Hardware verschlüsselte USB Sticks oder Disks ?

[Chantal Krüger II]

Hallo,

ich suche nach einer Lösung, einen Teil meiner Daten sicher zu schützen. Vielleicht kann mir jemand helfen : 

 

1. Veracrypt habe ich schon probiert. Irgendwann war der Container zerschossen und konnte das Passwort nicht mehr. Daten weg ...

2. Vielleicht hilf eine Hardware Encryptung, evtl USB Stick mit Nummern Keyboard drauf.

3. Verschlüsselung besser/gleich als AES 256, besser noch Eliptical Kurve.

4.  Backup Strategie ? Ich mache jede Stunde ein Backup aller Daten, zusätzlich zu vierfachen Festplatten. (Raid 1). War auch das Problem bei Veracrypt, ein kaputer Container hat die alten überschrieben.

5. Es hat niemand Zugang zur Hardware, ich suche eine Lösung, die einschliesslich auf Hacker aus dem Netz absichert.

 

Hat jemand Erfahrung mit Kingston Ironkey oder ähnliches ? Gibt es Festplatten, die ähnliches können ? Taugt SSD Festplattenverschlüsselung etwas ?

 

[skunk]

Ich nutze dafür LUKS in Kombination mit einem Yubikey. Anleitung gibt es zum Beispiel hier: https://deisi.github.io/posts/luks_mi_yubikey/

Zusätzlich habe ich noch ein langes Passwort hinterlegt für den Fall, dass ich den Yubikey mal verlieren sollte.

[Maaz]

vor 34 Minuten schrieb skunk:

Ich nutze dafür LUKS in Kombination mit einem Yubikey. Anleitung gibt es zum Beispiel hier: https://deisi.github.io/posts/luks_mi_yubikey/

Zusätzlich habe ich noch ein langes Passwort hinterlegt für den Fall, dass ich den Yubikey mal verlieren sollte.

Genau so mache ich es auch. LUKS mit Yubikey und alternativ einem Passwort im Passwortmanager.

Zum Speichern verwende ich Desktop-SSDs, die ich in externe Gehäuse gebaut habe.

Mittlerweile würde ich M2-SSDs nehmen. Dafür gibt es ja auch praktische Gehäuse.

[Chantal Krüger II]

Ich vergass, kein Linux, da alles auf Windows läuft (bis auf die Server). Aber ich schau mir das mal an.

Bearbeitet 27. Oktober 2022 von Chantal Krüger II

[bulsan]

vor 8 Minuten schrieb Chantal Krüger II:

Ich vergass, kein Linux, da alles auf Windows läuft

Ein Hardware-Device könnte ja auch kaputt gehen, und davon mehrere Backup-Kopien zu halten ist umständlich und geht ins Geld.

Unter Windows fällt mir grundsätzlich nichts anderes (solides!) ein als ein Bitlocker- oder Veracrypt-Laufwerk oder ein Veracrypt Container.

Ich glaube, dein Problem ist weniger wie du verschlüsselst als vielmehr deine Backup-Strategie. Sicherungspläne, die Backups so rotieren dass immer auch einige ältere übrig bleiben wären besser geeignet. Warum immer du deine geheimsten Geheimnisse jede Stunde sichern willst, so was ähnliches (hier: Synology Smart Recycle) lässt dir bessere Chancen noch ein intaktes Backup zu finden, selbst wenn du den Fehler erst nach Tagen bemerkst. Und das Backup natürlich parallel auf Platte daheim und (mehrere?) Clouds.

• Smart Recycle: Das System verwahrt jede Sicherungsversion, bis die angegebene Anzahl der Versionen überschritten ist. Wenn die Rotation ausgelöst wird, rotiert das System zuerst die Versionen, die keine der Bedingungen erfüllen; wenn alle vorhandenen Versionen die nachstehenden Bedingungen erfüllen, rotiert das System die früheste Version:
  • Stündliche Versionen der letzten 24 Stunden: Die früheste in jeder Stunde erstellte Version wird verwahrt.
  • Tägliche Versionen vom vergangenen 1 Tag bis zu 1 Monat: Die früheste an jedem Tag erstellte Version wird verwahrt.
  • Wöchentliche Versionen, die älter als 1 Monat sind: Die früheste in jeder Woche erstellte Version wird verwahrt.

[Chantal Krüger II]

1 hour ago, bulsan said:

Ein Hardware-Device könnte ja auch kaputt gehen, und davon mehrere Backup-Kopien zu halten ist umständlich und geht ins Geld.

Unter Windows fällt mir grundsätzlich nichts anderes (solides!) ein als ein Bitlocker- oder Veracrypt-Laufwerk oder ein Veracrypt Container.

Ich glaube, dein Problem ist weniger wie du verschlüsselst als vielmehr deine Backup-Strategie. Sicherungspläne, die Backups so rotieren dass immer auch einige ältere übrig bleiben wären besser geeignet. Warum immer du deine geheimsten Geheimnisse jede Stunde sichern willst, so was ähnliches (hier: Synology Smart Recycle) lässt dir bessere Chancen noch ein intaktes Backup zu finden, selbst wenn du den Fehler erst nach Tagen bemerkst. Und das Backup natürlich parallel auf Platte daheim und (mehrere?) Clouds.

• Smart Recycle: Das System verwahrt jede Sicherungsversion, bis die angegebene Anzahl der Versionen überschritten ist. Wenn die Rotation ausgelöst wird, rotiert das System zuerst die Versionen, die keine der Bedingungen erfüllen; wenn alle vorhandenen Versionen die nachstehenden Bedingungen erfüllen, rotiert das System die früheste Version:
  • Stündliche Versionen der letzten 24 Stunden: Die früheste in jeder Stunde erstellte Version wird verwahrt.
  • Tägliche Versionen vom vergangenen 1 Tag bis zu 1 Monat: Die früheste an jedem Tag erstellte Version wird verwahrt.
  • Wöchentliche Versionen, die älter als 1 Monat sind: Die früheste in jeder Woche erstellte Version wird verwahrt.

Hallo, vielen Dank. Ich habe einen Synology Server mit 4x 10Terrabyte Platten, WD Red Disk, Raid1,  und mach das fast genauso  wie Du das sagst. Das läuft ganz gut.

Jedoch muss ich jetzt eine höhere Stufe von Sicherheit haben. Bei Veracrypt habe ich einfach erlebt, das auf einmal der Container zerschossen war und dann konnten wir nix mehr machen, auch mit älteren Backups. Und Veracrypt wieder aufmachen ist da so ein Problem.

Ich dachte mir, ob ich evtl bei den Synology ein USB Port nutzen, wo ich einen USB Stick oder SSD mit seperater Verschlüsselung (kIngston Ironkey ?) ranhänge. Da kann ich dann die besonderen Daten, die über die Synologie Sicherheit gehen.  Deswegen suche ich nach Ideen, was andere so machen.

[bulsan]

vor 34 Minuten schrieb Chantal Krüger II:

Deswegen suche ich nach Ideen, was andere so machen.

Genau das, was ich oben beschrieben habe, allerdings ausgehend von 1x wöchentlichen Backups. Und alle halbe Jahre kommt mal ein frisch upgedateter USB-Stick zu Oma und einer ins Schließfach. Ich nutze True/Veracrypt-Container seit 2005, auf mehrern Rechnern auch der Verwandtschaft und Firma, Windows und Linux. Vom Benutzer selbst zerschossene Container (versehentlich gelöscht, und dann mit Recuva wieder hergestellt, geht nicht mehr, Scheiß-Veracrypt...) gab es schon, und auch welche die mit der Platte oder einem RAM-Riegel verreckt sind. Aber keine Probleme, die nur von Veracrypt selbst verursacht hätten sein können. Und es war immer ein Backup da.

vor 46 Minuten schrieb Chantal Krüger II:

einen USB Stick oder SSD mit seperater Verschlüsselung (kIngston Ironkey ?) ranhänge.

Nur vom nochmal verschlüsseln alleine wird die Datensicherheit insgesamt nicht besser. Und mehrere solche Devices im Wechsel sind hat ein (unnötig) teurer Spaß.

[mahatma]

vor einer Stunde schrieb Chantal Krüger II:

Bei Veracrypt habe ich einfach erlebt, das auf einmal der Container zerschossen war und dann konnten wir nix mehr machen, auch mit älteren Backups. Und Veracrypt wieder aufmachen ist da so ein Problem.

Versteh ich nicht ganz. Waren die älteren Backups zerschossen weil sie mit nem korrupten File überschrieben wurden, oder ging die gleiche unveränderte Datei auf einmal nicht mehr? Im ersten Fall liegts ja dann an der Backup Strategie.. Der zweite Fall wäre krass, hab noch nie gehört dass das passieren kann...

[groocer]

LUKS rulles Fett, wer braucht schon Hardwareverschlüsselung. 😎😁

 

[skunk]

vor 14 Stunden schrieb Chantal Krüger II:

Ich vergass, kein Linux, da alles auf Windows läuft (bis auf die Server). Aber ich schau mir das mal an.

Kennst du den hier schon? https://helloacm.com/the-ubuntu-sub-system-new-bash-shell-in-windows-10/

Edit: Für die Backups nutze ich einmal Syncthing um meine wichtigen Daten auf 3 Maschinen zu speichern. Das Tool kommt mit Versionierung. Sollte ich mir ein Verschlüsselungstrojaner einfangen setze ich einfach alles zurück auf die vorige Version. Ich halte alle Versionen der letzten 30 Tage vor.

Und dann noch ein wöchentliches Backup in der Cloud mit Duplicati. Das Backup ist einmal von Duplicati selbst e2e Verschlüsselt und zusätzlich noch vom Cloud Anbieter ein zweites mal.

Bearbeitet 28. Oktober 2022 von skunk

[Chantal Krüger II]

59 minutes ago, skunk said:

Kennst du den hier schon? https://helloacm.com/the-ubuntu-sub-system-new-bash-shell-in-windows-10/

Edit: Für die Backups nutze ich einmal Syncthing um meine wichtigen Daten auf 3 Maschinen zu speichern. Das Tool kommt mit Versionierung. Sollte ich mir ein Verschlüsselungstrojaner einfangen setze ich einfach alles zurück auf die vorige Version. Ich halte alle Versionen der letzten 30 Tage vor.

Und dann noch ein wöchentliches Backup in der Cloud mit Duplicati. Das Backup ist einmal von Duplicati selbst e2e Verschlüsselt und zusätzlich noch vom Cloud Anbieter ein zweites mal.

Nein, aber vielen Dank, ich schau mir das an.

[Chantal Krüger II]

12 hours ago, mahatma said:

Versteh ich nicht ganz. Waren die älteren Backups zerschossen weil sie mit nem korrupten File überschrieben wurden, oder ging die gleiche unveränderte Datei auf einmal nicht mehr? Im ersten Fall liegts ja dann an der Backup Strategie.. Der zweite Fall wäre krass, hab noch nie gehört dass das passieren kann...

Der zweite Fall. Ich weiss nicht, was da passiert ist. 

Backup Strategy bedeutet, ich muss immer den Container als solches neu speichern, da ist schon eine Limitierung bei der Plattengrösse. 

[Octagon]

vor 22 Stunden schrieb Chantal Krüger II:

Hallo,

ich suche nach einer Lösung, einen Teil meiner Daten sicher zu schützen. Vielleicht kann mir jemand helfen : 

 

1. Veracrypt habe ich schon probiert. Irgendwann war der Container zerschossen und konnte das Passwort nicht mehr. Daten weg ...

2. Vielleicht hilf eine Hardware Encryptung, evtl USB Stick mit Nummern Keyboard drauf.

3. Verschlüsselung besser/gleich als AES 256, besser noch Eliptical Kurve.

4.  Backup Strategie ? Ich mache jede Stunde ein Backup aller Daten, zusätzlich zu vierfachen Festplatten. (Raid 1). War auch das Problem bei Veracrypt, ein kaputer Container hat die alten überschrieben.

5. Es hat niemand Zugang zur Hardware, ich suche eine Lösung, die einschliesslich auf Hacker aus dem Netz absichert.

 

Hat jemand Erfahrung mit Kingston Ironkey oder ähnliches ? Gibt es Festplatten, die ähnliches können ? Taugt SSD Festplattenverschlüsselung etwas ?

 

AES ist sicher, einer der sichersten und am meisten benutzten Standards, es braucht einfach einen guten Schlüssel, und hier liegt wie immer das eigentliche Problem, genau wie bei deinen PKs. Elliptic-Curve ist eine asymmetrische Verschlüsselung und nicht wirklich für file/disc encryption geeignet.

SSD disc-encryption benutzt, soviel ich weiss, grundsätzlich auch AES, passiert aber auf einem Hardwarelevel, was es einfach noch schneller macht, aber die Sicherheit dürfte am Ende dieselbe sein. Nachteil ist, dass wenn das Drive fehlerhaft ist, kann es auch problematisch sein zu recovern. Nachteil bei der Softwarevariante: Ist so sicher wie der Rest deines PCs/Systems halt….

Frage vielmehr, was für welche oder wie viele Daten möchtest du verschlüsselt sichern? Kilobytes, Megabytes, Terabytes? Viele einzelne Files, oder grosse "Blöcke"?

Das System mit z.B. Bitlocker abzusichern ist vorteilhaft, bei uns Pflicht, aber das nützt dir für Backups auch nichts.

Ich benutze auch Veracrypt Container. Hier sollte es eigentlich keine Probleme geben, wenn jeweils ein volles Backup gemacht wird, nicht inkrementell, mit einem x-Tage Verlauf. Nur für PWs benutze ich Keepass. Kann man aber auch noch in einem Container sichern, ist aber eigentlich nicht nötig.

Anstatt eines regelmässigen Backups kann man auch noch die File-History/Synchronisation benutzen, glaube Synology hat sowas dabei. Dabei wird immer automatisch ein neues versioniertes File-Backup gemacht, sobald das File geändert wurde. Das wäre für kleinere Files oder sowas wie Keepass sehr gut/schnell und sicher.

Wichtig ist, dass man volle Backups hat (zwischendurch), mit einem Verlauf, auf den nicht zugegriffen werden kann. Viele vergessen dabei Ransomware Attacken. Dabei nützt dir eine System/Bitlocker, Soft/Hardwareverschlüsselung nichts. Selbst ein inkrementelles Backup, oder "nur" ein Backup kann am Ende nutzlos sein, da es evtl. verschlüsselt/gehackt gespeichert wird, bevor man es merkt. Somit nur auf eine verschlüsselte SSD speichern, löst dieses Problem nicht, ohne einen nicht manipulierbaren Verlauf zu haben.

(Es gibt auch hochsichere Cloud-Speicher Dienste, die genau für sowas gemacht sind, und diese Probleme lösen, und grundsätzlich zuverlässiger und sicherer sind als eigene Lösungen.)

Für sichere Backups gibts noch die goldene 3-2-1 Regel.

Bearbeitet 28. Oktober 2022 von Octagon
font

[bulsan]

vor 1 Minute schrieb Chantal Krüger II:

da ist schon eine Limitierung bei der Plattengrösse

jede Empfehlung fängt immer mit "kommt drauf an" an. In dem Fall auf dein Anwendungsszenario, also die Größe deiner zu sichernden Geheimdaten. Bei mir sind das zB die Datenbanken von KeePassXC mit Passwörtern, Zugangsdaten, Wallet-Seeds etc. etc.  und ein paar gescannte wichtige Dokumente. Zusammen keine 10MB , da kann ich lange auf meine 10TB-NAS sichern. Wie groß ist enn dein Datenpaket? Musst ja nicht verraten, was genau drin ist...

[Chantal Krüger II]

7 minutes ago, Octagon said:

AES ist sicher, einer der sichersten und am meisten benutzten Standards, es braucht einfach einen guten Schlüssel, und hier liegt wie immer das eigentliche Problem, genau wie bei deinen PKs. Elliptic-Curve ist eine asymmetrische Verschlüsselung und nicht wirklich für file/disc encryption geeignet.

SSD disc-encryption benutzt, soviel ich weiss, grundsätzlich auch AES, passiert aber auf einem Hardwarelevel, was es einfach noch schneller macht, aber die Sicherheit dürfte am Ende dieselbe sein. Nachteil ist, dass wenn das Drive fehlerhaft ist, kann es auch problematisch sein zu recovern. Nachteil bei der Softwarevariante: Ist so sicher wie der Rest deines PCs/Systems halt….

Frage vielmehr, was für welche oder wie viele Daten möchtest du verschlüsselt sichern? Kilobytes, Megabytes, Terabytes? Viele einzelne Files, oder grosse "Blöcke"?

Das System mit z.B. Bitlocker abzusichern ist vorteilhaft, bei uns Pflicht, aber das nützt dir für Backups auch nichts.

Ich benutze auch Veracrypt Container. Hier sollte es eigentlich keine Probleme geben, wenn jeweils ein volles Backup gemacht wird, nicht inkrementell, mit einem x-Tage Verlauf. Nur für PWs benutze ich Keepass. Kann man aber auch noch in einem Container sichern, ist aber eigentlich nicht nötig.

Anstatt eines regelmässigen Backups kann man auch noch die File-History/Synchronisation benutzen, glaube Synology hat sowas dabei. Dabei wird immer automatisch ein neues versioniertes File-Backup gemacht, sobald das File geändert wurde. Das wäre für kleinere Files oder sowas wie Keepass sehr gut/schnell und sicher.

Wichtig ist, dass man volle Backups hat (zwischendurch), mit einem Verlauf, auf den nicht zugegriffen werden kann. Viele vergessen dabei Ransomware Attacken. Dabei nützt dir eine System/Bitlocker, Soft/Hardwareverschlüsselung nichts. Selbst ein inkrementelles Backup, oder "nur" ein Backup kann am Ende nutzlos sein, da es evtl. verschlüsselt/gehackt gespeichert wird, bevor man es merkt. Somit nur auf eine verschlüsselte SSD speichern, löst dieses Problem nicht, ohne einen nicht manipulierbaren Verlauf zu haben.

(Es gibt auch hochsichere Cloud-Speicher Dienste, die genau für sowas gemacht sind, und diese Probleme lösen, und grundsätzlich zuverlässiger und sicherer sind als eigene Lösungen.)

Für sichere Backups gibts noch die goldene 3-2-1 Regel.

Danke, im Prinzip hast Du recht, ich bin nur etwas daran gebunden, was die Eigentümer der Daten mir vorschreiben. Ich muss jetzt mit ne Idee kommen, was die akzeptieren. Und da reden die auch von Eliptic Curve, weil die mir einfach sagen, AES kann durch Kollisionen evtl. bald kompromitiert werden, wobei ich dann  sagege, wenn, dann wird dass sowieso bei den Keyserver auf gemacht.

Ich werde mir Deine Lösungen einfach mal ansehen.

 

Bearbeitet 28. Oktober 2022 von Chantal Krüger II

[bulsan]

vor 6 Minuten schrieb Octagon:

Viele vergessen dabei Ransomware Attacken.

Zu dem Thema passen ganz gut die WORM-Ordner, die Synology für das nächste DSM (7.2) angekündigt hat. Müsste man sich für's Backup von Windows aus nicht mehr hintenrum mit ftp-Verbindungen plagen...

https://www.computerbase.de/2022-10/synology-2023-and-beyond-dsm-7-2-eigene-kameras-und-neue-speicherloesungen/

[Chantal Krüger II]

4 minutes ago, bulsan said:

jede Empfehlung fängt immer mit "kommt drauf an" an. In dem Fall auf dein Anwendungsszenario, also die Größe deiner zu sichernden Geheimdaten. Bei mir sind das zB die Datenbanken von KeePassXC mit Passwörtern, Zugangsdaten, Wallet-Seeds etc. etc.  und ein paar gescannte wichtige Dokumente. Zusammen keine 10MB , da kann ich lange auf meine 10TB-NAS sichern. Wie groß ist enn dein Datenpaket? Musst ja nicht verraten, was genau drin ist...

Im Moment gehe ich von 500Gbyte aus. Die Daten sind in zwei Gruppen geteilt. Die, die ich schützen muss und die die ich nur sehr gut sichern muss.

[bulsan]

500GB stündlich? Dabei hattest du anfangs so harmlos gefragt 😉

Für solche Datenschwertransporte reicht mein Wissen über Home-Office-Lösungen leider nicht.

[Octagon]

vor 5 Stunden schrieb bulsan:

500GB stündlich? Dabei hattest du anfangs so harmlos gefragt 😉

Für solche Datenschwertransporte reicht mein Wissen über Home-Office-Lösungen leider nicht.

Sollte kein grosses Problem sein. Nehme an, dass sich nur ein Teil der Daten stündlich ändert, nicht die ganzen 500GB.
Man könnte 1x pro Tag Morgens z.B. ein volles Backup machen, dann stündlich ein differentielles, für alle Änderungen, und dabei den täglichen Verlauf für x Tage behalten. Denke die meisten normalen Backup Programme können das. Ich nutze seit Jahren Akeeba für solche Tasks.