Thunderbird Portable im TC-Container sicher mit GNUPGP?

  • Hallo!
    Ich bin ziemlicher Newbie und hoffe deshalb, dass die Frage nicht total überflüssig weil schon x-mal beantwortet ist.


    Folgendes:
    Ich bin z.Zt. dabei, mein komplettes System nicht nur auf Linux umzustellen, sondern in dem Zuge gleich möglichst sinnvolle Backup- und Verschlüsselungslösungen zu entwerfen. Dabei nutze ich unter anderem einen USB-Stick, auf dem ich das wichtigste in einen Truecrypt-Container packe.
    Jetzt möchte ich aber darauf auch TB-Portable nutzen, möglichst mit GNUPGP/Enigmail. Soweit ja eigentlich nichts besonderes. Meine Frage allerdings bezieht sich auf die Sicherheit - denn ich hätte ja neben meinen Kontodaten (POP) auch meine Emails UND VOR ALLEM meinen geheimen Schlüssel in dem Container. Da ist er ja auch erstmal sicher, aber was ist, wenn ich mit dem Stick an einem unsicheren Rechner arbeite(-n muss) und dort neben dem TC-Passwort auch noch meine Passphrase für meinen geheimen Schlüssel eingeben muss? Ist das nicht alles ziemlich unsicher oder bin ich paranoid? Oder gibt es vielleicht irgendeine viel bessere Lösung, auf die ich bisher nur einfach nicht gekommen bin?

  • Hi,

    Zitat

    Ist das nicht alles ziemlich unsicher oder bin ich paranoid? Oder gibt es vielleicht irgendeine viel bessere Lösung, auf die ich bisher nur einfach nicht gekommen bin?

    Nein, deine Befürchtungen sind nicht von der Hand zu weisen. Auf einem fremden, möglicherweise mit Trojanern, Keyloggern und ähnlichem "Viehzeug" verseuchten Rechner kann es theoretisch passieren, dass nicht nur deine Passwörter, sondern auch alle Dateien aus dem Truecrypt-Container in unbefugte Hände kommen. Dazu kommt, dass man Truecrypt, soweit ich weiss, nur als Administrator starten kann, ein weiteres Sicherheitsproblem.
    Auf einem fremden Rechner ist man eigentlich nur halbwegs sicher (von Hardware-Keyloggern u.ä. mal abgesehen), wenn man von einer eigenen CD oder vom USB-Stick booten kann - was z.B. in einem Internetcafe wohl nicht in Frage kommt.

  • Danke, frog! :zustimm:


    Das mit dem Booten ist wenigstens schonmal eine Möglichkeit, wenn auch nicht sehr praktikabel.

  • Hallo JOberst,


    alles das, was du beschreibst ist möglich und auch absolut nicht unüblich.
    Als jemand, der sich selbst als ein klein wenig ;-) berufsparanoide bezeichnet, kann ich deine Ziele auch gut verstehen - und ich will dich auch gern unterstützen und beraten.


    TC hat ja den großen Vorteil, dass es sowohl unter unserem Betriebssystem, als auch auf der WinDOSe funktioniert. Du kannst die angelegten Container also auf beiden Systemen öffnen, lesen und beschreiben.
    Aber: den portablen TB gibt es nur für Win. (Meine Empfehlung: nimm den von Kaschy! => Downloadbereich)
    Und: Auf der WinDOSe muss TC schon installiert sein, oder du musst Adminrechte haben, um TC vom Stick zu starten.
    Empfehlung:
    - auf dem Stick einen Ordner "Container" o.ä. anlegen.
    - da hinein das komplette entpackte TC mit allen Dateien
    - den angelegten Container, und
    - je eine kleine Batch-Datei für das Mounten und Entmounten (kann ich dir geben, wenn du es nicht kennst)


    Du kannst den port. TB ganz normal in irgend einen Ordner deiner HD unter Win installieren (korrekter: entpacken), dort starten und vollständig konfigurieren. Natürlich auch dein gewünschtes Enigmail. Und wenn alles wirklich korrekt funktioniert, kopierst du den kompletten TB-Ordner in deinen gemounteten TC-Container.
    Diese Methode hat zwei Vorteile:
    - Es läuft die Konfiguration usw. viel flinker als direkt vom Stick (der ist eh langsamer, und TC bremst ja auch noch)
    - Du hast dann auch noch eine Art "Sicherheitskopie" auf dem Rechner ... .


    Sicherheit:
    Nun, so lange der Container nicht gemountet ist, gilt er als "sicher". (Wir wollen das hier nicht näher definieren ...)
    Aber du musst wissen, dass du, sobald du den Container mountest, keine Verschlüsselung mehr hast. Ein gemounteter Container ist immer "offen". Du musst also dem PC, in den du deinen Stick steckst vertrauen. Diese Entscheidung kann dir keiner abnehmen.


    Nur ein paar Argumente:
    - Alles, was du auf einem Rechner machst, hinterlässt Spuren! Mit den üblichen forensichen Tools werden Dateien sichtbar, die der Nutzer längst vergessen hat ... .
    - Es gibt "bewährte" kleine Programme, welche bei angestecktem Stick "blitzschnell" (im Rahmen der max. möglichen Bandbreite) und völlig ohne dass es der Nutzer bemerkt, alle Daten vom Stick auf die Platte kopiert. Und nicht nur auf die Platte, sondern auch "sonstwohin" ... . Gleiches gilt natürlich auch für neue "Partitionen".
    - Keylogger und andere nette Programme nenne ich auch.
    - Und dass "man" auch Passwörter usw. aus dem RAM kopieren kann, ist auch kein Geheimnis.


    Ich gebe zu, alles paranoid. Aber das sind wir ja nach deiner und meiner Aussage beide ... .
    Trotzdem, ich mache es genau so, wie du es vor hast bzw. wie ich es beschrieben habe.


    Wir nennen das, das "kalkulierbare Restrisiko". Also das Risiko, mit dem ich gewillt bin, zu leben. Und an einen Rechner in einem Internetcafe würde ich meinen Stick niemals stecken und schon gar nicht den Container mounten.


    HTH


    MfG Peter (der sich wie immer viel zu viel Zeit genommen/gelassen hat ...)

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo,
    kleine Ergänzung: für das Arbeiten mit GnuPG/Enigmail ist der PTB von Caschy eher nicht so gut geeignet, stattdessen die Versionen von GnuPT.de oder Portableapps.com. Der letztere läuft auch unter Linux mit Wine, allerdings seit 3.x nicht mehr ganz problemlos.

    Zitat

    Aber: den portablen TB gibt es nur für Win.


    Stimmt nicht: PortableLinuxApps
    Auch das hier sieht interessant aus.
    Gruß, muzel
    P.S. URL ergänzt

    Einmal editiert, zuletzt von muzel ()

  • Hi muzel,


    Danke für die Informationen.
    Da ich GnuPG schon ewig nicht mehr nutze, wusste ich das nicht. (Und S/MIME ist ja in jedem "vernünftigen" Mailclient von Hause aus eingebaut ...)


    Naja, mit wine oder - was ich nutze - crossover kannst du ja eh sehr viele WinDOSen-Programme "unter Linux" laufen lassen ... .


    Der Kryptostick gefällt mir auch. Man muss natürlich selbst Aufwand und Nutzen (= Grad des eigenen Sicherheitsbedürfnisses) gegenüberstellen.


    [OT]
    Wenn wir gerade bei "Aufwand und Nutzen" sind:
    Ich suche ein Smartphone, welches eine integrierte S/MIME-Funktion incl. Speicher für die Zertifikate und Schlüssel mitbringt.
    Ja, so etwas gibt es. Ich habe auch eines - aber leider nicht privat. Und bei dem Preis für die kleine Micro-SD-Karte stelle ich mir die Frage nach dem Verhältnis von (privat zu stemmendem) Aufwand und Nutzen erst gar nicht ... .
    [/OT]


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!