Hardware Verschlüsselung von USB-Sticks

[willy4711]

Hallo miteinander,

Mir geht es um die sichere Aufbewahrung von privaten Daten, die ich für schützenswert erachte.

Bisher habe ich die als zip (verschlüsselt) gespeichert. Die wichtigen Files haben alle nochmal ein Pw.

Nun geht es mit darum, diese Daten vom Rechner zu entfernen und
transportabel, überall abrufbar, zu speichern.

Wichtig finde ich weiterhin, dass das Betriebssystem und von Software unabhängig geschieht.

Cloud- Lösungen will ich erst gar nicht diskutieren.

Ich denke dabei an einen Hardware Verschlüsselten USB Stick mit eigener Tastatur.

Eine kleinen Auswahl hier.

https://geizhals.de/?cat=sm_usb&xf=477_ ... rtifiziert


Meine Fragen:

Was haltet ihr von einer solchen Lösung ?
Gibt es Erfahrungen mit speziellen Sticks ?
Gibt es Probleme bei der Sicherheit ?
Gibt es andere universell einsetzbare Lösungen ?
Beim letzten Punkt ist mir wichtig, das auf dem jeweiligen Rechner
keine zusätzliche Software installiert werden muss.

[DeletedUserReAsG]

Kannst mal gucken: bei Heise oder so wurden so Sachen mal getestet. Das Ergebnis war … nun ja. Ein großer Teil der „Sicherheit“ besteht wohl lediglich aus einem Zugriffsschutz auf Controllerseite, nicht aber aus tatsächlicher Verschlüsselung der Daten.

Ansonsten halte zumindest ich nix für sicher, von dem lediglich ’n Hersteller erzählt, dass es sicher wäre. Erst, wenn unabhängige Leute mit entsprechender Reputation drübergeschaut haben, oder, besser noch, jeder drüberschauen könnte (sprich: der Kram offen ist), bin ich geneigt, mir das überhaupt näher anzusehen.

Ein weiteres Problem mit der Lösung in Hardware: du der Gnade des Herstellers ausgeliefert, wenn ein Problem mit der verwendeten Methode bekannt wird, oder du kaufst dir gleich ’nen neuen Stick.

[Tintom]

keine zusätzliche Software installiert werden muss.

Wären statisch gelinkte Programme (z.B. "Portable Apps") eine Option?

[willy4711]

Wären statisch gelinkte Programme (z.B. "Portable Apps") eine Option?

Ich bin mir nicht sicher, was du damit meinst:
Von der Beschreibung her, beinhalten mache USB-Sticks irgend eine Software, die beim Einstecken aufpoppt,
und dann die Eingabe des Keys verlangt. Dies soll angeblich dann unter fast allen Betriebssystemen funktionieren.

Wissen tut man das meist erst dann, wenn es nicht funktioniert

Außerdem stell ich mir laienhaft vor, dass so eine Software dann auch Angriffsmöglichkeiten bieten könnte.
Ein Keypad auf dem Stick bedingt aber die Eingabe des Codes vor dem Einstecken, damit der Key überhaupt
am Rechner reagiert.


Meine Anforderung ist die, dass der Stick an jedem Betriebssystem und Rechner ohne weitere Installationen nutzbar sein muss.

Leider hab ich trotz ziemlich intensiver Suche nichts gefunden (außer Hersteller Seiten),
Die die Sicherheit und Funktionalität einzelner Sticks vergleichen.
Allgemein hab ich nur diese Seite gefunden:
https://www.kaspersky.de/blog/encrypted ... dit/14408/

Wo oft geschlampt wird: Abschirmung des Sticks z.B. mit Kupfer Folie / Andere Materialien beim Vergießen der
Komponenten als mit Epoxidharz.

Wenn dies Hardwaremäßig eingehalten wird, wird so ein Stick wohl nur von "echten Profis" zu knacken sein.

Allgemein kann man aber herauslesen, dass eine Hardware Verschlüsselung z.Z. die sicherste
Methode ist, einen Stick zu schützen.

[schwedenmann]

Hallo

Allgemein kann man aber herauslesen, dass eine Hardware Verschlüsselung z.Z. die sicherste
Methode ist, einen Stick zu schützen.

Vorrausgesetzt
a. Die beworbene Verschlüsselung ist auch wirklich implementiert (gab schon auch fake Angaben, bei z.B. USB-Festplatten mit intergrierter Verschlüselung) oder wenn bei Chipdesign für die hardwareverschlüsselung ein fehler passiert, siehe dazu den folgenden link.
Dann kann man das nciht merh fixen

https://www.heise.de/news/Sicherheitsch ... 22382.html

mfg
schwedenmann

[Lord_Carlos]

Vielleicht solltest du noch fix erwaehnen gegen welches Angriffsprofil du dich schützten willst.

Soll Mutti nur nicht an deine Animebildersamlung ran?
Oder Einbrecher die deine Hardware weiter verkaufen.
Wenn die Dorfspolizei mal vorbeiguckt?
ZOLL am Flughafen die Hardware im anderen Raum "untersucht"?

[Tintom]

Wären statisch gelinkte Programme (z.B. "Portable Apps") eine Option?

Ich bin mir nicht sicher, was du damit meinst:
Von der Beschreibung her, beinhalten mache USB-Sticks irgend eine Software, die beim Einstecken aufpoppt,
und dann die Eingabe des Keys verlangt. Dies soll angeblich dann unter fast allen Betriebssystemen funktionieren.

Mal etwas ausschweifend formuliert: Ich sehe das ähnlich wie niemand und bevorzuge daher Standardhardware und Standardsoftware, weil jede Abweichung vom Standard in extra Arbeit ausufert.

Ein Standard Stick oder Festplatte ist bei mir die Basis, den Rest erledigt die (freie) Software:
Der Datenträger bekommt mind. zwei Partitionen. Partition 1 wird mit FAT32 formatiert und enthält ein statisch gelinktes Programm (Portable App) - hier: VeraCrypt (Fork von TrueCrypt) (https://www.veracrypt.fr/en/Downloads.html)
Partition zwei enthält einen TrueCrypt-Container, der sich aus Windows heraus mit dem Programm aus der ersten Partition öffnen lässt. Weil die Software keine Installation benötigt, decke ich damit alle Windows-Maschinen ab. Unter Linux kann cryptsetup, was ich heutzutage bei jeder anständigen Linux-Distribution als Standard voraussetze, die Partition öffnen. Wie es sich mit MacOS verhält kann ich aber nicht sagen.

Allgemein kann man aber herauslesen, dass eine Hardware Verschlüsselung z.Z. die sicherste Methode ist, einen Stick zu schützen.

Ich denke, dass eine Verschlüsselung in Software dem in nichts nachsteht. Es kommt darauf an wie verschlüsselt wird, der Rest (spezialisierte Hardware vs. Standard-CPU) ist lediglich ein Performancethema.

[willy4711]

Vielleicht solltest du noch fix erwaehnen gegen welches Angriffsprofil du dich schützten willst.

So fix geht das nun ja auch nicht.
Es geht mit letztendlich um universelle Einsetzbarkeit und Sicherheit, die nicht von jedem gleich geknackt werden kann.
Selbst der Zoll am Flughafen wird wohl so einen Stick nicht "auf die schnelle" knacken können, weckt aber
vielleicht Begehrlichkeiten, wie auch bei Einbrechern, die so was könnten.

Er soll auch dazu dienen, bestimmten Personen unter bestimmten Voraussetzungen Zugang zu den Daten zu ermöglichen.

Daher scheidet schon mal der Fingerabdruck- Sensor aus:
Bei Software- Lösungen (Fenster zur Eingabe des Keys) bin ich mir halt nicht sicher, ob das mit jedem BS funktioniert.

[willy4711]

Der Datenträger bekommt mind. zwei Partitionen. Partition 1 wird mit FAT32 formatiert und enthält ein statisch gelinktes Programm (Portable App) - hier: VeraCrypt (Fork von TrueCrypt) (https://www.veracrypt.fr/en/Downloads.html)

Wenn der Stick auf allen drei Systemen lauffähig sein soll (Apfel / WIN /LInux) müsste ja auf dem Stick jeweils
die passende Software lauffähig und portable vorhanden sein.

Geht das überhaupt ?

[Tintom]

Der Datenträger bekommt mind. zwei Partitionen. Partition 1 wird mit FAT32 formatiert und enthält ein statisch gelinktes Programm (Portable App) - hier: VeraCrypt (Fork von TrueCrypt) (https://www.veracrypt.fr/en/Downloads.html)

Wenn der Stick auf allen drei Systemen lauffähig sein soll (Apfel / WIN /LInux) müsste ja auf dem Stick jeweils
die passende Software lauffähig und portable vorhanden sein.

Geht das überhaupt ?

Bei Linux kannst du das Vorhalten von Software auf der Partition meiner Meinung nach vernachlässigen, bei MacOS fehlt mir die Erfahrung. Vielleicht kann sich dazu jemand anders äußern?

[bitschubser]

Hallo miteinander.

Meiner Meinung nach ist der beste USB Stick für Privates ein Stick der sich nicht verrät!
Ich meine damit das der Stick beim einstecken ein paar harmlose Bilder / Texte anzeigt und die Partitionsgröße mit dem Aufdruck übereinstimmt.
Ergo eine manipulierte Partitionstabelle und die wahre Partition liegt wo anders auf dem Stick. Sie lässt sich dann via "offset" exklusive angeben.

Code: Alles auswählen

mount -o loop,offset=8388608,sizelimit=33554432 /dev/sdx /mnt

MfG bitschubser

[DeletedUserReAsG]

Hm. Wie lässt sich das unter Windows und MacOS ansprechen, wie der TE es ja haben wollte? Und die Verschlüsselung, mit der die drei genannten Systeme gleichermaßen klarkommen, ist damit auch nicht realisiert worden.