Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- open:it:crypto [2024/09/10 18:29] – [Container & Laufwerke verschlüsseln] k@i
+++ open:it:crypto [2025/08/13 15:33] (aktuell) – [Container & Laufwerke verschlüsseln] k@i
@@ Zeile 1: / Zeile 1: @@
-====== Kryptografie ======
+====== Datenschutz & Kryptografie ======
 ===== Daten =====
 ==== Dateien verschlüsseln ====
@@ Zeile 128: / Zeile 128: @@
 === Veracrypt ===
-Hier Installation und Befehle über Konsole. \\
-Beispielhaft für ein verschlüsseltes und am Server angeschlossenes USB-Speichermedium.
 <WRAP important>
-Achtung: In der Standardeinstellung, bleibt die Änderungszeit von Containerdateien erhalten, auch wenn deren Inhalt verändert wird. I.d.R. ist das kein Problem bzw. vom Standpunkt der Sicherheit von Vorteil, da das Datum der letzten Änderungen von Außen nicht erkannt werden können. \\
+**Wenn es wirklich sicher sein muss:** \\
-Wird eine Containerdatei jedoch z.B. über Nextcloud synchronisiert, kann auch Nextcloud nicht erkennen, wenn sich innerhalb des Containers Änderungen ergeben haben und wird ggf. nicht synchronisieren. \\
+a) VeraCrypt kann ein **verstecktes Laufwerk** (hidden volume) erstellen. Dabei werden zwei verschiedene Passwörter für den selben Container vergeben. Und je nach Passworteingabe wird das sichtbare oder das versteckte Volumen geöffnet. Veracrypt empfiehlt, während der Installation in das sichtbare Laufwerk einige Daten zu legen, die vermeintlich wichtig sind - falls man **ein** Passwort, z.B. bei Entführung, verraten muss. Erst anschließend wird das versteckte Volumen erstellt. Das sichtbare Volumen sollte man dann nicht mehr verändern (keine neuen Daten aufspielen), weil dadurch das versteckte Volumen zerstört werden könnte. \\
-Lösung für die GUI-Anwendung: Einstellungen -> Voreinstelllungen -> "Änderungszeiten von Containerdateien erhalten" auf allen betroffenen Systemen **abschalten**.
+b) Liegt der verschlüsselte Container auf einem entfernten Server, dann sollte dieser nicht auf dem Server "geöffnet" werden, sondern auf dem lokalen System. Dadurch wird nur der verschlüsselte Container Online übertragen und nicht die darin enthaltenen Dateien bzw. Daten, wodurch die Datenübertragung zusätzlich gesichert ist. Die räumliche Trennung von Containerablage (auf dem Server) und Passworteingabe (auf dem lokalen System) macht zusätzlich Sinn, damit das PW nicht in irgendeinem Zwischenspeicher auf dem Server erhalten bleiben kann.\\
+c) In der Standardeinstellung von Veracrypt bleibt die **Änderungszeit** der Containerdateien erhalten, auch wenn deren Inhalt verändert wurde. Dadurch ist auch der Zeitpunkt der letzten Änderung von außen nicht sichtbar.\\
+Einstellung über die GUI-Anwendung: Einstellungen -> Voreinstelllungen -> "Änderungszeiten von Containerdateien erhalten". \\
+Hinweis: Soll jedoch von einer Containerdatei regelmäßig ein Backup erstellt oder diese synchronisiert werden (Nextcloud, etc.), kann ggf. nicht erkannt werden, ob sich innerhalb des Containers Änderungen ergeben haben und der Vorgang kann scheitern. Lösung: Auf betroffenen Systemen o.a. Änderungszeiten ... erhalten -> **abschalten**. Die Änderung bezieht sich auf das System und nicht auf den Container!\\
 </WRAP>
+Hier Installation und Befehle über Konsole. \\
+Beispielhaft für ein verschlüsseltes und am Server angeschlossenes USB-Speichermedium.
 https://veracrypt.fr/en/ \\
 https://github.com/arcanecode/VeraCrypt-CommandLine-Examples/blob/main/Linux/post.md
@@ Zeile 166: / Zeile 173: @@
 === Veracrypt Auto-Mount ===
-Soll eine Partition oder eine Container-Datei automatisch nach dem Einloggen eingebunden werden, dann muss hierfür auch das Passwort auf dem PC hinterlegt werden. Wenn dies in einem __nicht__ geschützten Bereich erfolgt, dann ist das grundsätzlich problematisch, da auch ein Angreifer, der im Besitz des Gerätes ist, das Passwort auf der Festplatte finden kann. Hier würde sich [[#Variante 1|Variante 1]] anbieten. \\
+Soll eine Partition oder eine Container-Datei automatisch nach dem Einloggen eingebunden werden, dann muss hierfür auch das Passwort auf dem ungeschützten Teil des PCs hinterlegt werden. Das ist grundsätzlich problematisch, da auch ein potentieller Angreifer, der im Besitz des Gerätes ist, das Passwort auf der Festplatte finden kann. Trotzdem: [[#Variante 1|Variante 1]]. \\
-Ist die Systemplatte geschützt, Passworteingabe bereits beim Booten des Rechners, kann das Passwort für weitere Festplatten in diesem geschützten Bereich abgelegt werden. Siehe  [[#Variante 2|Variante 2]].
+Ist die Systemplatte geschützt, Passworteingabe bereits beim bzw. zum Booten des Rechners erforderlich, kann das Passwort für weitere Festplatten in dem dadurch geschützten Bereich abgelegt werden. Siehe  [[#Variante 2|Variante 2]].
 == Variante 1 ==
@@ Zeile 245: / Zeile 252: @@
 Im Falle des Betriebs eines eigenen E-Mail-Servers siehe: [[open:it:mailserver|Mail-Server]]. \\
 Ist die Übertagungssicherheit nicht gewährleistet, kann entweder die gesamte [[#E-Mails verschlüsseln|E-Mail verschlüsselt]] oder [[#Dateien verschlüsseln|verschlüsselte Dateien]] mit der E-Mail gesandt werden.
+===== Identität schützen =====
+==== Internet Surfen mit Tor ====
+Mit dem [[https://www.torproject.org/|Tor Browser]] anonym bleiben. Gegen Verfolgung und Überwachung verteidigen, Zensur umgehen. \\
+Tor läuft über verschlüsselte End-to-End-Verbindungen und ist vernetzt über diverse Server in diversen Ländern. Mit Tor surft man anonym und es ist nicht möglich, eine Verbindung zwischen den abgerufenen Inhalten und dem Abrufenden herzustellen – Verfolgung auch nicht möglich für: Netzanbieter, Abhörende, Seitenbetreiber oder Google-Analytics. \\
+Die Route der Daten verläuft über mehrere Länder. Die Start- und Endpunkte der Route werden von Tor frei, vermutlich zufällig, ausgewählt.\\
+Die Route kann auch manuell eingestellt werden. \\
+Das hat allerdings zwei Nachteile: \\
+  - kann zu Verlusten bei der Performance führen. Das Suchen nach passenden Servern dauert ggf. länger.
+  - es ist weniger sicher, da sich wiederholende Pfade und Muster eher nachvollziehen lassen.
+Das sollte also nur gemacht werden, wenn es triftige Gründe dafür gibt. Sinniger weise sollte es später, wenn der Grund weggefallen ist, wieder rückgängig gemacht werden. \\
+Möchte man simulieren, sich in einem bestimmten Land aufzuhalten, z.B. weil bestimmte Internet-Angebote auf ein Land begrenzt sind, oder gerade eben nicht verboten sind (ohne Zensur), genügt es den ExitNode einzutragen. \\
+Datei torrc aufrufen. Pfad entsprechend ergänzen: \\
+  nano .../tor-browser/Browser/TorBrowser/Data/Tor/torrc
+Am Ende Einfügen: \\
+  EntryNodes {gb} StrictNodes 1
+  ExitNodes {ca} StrictNodes 1
+{gb} = Ländercodes. Beispiele DE = Deutschland, GB = United Kingdom, CA = Kanada. \\
+Groß-Klein-Schreibung nicht relevant. \\
+**StrictNodes**: \\
+= nur dieses Land darf verwendet werden. Suche nach passenden Servern kann ggf. lange dauern. \\
+= dieses Land bevorzugt verwenden. \\
+Auf dem Debian 10 habe ich Tor zunächst über Discover installiert. Mit dieser Installation hat die Länderkonfiguration nicht geklappt. Download über die Internetseite [[https://www.torproject.org/download/|torprojekt.org]], entpacken und starten hat problemlos geklappt. \\
+Quellen: \\
+  * [[https://de.wikihow.com/Im-Tor-Browser-ein-bestimmtes-Land-einstellen|wikihow.de]]
+  * [[https://wiki.ubuntuusers.de/Tor/Konfiguration/|ubuntuusers]]
+  * [[https://www.laenderdaten.info/laendercodes.php|Ländercodes]]