Also ich benutze zur Zeit (für meinen Windows-Rechner) Truecrypt. Ich bin damit sehr zufrieden. Einzelne Festplatte zum mounten.
Ich denke TrueCrypt (für Windows) scheint noch eine der vernünftigeren Lösungen zu sein, um seine Daten zu schützen. Unter Linux würde ich eher zu dm-crypt oder cryptsetup greifen. Ich weiss sonst nicht wie schnell auf OS X TrueCrypt portiert wird. Da es eine OpenSource Lösung ist, sehe ich jedoch nichts, weshalb es da scheitern sollte.
Das Problem an dem Programm ist die Kommerzialität.
Wer garantiert mir, dass es fehlerfrei geschrieben wurde, dass es keine Hintertür gibt?
Ich vertraue da lieber auf TrueCrypt. Der Quelltext ist frei zugänglich und für jedermann einsehbar- nur das garantiert Sicherheit (gab dazu vor einiger Zeit auch mal einen sehr interessanten C'T-Artikel).
Das ist der Punkt! TrueCrypt ist OpenSource, und die einzige Antwort. Sie nutzen alt-bekannte und bewährte Verschlüsselungsmethoden. Ich bezweifel zwar, dass diese Verschlüsselungsmethoden heute noch lange standhalten würde, aber zumindest ist dies bewährt.
Gibt es eig. auch eine Möglichkeit (mit Bordmitteln) bspw. Passwort-geschützte Images, oder generell Dateien, nur gegen Eingabe eines Passworts löschen zu können?
Änder die Benutzerrechte dieses Ordners oder Datei. Das geschützte Image gehört wahrscheinlich dir als Benutzer. D.h., dass dir die Datei gehört. Damit kannst du sie auch ohne Nachfrage löschen. Sollte sich die Benutzerkennung geändert haben, und nun root oder einem anderen Benutzer gehören, müsstest du dich erst als diesen authentifizieren, um die Daten zu löschen oder zu ändern.
Was mich an dem Thema auch noch interessiert:
Ist es möglich solche Images auf einem gespiegeltem RAID laufen zu lassen?
Das heisst ich habe auf 2 Platten das gleiche Image und die Daten sind gespiegelt?
(So dass ich im Prinzip beim Öffnen des verschlüsselten Images RAID-seitig 2x 1 Image öffne und die Daten dann parallel geschrieben werden)
Prinzipiell würdest du immer nur ein Image öffnen, der RAID-Controller, oder die Software (abhängig ob Software-RAID oder Hardware-RAID) konzentrieren sich nur auf eines der beiden Medien. Sollten nun Änderungen vorgenommen werden, werden diese Änderungen ohne Prüfung direkt in das redudante Medium geschrieben. Es wird also eine Bit-Stream einfach rüber gebügelt, ohne das andere Image zu öffnen oder dergleichen.
Hier ergibt sich in meinen Augen das Problem deiner Konstellation. Das RAID-1 nutzt dir gar nichts... außer das du viel Speicher-Platz verlierst. Sollte ein Fehler beim ersten Verschlüsselten-Image auftreten, weil du meinetwegen das Image öffnen wolltest, ein anderer Prozess gerade auf den Speicher zugreifen wollte, und irgendwelche Interprozessmechanismen aussetzen (das darf nie passieren
), entsteht nun ein Datenfehler beim Image, der meinetwegen so schwerwiegend ist, dass du nicht mehr in der Lage bist das Image zu mounten. Das Image wurde verändert, was bedeutet, dass das Image nun on the fly auf das redundante Medium geschrieben wird. Damit auch der Image-Schaden. Ein RAID erhöht nur die Verfügbarkeit der Daten, aber nicht die Datensicherheit. Vergiss das niemals!
________
Zum eigentlichen Thema: dieses Lösung von Espionage ist ein Witz. Da ist es ein besserer Schutz seinen zu schützenden Ordner in "temp" umzubennen, und die Datei darin ".00_default_temp_Nr" zu nennen...
Das BKA und Co. werden die Daten 100%ig nicht auf eurem Computer anschauen, sondern Festplatte raus und ran an das Decryption-System. Dateien, die nicht verschlüsselt sind, sind dann sowieso erstmal mit drin im Einkaufswagen. Dateien, die mit AES verschlüsselt sind, setzen die sich eben 2-3 Tage dran, bis das Passwort geknackt ist. Wenn die richtige Länge mit den richtigen Zeichen ergeben sich auch 2-3 Wochen. Die BitZahl 256 erhöht derzeit nur die Zeit, wie lange man warten muss, bis man an den Daten dran ist.
DiskImages sind ja eine schöne Sache etc., aber mir zu riskant, da erstens keine Datensicherheit existiert. Denn ein paar BitFehler reichen schon, um das Image nutzlos zu machen. Die Verschlüsselung ist nicht ausreichend um einem "echten" Test stand zu halten. Ich schränke meinen eigenen Zugriff auf die Daten so stark ein, dass ich Geschwindigkeitsverluste etc. hinnehme, nur um ein kleines bisschen Sicherheit zu bekommen, und ein großes Risiko von Datenverlust....?!
Es gibt OpenSource-Lösungen, die ich weiter oben angesprochen hatte, und die halten einiges mehr, von dem was sie versprechen. Sie sind komplett offen, nutzen bewährte Algorithmen, und letztendlich ist es derzeit eh nur eine Frage bis alle geknackt sind.
Ich nutze derzeit eine XTS-Verschlüsselung, die noch als "experimental" gilt. Derzeit heisst es, dass man dafür einige Jahrzehnte braucht, um dieses zu entschlüsseln. Mit der Entwicklung der neuen Generation von Computern ist ein rechenintensiver Modulos-Algorithmus eh nutzlos geworden...
