@Rudolf
Es geht um EDS Light. Die Einschränkungen kannte ich schon.
Ich habe es nochmals getestet: ich hatte den Container nicht geschlossen
UPDATE:
Ich habe nochmals mit EDS Light auf Android und VeraCrypt auf Mac hin-und-her getestett, Container erstellen bearbeiten in der jeweils anderen Anwendung usw.
Leider kommt es immer wieder zu Dateifehlern, wenn der Container mit EDS Light erstellt wurde. EDS Light ist für mich nicht zuverlässig.
->Der gegebene Anlass war eine Hausdurchsuchung der Polizei und die
->Beschlagnahmung meines Telefons, Laptop und allen weiteren Datenträgern.
Toent abenteuerlich… aber gibt es nicht Faelle, wo einen die Polizei zur Herausgabe des Passwortes zwingen darf?
Moin Holzmichl. Ich bin es nochmal. Ich habe ein zweites Notebook und teste Linux Mint. Super! Ich würde so gerne Linux Mint nutzen, ABER… Ich weiß, dass VeraCrypt wirklich safe ist. Bei Linux war ich bisher unsicher… Dann bist du mit deiner Aussage gekommen. Nun habe ich folgendes gefunden:
Daher ist Linux raus. Mir sind meine Daten mehr als heilig und letztendlich wichtiger als der Datenschutz bei meinem Betriebssystem. Ich nutze ein paar Tools um Win11 freundlicher in Bezug auf Datenschutz zu machen…
Vielleicht gibt es irgendwann die Möglichkeit Linux komplett mit VeraCrypt zu verschlüsseln.
Beide Tools machen das Gleiche, ein Brute-Force-Angriff auf das Passwort. Nimmst Du ein starkes Passwort, sind LUKS und Veracrypt damit nicht knackbar.
Mit einem zweiten Faktor (FIDO2 Token bei LUKS oder Kreditkarte bei Veracrypt) ist es unmöglich, beide in den nächsten Millionen Jahren zu knacken.
Ja, was soll ich sagen? Danke! Deine Aussage ist natürlich super. Ich werde mich weiterhin mit Linux auseinandersetzen und mal schauen wie sich das in nächster Zeit entwickelt. Ich bin dir jedenfalls sehr dankbar für deine Antwort.
Das ist auch Playdoyer für das Einschalten der Option zum Verschlüsseln der im Arbeitsspeicher gespeicherten Schlüssel.
Diese Option ist immerhin eher versteckt platziert und vermutlich nicht jeder hat sie aktiv.
Postanschriften in fernen Ländern sind gut. Ich hab früher die von HP fruity sauce genommen. Ein komplexes Passwort kann man vergessen, die Lieblingssauce nicht.
Ich benutze ein komplexes PW mit 16 Zeichen, nach wenigen Tagen war das eingebrannt. Ist aber auch das einzige in dieser Länge, das ich mir merke, der Rest geht über Passwortmanager. 16 Zeichen, komplex, gilt als brute force resistent. Zumindest noch vor paar Jahren, als ich darüber las
Ich nutze als Masterpasswort eine Passphrase mit 6 Wörtern aus einer Liste mit 239650 Wörtern (die Passphrase ist mit KeepassXC zufällig generiert). Das ist von der Entropie vergleichbar zu Deinen 16 aus 95 Zeichen, hat aber gegen stumpfes Brute-Forcing mehr als 70 Zeichen Länge.
Beispiel: Schuldbewusstsein anhaltisch Durchmessern befolgenswert Platinring Agrarpartei
Das ist auch eine gute Methode. Man kann eine Passphrase noch stärken, indem man bewusste Rechtschreibfehler und mehrere Sprachen verwendet.
Ich würde für eine Passphrase keine vorgefertigte Wortliste nehmen, sondern eher eine Reihe zufällig gewählter Bücher, Zeitschriften, Medieninhalte u.ä.
Ich glaube Du hast da eine etwas falsche Vorstellung worauf die Stärke einer Passphrase basiert. Die 239650 Wörter in der Liste musst du Dir nicht als Worte sondern als Zeichen denken. Ich kenne schliesslich auch alle 95 druckbaren ASCII Zeichen aus denen Dein Passwort besteht, deshalb ist Dein 16-stelliges Passwort nicht weniger sicher. Bei einem Pool von 95 Zeichen hat ein Zeichen eine Entropie von 6,57 bit. Das macht bei Deinen 16 Stellen ca. 105 bit Entropie. Eine Standard Dicewareliste hat 7776 Zeichen (Worte) mit 12,925 bit Entropie pro Zeichen. Bei meiner Wortliste komme ich auf 17,87 bit Entropie pro Zeichen und somit bei 6 Zeichen auf ca. 107 bit Entropie, selbst wenn der Angreifer die Wortliste kennt. Die Grundvoraussetzung für obige Berechnungen ist die Zufälligkeit der Zeichenfolge.
Du könntest auch ein 32-stelliges Passwort aus den Ziffern von 0 bis 9 oder eine 105 Zeichen lange zufällige Abfolge von Nullen und Einsen als Master-Passwort verwenden, beides genauso sicher, aber schwerer zu merken.
Und wenn ich in Wörter gezielt Schreibfehler einbaue, erhöht sich die Zufälligkeit gegenüber einem richtig geschriebenen Wort. Nichts anderes habe ich gesagt.
Auto
Tuoa
Variante 1 wird der Angreifer im Wörterbuch finden, Variante 2 muss er brute forcen.
Es spielt für die Berechnung keine Rolle ob dem Angreifer die Wortliste bekannt ist oder nicht.
Natürlich lässt sich das Ganze durch Modifikationen verkomplizieren, aber das konterkariert für mich den Einsatzzweck einer Passphrase, nämlich ein sicheres und einfach zu merkendes Passwort zu verwenden.
Oha, jetzt sind wir hier aber schon weit off-topic
Hallo @Holzmichl!
Ob das auf Deine Frage zutrifft, kann ich natürlich nicht beschwören, doch ich habe mal folgendes gelernt:
Das „sichere Löschen“ von Daten auf den herkömmlichen Datenträgern (Festplatten) ist langsam, aber sicher gelöscht.
Bei sogenannten Flashspeichern, also USB Sticks/SSDs (und solche Speicherbausteine sind meiner Vermutung nach auch in mobilen Endgeräten eingebaut) können zwar auch mit diesen Tools gelöscht werden, jedoch würde damit der Speicherort zerstört und unbeschreibbar werden. Da Flashspeicher ja generell eine begrenzte Lebensdauer haben (das haben wir hier mal diskutiert: https://www.kuketz-forum.de/t/ein-datenbackup-auf-einen-usb-stick-am-schluesselbund-oder-verschluesselt-in-der-cloud/4511/16 ), so könnte ich mir vorstellen, daß Du auf diese Weise Deine Flashspeicher auf Dauer zerstörst.
Das nur als Impuls zum Thema sicheres Löschen auf solchen Speichern.
Ricbtig, ein verschlüsseltes Handy zu resetten löscht die Encryption Keys. Daher müsste die Verschlüsselung an sich geknackt werden um die Daten wiederherzustellen. Das ist in den nächsten Jahrzehnten unwahrscheinlich.
Mal was anderes zum eigentlichen Thema. Es gibt viele wissenschaftliche Papiere dazu. Zusammengefasst, ist es so, dass soweit in deinem Betriebssystem die TRIM Funktion aktiviert ist, ein wiederherstellen von gelöschten Daten kurze Zeit nach dem ausführen des TRIM Befehls nicht mehr möglich ist.
Allerdings ist dazu zu sagen, das es keine Garantie gibt das der Befehl regelmäßig ausgeführt wird (normal wird er das) oder das der Controller von deinem Speicher darauf richtig reagiert (normal tut er das).
Zumindest würde ich mich persönlich nicht darauf verlassen, wenn ich Aktivist in einem autoritären Regime wäre.
Allerdings und das wird oft vergessen:
Viele Anwendungen speichern Datein in verschiedensten Ordnern, thumbs/Caches etc. Löscht du eine Datei und willst auf Nummer sicher gehen und wipest den freien Speicher (was IMO unsinnig ist bei flash basierten), ist die Wahrscheinlichkeit hoch das ein forensischen tool die Datei aus irgendeinem thumb/cache Ordner wiederherstellt.
Hier vielleicht eine unpopuläre Meinung von mir, zu deinem threat model.
Verycrypt und Luks sind super, aber dafür musst du dich nicht unbedingt mit Linux auseinandersetzen (auch wenn das natürlich aus privacy Sicht sowieso besser wäre)
Veracrypt kannst du auch unter Windows verwenden.
Aber nun zu meiner angekündigten Meinung. Im Moment sehe ich Bitlocker mit TPM 2.0 zusammen als die beste Festplattenverschlüsselung an. Natürlich nur wenn als Preboot Auth konfiguriert.
Das TPM bietet dir nämlich zusätzlich hardwarebasierte Sicherheit. Unter anderem einen Anti-Hammering (brute force) Mechanismus.
Das ist bei allen mir bekannten Linux Distros, zusammen mit Luks, standardmäßig nicht der Fall (bitte belehrt mich eines besseren)
Achja und natürlich den Bitlocker Recovery Key nicht in deinem Microsoft Account speichern
Es geht immer schneller voran … „exponentiell“ …
Man sollte sich nur bei Daten, die in übersichtlicher Zeit sicher vernichtet werden, auf den Stand der Entschlüsselungstechnik verlassen.
Das mag schon so sein, wie Du es beschreibst, aber die meisten Distros nutzen mittlerweile in den aktuellen Versionen LUKS2 mit Argon2 KDF. Da wird Brute-Force sehr kostspielig und langwierig.