Wir haben viele verschiedene alte Keepass-kdbx-Dateien. Wir möchten lieber nicht, dass die gesamte Dateien gelöscht werden, daher öffnen wir derzeit jedes, löschen die Einträge und löschen anschließend die Datei. Man kann nicht den gesamten Inhalt auf einmal löschen, sondern muss dies für jeden Eintrag einzeln tun! Eine langwierige und mühsame Aufgabe. Wie lässt sich das am einfachsten erledigen
Ich bin jetzt kein Linux-User, aber für “Verzeichnis / mehrere Dateien sicher löschen” mit mehrfachem Überschreiben dürfte es da doch Möglichkeiten geben.
auf ssd funktioniert solches doch nicht?
Ouh, das ist wahr. Ich bin noch vorwiegend oldschool mit hdd unterwegs.
Ich persönlich denke, wenn das Masterpasswort sicher genug für meine Passwörter ist, sollte es das auch im gelöschten Zustand sein.
Ich hab jetzt mal nachgeschaut. Keepass unter Windows erlaubt das Löschen mehrerer Einträge und auch ganzer Gruppen mit den Einträgen. Evtl. geht das mit einem anderen kdbx-kompatiblen Programm auch unter Linux.
KeePassXC 2.7.8. werde das erneuern, aber die Möglichkeit ganze inhalt des .kdbx auf 1 mal zu entfernen gibt es doch nicht?!
Nicht in Keepass.
Btw. denk dran den Papierkorb zu leeren so Dein Programm ihn hat 
auf welchen OS mit welchem Dateisystem?
Also mit KeepassXC geht das, zumindest für alle Einträge in einer Gruppe. Einfach alle auf einmal markieren und per Rechtsklick löschen. Wenn die Einträge in mehrere Gruppen aufgeteilt sind, muss man das wohl für jede Gruppe machen. Ist aber immer noch deutlich schneller als jeden Eintrag einzeln zu löschen. Und wie schon erwähnt wurde, den Papierkorb der Datenbank nicht vergessen. Der lässt sich aber wenigstens problemlos auf einmal leeren.
Auf MX linux 23.6, KeepassXC 2.7.8.
Erst alle Sub Gruppen entfernen ist schon viel Arbeit. Es gibt die Haupt Gruppe, die möchte ich direkt entfernen. Ist dass möglich?
Papierkorb der Datenbank/KeepassXC ist mir bekannt, danke.
Du meinst die bei DB-Erstellung angelegte Gruppe ‘root’? Soweit ich das sehe leider nicht. Es bleibt also nur, die einzelnen Subgruppen zu löschen sowie wie bereits beschrieben die komplett markierten Einträge direkt unter root auf einmal.
Du hattest ganz oben die ganze Datei löschen wollen - oder warum nicht?
was spricht gegen shred?
Das liest sich ein bisschen, als wollte man den “Finder” einer bereits gelöschten Datei überlisten oder überraschen und überlegt nun, wie man damit am wenigsten Aufwand hat.
Grundsätzlich macht es Sinn, die Festplatte voll zu verschlüsseln. Dann kann man stets ganz normal löschen.
Wenn Linux und klassische HDD im Einsatz sind, löscht man die Datei am besten mit dem bereits von @Joachim erwähnten Programm shred. Das überschreibt die Datei mit Nullen (entspricht dem überlisten) und überschreibt sie dann mehrfach. Das alles kann man fein parametrisieren, siehe “man shred”.
Hat man SSD, verliert shred nach meinem Verständnis seine Wirkung, da die Datei ggfs. nur öfter verteilt wird. Wichtig ist hier, das die SSD TRIM-Kommando unterstützt und man zum Löschen des Datenträgers secure erase verwendet. Angeblich kann man trotz dessen im Labor immer noch Daten wieder herstellen.
Um mir hier keinen Kopf zu machen, nehme ich SSD nur verschlüsselt in Betrieb.
bei mir gibt es auch keine unverschlüsselten Festplatten oder SSDs.
Mein Verständnis: es stellt sich die Frage ob ein Angreifer auf das Dateisystem, das raw-Device (logische Blöcke, konventionelle Festplatte), oder auf den Flash-Controller (echte Zellen) Zugriff hat. Zugriff auf das Raw-Device hat jeder der die Festplatte oder SSD in sein eigenes Gerät setzen kann.
Reines Löschen nutzt nichts beim raw-Device, er kann die Blöcke wiederfinden ohne Dateisystem. Shred hilft auf dieser Ebene, weil die logischen Blöcke überschrieben werden. Es hilft auch ein bisschen auf Flash-Ebene denn es wird wahrscheinlicher, dass die alten Blöcke überschrieben werden - also genau nicht Trim verwenden.
Um auf Flash-Ebene zu kommen, muss ein Angreifer schon richtig Aufwand treiben.
D.h. es ist auch bei SSD von Vorteil, zum sicheren Löschen shred zu verwenden? Das würde bei mir diverses vereinfachen.
Ist nach meinem Verständnis jedenfalls deutlich besser als einfaches Löschen der Datei, aber natürlich nicht so gut, wie alles verschlüsselt.
Vielleicht ist es möglich die datei zu synchronisieren mit ein leeren kdbx ? Dan sollte doch auch alles überschrieben werden…