Wenn man sich wirklich vor diesen Angreifern schützen will, gibt es kaum sichere Konzepte oder Geräte.
Das beste für dein beschriebenes Szenario wäre wohl ein Konzept das aus einem isolierten Offline-Rechner auf dem die Daten erstellt, bearbeitet, verschlüsselt, … werden und einem Rechner der nur für die Online Kommunikation verwendet wird und der die Daten nur verschlüsselt entgegennimmt, besteht.
Hier mal ein paar Gedenken:
Für den Offline Rechner könntest du einen NitroPC Pro mit QubesOS verwenden (wenn möglich in einem PC-Tresor und den mit Sensoren ausstatten der beim unerlaubten Öffnen den LUKS Key löscht, vielleicht kann man das mit dem Buskill verwirklichen, ein Benutzer im alten Forum hat sowas ähnliches mal realisiert, ich weiß aber nicht ob „fossonly“ im Forum noch aktiv ist).
Mit dem bearbeitest du Dokumente, ver- und entschlüsselst sie, etc.
Für den Online-Rechner wäre ein NitroPad (die neueren von NovaCustoms, nicht die alten ThinkPads) mit Kicksecure als Host und Whonix VM am besten. Für noch höhere Sicherheit kannst du die Build Documentation: physical Isolation von Whonix umsetzen. Mit dem empfängst und versendest du die verschlüsselten Daten.
Die Daten transferierst du mittels USB-Stick.
Wenn du noch ein paar Sachen drauflegen möchtest könntest du:
- das OS für den Online Rechner Amnesic machen, sprich auf einen (vollverschlüssellten) USB Stick darufpacken (wahlweise mit physikalischen Schreibschutzschalter) und im Live-mode rennen lassen.
Achtung: Die Methode mit der Whonix VM funktioniert dann höchstwahrscheinlich nicht mehr, du müsstest dann Kicksecure + TorBrowser verwenden (was wiederum die Sicherheit der Anonymität schwächt, es sei denn du schaffst es einen Live Mode mit der Physical Isolation umzusetzen).
- Wichtige Daten auf einem Datenträger mit Hardware Encryption z.B. Kobra Drive VS speichern und nur am Offline Rechner anhängen. (Wenn du der Hardware Encryption mißtraust dann erstelle nochmals einen LUKS Container auf der Drive).
- Das OS am Offline Rechner als Read-Only einbinden.
- ein Hidden Operating System auf dem isolierten Rechner um das Vorhandensein verschlüsselter Daten glaubhaft bestreiten zu können (plausible deniability of hidden data).
Achtung: Ich weiß nicht ob sich das mit QubesOS umsetzen ließe!
- steganographischer Methoden benutzen, um die Existenz einer Nachricht selbst zu verbergen.
Achtung: Das Kapitel im PrHdb ist nicht mehr aktuell! Man müsste selbst nachforschen!
Du siehst, es ist eine Heidenarbeit sich gegen solche Angreifer zu Wehr zu setzen und am Ende hast du trotzdem keine Hundertprozentige Sicherheit, sondern nur etwas mehr Sicherheit als ein Offline Windows 7 Rechner.
Dies alles sind nur technische Maßnahmen, von sozialen Gegenmaßnahmen war bislang (in meinem Post) noch keine Rede.
Sozialer Druck, Ächtung, Rufschädigung, Paranoia, … sind nur einige Beispiele mit denen du rechnen musst.
Ich hoffe trotzdem, dass ich dir weiterhelfen konnte, Ergänzungen/Kritik ist gern erwünscht.
Liebe Grüße,
Skalavagr