VeraCrypt

[HumiNi]

Falls ich nicht etwas übersehe, ist VeraCrypt nicht in den Debian-Repos. Welchen Grund hat das?

PS. Ich weiß, dass es hier https://veracrypt.eu/en/Downloads.html zu finden ist.

[niemand]

Möglicherweise ist’s einerseits aufgrund der Lizenzen so: „VeraCrypt is multi-licensed under Apache License 2.0 and
the TrueCrypt License version 3.0“, wobei letztere wohl ein Problem darstellt (siehe 364034), andererseits wohl weil nur wenige Bedarf dafür haben; meist wird ja dm_crypt/LUKS genutzt.

[rhHeini]

Schau mal nach den Lizenzen. Die sind nicht Debian-kompatibel. Und VC ist jetzt nicht so bedeutend das es unbedingt in contrib erscheinen müsste.
https://veracrypt.eu/en/VeraCrypt%20License.html

Im übrigen kann luks auch einiges mit VC- und TC-Containern anfangen.

[wanne]

Klugscheiß: LUKS ist ein alternatives Format. cryptsetup/dm-crypt können die meisten TC und VC-Container öffnen. Es bleiben aber TC-Container.

[HumiNi]

Danke für die Antworten.
Ich interessierte mich für VeraCrypt (als Nachfahre von Truecrypt) wegen der Funktion eines verschlüsselten Containers für unterwegs. Ich suchte keine Software, die auch TC-Container öffnen kann.
Nach Überschlafen der Antworten werde ich bei meinem bisherigen Vorgehen bleiben: In einer "Hosentasche" ein Datenträger mit dem letzten truecrypt-Release (der Riesenvorteil von truecrypt: es war monolytisch) und in der anderen einer mit dem verschlüsselten Container.
Ich sehe jetzt keinen vernünftigen Grund des Umstiegs mehr, wenn ich VeraCrypt nicht aus Debian-Repos beziehen kann.

[niemand]

Ich interessierte mich für VeraCrypt (als Nachfahre von Truecrypt) wegen der Funktion eines verschlüsselten Containers für unterwegs.

Müssen diese Container auch von anderen Betriebssystemen aus geöffnet werden können? Anderenfalls würde man auch da mit einer nativen Lösung besser fahren, denke ich.

[HumiNi]

Müssen diese Container auch von anderen Betriebssystemen aus geöffnet werden können?

Geplant nicht, aber ich halte mir für den Notfall lieber zusätzliche Türen offen.

[niemand]

Geplant nicht, aber ich halte mir für den Notfall lieber zusätzliche Türen offen.

Im Notfall bekommt man auch unter Windows dm_crypt/LUKS geöffnet (via WSL2). Wenn man’s regelmäßig mit verschiedenen OS nutzen wollte, wär’s nachvollziehbar, auf eine solche Lösung zu setzen, aber wenn man es allenfalls im Notfall von einem anderen OS aus aufbekommen möchte, wäre in meinen Augen die native Lösung vorteilhafter.

[HumiNi]

Ok, ich habe bisher bei "Notfall" an einen Win-PC gedacht. Allerdings wäre mir der Zugriff mit Android noch lieber. Bleibst du auch dann bei deiner LUKS/dm-crypt-Empfehlung? Mit welcher App?

[niemand]

Allerdings wäre mir der Zugriff mit Android noch lieber. Bleibst du auch dann bei deiner LUKS/dm-crypt-Empfehlung? Mit welcher App?

Termux mit cryptsetup sollte gut funktionieren. Wie greifst du derzeit von Android aus auf deine(n) Veracrypt-Container zu?

[HumiNi]

Wie greifst du derzeit von Android aus auf deine(n) Veracrypt-Container zu?

Noch gar nicht. Bin erst vorhin darauf gekommen, dass ich für den Notfall nicht an Win, sondern besser an Android denken könnte.

[wanne]

Android benutzt übrigens LUKS um den Internen Speicher zu verschlüsseln. Wird dann über einen geheimen Schlüssel der mit der PIN freigeschaltet wird. Dummer weis verrät dir Android dein eigentlichen Schlüssel nicht.
Gibt auch diverse Apps, die dir direkteren Zugriff auf LUKS geben:
https://play.google.com/store/apps/deta ... uksmanager
https://play.google.com/store/apps/deta ... ks.edslite
Problem. cryptsetup (das auch unter Android vorhanden ist) läuft nur als root. Und da auch die Apps das verwenden, laufen auch die nur als root. Es gibt aber in Deutschland praktisch niemand, der root-Rechte auf seinem Android hat.

wegen der Funktion eines verschlüsselten Containers für unterwegs

Genau die Funktionalität konnte dm-crypt doch lang vor VeraCrypt bereitstellen. Verstehe nicht warum du nicht einfach die Software verwendest die bit für bit genau das selbe macht.

[HumiNi]

wegen der Funktion eines verschlüsselten Containers für unterwegs

Genau die Funktionalität konnte dm-crypt doch lang vor VeraCrypt bereitstellen. Verstehe nicht warum du nicht einfach die Software verwendest die bit für bit genau das selbe macht.

1. Unwissenheit?
2. Als ich den Container vor Jahren eingeführt habe, musste ich auch unter Win regelmäßig an die Daten, da war TC naheliegend. Damals war auch Android noch kein Thema für mich.

Trotzdem zweifle ich noch, dass es möglich ist, ein dm-crypt verschlüsseltes Medium mit einem einzelnen mitgebrachten binary zu öffnen. Falls das doch so ist -> Unwissenheit. Ich gehe in meinem Notfallszenario davon aus, dass ich auf kein System mit Entschlüsselungssoftware zugreifen kann und ich alles in der "Hosentasche" habe.

Vielen Dank für deine Hintergrundinfos.

[niemand]

Trotzdem zweifle ich noch, dass es möglich ist, ein dm-crypt verschlüsseltes Medium mit einem einzelnen mitgebrachten binary zu öffnen

Doch, schon: wenn dein einzelnes mitgebrachtes Binary ein bootbares System enthält. Für PCs und ausgesuchte ARM-Devices gibt’s die sogar fertig zu laden: Livesysteme.

Auf der anderen Seite wirst du auch bei Veracrypt ein System benötigen, auf dem es laufen kann, wobei das System gewisse Voraussetzungen erfüllen muss – insofern ist das Kriterium „geht mit ’nem einzelnen Binary zu öffnen“ auch nicht so ganz zielführend, denke ich.

Interessehalber: was wäre das für ein Szenario, in dem du unter einem fremden System auf dein verschlüsseltes Dateisystem zugreifen, und die Software dafür selbst mitbringen müsstest? Wie realistisch ist sein Eintreten?

[HumiNi]

Auf der anderen Seite wirst du auch bei Veracrypt ein System benötigen, auf dem es laufen kann, wobei das System gewisse Voraussetzungen erfüllen muss – insofern ist das Kriterium „geht mit ’nem einzelnen Binary zu öffnen“ auch nicht so ganz zielführend, denke ich.

Für Linux-Systeme (64bit) reicht dieses (das schleppe ich auch schon einige Debian-Releases mit (für den mobilen Container):

Code: Alles auswählen

-rwxr-xr-x 1 root root 4873328  7. Feb 2012  /usr/local/bin/truecrypt
/usr/local/bin/truecrypt: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, stripped

Für Win diese:

Code: Alles auswählen

-rw-r--r-- 1 ich wir 1516496  8. Feb 2012  TrueCrypt.exe
-rw-r--r-- 1 ich wir  231760  8. Feb 2012  truecrypt.sys
-rw-r--r-- 1 ich wir  231376  8. Feb 2012  truecrypt-x64.sys

truecrypt.sys:     PE32 executable (native) Intel 80386, for MS Windows, 7 sections
truecrypt-x64.sys: PE32+ executable (native) x86-64, for MS Windows, 7 sections
TrueCrypt.exe:     PE32 executable (GUI) Intel 80386, for MS Windows, 4 sections

Interessehalber: was wäre das für ein Szenario, in dem du unter einem fremden System auf dein verschlüsseltes Dateisystem zugreifen, und die Software dafür selbst mitbringen müsstest? Wie realistisch ist sein Eintreten?

Murphy's Law.

Mir ist einfach unwohl bei dem Gedanken, dass jemand den Stick findet oder klaut und anfängt, neugierig zu werden - Verschlüsselung hin oder her. Er hätte ja alle Zeit der Welt.
Wenn der Container als mp3 unter vielen oder noch besser Teil einer anderen Datei, z.B. Teil eines immer noch abspielbaren mp3s ist, muss man ihn erst einmal finden und bytegenau extrahieren. security by obscurity sollte man nicht unterschätzen. Danach kommt immer noch die Hürde der Entschlüsselung.
Klar, Aluhut und so, aber der Aufwand für die Umsetzung ist dermaßen gering...

[niemand]

Für Linux-Systeme (64bit) reicht dieses (das schleppe ich auch schon einige Debian-Releases mit (für den mobilen Container):

Ist halt kein alleinstehendes Binary: „dynamically linked“. Aber selbst statisch gelinkt wär’s nicht eigenständig lauffähig: es benötigt diverse Module und Schnittstellen im Kernel, und mounten willst du das Dateisystem dann ja vermutlich auch noch …

Ich habe kaum Ahnung von Windows, aber ich denke mal, dass es da nicht so sehr viel anders aussehen wird.

Verschlüsselung hin oder her. Er hätte ja alle Zeit der Welt.

Solange er keinen Quantenrechner hat, reicht halt auch „alle Zeit der Welt“ im Wortsinn (sprich: die Zeit, bis sich dieser Fusionsreaktor am Himmel derart aufbläht, dass die Zeit der Welt als abgelaufen zu betrachten ist) nicht.

security by obscurity sollte man nicht unterschätzen.

Aua. Damit bin ich dann raus, denke ich.

[HumiNi]

security by obscurity sollte man nicht unterschätzen.

Aua. Damit bin ich dann raus, denke ich.

Etwas überspitzt gesagt: Du zeigst dem Angreifer das Versteck, erzählst ihm, wie viele Tore mit wie vielen Schlössern davor sind und zeigst ihm die zugehörigen Schlüssel, nur gibst du sie ihm nicht.
Ich verrate ihm das Versteck nicht, welches ähnlich gut gesichert ist und nicht mal die Existenz eines solchen. Das soll er schön selbst herausfinden. Bei wem wird er wohl seine Raubzug starten? Aua?

[niemand]

Bei wem wird er wohl seine Raubzug starten?

Bei dir, weil ihm bei mir gleich klar wäre, dass er seine Zeit verschwendet. Bei dir könnte immerhin noch was abzugreifen sein – und sei’s halt nur deine MP3-Sammlung.