Angenommen, ich habe einen gebrauchten USB-Stick von einem sehr professionellen Hacker gekauft, der den Stick mit wirklich professionellen Methoden kompromittiert hat. Der NSA oder das FBI würden ihn kompromittieren: Wäre es sicher, das gesamte Laufwerk mit TrueCrypt 7.1a zu verschlüsseln und formatieren zu lassen oder besteht noch die möglichkeit, dass das gerät noch kompromittiert ist?
-2
Antworten:
Ihre beste Option (wenn ich gut verstehe, was Sie versuchen) ist, ein Linux zu verwenden, um Nullen über den gesamten USB-Speicher zu schreiben. Verwenden Sie dann gdisk oder fdisk, um eine neue leere MBR- oder GPT-Tabelle zu erstellen. Behandeln Sie sie danach als nicht gefährdetes USB , Partitionen erstellen, formatieren ... und wenn Sie es verschlüsseln möchten.
Paranoide Sichtweise: Das heißt, Sie haben ein USB-Gerät (zum Beispiel, dass Sie auf der Straße, in einem Berg usw. gefunden haben), auf dem Software / Daten gespeichert sind, denen Sie nicht vertrauen / die Sie nicht möchten, und vielleicht können Sie glauben, dass Sie solche Daten haben können Bring dich ins Gefängnis.
Wirklich paranoid: Nur ein Überschreiben ist nicht genug, wirklich forensische Experten können mehr als die letzten 83 Zustände wiederherstellen (zumindest das letzte Mal, als ich es überprüft habe) wenn mit speziellen Mustern gemacht); Dies gilt sowohl für magnetische Festplatten als auch für USB-Sticks, Speicherkarten, SSDs usw. Dies wird als "Secure Wipe Multi Pass" bezeichnet.
Auf der anderen Seite: Wenn Sie Daten haben, die Sie sicher aufbewahren möchten, aber nur für Ihre Augen, dann ist dies viel komplexer, aber so einfach wie 1,2,3. Stellen Sie einfach sicher, dass Sie ein anderes Medium haben, auf das Sie kopieren können Erstellen Sie anschließend die neue MBR / GPT-Tabelle und -Partitionen, verschlüsseln Sie sie, füllen Sie sie mit einer riesigen Datei oder mehr (falls FAT32 und & gt; 4GiB usw.) Daten von random.org-Daten (echte zufällige und nicht reproduzierbare Daten), löschen Sie die große (n) Datei (en), kopieren Sie die Daten zurück und führen Sie dann den "Secure Wipe Multi Pass" für die andere aus.
Paranoide Sichtweise: Um Daten für andere nicht sichtbar zu machen, benötigen Sie ein System mit vollständiger Verschlüsselung. Vertrauen Sie niemals jemandem, der sagt, dass keine 100% ige Systemverschlüsselung erforderlich ist. Das beste Beispiel ist die Frage: Wissen Sie jederzeit, wo Alle Software, die ausgeführt wird, speichert die Daten? (nicht nur Ruhezustand, virtueller Speicher ... auch ein Texteditor kann die von Ihnen bearbeitete Textdatei an einem Ort speichern, den Sie nicht kennen.) ... Öffnen Sie als Beispiel (neueste Versionen) Notepad ++. Schreiben Sie Text, aber nicht Speichern Sie es, schließen Sie NotePadd ++ und starten Sie es neu, wenn Sie nicht überzeugt sind. Öffnen Sie dann Notepad ++ erneut, und der nicht gespeicherte Text ist vorhanden. Sie haben also irgendwo gespeichert, wo wir nicht wissen, wo.
Um Daten zu sichern ... und auf der sicheren Seite zu sein ... verwenden Sie diese Daten niemals auf Systemen, auf denen Sie die 100% ige Systemeinschreibung nicht unter Ihrer eigenen Kontrolle haben können.
Ganz zu schweigen davon, welche Apps installiert sind (Key Logger usw.).
Paranoid: Bei Fenstern, die Bitlocker nicht vertrauen, werden Schlüssel an M $ -Server und NSA usw. gesendet und eine große Hintertür wurde entfernt.
Meine persönlichen besten Entscheidungen sind: VeraCrypt (Win + Lin) und DiskCryptor (nur Win) und LUKs + LVM + LUKs (nur Lin).
Ja, ich vertraue einem LUK nicht, es ist nicht sicher genug ... muss mindestens zwei davon verketten oder drei ... dasselbe für VeraCrypt (benutze eine Kaskade von zwei oder drei Algorithmen).
Paranoide Sichtweise: Ich verwende unter Linux einen Sektor-zu-Sektor-Loop-Mount auf freiem Speicherplatz eines Ext4 (ich warte auf geheimen Start und geheime Länge und muss bei jedem Start etwas eingeben) über 5 Ketten-LUKs ohne Header (sehr wichtig, keine Header zu haben) ), ich boote mit Grub2 auf einer verschlüsselten Partition (auf LUKS) mit einer gefälschten grug.cfg (es wird ein Dummy-Linux booten).
Also mein paranoider Boot: Power On, tippe encription for / boot, das Grub-Menü wird angezeigt, ich drücke c, um in den Konsolenmodus zu wechseln, dann tippe ich Befehle, um auf einen Ext4 über einen LUKs über LVM über LUKs über einen Sektor zu einem Sektor auf einem Ext4 zuzugreifen das ist über ein LUKs über LVM über LUKs, ... und so weiter, dann kann ich Befehl eingeben, um Kernel und initramfs zu laden ... dann booten, ich hatte dieses initramfs konfiguriert, um mir ein Pre-sh-Konsolen-Propmt zu zeigen, so dass ich Geben Sie alle Befehle und Kennwörter erneut ein, mit denen ich auf rootfs zugreifen kann. Dann drücke ich auf exit und der Bootvorgang wird mit eingebundenen rootfs fortgesetzt. Jedes Mal, wenn ein Kernel-Update kommt, ist dies sehr hässlich. Ich muss vor dem Booten eine Menge tun. hey, wir sprechen über das "Verstecken und Sichern eines vollständigen Linux" ... alles, was weniger komplex ist, ist nicht sicher genug.
Natürlich ... ich benutze ein viel komplexeres als das ... ich benutze auch ZFS und RAID0, etc ... an den Ketten, etc ... aber das wäre eine andere Geschichte ... ganz zu schweigen von der Verwendung dazwischen 250 und 750 Dateien mit einer Größe von 1 MB auf einer Liste von zehntausend oder mehr usw., um den schwachen Teil abzusichern (nur weil Passphrasen von bis zu 64 Byte so schwach sind!).
Das ist die paranoide Sichtweise ... erschweren Sie die Dinge, selbst wenn es ein Linux gibt, auf das jeder Mensch oder jede Maschine verzichten kann (Brute-Force-Angriff wird nicht funktionieren, da nicht genug Energie im gesamten Universum vorhanden ist, um 1% davon zu testen die möglichen kombinationen) nur für einen 8GiB USB Stick ... stell dir eine 1000GiB HDD vor!
Grundlegendes Konzept:
Hauptidee: Suchen Sie eine Münze auf einer Galaxie, nicht auf einem Planeten, nicht in einer Stadt, nicht auf einer Farm usw. Verstecken Sie Ihre Münze auf einer Galaxie, die der Größe entspricht und Zeit, um darauf zuzugreifen, nur um die Münze zu finden, ist nicht da ... wenn es gut gemacht wird, bekommt niemand Ihre Daten.
Wichtig: Jedes Speichermedium kann Daten nicht nur auf Sektoren, sondern auch auf Firmwares usw. speichern. Einige werden als "Treiber weniger" bezeichnet. Wenn Sie sie anschließen, installieren sie die benötigten Treiber automatisch. Denken Sie daran Treiber können kompromittiert worden sein. Schließen Sie ihn also nicht an Ihren Hauptcomputer an. Verwenden Sie einen Dummy ohne Internet. Besser, wenn es sich um ein Live-Linux ohne anderen Speicher handelt.
Usw. Ich möchte nicht, dass sich die Leute langweilen!
quelle