Hallo Freunde,

folgendes Szenario: Habe eine (mehrere) große externe Festplatten (1,5TB).

Die Daten gehen außer mich keinen was an. Da die britischen Behörden jetzt dazu übergehen, ein vergebenes Passwort per 5 Jahre Haftandrohung herauszupressen, stelle ich mir die Frage wie man dem zuvorkommen kann.

TrueCrypt bietet ja die Möglichkeit der Hidden Container. Ich erstelle also einen verschlüsselten Container, Passwort 12345, schmeiss ein paar Nackfotos von mir im Goatsestyle rein und lege darin einen zweiten verschlüsselten Container an, Passwort 123456789.

Frage: Besteht die Möglichkeit, zB ein DRITTES Passwort festzulegen, welches bei Eingabe das Hidden Volume zerstört / überschreibt? Die Daten sind zwar verschlüsselt vorhanden und sollten unlesbar sein, aber wer nimmt mir ab dass ich eine komplette 1,5TB HDD verschlüssele um wenige MB / GB zu schützen?

Ist denn 100% sicher, dass ein Hidden Volume nicht "entdeckt" werden kann?

Mir behagt einfach nicht, dass prinzipiell dieses Volume noch gemountet und gelesen werden könnte. Ich möchte Vernichtung :D

Danke für die Hilfe

du kannst doch key files angeben als zusätzlichen schlüssel und diese sind viell. eher zerstörbar als der ganze container. Mal abgesehen davon, sollte es doch ohne wissen das ein verstecktes archive besteht garnicht nachvollziehbar sein das es existiert.

Frage: Besteht die Möglichkeit, zB ein DRITTES Passwort festzulegen, welches bei Eingabe das Hidden Volume zerstört / überschreibt? Die Daten sind zwar verschlüsselt vorhanden und sollten unlesbar sein, aber wer nimmt mir ab dass ich eine komplette 1,5TB HDD verschlüssele um wenige MB / GB zu schützen?Da hilft nur eine gute Ausrede - Vielleicht wolltest du das Volume ja erst noch mit HD-Pr0n befüllen? Die Sache mit dem dritten Passwort ist eine nette Idee, aber meines Wissens nach mit TrueCrypt nicht möglich.

Ist denn 100% sicher, dass ein Hidden Volume nicht "entdeckt" werden kann?
Solange SIE™ nur die externe Platte in die Finger bekommen, sollte es eigentlich unmöglich sein die Anwesenheit eines Hidden Volumes festzustellen. Jedenfalls nicht in einem zeitlich realistischen Rahmen.

Problematisch wird es, wenn SIE™ auch den dazugehörigen Rechner konfiszieren. Damit hätten SIE™ gleich mehrere Möglichkeiten, dessen Existenz festzustellen, sei es über Restdaten in Ram, Auslagerungsdateien etc. Das mounten des Volumes hinterlässt seine Spuren im System. An die Daten kommen SIE™ damit natürlich trotzdem nicht.

Dürfen denn Passwörter in D überhaupt "erpresst" werden?

1. Vollzieht der Staat eine Straftat: Erpressung
2. Würde ich mich ja selber belasten. Je nach dem welche Material ich verschlüssele.

Solange das nur in GB gang und gebe ist kann es mir eigentlich egal sein. Aber wie sieht diese Thematik in Deutschland aus?

Die Thematik in Deutschland ist recht einfach: No go. Wenn verschlüsselt dann sind die Behörden am Ende.

Zum Thema Passwort zum zerstören der Daten:
Macht keinen Sinn. Erstens würde sich das ganze ja durch die Festplattenaktivität verraten, zweitens arbeitet jeder Ermittler mit einem Festplattenimage, niemals mit dem Originaldatenträger. Wenn deine Software also versucht die Daten zu zerstören wird einfach das Backup nochmal wiederhergestellt und wir fangen von vorne an.

Gibt recht nette Diskussionen zu dem Thema auf Slashdot:
http://it.slashdot.org/story/09/08/11/2340221/In-UK-Two-Convicted-of-Refusing-To-Decrypt-Data
http://it.slashdot.org/story/09/08/12/1255241/Encryption-What-Encryption

Der Hidden Container hat schon auch Voteile:
Da du ja alles dir mögliche zur Aufklärung beigetragen hast erhöhen sich deine Chancen, die Platten zurückzubekommen.
Abgesehen davon, dass du die Platten, z.T. auch den Rechner bei Nichtherausgabe des Passworts i.d.R. nicht wiederbekommst, hat ein normal per TrueCrypt verschlüsselter PC keine Nachteile.

Frage: Besteht die Möglichkeit, zB ein DRITTES Passwort festzulegen, welches bei Eingabe das Hidden Volume zerstört / überschreibt?

Nein, das wäre auch technisch garnicht möglich, 1TB überschreibt man nichtmal eben so.

Abgesehen davon werden etwaige behörden ganz sicher nicht mit deiner software arbeiten, die die daten potentiell überschreiben kann und gearbeitet wird immer an kopien.

[quote]
Die Daten sind zwar verschlüsselt vorhanden und sollten unlesbar sein, aber wer nimmt mir ab dass ich eine komplette 1,5TB HDD verschlüssele um wenige MB / GB zu schützen?

Nicht wirklich ein problem, es ist nicht verboten eine festplatte nur zu geringen teilen zu nützen, je nachdem wieviel du wirklich nutzen willst kannst du ja auch durchaus von einer 1-1,5TB-platte mal 100GB für deine äußere partition nutzen, was dann ganz und garnicht mehr unglaubwürdig klingt.

Gerade mit pornos hat man eine gute ausrede, dass man sie vor der familie oder lebenspartnern verstecken will.


Ist denn 100% sicher, dass ein Hidden Volume nicht "entdeckt" werden kann?


Nach heutigem wissensstand ja. Ein Trucrypt-container hat von außen gesehen nichtmal einen header sondern besteht nur aus scheinbarem datenmüll.

Mit dem passwort und/oder keyfiles wird dann versucht den header zu entschlüsseln. Klappt das wird die partition gemountet, ansonsten gibt es einen fehler.

Dadurch klappt auch der trick mit der versteckten partition, das passwort der äußeren partition entschlüsselt nämlich den header für diese, jenes für die versteckte partition den anderen, kennt man nur ein passwort ist der andere header nicht sichtbar.


Mir behagt einfach nicht, dass prinzipiell dieses Volume noch gemountet und gelesen werden könnte. Ich möchte Vernichtung :D


Das ginge nur dann wenn du den header komplett zerstörst.

Problematisch wird es, wenn SIE™ auch den dazugehörigen Rechner konfiszieren. Damit hätten SIE™ gleich mehrere Möglichkeiten, dessen Existenz festzustellen, sei es über Restdaten in Ram, Auslagerungsdateien etc. Das mounten des Volumes hinterlässt seine Spuren im System. An die Daten kommen SIE™ damit natürlich trotzdem nicht.

Deswegen verwendet man wenn man ganz sicher gehen will gleich ein hidden system ;)

Kann man die Existenz von Hidden Containern nicht ganz einfach über die Festplattenspeichernutzung ermitteln? Also wenn eine 120 GB-HDD nur noch 60 GB frei hat, obwohl offensichtlich vom System und Anwendungen nur 50 GB genutzt werden? Irgendwo müssen die restlichen 10 GB ja dann sein.

Keine Behauptung meinerseits, sondern eine (naive) Frage, deren Antwort mich brennend interessieren würde. ;)

Abgesehen davon, dass du die Platten, z.T. auch den Rechner bei Nichtherausgabe des Passworts i.d.R. nicht wiederbekommst, hat ein normal per TrueCrypt verschlüsselter PC keine Nachteile.Gibt es dafür überhaupt eine rechtliche Grundlage?

Dass das mit dem Einbehalten des Rechners bei nicht möglicher Entschlüsselung zumindest teilweise so gehandhabt wird, habe ich bereits erfahren. Wenn SIE™ nun allerdings nicht in der Lage sind, den Beweis zu erbringen, dass mit dem Rechner Straftaten verübt worden sind (weil dies definitiv niemals geschehen ist), welche Grundlage gibt es nun für das Einbehalten des Rechners? Dass SIE™ gezogene Images der Datenträger einbehalten und auf die Zukunft hoffen, ist klar, aber dürfen SIE™ auch einfach den Rechner behalten?

Wie gesagt, Straftaten wurden mit diesem bestimmten hypothetischen Rechner nicht verübt. Ein Verdacht ließe sich aber durchaus konstruieren und eventuell ist IHNEN™ auch die Überführung aufgrund anderer Straftaten möglich, die aber nichts mit diesem speziellen Stück Hardware zu tun haben.

Kann man die Existenz von Hidden Containern nicht ganz einfach über die Festplattenspeichernutzung ermitteln? Also wenn eine 120 GB-HDD nur noch 60 GB frei hat, obwohl offensichtlich vom System und Anwendungen nur 50 GB genutzt werden? Irgendwo müssen die restlichen 10 GB ja dann sein.Nein, das geht nicht. Ohne den Schlüssel ist man gar nicht in der Lage zwischen verschlüsselten Daten und nicht-alloziertem Bitgulasch zu unterscheiden.

Kann man die Existenz von Hidden Containern nicht ganz einfach über die Festplattenspeichernutzung ermitteln? Also wenn eine 120 GB-HDD nur noch 60 GB frei hat, obwohl offensichtlich vom System und Anwendungen nur 50 GB genutzt werden? Irgendwo müssen die restlichen 10 GB ja dann sein.

Nein.

Von außen siehst du erstmal nur zufällige bitfolgen, grundsätzlich hat jedes bit auf der festplatte den zustand 0 oder 1, im grunde ist also ständig die gesamte platte "belegt".

Im dateisystem steht nun erstmal drinnen wo die nutzbaren daten liegen und welche potentiell überschrieben werden können.

Ohne einen schlüssel hast du bei einem verschlüsselten container überhaupt keine ahnung was wo liegt, du siehst nur eine riesen menge scheinbar zufälliger zahlen.
Kennst du den schlüssel für das outer volume siehst du eine partition die so groß ist wie der gesamte container. Dabei siehst du die daten, die gefunden werden dürfen und jede menge als frei markierten platz der scheinbar zufällige daten enthält (wie es bei einem verschlüsselten volume ja auch sein sollte, truecrypt schreibt beim anlegen der partition erstmal die gesamte platte mit zufallszahlen voll). In diesem als frei markierten raum liegt nun dein eigentliches inner volume mit den zu schützenden daten. Wenn du in diesem zustand im outer-volume schreibzugriffe tätigst kannst du also prinzipiell deine daten im inner-volume überschreiben.

Kennst du das passwort für das hidden volume siehst du dessen daten und auch dass es sich um ein hidden volume handelt, es also noch ein äußeres geben muss, allerdings nicht die daten des äußeren.

Kennst du beide passwörter kannst du logischerweise auf alle daten zugreifen. Wenn du am äußeren volume schreibzugriffe tätigen willst ohne die daten deines hidden volume zu zerstören brauchst du auch beide passwörter, damit truecrypt weiß welcher bereich des outer volume nun wirklich frei ist und welcher in wirklichkeit das hidden volume beinhaltet.

Nein.

Von außen siehst du erstmal nur zufällige bitfolgen, grundsätzlich hat jedes bit auf der festplatte den zustand 0 oder 1, im grunde ist also ständig die gesamte platte "belegt".

Im dateisystem steht nun erstmal drinnen wo die nutzbaren daten liegen und welche potentiell überschrieben werden können.

Ohne einen schlüssel hast du bei einem verschlüsselten container überhaupt keine ahnung was wo liegt, du siehst nur eine riesen menge scheinbar zufälliger zahlen.
Kennst du den schlüssel für das outer volume siehst du eine partition die so groß ist wie der gesamte container. Dabei siehst du die daten, die gefunden werden dürfen und jede menge als frei markierten platz der scheinbar zufällige daten enthält (wie es bei einem verschlüsselten volume ja auch sein sollte, truecrypt schreibt beim anlegen der partition erstmal die gesamte platte mit zufallszahlen voll). In diesem als frei markierten raum liegt nun dein eigentliches inner volume mit den zu schützenden daten. Wenn du in diesem zustand im outer-volume schreibzugriffe tätigst kannst du also prinzipiell deine daten im inner-volume überschreiben.

Kennst du das passwort für das hidden volume siehst du dessen daten und auch dass es sich um ein hidden volume handelt, es also noch ein äußeres geben muss, allerdings nicht die daten des äußeren.

Kennst du beide passwörter kannst du logischerweise auf alle daten zugreifen. Wenn du am äußeren volume schreibzugriffe tätigen willst ohne die daten deines hidden volume zu zerstören brauchst du auch beide passwörter, damit truecrypt weiß welcher bereich des outer volume nun wirklich frei ist und welcher in wirklichkeit das hidden volume beinhaltet.
Etwas anderes ist es aber mit, wenn man nicht die Partitionen/gamze HDD verschlüsselt, sondern eine Container-Datei. Liegt die z.B. auf einer NTFS-Partition, dass wird ihre Größe halt z.B. mit 200GB angezeigt. Hat man im äußern Container der TrueCrypt-Container-Datei aber nur 10 Privatfotos oder so gepseichert, dann sollte man zumindestens stutzig werden.
Man kann sich natürlich immer rausreden und sagen: Naja ich habs erstmal so groß gemacht weil ich nicht wusste wieviel Platz ich mal brauchen werde aber ob man das in der Anspannung dann glaubhaft rüberbringen kann ist eine andere Sache.


Mal kurz OT:
Das einbehalten von Computern ist eh albern. Einmal formatiert ist das Ding wieder quasi fabrikneu und zudem wurde er wohl auch nicht illegal beschafft wie z.B. Waffen. PCs könnte man ruhig zurückgeben - ein Image solln se ruhig behalten für weitere Spurensuchen.

Nein.

Von außen siehst du erstmal nur zufällige bitfolgen, grundsätzlich hat jedes bit auf der festplatte den zustand 0 oder 1, im grunde ist also ständig die gesamte platte "belegt".


Hallo,

ich glaube du hast die Frage nicht verstanden, ich interpretiere die mal so:

Ich habe ein 60 GB HDD mit einem 50 GB echten Datne und 10 GB Hidden Volumen. Wenn ich den Schlüssel für das Hidden rausgebe, bleiben 50 GB unbelegt.

Wenn Truecrypt die gesamte HDD für das Hiddenvolumen verwenden würde, werden die echten Daten beim anlegen des Hidden zerstört, oder das Hidden beim schreiben von Daten im Teil für die echten Daten. => Hidden ist kleiner als die HDD

Daher sind die Hidden Volumen IMHO sinnlos.

Da der Bootloader von Truecrypt bestimmten Code verendet und auch die vom BKA nicht dumm sind, kriegen die in kürzester Zeit raus, ob es eine Truecrypt verschlüsselte HDD ist. Auch wenn sie (noch) nicht an die Daten kommen.

mfg

Hallo,

ich glaube du hast die Frage nicht verstanden, ich interpretiere die mal so:

Ich habe ein 60 GB HDD mit einem 50 GB echten Datne und 10 GB Hidden Volumen. Wenn ich den Schlüssel für das Hidden rausgebe, bleiben 50 GB unbelegt.

Wenn Truecrypt die gesamte HDD für das Hiddenvolumen verwenden würde, werden die echten Daten beim anlegen des Hidden zerstört, oder das Hidden beim schreiben von Daten im Teil für die echten Daten. => Hidden ist kleiner als die HDD

Daher sind die Hidden Volumen IMHO sinnlos.

Da der Bootloader von Truecrypt bestimmten Code verendet und auch die vom BKA nicht dumm sind, kriegen die in kürzester Zeit raus, ob es eine Truecrypt verschlüsselte HDD ist. Auch wenn sie (noch) nicht an die Daten kommen.

mfg

TrueCrypt funktioniert so aber nicht. Zumindest solange man keine Kontainer verwendet. ;) Aber selbst mit Conteiner ist das nicht tragisch.

Bei Verschlüsselten Partitionen wird immer alles belegt. Als ob die Platte quasi immer voll wäre. Und ob nun auf der Partition nur 3 Pornos drauf sind, ist doch vollkommen egal. Dann habe ich halt nicht mehr reingeschreiben. Wer will das Gegenteil behaupten.

Hallo,

ich glaube du hast die Frage nicht verstanden, ich interpretiere die mal so:

Ich habe ein 60 GB HDD mit einem 50 GB echten Datne und 10 GB Hidden Volumen. Wenn ich den Schlüssel für das Hidden rausgebe, bleiben 50 GB unbelegt.

Wenn Truecrypt die gesamte HDD für das Hiddenvolumen verwenden würde, werden die echten Daten beim anlegen des Hidden zerstört, oder das Hidden beim schreiben von Daten im Teil für die echten Daten. => Hidden ist kleiner als die HDD

Daher sind die Hidden Volumen IMHO sinnlos.

Da der Bootloader von Truecrypt bestimmten Code verendet und auch die vom BKA nicht dumm sind, kriegen die in kürzester Zeit raus, ob es eine Truecrypt verschlüsselte HDD ist. Auch wenn sie (noch) nicht an die Daten kommen.

mfg

Du hast das System nicht kapiert.

Wenn du eine 100GB Partition hast, legst du eine normale verschlüsselte Partiton an, die 100GB groß ist. Das hidden Volume wird dann vom Ende des Datenträgers aus z.B. 80GB belegen, wobei es im Bereich des standard Volumes liegt, wo keine Daten sind.
Wenn man dann das standardvolume wieder mountet, und nochmal 80GB Daten reinschiebt, ist das Dateisystem des Hidden Volumes im Eimer, da die bereiche überschrieben werden.
Will man sicher Daten in das Standardvolume schreiben, muss man das standard und das hidden Passwort eingeben, damit TrueCrypt weiß, wo Daten des Hidden Volumes liegen.
Ich sehe also beim normalen Mounten des standard volumes die vollen 100GB der Partition und kann kein hidden Volume vermuten. Ich kann es höchstens zerstören, wenn es da ist.

Die Frage ist eigentlich ob man über die Analyse des Quellcodes rausbekommen kann ob Truecrytp in irgend einer Weise schon dort ein Indiz auf die Erkennung eines Hidden Volumes liefert. Selbst wenn man nicht darauf zugreifen kann.

Gibt es dafür überhaupt eine rechtliche Grundlage?

Es könnte sich um ein Tatwerkzeug und ein Beweisstück handeln.
Bis zur abgecshlossenen Auswertung kann es daher i.d.R. problemlos einbehalten werden. Und da die Verschlüsselung eine Auswertung ziemlich unmöglich macht, sieht man den Rechner so schnell nicht wieder.
Allerdings ist es im Allgemeinen auch bei nicht verschlüsselten PCs so, dass es sich selten lohnt, auf die Rückgabe zu warten. Die Rückgabe dauert auch so meist n halbes Jahr.

Die Rechner bleiben übrigens so lange einkassiert, weil die Behörden langsam arbeiten, nicht zuletzt infolge von Überlastung. Es liegt also nicht daran, daß SIE Dich unbedingt ärgern wollen.

Auf einem anderen Blatt steht, daß so etwas problemlos Existenzen von zB Kleingewerbetreibenden vernichten kann, ob das Verfahren im Sande verläuft oder nicht.

Zur Frage der Plausibilität der scheinbar nur zu geringen Teilen genutzten Platte: Erstens sind heute auch die kleinsten Platten so groß, daß unbescholtene Normalanwender sie kaum mit legalen Daten vollbekommen, also ist es völlig normal, wenn die im Kaufhaus-Rechner miterstandene 1TB-Platte größtenteils ungenutzt bleibt.

Vor allem aber gilt die Unschuldsvermutung, d.h.: Du darfst zu allen Vorwürfen schweigen- was Du bei einer Hausdurchsuchung auch tun solltest- und SIE müssen Dir was auch immer nachweisen.

Hallo,

ich glaube du hast die Frage nicht verstanden, ich interpretiere die mal so:

Ich habe ein 60 GB HDD mit einem 50 GB echten Datne und 10 GB Hidden Volumen. Wenn ich den Schlüssel für das Hidden rausgebe, bleiben 50 GB unbelegt.

Das ist komplett falsch.


Wenn Truecrypt die gesamte HDD für das Hiddenvolumen verwenden würde, werden die echten Daten beim anlegen des Hidden zerstört, oder das Hidden beim schreiben von Daten im Teil für die echten Daten. => Hidden ist kleiner als die HDD

Das funktioniert ganz anders.

Im dateisystem siehst du ohne kenntnis des richtigen schlüssels am datenträger lediglich einen unformatierten datenträger. Selbst ohne hidden volume ist es nichtmal nachweisbar dass eine mit truecrypt formatierte HDD eine solche ist, es könnte sich genauso gut um einen neuen unformatierten datenträger handeln.

Der von truecrypt angelegte header wird nämlich genauso verschlüsselt. Dieser ist es auch, den du mit deinem passwort und/oder keyfiles entschlüsseln kannst.

Im truecrypt-header können dabei die notwendigen daten um 2 volumes zu adressieren gespeichert werden, zusätzlich auch noch die schlüssel zu diesen volumes, dein passwort bzw. die keyfile(s) verschlüsseln nämlich nur den header, nicht die eigentlichen daten.
Truecrypt versucht immer mit deinem eingegebenen passwort diesen header zu entschlüsseln. Falls es sich um ein trucrypt-volume handelt und das passwort richtig ist klappt das, ist das passwort falsch oder es handelt sich um garkein truecrypt-volume kommt nur datenmüll heraus.

Wenn du dabei das passwort für das äußere volume eingibst klappt die entschlüsselung für diesen teil des headers, der rest bleibt müll (und zwar unabhängig davon ob ein hidden volume existiert), gibst du jenen für das hidden volume ein wird dieser teil lesbar und der für das äußere ist müll (durch die position der daten im header kann aber definitiv festgestellt werden dass ein äußeres volume existieren muss)


Daher sind die Hidden Volumen IMHO sinnlos.

Da man die existenz eines truecrypt-volumes auch so nicht wirklich nachweisen kann hast du nicht ganz unrecht, über das hidden-volume kann man allerdings recht glaubhaft scheinbar kooperieren, anstatt sich einfach nur auf das schweigerecht zu berufen.


Da der Bootloader von Truecrypt bestimmten Code verendet und auch die vom BKA nicht dumm sind, kriegen die in kürzester Zeit raus, ob es eine Truecrypt verschlüsselte HDD ist. Auch wenn sie (noch) nicht an die Daten kommen.



Einen bootloader gibt es nur bei systemverschlüsselung, und ja dieser ist nachweisbar. Richtig interessant wird es überhaupt erst wenn man gleich ein hidden system verwendet.

am besten modded man seinen pc in eine mikrowelle, die per getragener fernsteuerung aktiviert werden kann, hm?

Solange SIE™ nur die externe Platte in die Finger bekommen, sollte es eigentlich unmöglich sein die Anwesenheit eines Hidden Volumes festzustellen.Wenn SIE™ aber nicht völlig bescheuert sind, dann wissen SIE™ durchaus von der Möglichkeit eines versteckten Volumes. Wenn das pubertierende Jugendliche gebacken kriegen, warum sollten das dann ausgerechnet SIE™ nicht können.

Auch das Löschen der Daten mit einem dritten Passwort ist keine Alternative, denn selbstverständlich wird von der Platte zunächst ein Image angefertigt, um genau so etwas zu verhindern.

Allerdings glaube ich kaum, dass SIE™ wegen ein paar persönlicher Nacktbilder so einen Aufwand betreiben würden. Ganz anders sieht es natürlich aus, wenn der Verdacht auf Kinderpornographie, Urheberrechtsverletzungen im großen Stil oder Terroranschläge besteht.

Und selbst wenn? Du musst dich nicht selbst belasten, also tust du es auch nicht und sagst schlicht gar nichts. Dann ist es auch vollkommen Wurst, ob sie wissen dass da verschlüsselte Daten drauf liegen oder nicht. Solange es für sie nur Bitsalat ist, ist es als Beweis vollkommen unbrauchbar.

Die Festplatten siehst du natürlich erst nach langer Zeit wieder. Darum regelmässiges Backup und das dann extern lagern.

Hallo Freunde,


Frage: Besteht die Möglichkeit, zB ein DRITTES Passwort festzulegen, welches bei Eingabe das Hidden Volume zerstört / überschreibt? Die Daten sind zwar verschlüsselt vorhanden und sollten unlesbar sein, aber wer nimmt mir ab dass ich eine komplette 1,5TB HDD verschlüssele um wenige MB / GB zu schützen?

nach dem was man im chaosradio von einem fachmann höhren konnte wird niemals mit dem beschlagnahmten datenträgern gearbeitet.
das wäre allein aus rechtlichen gründen nicht mehr verwertbar.
es wird immer gespiegelt und mit den kopien dann gearbeitet.
so ist im zweifelsfall sichergestellt das durch weitere kopien des originaldatenträgers ein gegengutachten erstellt werden kann.
schließlich besteht immer die möglichkeit das bei einem gutachten belastendes material untergeschoben wird.

aus diesem grund macht ein selbstzerstörungsmechanismus durch ein drittes password keinen sinn.
es gibt aber mechanische selbstzerstörungstechnik für festplatten welche durch einen auslöser aktiviert werden können.

Ist denn 100% sicher, dass ein Hidden Volume nicht "entdeckt" werden kann?

Das mit diesen Hidden Containern ist eine trügerische Sicherheit. Wenn du 5 Platten mit je 1,5 TB da stehen hast und die alle nur zu 2-3 % belegt sind - also der Staat ist ja doof, aber nicht ganz so sehr. Die können sich durchaus auch denken, daß da noch eine Hidden Volume liegt

Das mit diesen Hidden Containern ist eine trügerische Sicherheit. Wenn du 5 Platten mit je 1,5 TB da stehen hast und die alle nur zu 2-3 % belegt sind - also der Staat ist ja doof, aber nicht ganz so sehr. Die können sich durchaus auch denken, daß da noch eine Hidden Volume liegt


Und was ist daran trügerisch?
Sie wissen es könnte was da sein, ja toll, das ist ne Annahme die sie dir schonmal beweisen müssten. Selbst in GB wird doch wohl kein Richter jmd. verknacken, wenn er sagt er hat sowas nicht order er weiß nichtmal was das ist, hat ja zumindest das erste PW freigegeben.

Fazit: Es könnte da zwar sein, aber sicher weiß es nur der Inhaber der Platte und wenn der nix sagt kann man dir auch nix anderes beweisen.

Und genau das soll doch damit erreicht werden.

Wenn du 5 Platten mit je 1,5 TB da stehen hast und die alle nur zu 2-3 % belegt sind - also der Staat ist ja doof, aber nicht ganz so sehr. Die können sich durchaus auch denken, daß da noch eine Hidden Volume liegt

Sie können es denken, aber niemals beweisen.

Und warum nur 2-3% belegen? Man kann ja durchaus mal 10-20% verschwenden, dann wird es schon ziemlich glaubwürdig.

Wenn man ganz sicher gehen will, sollte man das ganze aber noch mit einem Hidden-System verbinden, denn selbst wenn das eigentliche Hidden-Volume nicht nachweisbar ist, finden sich im system mit ziemlicher sicherheit irgendwelche hinweise, wenn es mal gemountet wurde.

Und um weiter glaubwürdig zu bleiben muss man auch das äußere system regelmäßig benutzen, da windows alles mögliche mitprotokolliert und es wohl ziemlich auffällig ist, dass man seinen pc angeblich seit der installation nicht mehr benutzt hat.

Die Hidden Container sind einfach Unfug, weil man das immer rausbekommt. Folgendes Problem führt dazu:

Ich habe einen einen FileContainer (mit Hidden-Teil) mit 6GB Ausdehnung auf der nicht verschlüsselten HDD. Wenn ich ihn mounte (den äußeren Container), dann hat das darin enthaltene Dateisystem nur ne größe von 2GB. Da ist doch dann was faul.

Gleiches Problem mit Partitionen - ich habe ne Partition, die von Sektor x bis Sektor y geht und das steht in der Partitionstabelle. Daraus kann man dann die Größe in GB errechnen. Dann mounte ich die Partition und nun sind aber nur 10% der errechneten Partitionsgröße für das Dateisystem verfügbar. So und nun weiß man wieder, dass etwas nicht stimmt.

Nein, die äußere Partition hat die passende Größe. Die versteckte Partition ist im nicht belegten Teil der äußeren Partition, nicht in einem sonst nicht partitionierten Teil. Dateihistorien können einen Hinweis liefern, der Container oder die verschlüsselte Partition selbst aber nicht.

Nein, die äußere Partition hat die passende Größe. Die versteckte Partition ist im nicht belegten Teil der äußeren Partition, nicht in einem sonst nicht partitionierten Teil. Dateihistorien können einen Hinweis liefern, der Container oder die verschlüsselte Partition selbst aber nicht.
Achso na dann klappt das ja doch. Hatte mich schon lange über die Sinnhaftigkeit gewundert. :)

Nein, die äußere Partition hat die passende Größe. Die versteckte Partition ist im nicht belegten Teil der äußeren Partition, nicht in einem sonst nicht partitionierten Teil. Dateihistorien können einen Hinweis liefern, der Container oder die verschlüsselte Partition selbst aber nicht.

Das Problem ist bloß, ein Windows belegt die Partiton von vorne und schreibt Temp Dateien (z.B. für Updates) ans Ende. Liegt eine von beiden Dateigruppen nicht an der richtigen Stelle, ist klar das irgendwas sauer ist.

mfg

Warum glauben hier eigentlich so viele Leute, die Funktionsweise von TrueCrypt zu kennen, ohne sich damit auseinandergesetzt zu haben, bloß weil sie den Namen des Features gelesen haben?

Wenn irgendwelche Dateien bei Abwesenheit eines Hidden Volume aus irgend einem Grund an eine bestimmte Stelle geschrieben werden, dann werden sie es auch bei Anwesenheit eines Hidden Volume. Und wenn diese Stelle zufällig vom Hidden Volume benutzt wird, wird das Hidden Volume damit überschrieben. Wie sollte Windows oder TrueCrypt auch Rücksicht darauf nehmen können? Beide wissen nichts von dem Hidden Volume, bis es gemountet wird. Man kann in TrueCrypt auch noch das äußere Volume mounten, während man das innere schützt, indem man durch explizite zusätzliche Eingabe des passenden Passworts TrueCrypt davon in Kenntnis setzt. Dadurch werden aber keine Dateien an andere Stelle geschrieben, als sie es sonst würden. Stattdessen wird beim Versuch, irgendwo im Bereich des inneren Volumes zu schreiben, das äußere Volume in den Read Only Modus versetzt, ab dann schlägt (bis zum erneuten Mounten) jeder Schreibversuch fehl, auch im nicht vom inneren Volume benutzten Bereich.

Die einzig möglichen Hinweise auf ein inneres Volume sind Dateihistorien und andere Caches, aber alles außerhalb des äußeren Volume. In dem kann keine Historie abgelegt werden, weil das äußere nicht gleichzeitig mit dem inneren gemountet werden kann. Solange niemand eine "Passwort für Hidden Volume.txt" oder ähnliches manuell im äußeren Volume ablegt, findet sich da kein Hinweis. Das hat auch nichts mit Meinung zu tun, sondern ist technisches Fakt. Wer was anderes behauptet (bezüglich der Nachweisbarkeit eines Hidden Volume), liegt einfach falsch.

Ist es denn schon soweit, daß man sich Gedanken machen muß, ob das System Indizien auf ein hidden volume enthält? Oder überhaupt auf irgendein TrueCrypt-Volume?

Mich wurde jetzt aber wirklich mal interessieren durch welche Paragraphen man auch mal den ganzen Rechner bei nicht Herausgabe des Passwortes NICHT wiederbekommt.

Das ist vom Gesetzgeber in dieser Genauigkeit nicht bescchrieben.
Es gibt aber bzgl. dieser Situation ein Urteil, dass §94 StPO referenziert :

http://www.dr-frank.de/StPO/StPO-019.htm

Gruß,
TC

Ist es denn schon soweit, daß man sich Gedanken machen muß, ob das System Indizien auf ein hidden volume enthält? Oder überhaupt auf irgendein TrueCrypt-Volume?

Mich wurde jetzt aber wirklich mal interessieren durch welche Paragraphen man auch mal den ganzen Rechner bei nicht Herausgabe des Passwortes NICHT wiederbekommt.
Es ist im Allgemeinen so, dass da nicht mit Paragraphen argumentiert wird.
Die Auswertung ist noch nicht abgeschlossen und Punkt.
Und bis die dann nach 2 Jahren feststellen, dass die Auswertung nun fertig ist, hat die Kiste nur noch Schrottwert...

Ein Kumpel hat dagegen die bei einer Hausdurchsuchung sichergestellte Beute zurückbekommen;D. Ein ermittelteter Täter darf die Beute behalten!:eek:

„[…] gibt es indes keine gesetzlichen Fristen für die Auswertung von Datenträgern. In der Rechtsprechung pendelten [sie] sich [zwischen] sechs bis neun Monaten ein. Das Landgericht Magdeburg sah kürzlich in einem Kinderporno-Fall eineinhalb Jahre als unangemessen an.“ (Quelle: MDR-Nachrichten (http://www.mdr.de/nachrichten/6655528.html))

In einem mir bekannten Fall eines beschlagnahmten Rechners, dessen Partitionen (abgesehen von /boot) komplett mit Cryptsetup-Luks verschlüsselt sind, hat der Staatsanwalt nun die Einziehung nach §74 StGB beantragt. Wie ist dies zu rechtfertigen? Eine Begehung von Straftaten mithilfe des Rechners kann nicht nachgewiesen werden, auch die Anklageschrift erwähnt lediglich einen anderen zur Tatbegehung benutzten Computer. Man kann doch nicht einfach auf gut Glück ("wenn die Daten so gut gesichert sind und der Verdächtige eh schon mehrfach vorbelastet ist, wird da schon was schlimmes draufsein") anderer Leute Eigentum beschlagnahmen lassen und nicht wieder herausrücken. Für mich einfach nicht nachzuvollziehen. Wenn ich 100 Schiffscontainer sicherstelle/beschlagnahme und in einem davon massenweise Kokain, schweres Kriegsgerät und ein paar illegale Einwanderer auffinde, kann ich die anderen 99, die mit legaler Fracht beladen sind, ja auch nicht einfach behalten.

In einem mir bekannten Fall eines beschlagnahmten Rechners, dessen Partitionen (abgesehen von /boot) komplett mit Cryptsetup-Luks verschlüsselt sind, hat der Staatsanwalt nun die Einziehung nach §74 StGB beantragt. Wie ist dies zu rechtfertigen? Eine Begehung von Straftaten mithilfe des Rechners kann nicht nachgewiesen werden, auch die Anklageschrift erwähnt lediglich einen anderen zur Tatbegehung benutzten Computer. Man kann doch nicht einfach auf gut Glück ("wenn die Daten so gut gesichert sind und der Verdächtige eh schon mehrfach vorbelastet ist, wird da schon was schlimmes draufsein") anderer Leute Eigentum beschlagnahmen lassen und nicht wieder herausrücken. Für mich einfach nicht nachzuvollziehen. Wenn ich 100 Schiffscontainer sicherstelle/beschlagnahme und in einem davon massenweise Kokain, schweres Kriegsgerät und ein paar illegale Einwanderer auffinde, kann ich die anderen 99, die mit legaler Fracht beladen sind, ja auch nicht einfach behalten.
Im Zweifel heißts doch immer "für den Angeklagten" dacht ich - das muss ich dir Recht geben. Nur weil eine Staatsanwaltschaft etwas macht muss das ja auch lange nicht rechtmäßig sein. Ich kann mir das jedenfalls nicht vorstellen.
Halte uns mal bitte auf dem laufenden ob dem Antrag stattgegeben wurde oder ob der Mumpitz war. :)

Ja das ist schon Scheiße für die Behörden (Staatsanwaltschaft) wenn einer einen Tresor hat bekommt man den auch irgendwann auf, u. wenn es 2-Wochen dauert,

Bei der Verschlüsselung wenn sie richtig gemacht ist haben die effektiv keine Möglichkeit an irgendwelche Beweise/Daten zu kommen,
wenn man die schon angesprochenen 6-9 Monate zu Grunde legt, selbst 2-3 Jahre helfen da nicht :rolleyes:

u. nein die Staatsanwaltschaft mach definitiv nicht nur das was nach den Gesetzen auch Recht ist u. Sinn macht, die machen genügend Blödsinn, :redface:

vielleicht auch ganz interessant:

"Sein bislang wichtigstes Werk heißt "Stoned" und agiert wie eine Tarnkappe. Darunter kann Software laufen, die unbemerkt das Passwort einer Verschlüsselung mit "TrueCrypt" belauscht. Mit der Open-Source-Software "TrueCrypt" lassen sich Festplatten chiffrieren und somit zum Beispiel auch Kinderpornos verstecken; daher könnte Kleissners Programm Ermittler interessieren - Stichwort Bundestrojaner. "

http://www.spiegel.de/netzwelt/web/0,1518,647342,00.html

vielleicht auch ganz interessant:

"Sein bislang wichtigstes Werk heißt "Stoned" und agiert wie eine Tarnkappe. Darunter kann Software laufen, die unbemerkt das Passwort einer Verschlüsselung mit "TrueCrypt" belauscht. Mit der Open-Source-Software "TrueCrypt" lassen sich Festplatten chiffrieren und somit zum Beispiel auch Kinderpornos verstecken; daher könnte Kleissners Programm Ermittler interessieren - Stichwort Bundestrojaner. "

http://www.spiegel.de/netzwelt/web/0,1518,647342,00.html
Dafür müssen die aber immer noch auf den Rechner zugreifen oder einen dazu bringen das selber zu starten, :rolleyes:

u. wenn man das als Key Datei macht was wir hier (http://www.forum-3dcenter.org/vbulletin/showthread.php?t=459579) ja mal diskutiert haben ist das schon schwierig wenn das kein eingegebener Key ist.

Aber stimmt schon wenn man von denen länger beobachtet/Überwacht wird ist das Problematisch siech da vollständig zu schützten ;(

Wer immer noch Zweifel hat, ob moderne Verschlüsselungsverfahren auch einer forensischen Analyse durch die Staatsgewalt standhalten, lässt sich vielleicht von einem Auszug aus einer aktuellen, mir vorliegenden, Akte aus einem Strafverfahren überzeugen.Die in der Tabelle als "verschlüsselt" gekennzeichneten Festplatten/Partitionen wurden unter Linux mit dm-crypt und der Erweiterung luks verschlüsselt. Nach eigener Erfahrung und nach Rücksprache mit dem BKA kann diese Verschlüsselung nicht überwunden werden.Die genutzten Cipher waren Twofish und AES im XTS-Modus mit einer Schlüssellänge von 256 Bit.

Auszug aus einer aktuellen, mir vorliegenden, Akte aus einem Strafverfahren

Du willst also etwas belegen mithilfe eines Dokumentes was nur du lesen kannst? Sorry, aber so funktioniert das nicht.

Du willst also etwas belegen mithilfe eines Dokumentes was nur du lesen kannst? Sorry, aber so funktioniert das nicht.
Das habe ich mir beim Lesen des Postings auch gedacht. :D

Aber davon ab muss ich keine Aussagen von Staatsanwälten lesen, dass AES und Co. nach wie vor stark genug sind. Sofern die Algorithmen ordentlich implementiert wurden und Die Passphrases so intelligent gewählt wurden, dass Bruteforce-Angriffe nichts bringen, kann man nachts in aller Rue schlafen.
Das wurde hier allerdings schon ca. 1 Mio. mal gesagt. Wer das nicht kapiert und meint, dassseine S/W-Klitsche das ohne Probs überwinden kann, der lässt sich auch nicht durch solche Posts eines besseren belehren.

Das habe ich mir beim Lesen des Postings auch gedacht. :D

Aber davon ab muss ich keine Aussagen von Staatsanwälten lesen, dass AES und Co. nach wie vor stark genug sind.:| Was für ein Gaga. Begreift es doch mal endlich :mad:
Bei diesen Sachen geht es doch nicht darum ein Algo per Bruteforce oder sonstwas zu knacken, sondern die Verschlüsselungssoft zu verarschen (Sicherheitsmaßnahmen auszuhebeln oder temporär zu umgehen).

Es steht aber erstmal fest, daß wenigstens in Europa die... Ämter... z.B. dm-crypt/luks und TrueCrypt ohne vorherigen geheimen Zugriff auf einen Rechner nicht geknackt werden können.

Das gleiche gilt für Tb/Enigmail/GPG.

:| Was für ein Gaga. Begreift es doch mal endlich :mad:
Bei diesen Sachen geht es doch nicht darum ein Algo per Bruteforce oder sonstwas zu knacken, sondern die Verschlüsselungssoft zu verarschen (Sicherheitsmaßnahmen auszuhebeln oder temporär zu umgehen).

Es steht aber erstmal fest, daß wenigstens in Europa die... Ämter... z.B. dm-crypt/luks und TrueCrypt ohne vorherigen geheimen Zugriff auf einen Rechner nicht geknackt werden können.

Das gleiche gilt für Tb/Enigmail/GPG.
Ich bezog mich darauf, dass hier mal jemand meinte er hätte die Mittel AES zu knacken. Also nicht gleich durchdrehen. ;)

Ich bezog mich darauf, dass hier mal jemand meinte er hätte die Mittel AES zu knacken. Also nicht gleich durchdrehen. ;)Wer das behauptet ist bereits durchgedreht ;)

Wer das behauptet ist bereits durchgedreht ;)
Du hast ein schlechtes Gedächtnis: http://www.forum-3dcenter.org/vbulletin/showthread.php?p=7703107#post7703107 :D

Das meinst du nur =)