Nocon:

Da reicht schon einmal mit einem "speziellen" USB- Stick Booten und schwupps ist ein Software-Keylogger _vor_ der Pre-Boot-Authentification geladen.

In meinen Funkgeräten ist das Kryptomodul teilweise so angebracht, daß beim Öffnen des Abschirmung ein Taster den Schlüssel löscht. Einfach, simpel, für die Anwendung hinreichend.

-ras

--

Ralph A. Schmid

http://www.dk5ras.de/ http://www.db0fue.de/
http://www.bclog.de/

Wäre mal interessant, wie sicher oder unsicher die Fingerprint-reader in notebooks mit dem Rechner kommunizieren.

-ras

--

Ralph A. Schmid

http://www.dk5ras.de/ http://www.db0fue.de/
http://www.bclog.de/

Wenn man keine Ahnung hat...

Bei der Firmenkundenversion mit eigenem server ist die Kommunikation Ende-zu-Ende verschlüsselt. Nur bei den Einzel/Endkundenangeboten kann RIM die Daten mitlesen und weitergeben.

-ras

--

Ralph A. Schmid

http://www.dk5ras.de/ http://www.db0fue.de/
http://www.bclog.de/

Und wohin installiert der sich dann, wenn die HD nicht zugänglich ist?

-ras

--

Ralph A. Schmid

http://www.dk5ras.de/ http://www.db0fue.de/
http://www.bclog.de/

Am 21.10.2011 17:39, schrieb Ralph A. Schmid, dk5ras:

Zum Beispiel als getarnter, erster Bootloader.

Und du meinst der überlebt es wenn der Kernel des OS die Kontrolle übernimmt in den in Protected Mode schaltet?

Gerrit

ch ist?

e

Erstens d=C3=BCrfte das dank Prozessorunterst=C3=BCtzung von neumodische= r Virtualisierungstechnologie heute sogar noch viel einfacher machbar sein als vor ein paar Jahren und zweitens reicht es doch schon, wenn er Deine Passphrase irgendwo passend wegspeichert. Freie Bits haben sich noch in jedem Rechner gefunden. Das OS kommt ja ohnehin erst danach zum Zug und da ist selbiger eigentlich schon abgefahren.

Vinzent.

--

f u cn rd ths, u cn gt a gd jb n cmptr prgrmmng.

Eine komplette Virtualisierung im Bootloader unterzubringen wäre aber eine ziemliche Leistung.

Normalerweise kommt die Abfrage erst wenn der Kernel schon geladen ist. Sicherstellen, dass dieser nicht kompromittiert wurde kann man auch.

Gerrit

Am 21.10.2011 21:31, schrieb Gerrit Heitsch:

Also bei der Truecrypt Pre-Boot Authentication startet ein Truecrypt Bootloader vor allen anderen Programmen (da wird ja auch das _komplette_ System verschlüsselt). Und das kann mit einem "Pre Pre-Boot Authentication Bootloader" auch ausgespäht werden.

Ich zitiere mal kurz aus Wikipedia:

"Seit Juli 2009 existiert ein Bootkit für alle Windows-Versionen der x86-Architektur, welches die Eingabe des Kennworts für die TrueCrypt Pre-Boot Authentication ausspähen kann. Bislang sind alle X86-Rechner mit herkömmlichem BIOS davon betroffen, EFI-Systeme dagegen nicht. Nach einer erfolgreichen Infektion kann das Bootkit, das bei einem Rechnerstart zuerst geladen wird und sich zwischen Windows und TrueCrypt hängt,[8] nicht von Virenscannern erkannt werden."

Wobei dieses Bootkit wohl scheinbar etwas weiter geht als einfach nur die Passphrase irgendwo hin zu speichern.

Die Antwort darauf kam ja schon von Axel Schwenke:

"Einen gewissen Schutz bietet ein (Host-)IDS, das die Prüfsummen der unverschlüsselten Teile auf der verschlüsselten Platte hält und bei jedem Start überprüft. Und/oder man bootet von einem Medium das man ständig am Mann trägt."

So ein IDS sollte man wohl, wenn man ganz sicher gehen will, auch installieren. Obwohl- wenn schon einer solche Tricks anwendet wirst du die Warnmeldung nicht zu Ende lesen können ;)

Am Fri, 21 Oct 2011 22:00:06 +0200 schrieb Heiko Lechner:

Wirklich sicher wird auch das nur, wenn man die Prüfsummen separat kopiert und sicher lagert, ggf. vergleicht. was sollte den Manipulierenden hindern, die Prüfsummen neu zu erstellen? Wenn man schon von dessen Omnipotenz ausgeht weiß der auch, welches PRogramm er dafür braucht und ggf. mitbringen muß ...

Weil der Arzt, der wegen Paranoia zu Rate gezogen wird, gleich ein starkes Sedativum verabreicht?

Marc

Am 21.10.2011 15:58, schrieb Ralph A. Schmid, dk5ras:

So ist das in ec-Terminals auch, die Hardware wird vor Zulassung sicherheitsbegutachtet, die Software ebenfalls. Dennoch ist es Kriminellen gelungen, die Sicherheitsmaßnahmen zu unterlaufen und die Geräte zu manipulieren, ohne die Schlüssel zu löschen. Ich mach jetzt mal den Jörg und darf nicht alles erzählen :-) Ich rede jetzt nicht von Kameras und Skimming-Aufsätzen, die sind an Automaten einfacher anzubringen, bei den ec-Terminals eher nicht.

Bernd

Am 21.10.2011 22:09, schrieb Marc Santhoff:

Dass Du nicht paranoid bist heisst ja nicht, dass sie nicht hinter Dir her sind...

Bernd

aber

In Zeiten, wo man schon das BIOS komprimieren mu=C3=9F, um es noch unterzukriegen, mag das so erscheinen, ja. *schulterzuck*

.

Nein. Und wenn eine Festplattenverschl=C3=BCsselung sich vor das Betrieb= ssystem setzen kann (k=C3=B6nnen mu=C3=9F, da sie es erst entschl=C3=BCsselt) un= d dabei =C3=BCberlebt, kann das auch ein Keylogger.

Vinzent.

--

f u cn rd ths, u cn gt a gd jb n cmptr prgrmmng.

ch ist?

e

Mu=C3=9F er u.U. nicht mal, es geht auch einfacher:

Vinzent.

--

f u cn rd ths, u cn gt a gd jb n cmptr prgrmmng.

Deswegen schrieb ich ja: die Prüfsummen müssen auf der verschlüsselten Platte liegen. Zu dem Zeitpunkt, wo der Angreifer den Bootloader/Kernel modifiziert, kennt er das Platten-Paßwort ja noch nicht (sonst könnte er sich die Arbeit sparen)

Natürlich verhindert das nicht, daß das Paßwort leakt, aber es passiert wenigstens nicht unbemerkt.

OK, wenn der Kernel unverschlüsselt rumliegt, kann der Angreifer ein Rootkit reinpacken, das die Prüfsummen der ausgetauschen Komponenten faked. Aber Sicherheit ist nie 100%. Es geht immer nur darum, die Latte hoch genug zu hängen. Entweder zu hoch für die Fähigkeiten des Angrei- fers oder zumindest zu hoch für seine finanziellen Möglichkeiten.

PS: was man immer im Gedächtnis behalten sollte:

XL