Ist die Kombination von Veracrypt-Verschlüsselung und Keepass mit Yubikey wirklich sicher?
Wie sicher ist es, eine HDD mit Veracrypt zu verschlüsseln und das Passwort für Veracrypt mit einer Kombination aus vielen Zeichen und Zahlen zu generieren, die niemand sich merken kann? Das Passwort wird in Keepass gespeichert und Keepass kann nur mit einem Yubikey entsperrt werden.
Das Ergebnis basiert auf 1 Abstimmungen
2 Antworten
Zu Veracrypt schreibt das BSI in einem Gutachten: "The recently integrated memory encryption has a weak rationale from a security perspective and increases the cost of related attacks by a relevant margin in very limited scenarios only." Auf einer Reihe deutsche Websites wird Veracrypt viel positiver gesehen, aber wohl zu unrecht.
(Zu Keepass weiß ich nichts.)
Ein Yubikey ist laut BSI und W. Gieseke dann sicher, wenn er die FIDO2-Technologie verwendet; darauf würde ich achten.
Außerdem auf die Zeit, die es braucht, Dein Passwort zu knacken - siehe einsprechende Websites. Ein paar Milionen Jahre sollten es schon sein.
Wenn Du die Anzahl der fehlerhaften Versuche für den Zugang begrenzen kannst (danach Sperre), dürfte dies auch hilfreich sein.
Alle wollen immer nur Sicherheit... Es gibt keine Sicherheit.
Eine ernsthafte Sicherheitsbewertung gibt dein Konzept ohnehin nicht her, dafür ist es schlicht zu oberflächlich und unpräzise.
Was ist überhaupt das angedacht Nutzungsszenario? Möchtest du eine externe Festplatte sichern, die du an ein laufendes Produktiv-System anschließt? Oder was hast du vor?
Du möchtest also die interne Festplatte deines Produktivsystems gegen Angreifer mit lokalem Zugang zum Gerät schützen. Die ganze Festplatte oder nur Teile davon? Mir ist noch nicht klar, wie das aussehen soll. In welchem System soll Keepass dann laufen, bevor du die Platte entschlüsselt hast?
Eine entscheidende Frage ist auch: Wer ist denn der potentielle Angreifer?
- Ein 0815-Einbrecher? Dem sind deine Daten ziemlich egal. Da hilft eine Verschlüsslung gegen das unangenehme Gefühl, dass der neue Besitzer der Festplatte ohne weiteres deine persönlichen Daten ansehen kann (so er das denn wollen sollte) - hier reicht dein gegenwärtiges Konzept.
- Ein potenter Angreifer, der alleine darauf aus ist, an deine Daten zu gelangen oder deinen PC zu infiltrieren? Der hat andere Wege. Halte dich lieber an das KISS-Prinzip.
Vielen Dank für deine ausführlichen Fragen und Anmerkungen. Mein Ziel ist tatsächlich, meine gesamte HDD zu verschlüsseln, und Keepass würde auf meiner SSD laufen, auf der auch Windows und andere Systemkomponenten installiert sind. Das ist bisher nur eine grobe Idee von mir, und ich bin offen für Verbesserungsvorschläge.
In Bezug auf den potenziellen Angreifer gehe ich davon aus, dass es sich um einen erfahrenen und entschlossenen Angreifer handelt, der gezielt auf meine Daten abzielt oder versucht, meinen PC zu infiltrieren.
Vielleicht ist es auch eine Überlegung wert, Veracrypt direkt mit dem Yubikey zu entschlüsseln, aber ich bin mir nicht sicher, ob das eine gute oder funktionierende Option ist. Was denkst du darüber?
Was meinst du genau mit dem KISS-Prinzip in diesem Zusammenhang?
Was meinst du genau mit dem KISS-Prinzip in diesem Zusammenhang?
https://de.wikipedia.org/wiki/KISS-Prinzip
Sprich: Versuch, das Schutzkonzept einfach und übersichtlich zu halten. Je komplizierter und vielschichtiger es ist, desto anfälliger ist es für Fehler jeglicher Art.
Das ist bisher nur eine grobe Idee von mir, und ich bin offen für Verbesserungsvorschläge.
Und das ist auch wirklich wichtig. Nur wenn man darüber diskutiert und die eigenen Ideen kritisch hinterfragt oder von anderen kritisch hinterfragen lässt, hat man eine Chance, ein funktionierendes und halbwegs sicheres System aufzubauen.
Vorab: Ich bin weder Informatiker, noch Spezialist für IT-Sicherheit. Ich beschäftige mich mit dem Thema rein hobbymäßig aus Anwendersicht.
In deinem Ansatz sehe ich spontan schon ein entscheidendes Problem:
Wenn ich deine Schilderung korrekt verstehe, ist nur deine HDD verschlüsselt, nicht jedoch deine SSD, auf der du das Passwort für die HDD in Keepass speichern möchtest. Die HDD ist im selben Gerät wie die SSD verbaut oder wird an dieses für den Zugriff darauf angeschlossen?
Was würde ich als potentieller Angreifer mit physischem Zugang machen? Ich würde im ersten Besuch (oder wahlweise aus der Ferne) auf deiner ungeschützten SSD eine Schadsoftware mit Root- bzw. System-Rechten installieren, die darauf wartet, dass du Keepass startest. Sobald du mittels Passwort und Yubikey die Keepass-Datenbank entsperrt hat, habe ich relativ ungehinderten Zugriff auf alle dort abgelegten Passwörter.
Alternativ kann ich auch einfach warten, bis du die HDD entsperrst - dann habe ich ebenfalls ungehinderten Zugriff auf alle Daten dort - und das ggf. auch aus der Ferne. Ansonsten kann ich auch das Passwort für die HDD bei der Eingabe einfach mitschneiden.
Und um die Sache auf die Spitze zu treiben:
In Bezug auf den potenziellen Angreifer gehe ich davon aus, dass es sich um einen erfahrenen und entschlossenen Angreifer handelt, der gezielt auf meine Daten abzielt oder versucht, meinen PC zu infiltrieren.
Wenn ich ein solcher Angreifer bin, der sich ungehindert (und unbemerkt?) Zutritt zu deiner Wohnung verschaffen kann, baue ich dir bei Bedarf auch den PC auseinander und einen Hardwarekeylogger ein. Oder ich installiere sonst irgendwelche Elektronik in deinem Haus, die z. B. deine Tastatureingaben und Bildschirminhalte mitschneidet.
-----
Mein eigenes Schutzkonzept ist in der Hinsicht aktuell vergleichsweise simpel: Beide internen Festplatten sind mit LUKS verschlüsselt, die (mehr als ausreichend sicheren) Passwörter dafür habe ich ausschließlich im Kopf. Zugriff auf die HDD erfolgt vom Produktivsystem auf der SSD aus, auf der nur quellenoffene, halbwegs vertrauenswürdige Software läuft. Wieso ich die HDD mit einem separaten PW verschlüsselt habe und dieses händisch eingebe, statt das durch die Schlüsselverwaltung erledigen zu lassen? Weil ich es kann und der Zusatzaufwand sich in Grenzen hält. Ein nennenswerter Sicherheitsvorteil dürfte hier nicht bestehen. Externe HDDs sind ebenfalls LUKS-verschlüsselt werden und werden an das Produktivsystem angeschlossen und von dort entsperrt. Letztlich hängt hier also alles am Produktivsystem, welches ich entsprechend sicheren muss.
Sicherheitskeys sind in meinem lokalen Sicherheitskonzept aktuell nicht vorhanden. Einen nennenswerten Mehrwert sehe ich hier eigentlich nur im Zusammenhang mit einer Manipulationserkennung, wie es Nitrokey¹ und Purism² teilweise anbieten. Das macht aber nur als Gesamtkonzept Sinn und ist dann eine ziemlich teure Spielerei, wenn man keinen wirklich realen Bedarf an so etwas hat.
Ich bin letztlich realistisch genug, um zu sagen: Wenn ein potenter Angreifer wirklich an meine Daten will, wird er das schaffen. Ich schütze mich so weit, wie es geht, aber das Schutzkonzept muss a) alltagstauglich und b) in sich schlüssig sein. Bausteine, die eines von beidem nicht erfüllen, fliegen raus. (IT-)Sicherheit ist kein Selbstzweck.
Vielleicht ist es auch eine Überlegung wert, Veracrypt direkt mit dem Yubikey zu entschlüsseln, aber ich bin mir nicht sicher, ob das eine gute oder funktionierende Option ist. Was denkst du darüber?
Habe ich mich offen gesagt noch nicht ernsthaft mit auseinandergesetzt. Meine Passwörter sind aktuell sicher genug, da setzt ich keine weitere Technik drauf, die obendrein noch das Ausfallrisiko signifikant erhöht. VeraCrypt habe ich ebenfalls nicht Einsatz, da meine private IT-Landschaft ausschließlich Linux-Systeme beinhaltet und ich hier auf LUKS setze. Insofern müsste sich da jemand anderes zu äußern.
Nachdem ich mich bislang ausschließlich auf deine eigentliche Frage beschränkt habe, wage ich zum Abschluss mal die provokante Frage, ob es bei so viel Sicherheitsbedürfnis nicht mehr Sinn machen würde, sich erst mal Gedanken über die verwendete Software auf dem Produktivsystem zu machen. Dieses würde ich hier nämlich primär angreifen - wenn ich das auch problemlos der Ferne schaffe, spare ich mir den Besuch in deinem Schlafzimmer möglicherweise gleich...
Danke für dein Feedback! Mein Hauptanliegen ist, meine HDD zu schützen, falls jemand bei mir einbricht oder Malware auf meinen Computer gelangt. Aktuell verschlüssele ich meine HDD nur mit einem normalen Passwort, das in der Tat nicht sehr sicher ist und in weniger als 10 Minuten geknackt werden könnte. Ich hatte lediglich darüber nachgedacht, meine Sicherheitspraktiken zu verbessern und habe deshalb nach Meinungen zu einer möglichen Kombination aus Veracrypt, Keepass und Yubikey gefragt. Hast du vielleicht Empfehlungen oder Ratschläge, wie ich meine Daten besser schützen kann?