Hallo,
ich will auf meinem Laptop einige Ordner kopieren und verschlüsselt
haben. Am besten vor Benutzung immer password eingeben, auch wenn der
Rechner aus dem Schlafmodus kommt.
Grund ist wenn mir der Rechner unterwegs mal verloren geht.
Was kann man da am besten nehmen?
Gruss

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Ahoi,
fscrypt könntest Du Dir mal anschauen.

Gruss
On Fri, 29 Nov 2024 14:22:14 +0100
debianger@mytelpbx.com wrote:

Hallo,
ich will auf meinem Laptop einige Ordner kopieren und verschlüsselt
haben. Am besten vor Benutzung immer password eingeben, auch wenn der >Rechner aus dem Schlafmodus kommt.
Grund ist wenn mir der Rechner unterwegs mal verloren geht.
Was kann man da am besten nehmen?
Gruss

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Am 29.11.2024 um 14:32 schrieb debianger@mytelpbx.com:

Hallo,
ich will auf meinem Laptop einige Ordner kopieren und verschlüsselt haben. Am besten vor Benutzung immer password eingeben, auch wenn der Rechner aus dem Schlafmodus kommt.
Grund ist wenn mir der Rechner unterwegs mal verloren geht.
Was kann man da am besten nehmen?

Warum nicht sofort LUKS?

Gruß
Grisu

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Am 29.11.24 um 14:22 schrieb debianger@mytelpbx.com:

ich will auf meinem Laptop einige Ordner kopieren und verschlüsselt
haben. Am besten vor Benutzung immer password eingeben, auch wenn der
Rechner aus dem Schlafmodus kommt.
Grund ist wenn mir der Rechner unterwegs mal verloren geht.
Was kann man da am besten nehmen?

Du könntest Dir ein Volume /LVM) oder eine Partition bauen, diese mit
LUKS verschlüsseln, und die dann in Dein Homedir einhängen, zB

/home/user/crypted

So kannst Du anders als nebenan mit fscrypt vorgeschlagen einen ganz
normalen Verzeichnisbaum reinpacken, mit Files, Links, Verzeichnissen usw.

Oder Du setzt gleich Dein ganzes Laptop so auf, daß alles auf einem LUKS Device liegt. Das wäre vermutlich das beste, weil immer mal auch Dateien
im /tmp landen, die man auch nicht veröffentlicht haben will.
Und eine Vollverschlüsselung bietet Dir zB der Ubuntu-Installer von Haus
aus an, und ich glaube der Debian-Installer auch.

Man kann LUKS auch nachträglich einbauen, ist aber ein (lehrreiches)
Gefummel.

--
Andre Tann

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Am Freitag, 29. November 2024, 14:22:14 CET schrieb debianger@mytelpbx.com:

Hallo,
ich will auf meinem Laptop einige Ordner kopieren und verschlüsselt
haben. Am besten vor Benutzung immer password eingeben, auch wenn der Rechner aus dem Schlafmodus kommt.
Grund ist wenn mir der Rechner unterwegs mal verloren geht.
Was kann man da am besten nehmen?
Gruss

Ich verwende u.a. encfs dafür. Das ist zwar nicht mehr ganz aktuell, so lange aber niemandem mehrere Versionen deiner verschlüsselten Daten in die Hände fallen können, sollte es sicher sein.

Ich hab mir ein kleins Skript dafür geschrieben, das per Tastenkürzel aufgerufen wird. In das sich öffnende Dialogfenster gebe ich das Passwort ein, dann werden die Daten unverschlüsselt in ein Verzeichnis in meinem Home-Ordner eingehängt.
Mit einem anderen Tastenkürzel wird das Verzeichnis wieder ausgehängt und die Daten sind wieder sicher.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Hallo Rolf.

Rolf Lucius - 29.11.24, 18:06:57 MEZ:

Ich verwende u.a. encfs dafür. Das ist zwar nicht mehr ganz aktuell, so lange aber niemandem mehrere Versionen deiner verschlüsselten Daten in
die Hände fallen können, sollte es sicher sein.

Bezüglich EncFS gibt es Sicherheitsbedenken. Es wird glaube ich auch nicht mehr aktiv gepflegt.

Die Plasma-Tresore aka Plasma Vault sind genau für diesen
Anwendungsbereich gedacht und verwenden im Hintergrund CryFS¹, das den Vorteil hat, dass auch eine Verzeichnisstruktur nicht mehr herleitbar
ist². Wahlweise gibt es auch EncFS und gocryptfs.

[1] https://www.cryfs.org/

[2] https://www.cryfs.org/howitworks

Beim Installieren von EncFS als Paket kommt folgende Warnung:

-----------------------------------------------------------------------

Encfs-Sicherheitsinformation

Gemäß des Sicherheits-Audits durch Taylor Hornby (Defuse Security) ist die derzeitige Implementierung von Encfs verwundbar oder potentiell für
mehrere Angriffsarten anfällig. Ein Angreifer mit Schreib-/Lesezugriff auf verschlüsselte Daten könnte zum Beispiel die Komplexität der Verschlüsselung für nachfolgend verschlüsselte Daten heruntersetzen, ohne dass ein rechtmäßiger Benutzer dies bemerkt. Er könnte außerdem Zeitanalysen verwenden, um daraus Informationen abzuleiten.

Bis diese Probleme behoben sind, sollte Encfs nicht in Szenarien, in denen derartige Angriffe möglich sind, als sicherer Ort für sensible Daten angesehen werden.

-----------------------------------------------------------------------

Plasma Vault warnt ähnlich, ist jedoch in Bezug auf Empfehlungen etwas konkreter und enthält einen Link auf den Audit:

-----------------------------------------------------------------------

Sicherheitshinweis: Gemäß eines Sicherheitsaudit von Taylor Hornby (Defuse Security), ist die aktuelle Implementierung von Encfs anfällig oder potentiell anfällig für verschiedene Arten von Angriffen. Zum Beispiel kann ein Angreifer mit Lese-/Schreibrechten zu den verschlüsselten Daten den Verschlüsselungsgrad herabsetzen ohne dass dies durch einen legitimierten Benutzer bemerkt werden würde. Informationen können mit Timing-Analysen ebenfalls abgeleitet werden.

Dies bedeutet, Sie sollten Ihre verschlüsselten Daten nicht mit Cloud- Diensten abgleichen, oder in anderen Szenarien einsetzen, wo ein Angreifer regelmäßigen Zugriff auf die verschlüsselten Daten hat.

Siehe defuse.ca/audits/encfs.htm für weitere Informationen.

-----------------------------------------------------------------------

Der Link funktioniert. Ich hab mir aber nicht angeschaut, wie gut das in
der Praxis tatsächlich angreifbar ist. An die Empfehlung die
verschlüsselten Daten nicht auf Cloud-Diensten zu speichern würde ich mich jedoch aus Vorsicht heraus halten.

LUKS für Daten und Auslagerungsspeicher dürfte immer noch den besten
Schutz bieten. CryFS mag aber für einzelne nur bei Bedarf zu
entschlüsselnde Verzeichnisse eine gute Alternative sein. Angeblich würden eine Master-Arbeit und ein wissenschaftliches Papier die Sicherheit nachweisen². Ich bin da nicht tief genug drin in der Materie, um das zu beurteilen.

Ciao,
--
Martin

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

debianger@mytelpbx.com schrieb:

Hallo,
ich will auf meinem Laptop einige Ordner kopieren und verschlüsselt
haben. Am besten vor Benutzung immer password eingeben, auch wenn der
Rechner aus dem Schlafmodus kommt.
Grund ist wenn mir der Rechner unterwegs mal verloren geht.
Was kann man da am besten nehmen?

Via https://typeblog.net/39925/pass-gocrypt-yet-another-metadata-encryption-extension-for-pass
bin ich gestern gerade zufällig über gocryptfs gestolpert.
Wie andere aber schon schrieben wäre die naheliegendste Lösung das
Laptop mittels LUKS komplett zu verschlüsseln.

--
Tschau,
Manfred

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Hallo Martin,

Am Freitag, 29. November 2024, 19:31:55 CET schrieb Martin Steigerwald:

Bezüglich EncFS gibt es Sicherheitsbedenken. Es wird glaube ich auch nicht mehr aktiv gepflegt.

Die Plasma-Tresore aka Plasma Vault sind genau für diesen
Anwendungsbereich gedacht und verwenden im Hintergrund CryFS¹, das den Vorteil hat, dass auch eine Verzeichnisstruktur nicht mehr herleitbar
ist². Wahlweise gibt es auch EncFS und gocryptfs.

Encfs wird schon länger nicht weiterentwickelt, weil der Programmierer keine Zeit hat. Er kennt die Sicherheitsprobleme. Er selbst hält gocryptfs für eine gute Alternative.
Andererseits kenne ich die Aussage, Encfs sei sicher, so lange ein Angreifer nur Zugriff auf eine Version der Daten hat. Erst wenn man mehrere Versionen vergleichen kann, besteht ein Sicherheitsrisiko. Und da ich Encfs schon geschätzt 15 Jahre verwende
und es immer zuverlässig war, habe ich es empfohlen.
Dass ein Angreifer mit Schreib-/Lesezugriff auf die verschlüsselten Daten die Komplexität der Verschlüsselung herabsetzen kann, war mir nicht klar.

Die Alternative Cryfs kannte ich noch gar nicht. Und ich wusste auch nicht, dass Cryfs auf meinem Debian 12 mit KDE Plasma sogar schon vorinstalliert ist, während ich Encfs nachinstallieren musste. Es klingt jedenfalls interessant. Ich hab es gestern mal
auf die Schnelle ausprobiert. Von der Anwendung her ist es ganz ähnlich wie Encfs, allerdings in Dolphin ein wenig träger in der Anzeige der Anzahl der Elemente in einem Verzeichnis. Und Dolphin registriert, anders als bei Encfs, bei Cryfs nicht
automatisch, wenn der Mountpoint ge- oder entmountet wird. Aber ich denke, damit kann man leben.
Danke für den Hinweis auf Cryfs.

Gruß
Rolf

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Hi Rolf, hi.

Rolf Lucius - 30.11.24, 10:57:57 MEZ:

Die Alternative Cryfs kannte ich noch gar nicht. Und ich wusste auch
nicht, dass Cryfs auf meinem Debian 12 mit KDE Plasma sogar schon vorinstalliert ist, während ich Encfs nachinstallieren musste. Es
klingt jedenfalls interessant. Ich hab es gestern mal auf die Schnelle ausprobiert. Von der Anwendung her ist es ganz ähnlich wie Encfs,
allerdings in Dolphin ein wenig träger in der Anzeige der Anzahl der Elemente in einem Verzeichnis. […]

Interessant.

Eine mögliche Erklärung ist, dass das Auffinden der Metadaten in CryFS aufwendiger ist. CryFS verteilt die Daten in den zu verschlüsselnden
Dateien. Verschlüsselt CryFS zehn Dateien hat der resultierende verschlüsselte Verzeichnisbaum nicht ebenfalls automatisch zehn Dateien.

Damit lässt sich die unverschlüsselte Verzeichnis-Struktur nicht erraten. Ich könnte mir jedoch vorstellen, dass das Verfahren insgesamt,
insbesondere in Bezug auf die Metadaten, aufwendiger ist.

Schönes Wochenende,
--
Martin

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Hi Martin,

Am Samstag, 30. November 2024, 12:13:51 CET schrieb Martin Steigerwald:

Damit lässt sich die unverschlüsselte Verzeichnis-Struktur nicht erraten. Ich könnte mir jedoch vorstellen, dass das Verfahren insgesamt, insbesondere in Bezug auf die Metadaten, aufwendiger ist.

Ich denke auch, dass das der Grund sein könnte, dass Cryfs etwas „träger" ist als Encfs.

Was ich allerdings etwas schade finde, ist, dass Dolphin nicht automatisch mitbekommt, dass Cryfs gemountet oder entmountet wurde. Bei Encfs ist das leere Dolphin-Fenster immer eine schöne optische Rückmeldung, dass es entmountet wurde. Aber eigentlich
auch unwichtig. Mein mit einem Tastaturkürzel aufgerufener Einzeiler zum Entmounten gibt bei Erfolg ohnehin noch mal eine Rückmeldung per kdialog. Das würde ich beim Verwenden von Cryfs genauso machen. Es fühlt sich einfach besser an, wenn man weiß,
dass die Daten wieder geschützt sind (auch wenn sie spätestens ab dem Herunterfahren des Systems sowieso wieder geschützt sind).

Schönes Wochenende,

Danke, ebenso.
Rolf

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)