[Jelöst] Sind HDD-Daten mit LUKS verschlüsselt extern auslesbar?

[rockyracoon]

Ich nutze für mein Betriebssystem (Debian / Gnome3) eine SSD und für meine Daten eine zweite Festplatte (HDD - Ext4), welche mit LUKS verschlüsselt ist. Die Verschlüsselung nehme ich vor weil ich denke, dass bei einem Diebstahl nur meine Hardware entwendet ist aber meine persönlichen Daten nicht eingesehen werden können.

Ein Bekannter hat die Meinung vertreten, dass ein Dieb die Festplatte ausbauen und die Daten mit geeigneter Technik auch ohne Nutzen der Passphrase extern auslesen könne. Ich bezweifele das sehr, weil eine Verschlüsselung dann kaum noch Sinn machen würde.

Ich bitte daher um eine eine fachkompetente Bewertung der These, dass man verschlüsselte Daten einer Festplatte ohne Kenntnis der Passphrase extern auslesen könne.

[MSfree]

Eine SSD/Festplatte ist immer auslesbar. Sind die Daten darauf aber verschlüsselt, liest man auch nur die verschlüsselten Daten aus. Die Kopie besteht also nur aus Bitsalat.

Anders sieht es aus, wenn der Rechner nicht ausgeschaltet ist. Hier kann man über das laufende OS immer an die entschlüsselten Daten rankommen. Auch ein Rechner im Suspendmodus kann unter Umständen ausgelesen werden. Also, Laptops immer schön komplett runterfahren.

[rockyracoon]

@MSfree:
Vielen Dank für Deine schnelle Antwort.

Es ist also so wie ich vermutet habe, dass weder eine SSD noch eine HDD ausgelesen werden kann, wenn die LUKS-verschlüsselt ist. Der Bekannte hatte die Ansicht, dass ein verschlüsselter Header nicht das Auslesen von vorhandenen Datenblöcken verhindern könne, was ich absurd finde.

Dass eine entschlüsselte und zudem onlinebefindliche Festpaltte potentiell auslesbar ist, ist mir klar. Es geht mir nur um den Fall des Diebstahls eines ausgeschalteten PC`s, wenn ich außer Haus bin.

Auch ist mir klar, dass bei leichtsinnigem Verhalten wie etwa dem Installieren von Paketen aus fragwürdigen Quellen die Verschlüsselung einer Festplatte sicherheitsmäßig etwa in Hinblick auf Keylogging nichts bringt.

Ein Brute-Force-Vorgehen ist ein anderes Thema, was mir das Verschlüsseln einer Festplatte aber nicht sinnlos macht, weil das sehr viel Kompetenz vorraussetzt. Wie gesagt, es geht mir um einen "normalen" 0815-Diebstahl, bei dem ich nicht auch meine Idenditäts-Daten gestohlen haben will.

[rhHeini]

Die "Sicherheit" hängt natürlich mit von der Qualität der verwendeten Passphrase ab.

[rockyracoon]

@rhHeini:

Die "Sicherheit" hängt natürlich mit von der Qualität der verwendeten Passphrase ab.

Yep.
Meine Passphrasen sind extrem lang und kompliziert.

[cosinus]

Ein Bekannter hat die Meinung vertreten, dass ein Dieb die Festplatte ausbauen und die Daten mit geeigneter Technik auch ohne Nutzen der Passphrase extern auslesen könne. Ich bezweifele das sehr, weil eine Verschlüsselung dann kaum noch Sinn machen würde.

Das ist kompletter Unsinn. Ohne korrekte Passphrase/LUKS-Passwort kommt nur der schon erwähnte Bitsalat mit Sauce.
Selbst wenn man die Disk nicht verschlüsseln sondern "nur" über das UEFI-Setup per Passwort sichern würde: ohne korrektes Passwort weigert sich die Disk auch nur irgendeinen Befehl auszuführen d.h. man käme auch nicht an die Daten ran.

[cosinus]

Meine Passphrasen sind extrem lang und kompliziert.

My password is "incorrect"

[MSfree]

My password is "incorrect"

Meins ist "streng geheim".

[tobo]

Ein Brute-Force-Vorgehen ist ein anderes Thema, was mir das Verschlüsseln einer Festplatte aber nicht sinnlos macht, weil das sehr viel Kompetenz vorraussetzt.

Solche Algortihmen (wenige kB) kannste du dir überall runterladen, die Anwendung ist dann komplett kompetenzbefreit. Und wie wenig sinnlos so eine dm-crypt-Scheibe ist, das kannste hier nachlesen:
https://www.1pw.de/brute-force.php
Sind Schlüsselraum und Schlüssellänge genügend groß gewählt, dann musst du dir erstmal keine Gedanken machen.

[rockyracoon]

@cosinus:
Auch Dir ein THX für die klare Information!

Den Witz mit "incorrect" habe ich aber nicht verstanden...

@tobo: Thx.

[cosinus]

Meins ist "streng geheim".

Ach du bist als Topsy Cret!

[cosinus]

Den Witz mit "incorrect" habe ich aber nicht verstanden...

Wenn du das Passwort falsch eintipps und die Passwortabfrage sagt dir auf Englisch, dass das Passwort nicht korrekt also "incorrect" sei. Dann nimmt man als Passwort "incorrect". Ähnlich bescheuert wie "geheim"

[rockyracoon]

Den Witz mit "incorrect" habe ich aber nicht verstanden...

Wenn du das Passwort falsch eintipps und die Passwortabfrage sagt dir auf Englisch, dass das Passwort nicht korrekt also "incorrect" sei. Dann nimmt man als Passwort "incorrect". Ähnlich bescheuert wie "geheim"

LOL

Nochmal vielen Dank an Alle für die schnellen und zielführenden Antworten!

[cosinus]

Eine Anmerkung zum "BIOS" noch. Natürlich reicht das BIOS-Passwort nicht. Aber in vielen UEFI-Setups kann man ein HDD- oder SSD-Passwort definieren. Ich wollte nur nochmal betonen, dass das was anderes ist, als nur das Setup per Supervisor-Passwort zu schützen.

Genauer gesagt: Mit LUKS hat man ein verschlüsseltes Dateisystem. Bei nem Disk-Passwort ist zwar alles unverschlüsselt, aber die Disk macht ohne dem richtigen Passwort einfach nichts.

[cosinus]

Nachtrag:

Eine SSD/Festplatte ist immer auslesbar.

Bei gesetztem SSD/HDD-Passwort nicht. Die reagiert fast schon wie ein defektes Gerät, wenn man das Passwort dafür nicht oder falsch eintippt.