13
Welche Software um Daten mit einem USB Stick zwischen zwei PCs sicher zu transportieren
Die Frage zielt darauf ab, wie der Transport von sensiblen Daten auf einem USB Stick zwischen zwei Rechnern die als vertrauenswürdig einzustufen sind (kein Inet-Cafe etc.), aber auf denen nur einfache Benutzerrechte zur Verfügung stehen und keine Software installiert werden kann, einfach ermöglicht werden kann. Ein verlorener und von einem Fremden gefundener Stick soll keine Datenrekonstruktion zulassen.
Hallo Zusammen,
obwohl das Problem Daten mit einem USB Stick sicher zu transportieren trivial erscheint und ich nun mehr einiges dazu gelesen habe, hätte ich gerne Eure Meinungen, Ratschläge und Erfahrungen gehört. Um anderen Nutzern mit demselben Problem gerecht zu werden, habe ich meine bisherigen Rechercheergebnisse nachstehend bestmöglich zusammengefasst.
Ziel: Transport von sensiblen Daten auf einem USB Stick zwischen zwei Rechnern die als vertrauenswürdig einzustufen sind (kein Inet-Cafe etc.), aber auf denen nur einfache Benutzerrechte zur Verfügung stehen und keine Software installiert werden kann. Ein verlorener und von einem Fremden gefundener Stick soll keine Datenrekonstruktion zulassen.
Hardwarelösung:
IronKey: https://www.ironkey.com/personal
Nachteil: (Zu) hohe Kosten
Andere Hardwarelösungen sind billiger zu bekommen, aber irgendwie traue ich denen nicht, da die Hersteller in der Vergangenheit immer wieder Fehler in der Implementierung gemacht haben - vgl. http://www.heise.de/security/artikel/Sichere-USB-Sticks-geknackt-270060 ... und http://www.heise.de/security/meldung/NIST-zertifizierte-USB-Sticks-mit- ... .
Aufgrund einer bereits erfolgten breiten Neuanschaffung von Sticks wäre für mich eine Softwarelösung wünschenswert.
Wish-List:
- Cross-Plattform wenn möglich (sonst umfassende Windows-Unterstützung)
- ohne weitere Abhängigkeiten
- stabil
- sicher
- zuverlässig
- so einfach als möglich zu bedienen.
a) TrueCrypt - http://www.truecrypt.org/
Nachteil: Administratorenrechte sind auf beiden vertrauenswürdigen Rechnern nötig. Dies ist nicht der Fall.
-- Update --
a2) FreeOTFE (Explorer) - http://www.freeotfe.org/
Der FreeOTFE Explorer benötigt keine Adminrechte, ist jedoch nur für Windows verfügbar. Zwar wird kein Windows-Laufwerk eingebunden wie bei TrueCrypt, sondern eine Datei "gemountet" und die zu sichernden Daten dorthin verschoben bzw. kopiert, was ein wenig umständlicher ist. Das wird durch die nicht benötigten Adminrechte jedoch aufgewogen.
-- Update Ende --
b) SecureStick - http://www.withopf.com/tools/securstick/
Funktionierte in einem ersten Kurztest nicht zuverlässig, da eine Datei nicht fehlerfrei kopiert werden konnte. Ob dies an Windows oder SecureStick gelegen hat, kann ich nicht sagen. Die Software scheint nicht aktiv betreut zu werden. Die Handhabung finde ich umständlich.
c) gpg4usb - http://gpg4usb.cpunk.de
Nur zum verschlüsseln einzelner Files, d.h. bei mehreren Dateien muss vorher ein Container (Archiv) erzeugt werden. Key muss vorher generiert werden.
d) Lösungen, die mir aufgefallen sind und vielleicht in Frage kommen könnten, zu denen ich (bzgl. Sicherheit etc.) aber nichts näheres sagen kann:
- http://www.rohos.com/products/rohos-mini-drive/
- http://www.encryption-software.de/
- http://spi.dod.mil/ewizard.htm - Betrieb mit portable Java möglich? vgl. http://portableapps.com/apps/utilities/java_portable
- http://www.coderslagoon.com/home.php - Betrieb mit portable Java möglich? vgl. http://portableapps.com/apps/utilities/java_portable
- http://www.mindcrypt.de/ - Betrieb mit portable Java möglich? vgl. http://portableapps.com/apps/utilities/java_portable
e) Meine Idee wäre es, 7zip Portable - http://portableapps.com/apps/utilities/7-zip_portable - zu verwenden und wie folgt vorzugehen:
1. 7zip Portable vom USB Stick an PC1 starten.
2. Klartextdaten auf PC1 zu einem verschlüsselten zip-Archiv verpacken.
3. Verschlüsseltes Archiv von PC1 auf den Stick verschieben.
4. Transport der Daten von PC1 zu PC2.
5. Verschlüsseltes Archiv von Stick auf PC2 verschieben
6. 7zip Portable vom USB Stick an PC2 starten.
7. Verschlüsseltes Archiv auf PC2 entpacken.
Grundsätzliche Bedenken habe ich allerdings, weil die Flash Speicher in der USB Sticks ein sicheres Löschen von Dateien wegen der "Abnutzung" der einzelnen Speicherzellen nicht zulassen - http://de.wikipedia.org/wiki/Wear-Leveling#Wear-leveling.
Schreibt also eine portable Software wie 7zip (temporäre) Daten auf den USB Stick, etwa beim Komprimieren, so verbleiben diese auf dem Flash-Speicher und können evtl. wiederhergestellt werden, wenn ich das richtig verstehe.
Viele Grüße
Descartes
obwohl das Problem Daten mit einem USB Stick sicher zu transportieren trivial erscheint und ich nun mehr einiges dazu gelesen habe, hätte ich gerne Eure Meinungen, Ratschläge und Erfahrungen gehört. Um anderen Nutzern mit demselben Problem gerecht zu werden, habe ich meine bisherigen Rechercheergebnisse nachstehend bestmöglich zusammengefasst.
Ziel: Transport von sensiblen Daten auf einem USB Stick zwischen zwei Rechnern die als vertrauenswürdig einzustufen sind (kein Inet-Cafe etc.), aber auf denen nur einfache Benutzerrechte zur Verfügung stehen und keine Software installiert werden kann. Ein verlorener und von einem Fremden gefundener Stick soll keine Datenrekonstruktion zulassen.
Hardwarelösung:
IronKey: https://www.ironkey.com/personal
Nachteil: (Zu) hohe Kosten
Andere Hardwarelösungen sind billiger zu bekommen, aber irgendwie traue ich denen nicht, da die Hersteller in der Vergangenheit immer wieder Fehler in der Implementierung gemacht haben - vgl. http://www.heise.de/security/artikel/Sichere-USB-Sticks-geknackt-270060 ... und http://www.heise.de/security/meldung/NIST-zertifizierte-USB-Sticks-mit- ... .
Aufgrund einer bereits erfolgten breiten Neuanschaffung von Sticks wäre für mich eine Softwarelösung wünschenswert.
Wish-List:
- Cross-Plattform wenn möglich (sonst umfassende Windows-Unterstützung)
- ohne weitere Abhängigkeiten
- stabil
- sicher
- zuverlässig
- so einfach als möglich zu bedienen.
a) TrueCrypt - http://www.truecrypt.org/
Nachteil: Administratorenrechte sind auf beiden vertrauenswürdigen Rechnern nötig. Dies ist nicht der Fall.
-- Update --
a2) FreeOTFE (Explorer) - http://www.freeotfe.org/
Der FreeOTFE Explorer benötigt keine Adminrechte, ist jedoch nur für Windows verfügbar. Zwar wird kein Windows-Laufwerk eingebunden wie bei TrueCrypt, sondern eine Datei "gemountet" und die zu sichernden Daten dorthin verschoben bzw. kopiert, was ein wenig umständlicher ist. Das wird durch die nicht benötigten Adminrechte jedoch aufgewogen.
-- Update Ende --
b) SecureStick - http://www.withopf.com/tools/securstick/
Funktionierte in einem ersten Kurztest nicht zuverlässig, da eine Datei nicht fehlerfrei kopiert werden konnte. Ob dies an Windows oder SecureStick gelegen hat, kann ich nicht sagen. Die Software scheint nicht aktiv betreut zu werden. Die Handhabung finde ich umständlich.
c) gpg4usb - http://gpg4usb.cpunk.de
Nur zum verschlüsseln einzelner Files, d.h. bei mehreren Dateien muss vorher ein Container (Archiv) erzeugt werden. Key muss vorher generiert werden.
d) Lösungen, die mir aufgefallen sind und vielleicht in Frage kommen könnten, zu denen ich (bzgl. Sicherheit etc.) aber nichts näheres sagen kann:
- http://www.rohos.com/products/rohos-mini-drive/
- http://www.encryption-software.de/
- http://spi.dod.mil/ewizard.htm - Betrieb mit portable Java möglich? vgl. http://portableapps.com/apps/utilities/java_portable
- http://www.coderslagoon.com/home.php - Betrieb mit portable Java möglich? vgl. http://portableapps.com/apps/utilities/java_portable
- http://www.mindcrypt.de/ - Betrieb mit portable Java möglich? vgl. http://portableapps.com/apps/utilities/java_portable
e) Meine Idee wäre es, 7zip Portable - http://portableapps.com/apps/utilities/7-zip_portable - zu verwenden und wie folgt vorzugehen:
1. 7zip Portable vom USB Stick an PC1 starten.
2. Klartextdaten auf PC1 zu einem verschlüsselten zip-Archiv verpacken.
3. Verschlüsseltes Archiv von PC1 auf den Stick verschieben.
4. Transport der Daten von PC1 zu PC2.
5. Verschlüsseltes Archiv von Stick auf PC2 verschieben
6. 7zip Portable vom USB Stick an PC2 starten.
7. Verschlüsseltes Archiv auf PC2 entpacken.
Grundsätzliche Bedenken habe ich allerdings, weil die Flash Speicher in der USB Sticks ein sicheres Löschen von Dateien wegen der "Abnutzung" der einzelnen Speicherzellen nicht zulassen - http://de.wikipedia.org/wiki/Wear-Leveling#Wear-leveling.
Schreibt also eine portable Software wie 7zip (temporäre) Daten auf den USB Stick, etwa beim Komprimieren, so verbleiben diese auf dem Flash-Speicher und können evtl. wiederhergestellt werden, wenn ich das richtig verstehe.
Viele Grüße
Descartes
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 184800
Url: https://administrator.de/contentid/184800
Printed on: April 16, 2024 at 22:04 o'clock
13 Comments
Latest comment
Hallo brammer,
Danke für den Link. Die Lösung ist oben unter b) aufgeführt. SecureStick hat bei meinem ersten Antesten bereits Fehler erzeugt. Zwei Dateien konnten (lt. Windows) nicht korrekt geschrieben werden und diese waren danach auch nicht zu gebrauchen. Ob das nun an Windows oder SecureStick gelegen hat, ich weiß es nicht. Ich konnte jedenfalls nicht den Eindruck gewinnen, dass es sich einfach und stabil nutzen lässt.
Descartes
Danke für den Link. Die Lösung ist oben unter b) aufgeführt. SecureStick hat bei meinem ersten Antesten bereits Fehler erzeugt. Zwei Dateien konnten (lt. Windows) nicht korrekt geschrieben werden und diese waren danach auch nicht zu gebrauchen. Ob das nun an Windows oder SecureStick gelegen hat, ich weiß es nicht. Ich konnte jedenfalls nicht den Eindruck gewinnen, dass es sich einfach und stabil nutzen lässt.
Descartes
7-Zip ist schon OK.
Und was Wear-Leveling angeht:
Wenn Du einen einzelnen Sektor der verschlüsselten Datei nach dem Löschen noch vom USB Stick retten kannst, na und?
Was soll man damit anfangen?
Er ist immer noch verschlüsselt, enthält möglicherweise noch nicht einmal Daten sondern auch nur den Header des TC Containers bzw. Leerbereiche des Containers etc.
Also von der Risikoabschätzung ist das das Letzte, worüber ich mir Gedanken machen würde.
Und was Wear-Leveling angeht:
Wenn Du einen einzelnen Sektor der verschlüsselten Datei nach dem Löschen noch vom USB Stick retten kannst, na und?
Was soll man damit anfangen?
Er ist immer noch verschlüsselt, enthält möglicherweise noch nicht einmal Daten sondern auch nur den Header des TC Containers bzw. Leerbereiche des Containers etc.
Also von der Risikoabschätzung ist das das Letzte, worüber ich mir Gedanken machen würde.
Hallo Andreas,
vielleicht habe ich mich da missverständlich ausgedrückt. Meine Befürchtung lässt sich vielleicht an einem Beispiel anschaulicher darstellen.
PC1 mit Windows OS, kein 7zip installiert. Auf dem PC ist die Datei mysecrets.txt abgelegt und die möchte ich gerne sicher mit meinem USB Stick auf PC2 bekommen. Auf meinem USB Stick ist 7zip portable. USB Stick an PC1 angestöpselt und 7zip portable gestartet. Wenn ich jetzt die mysecrets.txt in ein zip-Archiv packe, dann muss dieser Vorgang (Neues Archiv erzeugen/anlegen, mysecrets.txt zum Archiv hinzufügen) doch irgendwo vor der Verschlüsselung ausgeführt werden. Hierzu werden doch von 7zip portable sicher temporäre, unverschlüsselte Dateien angelegt, entweder auf dem Stick oder auf dem PC. Auf dem PC würde es nicht stören, da vertrauenswürdig. Auf dem USB Stick könnten diese temporären Daten aber nicht sicher gelöscht werden (falls 7zip das überhaupt versucht). Auf dem Stick wären dann im Ergebnis die temporären Daten (problematisch) und das dorthin verschobene verschlüsselte Archiv (unproblematisch).
Ich weiß leider nicht, ob und wenn ja, wie und wo temporäre Daten geschrieben werden, die vielleicht problematisch werden könnten. Mit verschlüsselten Daten oder Datenresten auf dem Stick hätte ich - wie Du ja auch sagst - ebenfalls keine Bauchschmerzen.
Descartes
vielleicht habe ich mich da missverständlich ausgedrückt. Meine Befürchtung lässt sich vielleicht an einem Beispiel anschaulicher darstellen.
PC1 mit Windows OS, kein 7zip installiert. Auf dem PC ist die Datei mysecrets.txt abgelegt und die möchte ich gerne sicher mit meinem USB Stick auf PC2 bekommen. Auf meinem USB Stick ist 7zip portable. USB Stick an PC1 angestöpselt und 7zip portable gestartet. Wenn ich jetzt die mysecrets.txt in ein zip-Archiv packe, dann muss dieser Vorgang (Neues Archiv erzeugen/anlegen, mysecrets.txt zum Archiv hinzufügen) doch irgendwo vor der Verschlüsselung ausgeführt werden. Hierzu werden doch von 7zip portable sicher temporäre, unverschlüsselte Dateien angelegt, entweder auf dem Stick oder auf dem PC. Auf dem PC würde es nicht stören, da vertrauenswürdig. Auf dem USB Stick könnten diese temporären Daten aber nicht sicher gelöscht werden (falls 7zip das überhaupt versucht). Auf dem Stick wären dann im Ergebnis die temporären Daten (problematisch) und das dorthin verschobene verschlüsselte Archiv (unproblematisch).
Ich weiß leider nicht, ob und wenn ja, wie und wo temporäre Daten geschrieben werden, die vielleicht problematisch werden könnten. Mit verschlüsselten Daten oder Datenresten auf dem Stick hätte ich - wie Du ja auch sagst - ebenfalls keine Bauchschmerzen.
Descartes
Moin Descartes,
wenn Du sicherstellst, dass nur und ausschließlich verschlüsselte Dateien auf dem Stick landen und niemals die Originale, hast Du kein Problem - gut.
Die Programme und der eingerichtete Workflow unterstützen Dich dabei, wenn:
Letztendlich lässt sich vieles davon relativ problemlos durch Scripte unterstützen als auch in Zeiten von ISO9000ff im Unternehmen verbindlich durchsetzen.
Freundliche Grüße von der Insel - Mario
wenn Du sicherstellst, dass nur und ausschließlich verschlüsselte Dateien auf dem Stick landen und niemals die Originale, hast Du kein Problem - gut.
Die Programme und der eingerichtete Workflow unterstützen Dich dabei, wenn:
- diese Programme nicht auf dem Stick, sondern nur auf vertrauenswürdigen Rechnern residieren;
- alle Temp-Verzeichnisse lokal auf vertrauenswürdigen Rechnern angelegt sind und nachweislich genutzt werden;
- die zu transportierenden Dateien komplett auf vertrauenswürdigen Rechnern verschlüsselt und danach auf den Stick kopiert werden;
- die zu lesenden Dateien erst auf den vertrauenswürdigen Rechner kopiert und danach lokal entschlüsselt werden;
- der verwendete Schlüssel ausreichend verifiziert ist (Länge, Komplexität, Aufbewahrung) und der Relevanz der Daten sehr gut entspricht;
- jeder, der an diesem sicheren Austausch teilnimmt, diese Kriterien und Prozeduren strikt einhält;
- stichprobenartige oder regelmäßige Scans der Sticks mit Wiederherstellungssoftware oben gemachte Aussage bestätigen.
Letztendlich lässt sich vieles davon relativ problemlos durch Scripte unterstützen als auch in Zeiten von ISO9000ff im Unternehmen verbindlich durchsetzen.
Freundliche Grüße von der Insel - Mario
Hallo Mario,
Du triffst es genau. Mein Problem ist nur, dass ich den Punkt
diese nicht auf dem Stick, sondern nur auf vertrauenswürdigen Rechnern residieren;
nicht einhalten kann. Auf unseren Rechner intern und untereinander wäre das kein Thema. Es ist aber so, dass wir gerne Daten nach extern mitnehmen möchten. Den externen Rechner wird "absolut" vertraut, sprich die Daten sind für die Externen bestimmt und können deshalb ruhig dort in einem temporären Bereich anfallen. Dort kann ich aber keine Software installieren (lassen), so dass diese portabel mitgeführt werden müsste. Das ist auch deshalb erforderlich, weil Daten auch von den Externen PCs zu unseren internen transportiert werden sollen (also andere Richtung).
Descartes
Du triffst es genau. Mein Problem ist nur, dass ich den Punkt
diese nicht auf dem Stick, sondern nur auf vertrauenswürdigen Rechnern residieren;
nicht einhalten kann. Auf unseren Rechner intern und untereinander wäre das kein Thema. Es ist aber so, dass wir gerne Daten nach extern mitnehmen möchten. Den externen Rechner wird "absolut" vertraut, sprich die Daten sind für die Externen bestimmt und können deshalb ruhig dort in einem temporären Bereich anfallen. Dort kann ich aber keine Software installieren (lassen), so dass diese portabel mitgeführt werden müsste. Das ist auch deshalb erforderlich, weil Daten auch von den Externen PCs zu unseren internen transportiert werden sollen (also andere Richtung).
Descartes
Moin Descartes,
selbst wenn die Programme auf dem Stick sitzen, gelten alle anderen (besonders der zweite) im ersten Post aufgeführten Punkte weiter - das gesamte Sicherheitskonzept erleidet nur Schaden, wenn die externen Rechner eben doch nicht voll vertrauenswürdig sind - aber das liegt in Deiner administrativen Hoheit.
Schönen Feierabend und freundliche Grüße von der Insel - Mario
selbst wenn die Programme auf dem Stick sitzen, gelten alle anderen (besonders der zweite) im ersten Post aufgeführten Punkte weiter - das gesamte Sicherheitskonzept erleidet nur Schaden, wenn die externen Rechner eben doch nicht voll vertrauenswürdig sind - aber das liegt in Deiner administrativen Hoheit.
Schönen Feierabend und freundliche Grüße von der Insel - Mario
Hallo Mario,
da stimme ich Dir voll zu. Danke und ebenfalls einen schönen Feierabend!
Descartes
da stimme ich Dir voll zu. Danke und ebenfalls einen schönen Feierabend!
Descartes
Wieso muß das ZIP Archiv vor dem Verschlüsseln angelegt werden?
Das Archiv wird schon verschlüsselt erzeugt.
Lass doch einfach mal ein 2 GB Archiv erzeugen und schau mit dem Prozess Explorer zu, es wird nicht erst das Archiv angelegt und in einem 2. Schritt verschlüsselt.
Und falls man zu paranoid ist, dann kopiere die portable EXE auf den PC, stecke den USB Stick ab, starte sie dort, erzeuge das Archiv dort und verschiebe dann erst das verschlüsselte Archiv auf den Stick, den man dazu wieder ansteckt. Dann kann nichts temporär auf dem Stick angelegt werden.
Das Archiv wird schon verschlüsselt erzeugt.
Lass doch einfach mal ein 2 GB Archiv erzeugen und schau mit dem Prozess Explorer zu, es wird nicht erst das Archiv angelegt und in einem 2. Schritt verschlüsselt.
Und falls man zu paranoid ist, dann kopiere die portable EXE auf den PC, stecke den USB Stick ab, starte sie dort, erzeuge das Archiv dort und verschiebe dann erst das verschlüsselte Archiv auf den Stick, den man dazu wieder ansteckt. Dann kann nichts temporär auf dem Stick angelegt werden.
Hallo Andreas,
dass das Archiv schon verschlüsselt erzeugt wird, war mir nicht klar. Dann läuft das alles im RAM ab? Auch beim Entschlüsseln? Ich habe die Frage nach den temporären Daten ebenfalls mal im 7zip Forum gestellt. Sollte dort eine Antwort kommen, werde ich diese hier in Deutsch ebenfalls einstellen.
Gibt es den Erfahrungswerte bei den anderen von mir genannten Alternativen?
Descartes
dass das Archiv schon verschlüsselt erzeugt wird, war mir nicht klar. Dann läuft das alles im RAM ab? Auch beim Entschlüsseln? Ich habe die Frage nach den temporären Daten ebenfalls mal im 7zip Forum gestellt. Sollte dort eine Antwort kommen, werde ich diese hier in Deutsch ebenfalls einstellen.
Gibt es den Erfahrungswerte bei den anderen von mir genannten Alternativen?
Descartes
Ich persönlich verwende TrueCrypt, da es sowohl unter Windows als auch unter Linux tut.
7-Zip als Archiv Programm, aber nicht zum Verschlüsseln, außer mal für eine Mail ein verschlüsseltes Archiv.
Aber wenn es nicht auf den PCs installiert werden kann, und für die Portable keine Adminrechte da sind, dann gehts halt nicht.
Sonst habe ich noch keine Variante ausprobiert..
7-Zip als Archiv Programm, aber nicht zum Verschlüsseln, außer mal für eine Mail ein verschlüsseltes Archiv.
Aber wenn es nicht auf den PCs installiert werden kann, und für die Portable keine Adminrechte da sind, dann gehts halt nicht.
Sonst habe ich noch keine Variante ausprobiert..
Ich hatte auf http://sourceforge.net/projects/sevenzip/forums/forum/45797/topic/52655 ... die Frage nach den temporären Dateien gestellt und versprochen die Antwort nachzureichen.
Der Entwickler antwortete, dass er meint, 7zip würde in diesem Fall keine temporären Daten auf den USB Stick schreiben.
Ich werte die Frage daher als gelöst.
Der Entwickler antwortete, dass er meint, 7zip würde in diesem Fall keine temporären Daten auf den USB Stick schreiben.
Ich werte die Frage daher als gelöst.
Der Beitrag wurde von mir hinsichtlich FreeOTFE (Explorer) ergänzt. Die Software ist zwar nur für Windows verfügbar, benötigt aber keine Adminrechte in der "Explorer" Version. Vom "Handling" her scheint es ähnlich zu funktionieren wie die von mir beschriebene Idee. Ein "Archiv", das gemountet wird und in das Daten importiert und exportiert werden können, wobei die GUI - im Gegensatz zu 7zip -genau darauf ausgerichtet und damit freundlicher für den Anwender ist.
Die Übersicht über verfügbare Software für diesen Anwendungsfall dürfte hinsichtlich der bekanntesten Programme nun mehr komplett sein.
Grüße
Descartes
Die Übersicht über verfügbare Software für diesen Anwendungsfall dürfte hinsichtlich der bekanntesten Programme nun mehr komplett sein.
Grüße
Descartes
