Verschlüsselung einzelner Dateien/Ordner

Alles rund um sicherheitsrelevante Fragen und Probleme.
Ozelot
Beiträge: 1507
Registriert: 18.11.2007 09:52:58

Verschlüsselung einzelner Dateien/Ordner

Beitrag von Ozelot » 30.01.2017 22:45:39

Nachdem encfs bei mir aus unklaren Gründen den Dienst versagt (viewtopic.php?t=163858), und ohnehin ein paar Sicherheitsprobleme hat, suche ich nach Alternativen. Truecrypt ist ja auch aus dem Spiel. Ich würde gerne einzelne Dateien oder noch besser Ordner verschlüsseln, keine ganzen Partitionen. Kann man sowas mit dm_crypt oder ecryptfs machen? Gibt es andere Alternativen?

clue
Beiträge: 943
Registriert: 08.07.2007 17:36:57

Re: Verschlüsselung einzelner Dateien/Ordner

Beitrag von clue » 30.01.2017 22:52:30

Ozelot hat geschrieben:Nachdem encfs bei mir aus unklaren Gründen den Dienst versagt (viewtopic.php?t=163858), und ohnehin ein paar Sicherheitsprobleme hat, suche ich nach Alternativen. Truecrypt ist ja auch aus dem Spiel. Ich würde gerne einzelne Dateien oder noch besser Ordner verschlüsseln, keine ganzen Partitionen. Kann man sowas mit dm_crypt oder ecryptfs machen? Gibt es andere Alternativen?
Wie wärs mit gpg? Ordner komprimieren und verschlüsseln.

Wieso ist Truecrypt aus dem Spiel?
Offenbarung 13 erfüllt sich gerade vor unseren Augen, genießen wir also die letzten Jahre unserer Scheinfreiheit

breakthewall
Beiträge: 507
Registriert: 30.12.2016 23:48:51

Re: Verschlüsselung einzelner Dateien/Ordner

Beitrag von breakthewall » 30.01.2017 23:44:29

Kann mich hier anschließen und würde dir auch zu gpg raten. Arbeite schon seit Jahren sehr zuverlässig damit, um Backups wie auch einzelne Dateien/Ordner zu verschlüsseln.

Vorteile:

1. Das dahinterstehende Verfahren wurde bislang nicht geknackt
2. Akzeptiert unendlich lange/große Passwörter/Schlüsseldateien
3. Kann in Pipes angewendet sehr einfach eine beliebig komplexe Kaskadenverschlüsselung umsetzen
4. Beugt Manipulationen vor indem jedem Datensatz ein sogenannter Anti-Manipulations-Code beigemischt wird

Ozelot
Beiträge: 1507
Registriert: 18.11.2007 09:52:58

Re: Verschlüsselung einzelner Dateien/Ordner

Beitrag von Ozelot » 31.01.2017 06:07:02

clue hat geschrieben:Wieso ist Truecrypt aus dem Spiel?
https://en.wikipedia.org/wiki/TrueCrypt ... nouncement

Ok, man kann einen der Forks nehmen. Aber ich weiß auch nicht, was ich aus dieser ominösen Ankündigung machen soll.


Ich habe die Funktionalität von gpg gerade mal überflogen. Was ich brauche, ist etwas, mit dem ich regelmäßig relativ komfortabel auf einen Ordner zugreifen kann, also eine Art mount wie bei encfs. Mit gpg würde ich aber - wenn ich das richtig verstehe - jedes Mal die Dateien entschlüsseln und und dabei unverschlüsselt abspeichern. Wenn ich sie nach der Benutzung wieder verschlüssele und die unverschlüsselten Versionen lösche, liegen die Daten aber weiterhin auf der Festplatte, es sei denn ich nulle jedes Mal alle freien Bereiche, richtig? Oder kann man das anders machen?

DeletedUserReAsG

Re: Verschlüsselung einzelner Dateien/Ordner

Beitrag von DeletedUserReAsG » 31.01.2017 07:26:20

Du kannst ecryptfs auf die gleiche Art benutzen, wie encryptfs. Anlegen/entschlüsseln mit mount -t ecryptfs /quelle /ziel, entsprechende Optionen wählen und gut.

breakthewall
Beiträge: 507
Registriert: 30.12.2016 23:48:51

Re: Verschlüsselung einzelner Dateien/Ordner

Beitrag von breakthewall » 31.01.2017 08:50:07

Ozelot hat geschrieben:
https://en.wikipedia.org/wiki/TrueCrypt ... nouncement

Ok, man kann einen der Forks nehmen. Aber ich weiß auch nicht, was ich aus dieser ominösen Ankündigung machen soll.
An sich muss man damit gar nichts machen. Fakt ist, dass Truecrypt nicht mehr gewartet wird, was für eine Verschlüsselungssoftware wie ein Todesstoß ist. Und bei all dem Wirbel um Truecrypt, würde ich weder dem Original noch irgendeinem der Forks vertrauen. Persönlich fand ich LUKS/dm-crypt schon immer besser, und auch vertrauenswürdiger. Soll aber Jeder für sich entscheiden.
Ozelot hat geschrieben:Ich habe die Funktionalität von gpg gerade mal überflogen. Was ich brauche, ist etwas, mit dem ich regelmäßig relativ komfortabel auf einen Ordner zugreifen kann, also eine Art mount wie bei encfs. Mit gpg würde ich aber - wenn ich das richtig verstehe - jedes Mal die Dateien entschlüsseln und und dabei unverschlüsselt abspeichern. Wenn ich sie nach der Benutzung wieder verschlüssele und die unverschlüsselten Versionen lösche, liegen die Daten aber weiterhin auf der Festplatte, es sei denn ich nulle jedes Mal alle freien Bereiche, richtig? Oder kann man das anders machen?
Wenn du keine vollständige Festplattenverschlüsselung nutzt, sondern nur kleinere Krypto-Volumes, dann wären mittels gpg entschlüsselte Daten natürlich im Klartext wiederherstellbar, nach einem einfachen Löschen. Daher bietet sich immer an, grundsätzlich mit Festplattenverschlüsselung zu arbeiten, womit gänzlich egal sein kann was da an Daten herumliegt. Es ist zwar richtig, dass gpg einzeln angewendet nicht komfortabel erscheint, aber das Programm wurde auch nicht für solche Zwecke entworfen. Andererseits ließe sich das mittels Shell-Scripting ändern. Und da ich selbst einmal sichere Backups in der Cloud ablegen wollte, aber vorhandenen Lösungen nicht vertraute, hab ich mir für diesen Zweck ein Shellscript geschrieben, was das lokal recht komfortabel erledigt. Bei Interesse kann ich das mal posten.

uname
Beiträge: 12045
Registriert: 03.06.2008 09:33:02

Re: Verschlüsselung einzelner Dateien/Ordner

Beitrag von uname » 31.01.2017 08:55:45

Wenn es ganz einfach sein soll kannst du dir mal Debianaespipe anschauen.

TomL

Re: Verschlüsselung einzelner Dateien/Ordner

Beitrag von TomL » 31.01.2017 09:04:44

Ich habe für solche Zwecke einen Luks-Container angelegt, der einfach bei Bedarf gemountet wird. Dann arbeite ich damit, wie mit einer normalen Platte. Der Nachteil ist die statische Größe.... aber allein mit meinen persönlichen Daten werde ich dieses 2-GB-Limit nie ausreizen. Die Handhabung via systemd-unit ist total easy.

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Verschlüsselung einzelner Dateien/Ordner

Beitrag von wanne » 01.02.2017 00:16:16

TomL hat geschrieben:Ich habe für solche Zwecke einen Luks-Container angelegt, der einfach bei Bedarf gemountet wird. Dann arbeite ich damit, wie mit einer normalen Platte.
Jup einfach an die stelle des entsprechenden Ordners einhängen und fertig. Wahrscheinlich die sicherste und robusteste Methode.
TomL hat geschrieben:Der Nachteil ist die statische Größe....
Ja. Und dass man das nicht so wirklich als User nutzen kann.

gpg ist finde ich keine wirkliche Alternative zu LUKS oder encfs. Die decken völlig unterschiedliche Sachen ab.
gpg verschlüsselt schon existierende Dateien, wenn man sie über unsichere Wege transportieren will (z.B. Mail, Webserver oder USB-Stick). Das heißt aber nicht, dass das Original weg ist. Sicheres löschen (und sicher meine ich jetzt, das es nicht jeder vollidiot per testdisk/photorec wieder herstellen kann.) von Klartext ist auf HDDs schwierig und auf SSDs oder USB-Sticks ohne Vernichtung des Mediums weitestgehend unmöglich.
Vor lokalen Angreifern auf die eigene Platte schützt gpg also gar nicht. encfs ist da gerade umgekehrt. Das ist eher gar nicht transportabel aber dafür halt so transparent, dass man es lokal nutzen kann.
Klar kann man in gpg pipen, encfs auf USB-Sticks packen oder LUKS-Conteiener kopieren und so kann man mit dem einen Tool auch breiche des anderen abdecken.
Aber das sind dann alles absolut unkomfortable Workflows.
rot: Moderator wanne spricht, default: User wanne spricht.

Ozelot
Beiträge: 1507
Registriert: 18.11.2007 09:52:58

Re: Verschlüsselung einzelner Dateien/Ordner

Beitrag von Ozelot » 02.02.2017 04:35:10

Danke an alle - Ich denke ein LUKS Container ist genau das Richtige (sollte ich eh mal lernen). Encryptfs als Fallback.


@breakthewall

Gesamte Festplattenverschlüsselung habe ich oft erwogen, bleibt mir auf dem Arbeitsrechner aber zu riskant. Ich denke, daß die Chance, daß ich den verliere kleiner ist, als daß ich mal irgendwann Mist baue und nicht mehr an meine Daten ran komme (Siehe mein gegenwärtiges Problem mit encfs). Und da ich viel unterwegs bin, helfen dann auch Backups nicht.

Wegen Truecrypt sehe ich das genauso. Ominös finde ich nur Art und Inhalt der Ankündigung, und frage mich, was wohl die Beweggründe dafür waren.

debianoli
Beiträge: 4068
Registriert: 07.11.2007 13:58:49
Wohnort: Augschburg

Re: Verschlüsselung einzelner Dateien/Ordner

Beitrag von debianoli » 02.02.2017 08:38:39

man kann einen statischen Luks-Container problemlos vergrößern, dafür gibt es genügend Befehle. Das ist doch im Grunde nur ein Image-File, dass per loop eingebunden wird. Und an so ein file kann ich Daten anhängen.

Man kann auch ein größeres Image erstellen und in diesen neuen Container die alten Daten einfach umziehen.

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Verschlüsselung einzelner Dateien/Ordner

Beitrag von wanne » 02.02.2017 15:32:58

Achso noch zwei kommentare:
was für eine Verschlüsselungssoftware wie ein Todesstoß ist.
Das sehe ich eher anders. Wenn man alle paar wochen eine Lücke in der Software finden würde, könnte man sich die Verschlüsselung doch geradewegs sparen. Auch wenn die dauernd ihre API ändern würde und man daten aus der vorletzten Version nicht mehr lesen könnte, wäre das eher kontraproduktiv. Und die interaktion ist da auch relativ primitiv. Nicht wie ne Internet Anwendung oder ne Bild-library. Eigentlich sollte die für 100 Jahre ohne Updates genutzt werden können. Treucrypt war mir aber irgend wie schon immer nicht so richtig gehäuer.
debianoli hat geschrieben:man kann einen statischen Luks-Container problemlos vergrößern, dafür gibt es genügend Befehle
Dazu möchte ich noch anmerken, dass ext oder btrfs Daten, die nie angefasst nicht wirklich speichert.
Du kannst dir die Datei auch mal ordentlich überdimensioneren und sie belegt auf deiner Festplatte nur den Teil, den du wirklich mal angefasst hast. (Bleibt also entsprechend klein.)
rot: Moderator wanne spricht, default: User wanne spricht.

clue
Beiträge: 943
Registriert: 08.07.2007 17:36:57

Re: Verschlüsselung einzelner Dateien/Ordner

Beitrag von clue » 04.02.2017 12:31:37

Also ich sehe das mit Truecrypt eher umgekehrt: Es ist aus meiner Sicht eher ein Qualitätsmerkmal, dass
sie ihre Arbeit einfach eingestellt hatten, nachdem sie wohl von den ge heim en Verbrechern gefunden worden waren und dann dazu gezwungen werden sollten, eine hinter Tür einzubauen. Statt dessen haben sie lieber die Leute "gewarnt" dass sie kompromittiert worden sind, indem sie öffentlich die super sichere Bitlocker Lösung aus dem Hause MS als Nachfolger anpriesen ;). Von da an haben die Meisten user verstanden, was vor sich ging.

Zu den Lücken in TC: Keine der Lücken beeinträchtigt auch nur ansatzweise die Stärke und Zuverlässigkeit der Verschlüsselung. Die ist bis heute angeblich noch nicht geknackt worden.
Die Lücken in TC betreffen Schwachstellen in bestimmten Funktionen des Programms, wie zum Beispiel beim mounten, oder Rechteausweitung. Aber wie gesagt: Sobald man den Container wieder schließt sollten die Daten extrem sicher sein.

Die sogenannten Forks von TC wie z.b. Veracrypt sehe ich als noch wesentlich gefährlicher an:

1. Der Code für die Verschlüsselung stammt angeblich 1 zu 1 direkt aus TC. Es hat sich also cryptographisch gesehen gar nichts verändert.
2. Die sogenennten Weiterentwicklungen beinhalten nur das fixen von bugs, wobei sie aber 1000ende neue gleich wieder einbauen.
3. Veracrypt wird auf einer französischen Seite hostet. Da in Frankreich aber die Gesetzeslage schon ein wenig weiter fortgeschritten ist, als hier bei uns (keine Sorge, das wird alles weltweit kommen, da das Auge an der Spitze dort oben einfach über jeden Erdenbürger ALLES wissen möchte (es ging nie um den inszenierten st aats Ter ro r), und es in Frankreich nunmal Gesetz ist, dem Staat eine Tür offen zu halten, damit auch ja niemand aufmüpfen könnte, ohne rechtzeitig als "Gefährder" erkannt zu werden.
4. Außerdem gab es schon diverse reviews von TC, die allesamt eine sichere Verschlüsselung attestiert haben.

Da also die bugs, die noch im nicht mehr gewarteten TC code drinstecken, nicht die Sicherheit der Daten gefährdet, sehe ich keinen Grund auf einen der Forks zu wechseln.
TomL hat geschrieben:Ich habe für solche Zwecke einen Luks-Container angelegt, der einfach bei Bedarf gemountet wird. Dann arbeite ich damit, wie mit einer normalen Platte. Der Nachteil ist die statische Größe.... aber allein mit meinen persönlichen Daten werde ich dieses 2-GB-Limit nie ausreizen. Die Handhabung via systemd-unit ist total easy.
Das würde mich sehr interessieren, wie man damit komfortabel arbeiten kann. Ich würde gerne statt TC Container LUKS Container haben, da im Falle einer staatlichen Anordnung, spätestens aber bei der endgültigen Abschaffung des Grundrechtes nicht gegen sich selbst aussagen zu müssen und dem allgemeinen Verbot von Verschlüsselungssoftware man gezwungen sein wird, sich nackig zu machen. Und in diesem Fall wird ein TC Container zum echten Problem, da ICH denen nicht
beweisen können werde, dass ich eben keinen hidden container habe.

Deswegen würde ich lieber mit LUKS arbeiten, da dieses keine hidden container anlegen kann, und ich somit auch nicht gewungen werden kann. Der einzige Grund, weswegen ich TC überhaupt verwende, ist, dass es meines Wissens nach keine komfortable GUI gibt, mit der ich so bequem wie mit TC meine Container mounten kann.
Offenbarung 13 erfüllt sich gerade vor unseren Augen, genießen wir also die letzten Jahre unserer Scheinfreiheit

breakthewall
Beiträge: 507
Registriert: 30.12.2016 23:48:51

Re: Verschlüsselung einzelner Dateien/Ordner

Beitrag von breakthewall » 04.02.2017 19:42:50

clue hat geschrieben:Das würde mich sehr interessieren, wie man damit komfortabel arbeiten kann. Ich würde gerne statt TC Container LUKS Container haben, da im Falle einer staatlichen Anordnung, spätestens aber bei der endgültigen Abschaffung des Grundrechtes nicht gegen sich selbst aussagen zu müssen und dem allgemeinen Verbot von Verschlüsselungssoftware man gezwungen sein wird, sich nackig zu machen. Und in diesem Fall wird ein TC Container zum echten Problem, da ICH denen nicht beweisen können werde, dass ich eben keinen hidden container habe.

Deswegen würde ich lieber mit LUKS arbeiten, da dieses keine hidden container anlegen kann, und ich somit auch nicht gewungen werden kann. Der einzige Grund, weswegen ich TC überhaupt verwende, ist, dass es meines Wissens nach keine komfortable GUI gibt, mit der ich so bequem wie mit TC meine Container mounten kann.
Wie soll hier ein LUKS-Container mehr schützen? Hier wird erst gar nichts verborgen, womit man garantiert gezwungen werden würde ein Passwort herauszugeben. Und es muss nicht immer eine GUI sein. Man kann sich so schöne Abläufe selber scripten, und dann via Bash-Alias, Doppelklick oder Systemdienst ausführen lassen.

Einen LUKS-Container anzulegen, wäre soweit kein Hexenwerk.

1. Mit dd bs=1M count=2000 if=/dev/urandom of=LUKSFILE erstmal die Grundlage für den LUKS-Container schaffen
2. Nun bspw. ein cryptsetup luksFormat -s 512 -h sha512 -c serpent-xts-plain64 LUKSFILE um die Datei entsprechend zu formatieren
3. Jetzt muss der LUKS-Container mit cryptsetup luksOpen LUKSFILE MOUNTPOINT geöffnet werden
4. Da aktuell ein Dateisystem fehlt, muss das bspw. mit mkfs.ext4 /dev/mapper/MOINTPOINT erst geschrieben werden
5. Bevor der LUKS-Container nun eingehängt werden kann, muss ein Ordner unter /media/NUTZERNAME/MOUNTPOINT angelegt werden der als Mointpoint dient
6. Ab hier ließe sich der LUKS-Container nun mit mount /dev/mapper/MOUNTPOINT /media/NUTZERNAME/MOINTPOINT aktiv ins Dateisystem einbinden, und komfortabel über den Dateimanager nutzen

TomL

Re: Verschlüsselung einzelner Dateien/Ordner

Beitrag von TomL » 04.02.2017 19:57:45

clue hat geschrieben:Das würde mich sehr interessieren, wie man damit komfortabel arbeiten kann.
Das ist total komfortabel... absolut easy im Handling. Ich öffne und schließe den Container entweder manuell via systemd-service-unit, oder alternativ durch einstecken eines USB-Sticks, der als Key den Container automatisch öffnet. Wobei über den USB-Stick letzten Endes auch nur wieder die Service-Unit gestartet wird, und erneut zum Schließen des Containers, wenn der Stick abgezogen wird. Also noch komfortabler geht fast nicht mehr.

clue
Beiträge: 943
Registriert: 08.07.2007 17:36:57

Re: Verschlüsselung einzelner Dateien/Ordner

Beitrag von clue » 05.02.2017 15:13:27

Danke für die Anleitung, breakthewall. Ich nutze LUKS schon seit Jahren. Früher habe ich dann auch immer mit Skripten rumhantiert. Das fand ich aber irgendwann echt nervig. Darum halt der Wechsel auf TC.

Warum ich aber LUKS gegenüber TC bevorzuge ist gerade, WEIL es eben keine hidden container gibt. Wenn dann das Wahrheits - Ministerium bald von uns, den sheeples (oder Pack oder wie immer sie uns auch sehen mögen), den striptease verlangt, dann gebe ich denen ganz einfach mein Passwort, damit sie sich dann in meinen höchst persönlichen Daten ergötzen können, ohne ihnen nachweisen zu müssen, dass ich eben keinen hidden container habe und die Daten, die sie dann bei der Entschlüsselung sehen auch tatsächlich alles ist, was es zu sehen gibt.

Wie Du ja weißt, wurden sowohl die Menschenrechte als auch das Grundgesetz hierzulande vor einigen Jahren abgeschafft. So darf der Verfassungsschutz (lol, wir haben keine Verfassung, die geschützt werden könnte (also ein irreführender Name dieses Vereins) und werden uns wohl auch niemals eine zulegen, da Fußball und Bier ja wesentlich interessanter sind, als unsere eigene Freiheit) JEDE Person OHNE Anklage, ohne Rechtsschutz, ohne Menschenrechte für ganze ZWEI JAHRE einfach wegsperren, ohne jegliche Möglichkeit für Angehörige überhaupt helfen zu können. Willkommen in der neuen Welt Ordnung :hail: :twisted:

Und da ich nun mal so gar keine Lust habe, eventuell (für immer) zu verschwinden, bevorzuge ich dann doch LUKS, geb denen, was die wollen, und darf dann eventuell das bisschen Restleben, welches sie uns noch für eine sehr kurze Weile gewähren mögen, weiterführen.

TomL hat geschrieben:
clue hat geschrieben:Das würde mich sehr interessieren, wie man damit komfortabel arbeiten kann.
Das ist total komfortabel... absolut easy im Handling. Ich öffne und schließe den Container entweder manuell via systemd-service-unit, oder alternativ durch einstecken eines USB-Sticks, der als Key den Container automatisch öffnet. Wobei über den USB-Stick letzten Endes auch nur wieder die Service-Unit gestartet wird, und erneut zum Schließen des Containers, wenn der Stick abgezogen wird. Also noch komfortabler geht fast nicht mehr.
Also machst Du das auch alles über Skripte? Könntest Du mir sagen wie genau Du mit Containern und systemd-unit umgehst?
Offenbarung 13 erfüllt sich gerade vor unseren Augen, genießen wir also die letzten Jahre unserer Scheinfreiheit

tobo
Beiträge: 1964
Registriert: 10.12.2008 10:51:41

Re: Verschlüsselung einzelner Dateien/Ordner

Beitrag von tobo » 05.02.2017 16:26:29

@clue: Bezüglich Menschenrechte, Grundgesetz (Verfassung), Passwort rausrücken müssen, wegsperren ohne Anklage etc. redest du von welchem Land bzw. fühlst dich welcher Untergruppierung zugehörig?

TomL

Re: Verschlüsselung einzelner Dateien/Ordner

Beitrag von TomL » 05.02.2017 16:27:00

clue hat geschrieben:Also machst Du das auch alles über Skripte? Könntest Du mir sagen wie genau Du mit Containern und systemd-unit umgehst?
Nee, eigentlich überhaupt nicht mehr über Bash-Scripte. Das geht mit Service-Units so viel einfacher, den ganzen Quatsch aus historischen HowTo's benötigt man nicht, wenn man Systemd-Service-Units verwendet.

Allerdings gibt es verschiedene Modelle, um das zu lösen. Diese gleich folgende Service-Unit liegt auf meinem PC, das Keyfile für den Container liegt ebenfalls auf meinem PC, ganz normal in meinem Homedir (wie die .smbcredentials), aber der Container liegt auf unserem Server im Netz. Vor dem Hintergrund (und natürlich 'ist ja nur zuhause') ist das Verfahren für mich hier ausreichend, weil Container und Key nicht zusammen vorliegen.

Code: Alles auswählen

nano /etc/systemd/system/luks-container.service

Code: Alles auswählen

[Unit]
Description=thlu:luks-container.service:   Open local Luks-Container with persistent Credentials
After=network_wait_online.service
Requires=network_wait_online.service
ConditionPathExists=/home/thomas/.lucontCredentials

[Service]
Type=forking
RemainAfterExit=yes

ExecStartPre=/sbin/losetup /dev/loop0 /home/thomas/SHome/lucont.vol
ExecStartPre=/sbin/cryptsetup luksOpen /dev/loop0 lucont --key-file "/home/thomas/.lucontCredentials"
ExecStart=/bin/mount /dev/mapper/lucont /mnt -t ext4 -o rw   

ExecStop=/bin/umount /dev/mapper/lucont -f
ExecStopPost=/sbin/cryptsetup luksClose lucont
ExecStopPost=/sbin/losetup -d /dev/loop0

[Install]
WantedBy=multi-user.target
Jetzt habe ich noch 2 weitere Service-Units im Einsatz, und zwar für mein "Reise"-Notebook:
- auf dem Notebook liegender Container, der mit einem USB-Stick als "Schlüssel" geöffnet wird
- auf dem Notebook vorhandende verschlüsselte Partition, die zuhause mit permanent installierter SD-Karte entschlüsselt wird und auf Reise via USB-Stick (der gleiche wie oberhalb)

Für diese beiden Units gibts dann auch noch eine udev-Rule, die nach dem Einstecken des USB-Sticks die entsprechende Service-Unit startet, oder auch wieder stopt (und damit auch den Container/Partition schliesst), wenn der USB-Stick abgezogen wird.

Welches Modell möchtest Du verwenden?

BTW, beim Lesen Eurer Posts frage ich mich, ob wir wirklich im gleichen Land leben. Das ist mir jetzt echt schwer vorstellbar, dass man gleich für 2 Jahre verschwindet oder mal ein bisschen gefoltert wird, nur weil man versteckte Daten in einem TC-Container "glaubwürdig abstreiten" kann.

debianoli
Beiträge: 4068
Registriert: 07.11.2007 13:58:49
Wohnort: Augschburg

Re: Verschlüsselung einzelner Dateien/Ordner

Beitrag von debianoli » 06.02.2017 10:37:36

tobo hat geschrieben:@clue: Bezüglich Menschenrechte, Grundgesetz (Verfassung), Passwort rausrücken müssen, wegsperren ohne Anklage etc. redest du von welchem Land bzw. fühlst dich welcher Untergruppierung zugehörig?
Reichsbürger?

clue
Beiträge: 943
Registriert: 08.07.2007 17:36:57

Re: Verschlüsselung einzelner Dateien/Ordner

Beitrag von clue » 06.02.2017 13:49:57

TomL hat geschrieben:
clue hat geschrieben:Also machst Du das auch alles über Skripte? Könntest Du mir sagen wie genau Du mit Containern und systemd-unit umgehst?
Nee, eigentlich überhaupt nicht mehr über Bash-Scripte. Das geht mit Service-Units so viel einfacher, den ganzen Quatsch aus historischen HowTo's benötigt man nicht, wenn man Systemd-Service-Units verwendet.

Allerdings gibt es verschiedene Modelle, um das zu lösen. Diese gleich folgende Service-Unit liegt auf meinem PC, das Keyfile für den Container liegt ebenfalls auf meinem PC, ganz normal in meinem Homedir (wie die .smbcredentials), aber der Container liegt auf unserem Server im Netz. Vor dem Hintergrund (und natürlich 'ist ja nur zuhause') ist das Verfahren für mich hier ausreichend, weil Container und Key nicht zusammen vorliegen.

Code: Alles auswählen

nano /etc/systemd/system/luks-container.service

Code: Alles auswählen

[Unit]
Description=thlu:luks-container.service:   Open local Luks-Container with persistent Credentials
After=network_wait_online.service
Requires=network_wait_online.service
ConditionPathExists=/home/thomas/.lucontCredentials

[Service]
Type=forking
RemainAfterExit=yes

ExecStartPre=/sbin/losetup /dev/loop0 /home/thomas/SHome/lucont.vol
ExecStartPre=/sbin/cryptsetup luksOpen /dev/loop0 lucont --key-file "/home/thomas/.lucontCredentials"
ExecStart=/bin/mount /dev/mapper/lucont /mnt -t ext4 -o rw   

ExecStop=/bin/umount /dev/mapper/lucont -f
ExecStopPost=/sbin/cryptsetup luksClose lucont
ExecStopPost=/sbin/losetup -d /dev/loop0

[Install]
WantedBy=multi-user.target
Jetzt habe ich noch 2 weitere Service-Units im Einsatz, und zwar für mein "Reise"-Notebook:
- auf dem Notebook liegender Container, der mit einem USB-Stick als "Schlüssel" geöffnet wird
- auf dem Notebook vorhandende verschlüsselte Partition, die zuhause mit permanent installierter SD-Karte entschlüsselt wird und auf Reise via USB-Stick (der gleiche wie oberhalb)

Für diese beiden Units gibts dann auch noch eine udev-Rule, die nach dem Einstecken des USB-Sticks die entsprechende Service-Unit startet, oder auch wieder stopt (und damit auch den Container/Partition schliesst), wenn der USB-Stick abgezogen wird.

Welches Modell möchtest Du verwenden?

BTW, beim Lesen Eurer Posts frage ich mich, ob wir wirklich im gleichen Land leben. Das ist mir jetzt echt schwer vorstellbar, dass man gleich für 2 Jahre verschwindet oder mal ein bisschen gefoltert wird, nur weil man versteckte Daten in einem TC-Container "glaubwürdig abstreiten" kann.
Ja, danke erst mal dafür. Soweit ich Deinen Beitrag verstanden habe, reden wir hier über statische locations der Container. Das ist schon mal ein Anfang. Ich dachte eher so in Richtung: Klick auf einen beliebigen Container an einem beliebigen Ort im Dateisystem und dann kommt eine PW Abfrage und er wird mounted. Also so wie TC nur eben mit LUKS.

Ok, wer schreibt mal eine desktopunabhängige GUI für LUKS? Gerne im TC style :D

Übrigens: Über „offizielle“ Folterungen hierzulande habe ich nichts gesagt.

Zu den Fragen der anderen user muß ich erst mal die nötigen links wiederfinden. Schade, dass ich mir nicht gleich ein Lesezeichen dahin gelegt habe. Ich habe schon kurz gesucht, aber bin nicht fündig geworden. Ich meine es auf Heise.de gelesen zu haben.
tobo hat geschrieben:@clue: Bezüglich Menschenrechte, Grundgesetz (Verfassung), Passwort rausrücken müssen, wegsperren ohne Anklage etc. redest du von welchem Land bzw. fühlst dich welcher Untergruppierung zugehörig?
Bitte lies nochmal meinen Beitrag genau. Ich habe gesagt, dass die Gesetzeslage seit einigen Jahren hierzulande, also in Deutschland, so ist, dass der Verfassungsschutz jeden Bürger für zwei Jahre ohne Anklage wegsperren kann.
Außerdem habe ich gesagt, dass es wohl bald auch hierzulande Pflicht werden wird (also eine Prognose meinerseits, noch aber kein Gesetz, wie in z.B. England, Amerika und meines Wissens nach auch in Frankreich, Polen und Tschechien), dass wir dann auch unsere Unschuld nachweisen werden müssen, indem wir unsere Passwörter rausrücken. FrüherTM musste Dir erst Deine Schuld nachgewiesen werden. Inzwischen fand aber gesetzlich eine Umkehr der Beweislast statt, z.B. bei Filesharing, und Skimming auf EC/Kreditkarten. Somit hat sich unser Rechtssystem als solches von dieser Praxis verabschiedet.

Zu der Frage der Gruppierung:
Ich gehöre keiner Gruppierung an. Ich lasse mich von nichts und niemandem polarisieren, weder gegen Ausländer, noch gegen Asylanten, noch gegen die korrupte Welt, in der wir leben. Das ist alles Teil eines ganz großen Schauspiels, das leider die allermeisten Menschen noch immer nicht durchschaut haben. Genau wie damals, als viele Stimmen bereits Jahre VOR den Snowden Veröffentlichungen vor der allumfassenden Überwachung gewarnt haben und als Spinner abgetan wurden, so durchschauen leider die selben Menschen auch heute nicht, dass das alles nur ein einziges Puzzleteil des Ganzen ist, also das große Warum und Wofür -> Sie haben die Zielsetzung leider nicht verstanden. Wie gesagt, der selbe Typ Mensch, der damals solche Leute VOR Snowden als Spinner abgetan hat, ist leider auch heute nicht in der Lage, den Faden weiterzuspinnen. Und nachher, wenn dann alles (wieder) sichtbare Realität geworden ist (wie im Falle Snowdens), dann haben sie es ja schon immer gewusst.
Darum ist es müßig sich mit solchen Menschen eventuell noch darüber zu streiten. Wozu auch? Wir werden doch bald sehen, was passiert.

Worauf ich auch noch aufmerksam machen möchte ist das Folgende: Warum sollten wir uns überhaupt von den Medien ein Spektrum unseres Denkens vorgeben lassen? Z.B. werden Parteien gerne kategorisiert: Links, Mitte, Rechts. Dies bedeutet in Wirklichkeit aber, dass es die Medien bereits geschafft haben, in unseren Köpfen den akzeptablen Bereich dessen, was überhaupt zu denken erlaubt ist, vorzugeben und zu verankern. Sie sagen uns, dass dies das gesamte, erlaubte Spektrum ist, und NUR (also ausschließlich) in diesem kleinen Rahmen dürfen wir denken - und sollen somit auch jegliche Partei (um mal bei diesem Beispiel zu bleiben) in deren vorgegebenen Kategorien einsortieren. Es wird dann auch stets und ständig medial wiederholt, welche Partei zu welcher Kategorie in der öffentlichen Wahrnehmung gerechnet zu werden hat. Dabei übersehen die meisten Menschen, dass sie sich bereits in deren Käfig befinden. Dass ihrer Wahrnehmung bereits ein Korsett auferlegt worden ist.
Es gibt eben mehr, als nur diese drei Kategorien. Und es ist erlaubt ist die Welt viel feinschichtiger zu betrachten, als sie es uns glauben machen wollen.

Darum wenn ich so einen Unsinn lese, wie Reichsbürger, Wutbürger, was auch immer.: Lasst Euch doch nicht irreführen, es gibt mehr als nur Schwarz und Weiß in dieser Welt. Lasst doch nicht Euer denken freiwillig einengen. Seid offen. Hört auf, Menschen kategorisieren zu wollen. Das ist doch gerade das, was man erreichen will: Euch zu polarisieren.

Falls ich den Link doch noch finden sollte, poste ich ihn.

EDIT

Bin gerade zufällig über das hier gestolpert. Zwar noch nicht exakt das, was ich Euch gerne gezeigt hätte, aber ich denke die Richtung stimmt einigermaßen. Komisch das ich wohl zu blöd bin, solche Infos durch google zu finden.

https://www.lawblog.de/index.php/archiv ... raftaeter/
Zuletzt geändert von clue am 22.10.2017 12:05:04, insgesamt 1-mal geändert.
Offenbarung 13 erfüllt sich gerade vor unseren Augen, genießen wir also die letzten Jahre unserer Scheinfreiheit

BenutzerGa4gooPh

Re: Verschlüsselung einzelner Dateien/Ordner

Beitrag von BenutzerGa4gooPh » 06.02.2017 14:59:47

clue hat geschrieben:Ich habe gesagt, dass die Gesetzeslage seit einigen Jahren hierzulande, also in Deutschland, so ist, dass der Verfassungsschutz jeden Bürger für zwei Jahre ohne Anklage wegsperren kann.
Und das steht wo?

tobo
Beiträge: 1964
Registriert: 10.12.2008 10:51:41

Re: Verschlüsselung einzelner Dateien/Ordner

Beitrag von tobo » 06.02.2017 15:17:57

clue hat geschrieben:Bitte lies nochmal meinen Beitrag genau. Ich habe gesagt, dass die Gesetzeslage seit einigen Jahren hierzulande, also in Deutschland, so ist, dass der Verfassungsschutz jeden Bürger für zwei Jahre ohne Anklage wegsperren kann.
Ja, habe ich genau gelesen und auch genauso verstanden, wie du es wiederholst.
Wie Du ja weißt, wurden sowohl die Menschenrechte als auch das Grundgesetz hierzulande vor einigen Jahren abgeschafft. So darf der Verfassungsschutz (lol, wir haben keine Verfassung, die geschützt werden könnte [...]) JEDE Person OHNE Anklage, ohne Rechtsschutz, ohne Menschenrechte für ganze ZWEI JAHRE einfach wegsperren, ohne jegliche Möglichkeit für Angehörige überhaupt helfen zu können. Willkommen in der neuen Welt Ordnung
Es ist nur so, dass ich einfach nicht glaube, was du da hinschreibst! Verstehe mich nicht falsch, so wie die Sachen beim Verfassungsschutz aus dem Ruder laufen, gehört die Struktur dort gewaltig überarbeitet. Allerdings bin ich mir ziemlich sicher, dass der Verfassungsschutz überhaupt niemanden verhaften, geschweige denn einsperren kann. Der Verfassungsschutz hat überhaupt keine polizeilichen Befugnisse.
Und die Wikipedia (die sind da eigentlich ziemlich schnell) verlinkt immer noch aufs Grundgesetz und da ich auch ansonsten nichts Gegenteiliges gehört habe, gehe ich einfach mal davon aus, dass das noch Gültigkeit hat!?
Falls ich den Link doch noch finden sollte, poste ich ihn.
Würde mich wirklich interessieren.

debianoli
Beiträge: 4068
Registriert: 07.11.2007 13:58:49
Wohnort: Augschburg

Re: Verschlüsselung einzelner Dateien/Ordner

Beitrag von debianoli » 06.02.2017 17:51:18

clue hat geschrieben: Worauf ich auch noch aufmerksam machen möchte ist das Folgende: Warum sollten wir uns überhaupt von den Medien ein Spektrum unseres Denkens vorgeben lassen? Z.B. werden Parteien gerne kategorisiert: Links, Mitte, Rechts. Dies bedeutet in Wirklichkeit aber, dass es die Medien bereits geschafft haben, in unseren Köpfen den akzeptablen Bereich dessen, was überhaupt zu denken erlaubt ist, vorzugeben und zu verankern. Sie sagen uns, dass dies das gesamte, erlaubte Spektrum ist, und NUR (also ausschließlich) in diesem kleinen Rahmen dürfen wir denken - und sollen somit auch jegliche Partei (um mal bei diesem Beispiel zu bleiben) in deren vorgegebenen Kategorien einsortieren. Es wird dann auch stets und ständig medial wiederholt, welche Partei zu welcher Kategorie in der öffentlichen Wahrnehmung gerechnet zu werden hat. Dabei übersehen die meisten Menschen, dass sie sich bereits in deren Käfig befinden. Dass ihrer Wahrnehmung bereits ein Korsett auferlegt worden ist.
Es gibt eben mehr, als nur diese drei Kategorien. Und es ist erlaubt ist die Welt viel feinschichtiger zu betrachten, als sie es uns glauben machen wollen.

Darum wenn ich so einen Unsinn lese, wie Reichsbürger, Wutbürger, was auch immer.: Lasst Euch doch nicht irreführen, es gibt mehr als nur Schwarz und Weiß in dieser Welt. Lasst doch nicht Euer denken freiwillig einengen. Seid offen. Hört auf, Menschen kategorisieren zu wollen. Das ist doch gerade das, was man erreichen will: Euch zu polarisieren.
"Die" machen uns gar nichts glauben. Und "die Medien" geben uns auch nicht vor, was wir zu denken haben. Die Einteilung in "Links" und "Rechts" ist auch einiges älter als unsere derzeitigen Medien, aber lassen wir das mal.

Ein kleiner Tipp von mir: Lass die Finger von irgendwelchen seltsamen Youtube-Kanälen oder ähnlichem. Du zweifelst an allen "etablierten" Medien und glaubst dann wahrscheinlich Webseiten und Videos von angeblichen Einzelkämpfern, die die absolute Wahrheit verbreiten.

guennid

Re: Verschlüsselung einzelner Dateien/Ordner

Beitrag von guennid » 06.02.2017 19:59:12

Ämmm...
ich glaube, hier ging's mal um IT-Verschlüsselung. Vielleicht kann ein Mod den OT-Kram (ich hätt ja gern einen anderen Ausdruck gebraucht, aber nun denn, versuch ich's mal mit Zurückhaltung :wink: ) mal abtrennen und an bekannte längere Threads in Smaltalk hängen - Neues sehe ich nicht.

breakthewall
Beiträge: 507
Registriert: 30.12.2016 23:48:51

Re: Verschlüsselung einzelner Dateien/Ordner

Beitrag von breakthewall » 09.02.2017 15:18:48

clue hat geschrieben:Danke für die Anleitung, breakthewall. Ich nutze LUKS schon seit Jahren. Früher habe ich dann auch immer mit Skripten rumhantiert. Das fand ich aber irgendwann echt nervig. Darum halt der Wechsel auf TC.
Wie gesagt ist das vielfältig umsetzbar. Und die Variante von TomL wird für dich wohl die Praktikabelste sein. Was ich schrieb war nur erst mal zur Einleitung, was dafür überhaupt nötig wäre. Da war noch kein Komfort dabei.
clue hat geschrieben:Warum ich aber LUKS gegenüber TC bevorzuge ist gerade, WEIL es eben keine hidden container gibt. Wenn dann das Wahrheits - Ministerium bald von uns, den sheeples (oder Pack oder wie immer sie uns auch sehen mögen), den striptease verlangt, dann gebe ich denen ganz einfach mein Passwort, damit sie sich dann in meinen höchst persönlichen Daten ergötzen können, ohne ihnen nachweisen zu müssen, dass ich eben keinen hidden container habe und die Daten, die sie dann bei der Entschlüsselung sehen auch tatsächlich alles ist, was es zu sehen gibt.
Schon aus Prinzip würde ich nie so handeln. Und indem gewissermaßen nachgibst, spielst solchen Mächten noch in die Hände. Bei derart unwürdigen Praktiken, muss man alles aufwenden und kämpfen. Aber mal davon abgesehen gibt es auch andere Wege Daten zu verbergen, z.B. mittels Stenografie. Mal angenommen du hast einen Ordner voller Filme mit beträchtlicher Größe, und du fügst an einen der Filme einen Krypto-Container an, der stenografisch mit dem Videomaterial am Ende verschmolzen wird. Für eine ganze Latte an hochkarätigen Analyseprogrammen, ist das nichts als eine gewöhnliche Videodatei die in der Masse völlig untergeht, gerade bei heutigen stenografisch ausgefeilten Methoden. Denkst wirklich so etwas würde auffallen, oder überhaupt erst analysiert werden? Will man wirklich auf sichere Weise sensible Daten verbergen, dann müssen sie dem Gegner geradezu ins Auge springen, und er wird diese dennoch nicht sehen. Das typische Prinzip, vor lauter Bäumen den Wald nicht zu sehen. :wink:
Und all das könnte man noch in üblichen LUKS-Volumes verschachteln, deren Passwort ohnehin nicht die relevanten Daten gefährden würde, und im Prinzip herausgegeben werden könnte. Nur ich würde das auch nie tun.
clue hat geschrieben:Wie Du ja weißt, wurden sowohl die Menschenrechte als auch das Grundgesetz hierzulande vor einigen Jahren abgeschafft. So darf der Verfassungsschutz (lol, wir haben keine Verfassung, die geschützt werden könnte (also ein irreführender Name dieses Vereins) und werden uns wohl auch niemals eine zulegen, da Fußball und Bier ja wesentlich interessanter sind, als unsere eigene Freiheit) JEDE Person OHNE Anklage, ohne Rechtsschutz, ohne Menschenrechte für ganze ZWEI JAHRE einfach wegsperren, ohne jegliche Möglichkeit für Angehörige überhaupt helfen zu können. Willkommen in der neuen Welt Ordnung :hail: :twisted:

Und da ich nun mal so gar keine Lust habe, eventuell (für immer) zu verschwinden, bevorzuge ich dann doch LUKS, geb denen, was die wollen, und darf dann eventuell das bisschen Restleben, welches sie uns noch für eine sehr kurze Weile gewähren mögen, weiterführen.
Ich habe da andere Informationen. Und auf mich wirken diese Worte, als hätte man schon aufgegeben. Auch das Wegsperren ohne essentielle Beweise gibt es bei uns nicht. Und damit solche Beweise nie existieren können, wird rigoros alles verschlüsselt egal ob lokal oder im Internet. Gerne wird vergessen, dass auch Behörden oder Institutionen nur mit Wasser kochen. Sprich das was sie können, kann jeder Andere auch, und die Methoden zur Überwachung bspw., basieren auch nur auf technischen Gesetzen und nicht auf Magie. Ich bin hier so was von entspannt, im Gegensatz zu all den Leuten, die sich sonst was darunter vorstellen, oder gar in Panik verfallen. Schon mal daran gedacht was es alles auf der Welt nicht gäbe, könnten sie all das was so heraus posaunt wird?

Wir haben die Macht nicht der Gesetzgeber. :)

Antworten