Ahoi...

ich habe mal eine Frage:
Mir spuckt folgendes Setup im Kopf herum:
Ich würde gerne eine Partition mit TrueCrypt verschlüsseln. Diese Partition soll beim Start von Windows automatisch gemounted werden. Ich möchte dabei aber kein Passwort/Key eingeben müssen, sondern er soll sich das Passwort/Key von einem FPT Server oder per http oder so ziehen...

Geht das ? Hat jemand sowas schonmal gemacht ?

Hintergrund: Sagen wir mal - sollte mir jemand den Rechner klauen, möchte ich das Passwort vom FTP Server löschen können und somit den Inhalt sperren ... :D

Ich bin schon länger am Googeln aber mir fehlen die Begriffe und deshalb stochere ich im Trüben. Hat jemand einen Tipp ?

Einfach ein Batch Script schreiben welches dir das Keyfile vom Server runterläd, und dann mit

truecrypt /v myvolume.tc /a /k keyfile.dat

das Volume mounten. Danach das keyfile wieder löschen.

Nur mal ein paar Fragen:

1. Du möchtest das Keyfile auf einem Server lagern, in den man theoretisch auch einbrechen könnte?

2. Falls Dir Dein Laptop geklaut wird, dann hast Du schneller das Keyfile vom Server gelöscht, als der Dieb das Laptop an der nächsten Straßenecke eingeschaltet hat?

Vergib einfach ein sicheres Passwort und dazu evtl. noch ein Keyfile auf einem USB-Stick.
Sicherheit und Bequemlichkeit sind nunmal zwei Dinge, die sich ausschließen.

Wenn man das über einen Server machen will, dann doch den eigenen Router dazu benutzen.

Unter Linux geht soetwas relativ einfach und lässt sich auch automatisieren. Login via SSH (verschlüsselt) auf dem Router. Das Passwort aus der Datei auslesen und das Volume einbinden.

Die Passwortabfrage für die SSH-Verbindung wäre dann zumindest eine kleine Hürde. Einen Server der am Internet angeschlossen ist würde ich dafür nicht nutzen.

Danke schonmal für eure Antworten...
Daran dass es recht einfach mit Scripten gehen könnte hab ich noch gar nicht gedacht.
Eventuell schreibe ich mir auch einfach ein kleines Programm dafür.

Ich habe deshalb wenig bedenken das Keyfile oder eher das Passwort auf einem externen Server zu lagern, weil wer immer da einbricht braucht ja auf jeden Fall auch noch die Festplatte mit den Daten dazu... Falls jemand die Mittel hat Remote in meinen Rechner zu kommen, dann bin ich an der Stelle sowieso verratzt... Aber der braucht rein theoretisch eh nichtmal den Server mit dem Passwort zu knacken, der muss nur warten bis ich das gecryptete Volume gemounted habe und dann mitlesen...

Mir geht es um den Fall: Rechner wird geklaut, ich lösche das PW vom Server... Daten sind erstmal sicher... Falls sich jemand die Mühe macht, vorher herauszufinden, dass ich genau das tue und meinen Server knackt und sich das PW von dort holt - dann bin ich auch verratzt das ist mir klar, das setzt aber eine Planung vorraus, die ich erstmal nicht vorraussetze bei nem Diebstahl ;)

Bezüglich des USB Sticks - der Fall dass der dann grad mitgeklaut wird ist mir zu heikel.
Und bezüglich des Löschens vom Server: Ohja... Dank Smartphone ist das PW so ziemlich jederzeit ganz schnell vom Server runter...
Sofern DAS nicht auch mit geklaut wurde... Das habe ich aber eigentlich immer "am Mann"...

Dann mach' es wenigstens so, dass das Du das Keyfile/Passwort in einen Truecrypt Container (oder 7z mit Passwort) packst und den Container hochlädst. Den kannst Du dann herunterladen einbinden (Passwortabfrage via Skript) und damit den anderen Container einbinden. Ist zwar etwas umständlicher, dafür aber sehr viel sicherer.

Dann mach' es wenigstens so, dass das Du das Keyfile/Passwort in einen Truecrypt Container (oder 7z mit Passwort) packst und den Container hochlädst. Den kannst Du dann herunterladen einbinden (Passwortabfrage via Skript) und damit den anderen Container einbinden. Ist zwar etwas umständlicher, dafür aber sehr viel sicherer.
Wer soll denn bitte Server angreifen und Rechner klauen? Wer soviel Aufwand betreibt, schleußt eher einen Trojaner ein, der liest das Truecrypt Passwort einfach mit.
Ich meine, sobald ein Computer auch genutzt wird, vorallem im Internet, kann man noch soviel Sicherheit haben - aber man ist immer weit von 100% entfernt.

Wenn ich sein Setup richtig verstanden habe, hat er keine Vollverschlüsselung. Es wird lediglich eine Partition verschlüsselt. Daher gehe ich davon aus, dass er das Keyfile auf seine unverschlüsselte Windows Partition herunterlädt (die verschlüsselte will er ja erst einbinden).

Der Angreifer startet einfach ein Recover Programm um zu sehen was noch so alles mal auf der Platte war/ist (das ist ein beliebter eBay-Sport). Lädt der Benutzer nun das Keyfile/Passwort täglich auf die Platte liegen dort, selbst nach sofortigem Löschen der Datei, zig Kopien dieser Datei auf der Platte. Wobei sich der Dieb dann schon denken kann wofür die Datei mit dem Passwort vorhanden war/ist. Wer schreibt schon x-mal ein Wort in eine Datei hinein, welches evtl. sogar noch ein paar Zahlen oder Sonderzeichen enthält. Man sollte hier auch nicht vergessen. Ein Dieb hat viel Zeit. ;)

--> Am Ziel vorbei!

Wenn ich sein Setup richtig verstanden habe, hat er keine Vollverschlüsselung. Es wird lediglich eine Partition verschlüsselt. Daher gehe ich davon aus, dass er das Keyfile auf seine unverschlüsselte Windows Partition herunterlädt (die verschlüsselte will er ja erst einbinden).

Der Angreifer startet einfach ein Recover Programm um zu sehen was noch so alles mal auf der Platte war/ist (das ist ein beliebter eBay-Sport). Lädt der Benutzer nun das Keyfile/Passwort täglich auf die Platte liegen dort, selbst nach sofortigem Löschen der Datei, zig Kopien dieser Datei auf der Platte. Wobei sich der Dieb dann schon denken kann wofür die Datei mit dem Passwort vorhanden war/ist. Wer schreibt schon x-mal ein Wort in eine Datei hinein, welches evtl. sogar noch ein paar Zahlen oder Sonderzeichen enthält. Man sollte hier auch nicht vergessen. Ein Dieb hat viel Zeit. ;)

--> Am Ziel vorbei!
Klar - nur setzt du vorraus, dass ich das Keyfile oder Passwort auf Platte lege und nicht nur im Speicher halte - setzt ein paar Zeilen Code vorraus aber ist kein Hexenwerk... Mir ist der Angriffspunkt schon auch klar: Trojaner... Logisch... Das wiederum setzt aber eine Planung von langer Hand vorraus... Und kostet auch einiges an Energie, die ich an der Stelle halt auch eher mal NICHT vorraussetze... Übrigens: So gesehen ist die Lösung mit der Ablage auf einem Server sicherer, denn ein simpler Keylogger bekommt SO z.B. nicht mit, was passiert...
Übrigens: Ziel vorbei - daszu müsstest du mein genaues Ziel kennen... Wissen ob ich bei dem Rechner von einem LapTop rede, einem Server, ob ich bei dem Dieb an Wirtschaftskriminalität denke oder an etwas anderes :rolleyes:

Also sowas kompliziertes...extra noch ein Programm dafuer schreiben wollen... geht es da nicht schneller eben jedensmal beim Mounten dass Pass einzugeben?

Also sowas kompliziertes...extra noch ein Programm dafuer schreiben wollen... geht es da nicht schneller eben jedensmal beim Mounten dass Pass einzugeben?
Senkt den WAF gewaltig. Das Ding soll "blind" starten können...

Klar - nur setzt du vorraus, dass ich das Keyfile oder Passwort auf Platte lege und nicht nur im Speicher halte - setzt ein paar Zeilen Code vorraus aber ist kein Hexenwerk... Mir ist der Angriffspunkt schon auch klar: Trojaner... Logisch... Das wiederum setzt aber eine Planung von langer Hand vorraus... Und kostet auch einiges an Energie, die ich an der Stelle halt auch eher mal NICHT vorraussetze... Übrigens: So gesehen ist die Lösung mit der Ablage auf einem Server sicherer, denn ein simpler Keylogger bekommt SO z.B. nicht mit, was passiert...
Übrigens: Ziel vorbei - daszu müsstest du mein genaues Ziel kennen... Wissen ob ich bei dem Rechner von einem LapTop rede, einem Server, ob ich bei dem Dieb an Wirtschaftskriminalität denke oder an etwas anderes :rolleyes:

Ich habe mich bei meinem Beispiel auf keinen Trojaner bezogen. Den kann man sich ja unabhängig von meiner Schilderung einfangen. Der einfache Dieb braucht hier auch gar keinen Keylogger o. ä.
Aber les' Du ruhig weiter aus den Posts hier heraus was deine komplizierte Denke Dir vorgibt.

Apros pros "blind starten": Hat der Dieb deinen Rechner muss er genau zwei mal booten und dein Windows Login Passwort ist weg. Dein schönes selbst geschriebene Autostart-Programm lädt sich den Key einfach herunter ... und das gerade mal fünf Minuten nachdem Du vom Klo wiederkommst und bemerkst, dass dein Rechner nicht mehr da ist. -.-

IMO würde eine einfache Vollverschlüsselung ausreichen ... Aber das wäre ja schon fast wieder zu einfach für den Profi. ;P

Aber les' Du ruhig weiter aus den Posts hier heraus was deine komplizierte Denke Dir vorgibt.

IMO würde eine einfache Vollverschlüsselung ausreichen ... Aber das wäre ja schon fast wieder zu einfach für den Profi. ;P
Ich geb dir das Kompliment mal zurück...
Ich bin übrigens kein Profi sonst würde ich manche Fragen nicht stellen. Als Softwareentwickler im .Net Umfeld ist es für mich halt nur schon fast einfacher ein Programm zu schreiben als ein Script weil das mein täglich Brot ist...

Und ich wiederhole nochmal: Du kennst mein Ziel und meine Beweggründe nicht also kannst du nicht wissen ob ich es "zu kompliziert" für meine Ziele mache oder ob ich sie verfehle...

Nimm einfach hin dass...
- Der Rechner auf den ich mich beziehe in der Lage sein soll zu starten und auf das verschlüsselte Laufwerk zuzugreifen ohne dass manuelle Interaktion nötig ist (Stichwort WAF)
- Ich genau das aber verhindern können will, falls er mal abhanden kommt...
- Ich Spass am basteln habe ;)

... und sag mir ob du dafür eine einfachere Lösung siehst... DANN bin ich gerne bereit darüber zu reden... Aber fang nicht an mir klarzumachen, dass meine Ziele falsch sind...

Dir sollte schon klar sein, dass jemand der auf die Verschlüsselung von Daten setzt, das auch ordentlich umsetzen sollte.

Ich schreibe hier auch nicht zum Selbstzweck. Ich versuche nur klar zu stellen, dass dein Vorgehen ein erhebliches Risiko darstellt. Unabhängig davon wie dein Szenario en Détail aussieht. Verstehe meinen Beitrag als einen Appell an andere Leser es Dir nicht gleich zu tun. ;)

Wenn Du schon den Aufwand betreibst eigens ein Programm für diesen Zweck zu schreiben, kannst Du es auch gleich richtig machen:

Keyfile erzeugen, Keyfile mit einem Passwort verschlüsseln (Win Login Passwort reicht hier z. B. für deine Zwecke aus), Keyfile hochladen.
Dein Programm holt sich jetzt das Keyfile vom Server und der Benutzer wird für den Zugriff auf die Datei nach dem Windows-Login-Passwort gefragt. Das Keyfile wird freigegeben und das Laufwerk wird eingebunden.

So in etwa läuft das ganze in jedem Unternehmen ab (Der Ablauf ist quasi Standard). Nur dass in einem Unternehmen für den Zugriff auf das Keyfile evtl. zusätzlich eine Keycard/USB-Dongle oder der Fingerabdruckscanner des Notebooks zum Einsatz kommt.

Viel aufwendiger ist das also nicht ...

Dir sollte schon klar sein, dass jemand der auf die Verschlüsselung von Daten setzt, das auch ordentlich umsetzen sollte.

Ich schreibe hier auch nicht zum Selbstzweck. Ich versuche nur klar zu stellen, dass dein Vorgehen ein erhebliches Risiko darstellt. Unabhängig davon wie dein Szenario en Détail aussieht. Verstehe meinen Beitrag als einen Appell an andere Leser es Dir nicht gleich zu tun. ;)

Wenn Du schon den Aufwand betreibst eigens ein Programm für diesen Zweck zu schreiben, kannst Du es auch gleich richtig machen:

Keyfile erzeugen, Keyfile mit einem Passwort verschlüsseln (Win Login Passwort reicht hier z. B. für deine Zwecke aus), Keyfile hochladen.
Dein Programm holt sich jetzt das Keyfile vom Server und der Benutzer wird für den Zugriff auf die Datei nach dem Windows-Login-Passwort gefragt. Das Keyfile wird freigegeben und das Laufwerk wird eingebunden.

So in etwa läuft das ganze in jedem Unternehmen ab (Der Ablauf ist quasi Standard). Nur dass in einem Unternehmen für den Zugriff auf das Keyfile evtl. zusätzlich eine Keycard/USB-Dongle oder der Fingerabdruckscanner des Notebooks zum Einsatz kommt.

Viel aufwendiger ist das also nicht ...
Ich hatte nicht vor irgendwen zum Nachahmen zu animieren, da ich hier wie ich ja mehrfach herausgestellt habe ganz eigene, und vielleicht auch verschrobene Ziele verfolge...

Aber solange du weiterhin ignorierst, dass eines meiner Ziele ist, dass das Ding OHNE Interaktion starten und auf die Platte zugreifen können soll und mir immer wieder mit Login kommst, so lange kommen wir nicht weiter :o)

Muss das Laptop weiter laufen wenn du nicht in der Nahe bist ?

sonnst:
wie wäre es mit einen Keyfile auf dem Handy, per Bluetooth eingebunden, wenn du am Laptop bist ist alles in Ordnung wenn den Laptop eine Klaut auch kein Problem da dann das Keyfile nicht verfügbar ist.

Muss das Laptop weiter laufen wenn du nicht in der Nahe bist ?

sonnst:
wie wäre es mit einen Keyfile auf dem Handy, per Bluetooth eingebunden, wenn du am Laptop bist ist alles in Ordnung wenn den Laptop eine Klaut auch kein Problem da dann das Keyfile nicht verfügbar ist.
Ich habe selbst nie von einem Laptop geredet... Immer nur von einem Rechner... Und ja... Der soll laufen können, ohne dass ich in der Nähe sein muss...
Ich möchte einfach eine Möglichkeit haben den Zugriff spätestens beim nächsten Neustart zu unterbinden auch wenn ich den Rechner selbst nicht mehr im Zugriff habe...
Und ja: Einfach das Passwort manuell einzugeben wäre die sicherste Lösung - aber der WAF leider da zu sehr drunter... Das Ding muss sich einschalten lassen und soll dann seinen Job tun...

Damit der nervende Gast mal einen Vorschlag macht *Hirn einschalt* ;P, der eine angemessene Sicherheit bietet (das soll jetzt nur ein Denkanstoss sein) und deinem Basteldrang entgegenkommt:

1. Du legst auf dem Server eine Datei mit sagen wir 128 Zeichen an. Darin enthalten sein sollten mindestens alle alphanumerischen Zeichnen unseres Zeichenvorrates (evtl. incl. Sonderzeichen). Die Reihenfolge sollte dabei beliebig sein. Um keine Aufmerksamkeit zu erregen, kannst Du den Dateinamen an den eines Server-Cookies anpassen.

z. B.: ABCDEFJKLMNBVQaetrpaasdf356t7234869i4565wzaegadfhsfdthstws549z60wqe4jhgaöeoi5ztj w4po05zQrfdRaezgtaeg$2345sthgREDKJIdgfhn...

2. Du legst ein Passwort fest: z. B.: QrfdRptiu$63gB

3. Du legst einen Link auf dem Server an, der auf die genannte Datei verweist.

4. Dein Programm holt sich jetzt über den Link auf die tatsächliche URL aus 1.) die einzelnen Buchstaben des Passworts aus dem Zeichenvorrat der URL. Dabei weiß das Programm nur die Position der einzelnen Buchstaben die du für dein Passwort haben willst.

Also z. B. das Q an Position 14 usw. --> fertiges Passwort.

5. Dein Programm übergibt das Passwort an Truecrypt.

--> Das Passwort liegt nicht in Klarschrift auf dem Server ...


Ich hoffe der Vorschlag ist einigermaßen nachvollziehbar. oO

Senkt den WAF gewaltig. Das Ding soll "blind" starten können...
Bei EFS oder Bitlocker brauchst du nur das Benutzerkennwort bzw den Account. Das geht auch mit Fingerabdruckscannern, Smartcards oder sowas.
Und ganz ohne Kennwort ist halt absolut fraglich. Zumal du auch immer parallel ein zweites Gerät mit Internetzugang haben müsstest um den Schlüssel im ernstfall zu löschen.

Damit der nervende Gast mal einen Vorschlag macht *Hirn einschalt* ;P, der eine angemessene Sicherheit bietet (das soll jetzt nur ein Denkanstoss sein) und deinem Basteldrang entgegenkommt:

1. Du legst auf dem Server eine Datei mit sagen wir 128 Zeichen an. Darin enthalten sein sollten mindestens alle alphanumerischen Zeichnen unseres Zeichenvorrates (evtl. incl. Sonderzeichen). Die Reihenfolge sollte dabei beliebig sein. Um keine Aufmerksamkeit zu erregen, kannst Du den Dateinamen an den eines Server-Cookies anpassen.

z. B.: ABCDEFJKLMNBVQaetrpaasdf356t7234869i4565wzaegadfhsfdthstws549z60wqe4jhgaöeoi5ztj w4po05zQrfdRaezgtaeg$2345sthgREDKJIdgfhn...

2. Du legst ein Passwort fest: z. B.: QrfdRptiu$63gB

3. Du legst einen Link auf dem Server an, der auf die genannte Datei verweist.

4. Dein Programm holt sich jetzt über den Link auf die tatsächliche URL aus 1.) die einzelnen Buchstaben des Passworts aus dem Zeichenvorrat der URL. Dabei weiß das Programm nur die Position der einzelnen Buchstaben die du für dein Passwort haben willst.

Also z. B. das Q an Position 14 usw. --> fertiges Passwort.

5. Dein Programm übergibt das Passwort an Truecrypt.

--> Das Passwort liegt nicht in Klarschrift auf dem Server ...


Ich hoffe der Vorschlag ist einigermaßen nachvollziehbar. oO

Das machts nur komplizierter, aber kaum sicherer ;)

Das machts nur komplizierter, aber kaum sicherer ;)
Das gilt aber für jede Variante in der du den für die Sicherheit entscheidenen Schritt rausnimmst.

Das machts nur komplizierter, aber kaum sicherer ;)

Ideal ist was anderes. ;) Zumindest hat man eine bessere Kontrolle über das Passwort, da es nirgends in Klarschrift hinterlegt ist. Im schlimmsten Fall hat der Dieb den Rechner und muss das Programm durch den Disassembler jagen und dann analysieren. Derweil ist der Link weg. Wobei ich immer noch der Meinung bin, dass derjenige der sich genau diesen Rechner physisch aneignet das Umfeld genau kennt, weiß was er will und sich ggf. die verschlüsselten Daten direkt vom Rechner holt. Vielleicht liest er hier sogar mit. ;P

Ich würde eher hergehen und nach jedem Reboot via Remote das Passwort von Hand eingeben.

BTW: Noch ein Hinweis der mir gerade während des Schreibens der obigen Zeilen eingefallen ist. Google Cache Rules ;P --> Verzeichnisschutz aktivieren, wenn es via HTTP laufen soll.