Hardwareverschlüsselungen sind nur im oberen Preissegmet von mehreren tausend Euro sicher.
Wie kommst du denn auf diese kuriose idee? TPM module gibts auch bei office rechnern von der stange und das ist sicherlich, so wie es im heise artikel auch erwähnt wurde, in dieser hinsicht deutlich sicherer als TC.
Wieso nicht die komplette Festplatte verschlüsseln, was spricht dagegen?
Ich will immerhin auch nicht immer auf der Windows partition mit extra eraser Programmen arbeiten und Dateien immer in den geschützten Container verschieben, das geht mit der Zeit auf den Geist!
Worum geht es denn hier?
Du kannst das gerne machen, aber dann stelle ich dir nochmal die frage: wovor genau willst du dich damit schützen? Ist das gerät erstmal weg, ist die möglichkeit da deine verschlüsselte platte lesbar zu machen. Klingt doch reichlich sinnlos.
Wenn dein Notebook geklaut oder der PC als Beweismittel gesichert ist, sind die Daten aber auch sicher. Um dieses Bootkit zu installieren muss doch schon "irgendwie" Zugriff auf den PC vorhanden sein. Und wenn das der Fall ist, ist es dann eigentlich auch egal ob der Industriespion/das BKA/werauchimmer das Bootkit, einen Hardwarekeylogger oder eine Kamera installiert.
Wenn ich zugriff auf das gerät oder die platte habe, dann muss ich ja nicht von dieser platte booten um das bootkit in den MBR zu kriegen, da dieser nicht verschlüsselt ist. Ich hänge die platte einfach an meinen rechner und lade das bootkit in den MBR - und schon kann ich von dieser vermeintlich verschlüsselten platte booten wie es beschrieben wurde. Und wenn die boot partition nicht die verschlüsselte ist, dann wirds sogar noch einfacher...
Einen anderen sinn hat die vollverschlüsselung doch gar nicht. Sie soll verhindern, dass meine daten in die falschen hände fallen wenn mein rechner nicht in betrieb ist und ich nicht da bin oder gestohlen wurde.
Die höchste Hürde, überhaupt erstmal an den Rechner "ranzukommen", wird durch Stoned auch nicht gesenkt.
Stimmt, aber es führt den sinn dieser verschlüsselung, wie schon gesagt, weitestgehend ad absurdum. Hardware weg, daten ebenfalls. Und wozu sollte man sonst seine ganze platte verschlüsseln? Im betrieb ist sie ja offen wie ein scheunentor und schützt dich vor gar nichts, genauso wie ein gemounteter container.
Und Container sind ja nunmal sowas von unsicher, denn Windows hinterlässt an allen möglichen und unmöglichen Stellen Spuren (Dateinamen in der Registry, "zuletzt benutzte Dokumente" im Startmenü oder in den jeweiligen Programmen selbst, Thumbnails, Reste in der pagefile/hiberfil, die Liste ist nahezu unendlich).
Dateinamen alleine sind keine inhalte, ebensowenig registry einträge und zuletzt benutzte dokumente verweisen auch nur auf die quelle und nicht den inhalt. Für hibernate files gibts praktische optionen wie auto-dismount und pw-cache wipe und wenn du es richtig machen willst, lässt du windows eben die pagefile beim herunterfahren überschreiben - dauert halt.
Wenn man schon ungeziefer auf dem rechner hat der das alles zur laufzeit ausspäht, dann nützt das natürlich alles nicht, aber das wissen wir ja alle und bestreitet auch niemand.
Wenn aber alles so einfach wäre wie du es hier darstellst, dann wäre TC in jeder beziehung wertloser schund. Das ist es aber nicht. Nur die festplattenverschlüsselung erscheint mir aktuell recht sinnlos, denn den einzigen zweck den sie erfüllen soll, erfüllt sie nicht.
Einen container auf einem USB stick oder einer externen festplatte kriegst du ganz sicher nicht auf wenn du mir die datenträger entwendest. Da müssen wir hoffentlich nicht drüber diskutieren.
Ja, natürlich, es gibt jetzt mit Stoned noch eine weitere wirklich tolle Möglichkeit, ein verschlüsseltes System zu untergraben, trotzdem muss es erstmal soweit kommen (s.o.). Dessen sollte man sich immer bewusst sein.
Ja aber wovon reden wir denn hier? Du willst doch deine daten gegen diebstahl sichern und nicht einfach aus selbstzweck. Wenn das gerät geklaut wird dann sind deine daten nach aktuellem kenntnisstand kompromitiert. Ende.
Und z.B. Notebookdiebstählen kann man nach wie vor, zumindest was persönliche- und/oder Firmendaten angeht, "gelassen" entgegen sehen.
Eben nicht. Ich kann auch ein notebook von einer anderen platte booten. Das einzige was das verhindern kann ist ein TPM fähiges gerät, dass dieses unter anderem verunmöglicht.
PS: Stoned könnte natürlich jederzeit auch alle weiteren Tastatureingaben abfangen, sodass man auch mit Containern nicht mehr geschützt wäre. Eher sogar weniger, s.o.
Theoretisch ja, aber nachdem dir das gerät geklaut wurde ist diese möglichkeit wirkungslos weil du ja dein passwort nicht mehr eingibst. Für diesen weg muss der datenklauer erstmal zugriff auf deinen rechner haben, das bootkit einschleusen, warten bis du dein passwort eintippst und dann ggf. nochmal vorbeischauen um darauf zuzugreifen. Deutlich umständlicher als einfach die kiste beim ersten mal zu klauen und die vollverschlüsselung im eigenen stübchen auszuhebeln, nicht wahr?