Verschlüsselung USB-Stick mit Dokumenten

    Hi,

    immer wieder wird empfohlen seine wichtigsten Dokumente als Scan auf einem USB Stick zu haben und diesen zu verschlüsseln, damit bei Verlust nicht der Falsche an deine Daten kommt.

    Doch, wie am besten?

    Welche Methode zum Verschlüsseln bietet einen guten Mix aus Sicherheit & Usability? Was ist auch für einen Laien machbar?

    Hi,

    Ich habe bis vor kurzem via Truecrypt verschlüsselt. Ist ein super Programm aber seit 2015 wird es nicht mehr weiterentwickelt und anscheinend gibt es seither Sicherheitslücken . Die mir empfholene Alternative dazu ist Veracrypt . Vom aufbau her ähnlich und relativ leicht zu bedienen. Veracrypt ist fast Sicher laut unseren IT Experten. Die Dateien werden verschlüsselt und dann wird die Verschlüsselung noch mal verschlüsselt und die verschlüsselte Verschlüsselung nochmals verschlüsselt und so weiter. Je nachdem wie man es einstellt. So wurde es mir vom Experten erklärt.

    Hi,

    ich verwende dafür einen Kingston USB Stick mit Spyrus Verschlüsselung, die Dokumente selbst sind in der verschlüsselten Partition des USB Sticks relativ sicher verwahrt.
    Auch meinen persönlichen Passwort Safe habe ich auf diesem USB Stick immer bei mir.
    z.B.
    Kingston Data Traveller 4000 https://geizhals.at/kingston-datatravele...37.html?hloc=at

    Spyrus Verschlüsselung https://www.spyrus.com/tag/kingston-irony-d300-usb/

    Ich verwende noch ein älteres Modell mit nur 16GB Speicher, bin mit diesem Stick aber sehr zufrieden.

    Never argue with an idiot, they drag you down to their level and beat you with experience.

    bitlocker kann man sich dezent sparen. die offizielle anleitung um von TC auf BitLocker zu wechseln steht da immer noch. http://truecrypt.sourceforge.net/


    veracrypt, LUKS, oder dm-crypt
    LUKS und dm-crypt sind üblicherweise auf grml und knoppix enthalten, somit kann man seinen gecrypteten ordner/tgz auf einem livesystem liegen haben, und überall sein system hin mitnehmen.
    der stick an sich kann natürlich auch noch selbst gecrypted gebootet werden.
    dm-crypt/luks gibts jetzt auch schon als win-version. hab ich aber noch nicht verwendet bisher.

    true/veracrypt ist halt so eine sache, für mich riecht das schon etwas fishy. manche schwören aber noch drauf. hidden dinge sind da nice als besonderes merkmal. Gewarnt wurde ja beim letzten TC release ( "If I wish to use the NSA" )

    Meine Empfehlung, ein USB-Stick mit LiveSystem und da drauf die Daten.

    beim crypten gilt aber wie immer, die mauer muss nur 1cm höher sein als der Hund springen kann.

    Das Problem ist, dass der Hund ja von Tag zu Tag höher springt. Daher muss man die Mauer gleich beim ersten Mal hoch genug bauen!


    dm-crypt/LUKS ist halt unter Windows nicht unbedingt meine erste Wahl. Für Linux natürlich perfekt (hab' alle meine Volumes bis auf /boot damit verschlüsselt). Und ehrlicherweise muss man zugeben, dass ein FAT-Dateisystem halt universell lesbar ist.

    Veracrypt hat halt den Charme, dass ich nicht gleich den ganzen USB-Stick verschlüsseln muss, sondern eine Containerdatei anlegen kann. Und es ist relativ benutzerfreundlich. Man benötigt (im Gegensatz zu dm-crypt/LUKS) keine Kommandozeilenkenntnisse. Es ist open source, benötigt keine Admin-Rechte (weil es gar nicht installiert werden muss), wurde Auditiert und man hat mWn seit 2016 keine gröberen Probleme mehr gefunden.
    Und - als größter Bonus: Es bietet die Möglichkeit, einen unsichtbaten Container einzubinden. D.h., man kann im "offensichtlichen" Container noch einen geheimen Bereich einrichten, der nur durch ein spezielles Passwort entschlüsselt wird. Die Existenz dieses geheimen Bereichs kann (für Volumes, die ab 2016 erstellt wurden) auch nicht bewiesen werden. Man kann also auch von niemanden gezwungen werden, diesen zu entschlüsseln - denn man kann ja gar nicht beweisen, dass er existiert!
    Dieses Gesamtpaket bietet mir kein mir bekanntes anderes Programm, daher habe ich Veracrypt nachwievor in Verwendung.

    LG,

    BT

    There is no such thing as too much backup!

    Wie kann man einen verschlüsselten USB-Stick gleichzeitig auf einem Windows Rechner und an einem Android-Handy betreiben?
    Hat hier wer ene Lösung? Kann das eines der hier genannten Programme?

    Mit "EDS" als light oder full Version kann man z.B. TrueCrypt oder VeraCrypt öffnen
    ==> http://sovworks.com/eds/

    Oder das klassische ZIP File

    Du brauchst nur einen Stick der 2 Stecker hat - USB und Micro USB. Oder einen passenden Adapter. Das Dateisystem des Sticks könnte auch noch ein Thema sein, Android kann "nur" FAT bzw. FAT32 und kein NTFS (mit Bordmitteln).

    Ich bin lieber auf etwas vorbereitet was nie passiert als nachher überrascht da zu stehen.

    Frage eines Laien:
    Sind diese Sicherungsmaßnahmen wirklich notwendig?
    Genügt es nicht den Stick sicher aufzubewahren?
    Was ist wenn ich den Stick nicht mehr selber verwenden kann, sondern andere mir nahestehende Personen darauf zurück greifen müssen?
    HG
    Grauer Wolf

    Meiner Meinung nach sollten wichtige Daten und Dokumente schon verschlüsselt und geischert verwahrt werden.
    Den Zugriff auf so einen USB Stick kann man ja weitergeben.
    Ich persönlich habe auf dem Stick auch meinen Passwortsafe und andere Daten, die Einträge aus Passortsafe, und da ist auch der Zugangscode für den Stick dabei, sind zusätzlich ausgedruckt und liegen daheim in einem Tresor, Zugang zum Tresor hat meine Frau und meine Tochter.

    Das sollte man meine Meinung nach sowieso mit allen wichtigen Login-Daten und anderen wichtigen INformationen so halten, passieren kann immer etwas und die Familie hat dann schon genug Probleme, die sollen sich nicht auch noch um solche Dinge kümmern müssen.

    Never argue with an idiot, they drag you down to their level and beat you with experience.

    Mir geht es darum, dass meine externen Festplatten und USB-Sticks geschützt sind, sollten sie verloren oder gestohlen werden.
    Darum Verschlüssle ich das ganze Medium und möchte es auch schnell am Computer wieder einbinden können. Daher die Entscheidung für Bitlocker. Geht ab Win7 ohne das man etwas installieren muss, aber halt nur auf Windwos.

    Bei Verlust und Fund durch einen Laien, wird sich der wohl kaum die Mühe machen das Bitlocker Passwort zu knacken. Er wäre eh schon mutig einen gefunden Stick an seinen Rechner zu stecken.
    Das gleich gilt für Diebstahl.

    Also nur ein Schutz das nicht jeder meine Daten einsehen kann.
    Wirkliche Profis würden so oder so an meine Daten kommen glaube ich.


    @Grauer Wolf: Das oder die Passwörter wissen meine nahstehende Personen bzw. sind sie als Hardcopy auch noch niedergeschrieben.

    Zitat von Grauer Wolf im Beitrag #11
    Frage eines Laien:
    Sind diese Sicherungsmaßnahmen wirklich notwendig?
    Genügt es nicht den Stick sicher aufzubewahren?
    Was ist wenn ich den Stick nicht mehr selber verwenden kann, sondern andere mir nahestehende Personen darauf zurück greifen müssen?
    HG
    Grauer Wolf


    Ich habe einen Mini-USB-Stick mit den persönlichen Dokumenten (von der Passkopie über Geburts- und Heiratsurkude, waffenrechtliche Dokumenten bis hin zum Grundbuchauszug für unser Haus) am Schlüsselbund. Da der ja mal wegkommen kann möchte ich nicht, dass der neue Besitzer gleich alles über mich weiß bzw. damit (z.B. im Internet) damit Schindluder treiben kann.

    Also: Ja, für mich sind solche Sicherheitsmaßnahmen unbedingt notwendig...

    There is no such thing as too much backup!

    Danke für den bisherigen Input!

    Wäre jemand bereit ein kurzes Tutorial zu schreiben, damit wir Laien eine Schritt-für-Schritt-Anleitung für das Ver- und Entschlüsseln zur Verfügung stellen können?

    Danke!

    https://www.pc-magazin.de/ratgeber/verac...ln-3153230.html

    gibt's ja alles, ein livesystem am Stick ist natürlich anders zu sehen, aber für das reine aufbewahren von Daten auch über das Ziel hinausgeschossen imho.

    Zum Thema Passwort, um den Zugang zu Keepass, Container etc vernünftig zu sichern muss da was gescheites gewählt werden. Begriffe aus dem Wörterbuch, vielleicht mit bisschen l33t gewürzt bringt NULL, überlegt euch lange Passphrases mit Eigenheiten wie Rechtschreibfehlern oder Dialekt:
    Beispiel: Zugang zum Keepassfile erhält man mit "Endlikhobi1gscheitsPasswort!glaubizumindest?" das ist Stand heute quasi nicht zu knacken per Bruteforce, die jeweiligen Dienste die man so nutzt bekommen halt ein von Keepass erzeugtes Randompasswort, das muss man sich nicht merken können. ZUsätzlich kann man natürlich auch ein File als 2. Faktor verwenden, da bin ich aber kein Fan von, das File muss man ja dann griffbereit am System haben und man muss dieses file dann auch entsprechend sichern.

    Es feit einen natürlich nicht vor Shouldersurfing und Keyloggern ;)

    Hier ein kleines Tutorial zur VeraCrypt-Benutzung, spezifitsch für Containerdateien (auf USB-Sticks o.ä.).

    Einstellungen
    Wenn man das Programm erstmalig startet kann man unter „Settings“->“Langugage“ die Sprache auf Deutsch umstellen. Damit geht die Bedienung für viel schon mal viel leichter 😉
    [[File:01_Oberflaeche.PNG|none|auto]]

    Einen neuen Container erstellen
    Unter „Volumes“->“Neues Volume erstellen …“ kann man seine erste verschlüsselte Partition bzw. Container anlegen.
    Und steht auch gleich vor der ersten Entscheidung: Soll ich einen Containter (was das ist, dazu komme ich gleich erstellen), eine Partition oder gleich die die Systempartition verschlüsseln?
    Systempartition verschlüsseln macht Sinn, wenn ich mein gesamtes Windows-System vor fremden Augen schützen möchte. Ich muss dann immer vor dem Start von Windows das Entschlüsselungspasswort eingeben.
    Partition verschlüsseln bedeutet, dass ich ein ganzes Laufwerk*) (z.B. USB-Stick) verschlüsselt wird.
    [[File:02_Volume_erstellen.png|none|auto]]

    Ich werde hier nur die Erstellung und Verwendung von Containerdateien vorstellen. In der Containerdatei ist im Prinzip ein vollständiges Dateisystem enthalten. Ältere Semester kennen das sicher noch vom CD- oder DVD-Brennen (.img oder .iso-Dateien). Nur dass diesmal das Dateisystem auch verschlüsselt ist.
    Der Vorteil einer Containderdatei gegenüber der Verschlüsselung des Laufwerks liegt darin, dass man den Rest des UB-Sticks noch normal verwenden kann, ohne spezielle Software installieren zu müssen.

    Art des Volumes
    Schon wieder eine Entscheidung: Soll ein Standard-Volume erstellt werden, oder eines mit Hidden Volme?
    [[File:03_Art_des_Volumes.PNG|none|auto]]

    Ein Standard-Volume ist genau das, was der Name vermuten lässt: ein verschlüsselter Bereich (Containerdatei oder Partition), welcher mittels Passwort entschlüsselt werden kann.
    Ein Hidden Volume, also ein versteckter Datenträger, ist ein Standard-Volume, in dem aber noch zusätzlich ein Hidden Volume eingebettet ist. Die Existenz des Hidden Volume kann nicht bewiesen werden. Daher kann man auch nicht (legal) gezwungen werden, es zu entschlüsseln: Es gibt keinen Hinweis oder gar Beweis für seine Existenz!

    Ich beschreibe das Anlegen eines Hidden Volumes.
    Der nächste Schritt ist die Auswahl des Modus´: Direkt oder Komplett. Direkt bedeutet, dass man einem Standard-Volume ein Hidden Volume hinzufügt. Wir machen aber den Kompletten Modus, also die Anlage von sowohl Standard- als auch Hidden-Volume.

    Als Speicherort wähle ich die Datei F:/Privat.tcc (TrueCryptContainer). Prinzipiell kann man aber jeden Namen (auch die Dateiendung ist frei wählbar) verwenden. Da der Dateityp aber sowieso anhand des Headers ermittelt werden kann sehe ich hier keinen Grund, z.B. eine .zip o.ä. vorzutäuschen.
    [[File:04_Containerdatei_anlegen.png|none|auto]]

    Als nächstes steht die Wahl des Verschlüsselungsalgorithmus' an. Standard (in mehreren Sinnen) ist hier AES. Er ist hoch performant auf klassischer PC-Architektur (x86) und ARM-Rechnern (quasi alle Smartphones), sehr weit verbreitet und (obwohl im theoretischen Sinn bereits geknackt) derzeit und in mittlerer Zukunft unknackbar.
    Ich nehme die Kombination Serpent(AES), wo zuerst mit AES verschlüsselt wird und dann noch zusätzlich nochmal mit Serpent (nochmal sicherer als AES). Diese Kombination bietet für mich einen guten Kompromiss aus Sicherheit (wenn ein Algo geknackt werden kann, greift immer noch der zweite) und Geschwindigkeit. AES alleine ist um ca. 25% schneller und wie gesagt sicher genug für die nächsten Jahre, wäre also auch kein Fehler und ist nicht umsonst als Standard gewählt worden…
    [[File:05_Algorithmus-Auswahl.png|none|auto]]

    Hier kann man auch testen, wie performant die einzelnen Algorithmen auf dem jeweiligen System sind.

    Im nächsten Schritt erfolgt die Festlegung der Speichergröße (ich nehme 4.000 MB, die maximale Größe für FAT-Dateisysteme), dann kommen schon die Passwörter: Zuerst für den äußeren Container, dann für den inneren.
    Dazwischen wird immer das Dateisystem abgefragt: FAT, exFAT oder NTFS. FAT ist mMN noch immer der Standard für USB-Sticks, auch wen exFAT speziell dafür konzipiert wurde. FAT hat aber für mich den Vorteil, dass es quasi universell lesbar ist (exFAT wurde erst vergleichsweise spät entwickelt, und daher ist die Unterstützung nicht durch die Bank gesichert). NTFS ist seit Jahren das Dateiformat von Microsoft. Wer nie etwas anderes benutzen wird, kann auch das verwenden.

    Beim Dialog für’s Formatieren wird auch ein Zufallszahlen-Puffer angelegt, welcher dadurch gefüllt wird, dass man die Maus (innerhalb des Fensters) bewegt. Diese Zufallszahlen werden benötigt, um dann den freien Speicher damit zu füllen. Dies ist nötig, um die Anwesenheit bzw. Nicht-Anwesenheit eines verschlüsselten Hidden-Volumes verschleiern zu können.
    Wenn da äußere Volume verschlüsselt und formatiert ist wiederholt sich die Prozedur für das „innere“, versteckeckte Volume. Ich nehme hier 500 MB, damit man im äußeren Volume viel „leeren“ Platz hat und so das versteckte Volume nicht auffällt.
    Es folgt nun ein Dialog, welcher eindringlich davor warnt, in das äußere Volume zu schreiben, ohne das Hidden-Volume abzusichern. Denn wenn das Programm nicht weiß, dass es ein verstecktes Volume gibt kann es auch nicht darauf Rücksicht nehmen.

    Hidden Volumes vor Beschädigung schützen
    Daher muss man (sobald man Daten in das äußere Volume schreiben will) wie folgt vorgehen:
    Zuerst ein freies Laufwerk im oberen Teil des Fensters auswählen (in diesem Fall: P, dann das Volume (auf „Datei“ klicken und auswählen) und danach „Einbinden“ klicken.
    [[File:06_Volumes_einbinden.png|none|auto]]

    Im folgenden Passworteingabedialog das Passwort für das äußere Volume eingeben und dann Auf „Optionen“ klicken und das Hakerl bei „Verstecktes Volume vor Beschädigung durch äußeres Volume schützen“ setzen (und natürlich das richtige Passwort auch für das versteckte Volume eingeben. Jeweils mit OK bestätigen.
    Es folgt wieder ein nicht unbedingt einfach zu verstehender Hinweis. Was er sagen will: Das versteckte Volume wurde nicht wirklich eingebunden, sondern nur der Header entschlüsselt, so dass bei einem Schreibvorgang in das äußere Volume darauf Rücksicht genommen werden kann.
    Will man also in das versteckte Volume schreiben, so muss man im Einbinden-Dialog das äußere Volume auswählen, aber das Password für das innere angeben.
    [[File:07_Hidden_Volume_schuetzen.png|none|auto]]

    Hört sich komplizierter an als es dann in der Praxis ist. Wer sich damit nicht herumschlagen will kann ja einen Container ohne Hidden Volume erstellen. Diesen kann man später jederzeit hinzufügen (wenn man zB. genügend Routine hat).








    *) Gemeint ist hier nicht zwingend der physische Datenträger. Sondern das, was Windows als Laufwerk bezeichnet und ihm einen Laufwerksbuchstaben zuweist.

    Vielen Dank für deine Mühe!

    Um die verschlüsselten Daten wieder entschlüssen zu können, benötige ich dann aber wieder Veracrypt auf dem jeweiligen PC, richtig?

    Gibt es bei der Entschlüsselung etwas zu beachten?

    Veracrypt sollte auch am USB-Stick sein. Man kann die .exe Datei direkt am Stick starten, vorrausgesetzt man hat die entsprechenden Rechte auf dem PC.
    Am besten einen eigenen Ordner am Stick anlegen und dort alle Datein die mit Veracrypt zu tun haben hinein geben.

    Für die Entschlüsselung brauchst du nur einen freien Laufwerksbuchstaben. Der wird dann dein Container.

    Wegen dieser "vielen" zwischenschritte, habe ich mich für Bitlocker entschieden. Ist etwas User-Freundlicher finde ich.

    An meinem Schlüsselbund hängt immer ein kleiner USB Stick mit allen wichtigen Dokumenten - ja, verschlüsselt ;)

    Leider muss ich das verdammte Ding immer wieder ersetzen. Die Mechanische und Thermische Belastung (liegt ja auch mal in der Sonne) scheint nicht ganz so optimal zu sein...


    Könnt ihr mir einen USB Stick empfehlen?

    Möglichst kein Riesen-ichüberlebeeineAtombomben-Dingens! Der derzeitige ist rund 2,5cm lang und 0,5cm dick. Passt also gerade so in eine USB Buchse.


    Ach ja, welche Verschlüsselungssoftware nutzt ihr so?


    Besten Dank für jede Hilfe!! :thumbup: