Leitfaden zur Online-Anonymität (von https://anonymousplanet.org/)

Die Verwendung erfolgt auf eigene Gefahr. Bitte nehmen Sie diesen Leitfaden nicht als endgültige Wahrheit für alles, denn das ist er nicht.

Spoiler: Inhaltsverzeichnis

• Einführung:
• Grundlegende Informationen darüber, wie einige Informationen zu Ihnen zurückgeführt werden können und wie Sie einige davon entschärfen können:
  • Ihr Netzwerk:
    • Ihre IP-Adresse:
    • Ihre DNS- und IP-Anfragen:
    • Ihre RFID-fähigen Geräte:
    • Die Wi-Fi- und Bluetooth-Geräte in Ihrer Umgebung:
    • Böswillige/abtrünnige Wi-Fi-Zugangspunkte:
    • Ihr anonymisierter Tor/VPN-Verkehr:
    • Einige Geräte können auch dann verfolgt werden, wenn sie offline sind:
  • Ihre Hardware-Kennungen:
    • Ihre IMEI und IMSI (und damit auch Ihre Telefonnummer):
    • Deine Wi-Fi- oder Ethernet-MAC-Adresse:
    • Ihre Bluetooth-MAC-Adresse:
  • Ihre CPU:
  • Ihre Betriebssysteme und Apps Telemetriedienste:
  • Ihre intelligenten Geräte im Allgemeinen:
  • Sie selbst:
    • Ihre Metadaten einschließlich Ihrer Geo-Location:
    • Ihr digitaler Fingerabdruck, Fußabdruck und Ihr Online-Verhalten:
    • Ihre Hinweise auf Ihr reales Leben und OSINT:
    • Ihr Gesicht, Ihre Stimme, Ihre biometrischen Daten und Bilder:
    • Phishing und Social Engineering:
  • Malware, Exploits und Viren:
    • Malware in Ihren Dateien/Dokumenten/E-Mails:
    • Malware und Exploits in Ihren Anwendungen und Diensten:
    • Bösartige USB-Geräte:
    • Malware und Hintertüren in Ihrer Hardware-Firmware und Ihrem Betriebssystem:
  • Ihre Dateien, Dokumente, Bilder und Videos:
    • Eigenschaften und Metadaten:
    • Wasserzeichen:
    • Verpixelte oder unscharfe Informationen:
  • Ihre Transaktionen mit Kryptowährungen:
  • Ihre Cloud-Backups/Synchronisierungsdienste:
  • Ihre Browser- und Geräte-Fingerabdrücke:
  • Lokale Datenlecks und Forensik:
  • Schlechte Kryptographie:
  • Keine Protokollierung, aber trotzdem Protokollierungsrichtlinien:
  • Einige fortgeschrittene gezielte Techniken:
  • Einige Bonus-Ressourcen:
  • Anmerkungen:
• Allgemeine Vorbereitungen:
  • Die Wahl der Route:
    • Zeitliche Beschränkungen:
    • Budget/Materialbeschränkungen:
    • Fertigkeiten:
    • Widersacher (Bedrohungen):
  • Schritte für alle Routen:
    • Besorgen Sie sich eine anonyme Telefonnummer:
    • Besorgen Sie sich einen USB-Stick:
    • Finden Sie sichere Orte mit gutem öffentlichem Wi-Fi:
  • Die TAILS-Route:
    • Dauerhafte Plausible Deniability mit Whonix innerhalb von TAILS:
  • Schritte für alle anderen Routen:
    • Besorgen Sie sich einen speziellen Laptop für Ihre sensiblen Aktivitäten:
    • Einige Laptop-Empfehlungen:
    • Bios/UEFI/Firmware-Einstellungen Ihres Laptops:
    • Schützen Sie Ihren Laptop physisch vor Manipulationen:
  • Die Whonix-Route:
    • Auswahl des Host-Betriebssystems (das auf Ihrem Laptop installierte Betriebssystem):
    • Linux Host-Betriebssystem:
    • MacOS Host-Betriebssystem:
    • Windows Host-Betriebssystem:
    • Virtualbox auf Ihrem Host-Betriebssystem:
    • Wählen Sie Ihre Konnektivitätsmethode:
    • Holen Sie sich einen anonymen VPN/Proxy:
    • Whonix:
    • Tor über VPN:
    • Whonix Virtuelle Maschinen:
    • Wählen Sie eine virtuelle Maschine für Ihre Gast-Workstation:
    • Linux Virtuelle Maschine (Whonix oder Linux):
    • Windows 10 Virtuelle Maschine:
    • Android Virtuelle Maschine:
    • MacOS Virtuelle Maschine:
    • KeepassXC:
    • VPN-Client-Installation (Bargeld/Monero bezahlt):
    • (Optional), so dass nur die VMs auf das Internet zugreifen können, während das Host-Betriebssystem abgeschnitten wird, um ein Leck zu verhindern:
    • Letzter Schritt:
  • Die Qubes-Route:
    • Wählen Sie Ihre Konnektivitätsmethode:
    • Besorgen Sie sich einen anonymen VPN/Proxy:
    • Installation:
    • Verhalten beim Schließen des Deckels:
    • Verbinden Sie sich mit einem öffentlichen Wi-Fi:
    • Qubes OS aktualisieren:
    • Härtung von Qubes OS:
    • Einrichten der VPN ProxyVM:
    • Einrichten eines sicheren Browsers in Qube OS (optional, aber empfohlen):
    • Einrichten einer Android-VM:
    • KeePassXC:
• Erstellen Ihrer anonymen Online-Identitäten:
  • Verstehen der Methoden zur Verhinderung der Anonymität und zur Überprüfung der Identität:
    • Captchas:
    • Telefonische Verifizierung:
    • E-Mail-Überprüfung:
    • Überprüfung der Benutzerdaten:
    • Überprüfung des Identitätsnachweises:
    • IP-Filter:
    • Browser- und Geräte-Fingerprinting:
    • Menschliche Interaktion:
    • Benutzer-Moderation:
    • Verhaltensanalyse:
    • Finanzielle Transaktionen:
    • Anmeldung bei einer Plattform:
    • Live-Gesichtserkennung und Biometrie (wieder):
    • Manuelle Überprüfungen:
  • Online werden:
    • Neue Identitäten erstellen:
    • Das Real-Name-System:
    • Über kostenpflichtige Dienste:
    • Überblick:
    • Anonymes Teilen von Dateien oder Chatten:
    • Sichere Schwärzung von Dokumenten/Bildern/Videos/Audio:
    • Übermittlung sensibler Informationen an verschiedene bekannte Organisationen:
    • Wartungsaufgaben:
• Sicheres Sichern Ihrer Arbeit:
  • Offline-Backups:
    • Backups ausgewählter Dateien:
    • Vollständige Festplatten-/System-Backups:
  • Online-Sicherungen:
    • Dateien:
    • Informationen:
  • Synchronisieren Ihrer Dateien zwischen Geräten Online:
• Verwischen Sie Ihre Spuren:
  • Verstehen von HDD vs. SSD:
    • Abnutzungsausgleich.
    • Trimm-Operationen:
    • Garbage Collection:
    • Schlussfolgerung:
  • Wie Sie Ihren gesamten Laptop/die Festplatten sicher löschen können, wenn Sie alles löschen wollen:
    • Linux (alle Versionen einschließlich Qubes OS):
    • Windows:
    • MacOS:
  • Wie Sie bestimmte Dateien/Ordner/Daten auf Ihrer HDD/SSD und Ihren USB-Sticks sicher löschen können:
    • Windows:
    • Linux (nicht Qubes OS):
    • Linux (Qubes OS):
    • MacOS:
  • Einige zusätzliche Maßnahmen gegen Forensik:
    • Entfernen von Metadaten aus Dateien/Dokumenten/Bildern:
    • TAILS:
    • Whonix:
    • MacOS:
    • Linux (Qubes OS):
    • Linux (nicht-Qubes):
    • Windows:
  • Beseitigung einiger Spuren Ihrer Identitäten auf Suchmaschinen und verschiedenen Plattformen:
    • Google:
    • Bing:
    • DuckDuckGo:
    • Yandex:
    • Qwant:
    • Yahoo Suche:
    • Baidu:
    • Wikipedia:
    • Archiv.heute:
    • Internet-Archiv:
• Einige Low-Tech-Tricks der alten Schule:
  • Versteckte Kommunikation im Verborgenen:
  • Wie Sie erkennen, ob jemand Ihre Sachen durchsucht hat:
• Einige letzte OPSEC-Überlegungen:
• Wenn Sie glauben, dass Sie verbrannt wurden:
  • Wenn Sie etwas Zeit haben:
  • Wenn Sie keine Zeit haben:
• Eine kleine redaktionelle Anmerkung zum Schluss

 

[HEISENBERG]

Budget/Materialbeschränkungen.

• Sie haben nur einen Laptop zur Verfügung und können sich nichts anderes leisten. Sie verwenden diesen Laptop entweder für die Arbeit, die Familie oder Ihre persönlichen Dinge (oder beides):
  
  • Ihre beste Option ist die Verwendung von Tails.
• Sie können sich einen zusätzlichen, unbeaufsichtigten/unüberwachten Laptop für Ihre sensiblen Aktivitäten leisten:
  
  • Aber er ist alt, langsam und hat schlechte Spezifikationen (weniger als 6 GB RAM, weniger als 250 GB Festplattenspeicher, alte/langsame CPU):
    
    • Sie sollten sich für die Tails-Route entscheiden.
  • Er ist noch nicht so alt und hat eine gute Ausstattung (mindestens 6 GB RAM, 250 GB Festplattenspeicher oder mehr, eine gute CPU):
    
    • Sie könnten sich für die Tails- oder Whonix-Route entscheiden.
  • Es ist neu und hat großartige Spezifikationen (mehr als 8 GB RAM, >250 GB Festplattenspeicher, aktuelle schnelle CPU):
    
    • Sie können sich für jede Route entscheiden, aber ich würde Qubes OS empfehlen, wenn Ihr Bedrohungsmodell dies zulässt.
  • Wenn es ein ARM-basierter M1 Mac ist:
    
    • Aus diesen Gründen derzeit nicht möglich:
      
      • Die Virtualisierung von x86-Images auf ARM M1 Macs ist noch auf kommerzielle Software (Parallels) beschränkt, die von Whonix noch nicht unterstützt wird.
      • Virtualbox ist für die ARM-Architektur noch nicht verfügbar.
      • Whonix wird auf der ARM-Architektur noch nicht unterstützt.
      • Tails wird auf der ARM-Architektur noch nicht unterstützt.
      • Qubes OS wird auf der ARM-Architektur noch nicht unterstützt.

Deine einzige Option auf M1-Macs ist wahrscheinlich, mit Tor Browses zu arbeiten. Wenn du dir einen M1-Mac leisten kannst, solltest du dir einen dedizierten x86-Laptop für sensiblere Aktivitäten zulegen.

 

[HEISENBERG]

Fertigkeiten.

• Sie haben keinerlei IT-Kenntnisse und der Inhalt dieses Leitfadens erscheint Ihnen wie eine fremde Sprache?
  
  • Dann sollten Sie die "Tails"-Variante wählen (mit Ausnahme des Abschnitts "Plausible Bestreitbarkeit").
• Du hast einige IT-Kenntnisse und verstehst den Leitfaden bis jetzt weitgehend
  
  • Sie sollten sich für die Tails- (einschließlich des Abschnitts über die anhaltende plausible Bestreitbarkeit) oder die Whonix-Route entscheiden.
• Sie haben mäßige bis gute IT-Kenntnisse und sind bereits mit einem Teil des Inhalts dieses Leitfadens vertraut
  
  • Sie können jede beliebige Route wählen, aber ich würde Ihnen Qubes OS empfehlen.
• Sie sind ein l33T-Hacker, "es gibt keinen Löffel", "der Kuchen ist eine Lüge", Sie benutzen seit Jahren "doas" und "all Ihre Basis gehört uns", und Sie haben eine starke Meinung zu systemd.
  
  • Diese Anleitung ist nicht wirklich für dich gedacht und wird dir nicht mit deinem HardenedBSD auf deinem gehärteten Libreboot-Laptop helfen ;-)

 

[HEISENBERG]

Widersacher (Bedrohungen).

• Wenn Ihr Hauptanliegen die forensische Untersuchung Ihrer Geräte ist:
  
  • Sie sollten die Tails-Route wählen (mit optionaler dauerhafter plausibler Bestreitbarkeit).
• Wenn Sie sich vor allem Sorgen um entfernte Gegner machen, die Ihre Online-Identität auf verschiedenen Plattformen aufdecken könnten:
  
  • Sie könnten sich für Whonix oder Qubes OS entscheiden.
  • Sie könnten sich auch für Tails entscheiden (mit optionaler persistenter plausibler Bestreitbarkeit).
• Wenn Sie trotz der Risiken unbedingt eine systemweite plausible Bestreitbarkeit wünschen:
  
  • Sie könnten sich für die Tails-Route entscheiden, einschließlich des Abschnitts über die dauerhafte plausible Bestreitbarkeit.
  • Sie könnten die Whonix-Route wählen (im Rahmen dieses Leitfadens nur auf dem Windows-Hostbetriebssystem).
• Wenn Sie sich in einer feindlichen Umgebung befinden, in der die Nutzung von Tor/VPN allein unmöglich/gefährlich/verdächtig ist:
  
  • Sie können die Tails-Route wählen (ohne Tor zu verwenden).
  • Du könntest den Weg über Whonix oder Qubes OS gehen (ohne Whonix zu benutzen).

In jedem Fall solltest du diese beiden Seiten aus der Whonix-Dokumentation lesen, die dir einen detaillierten Einblick in deine Möglichkeiten geben:

• https://www.whonix.org/wiki/Warning [Archive.org]
• https://www.whonix.org/wiki/Dev/Threat_Model [Archive.org]
• https://www.whonix.org/wiki/Comparison_with_Others [Archive. org]

Vielleicht fragen Sie sich jetzt: "Woher weiß ich, ob ich mich in einer feindlichen Online-Umgebung befinde, in der Aktivitäten aktiv überwacht und blockiert werden?"

• Lies zuerst mehr darüber bei der EFF hier: https://ssd.eff.org/en/module/understanding-and-circumventing-network-censorship [Archive.org]
• Überprüfe selbst einige Daten hier auf der Tor Project OONI (Open Observatory of Network Interference) Website: https://explorer.ooni.org/ [Archive.org]
• Sieh dir https://censoredplanet.org/ [Archive.org] an und schau, ob sie Daten über dein Land haben.
• Teste selbst mit OONI (dies kann in einer feindlichen Umgebung riskant sein).

 

[HEISENBERG]

Schritte für alle Routen.

Gewöhnen Sie sich an, bessere Passwörter zu verwenden.

Siehe Anhang A2: Richtlinien für Passwörter und Passphrasen.

Besorgen Sie sich eine anonyme Telefonnummer.

Überspringen Sie diesen Schritt, wenn Sie nicht die Absicht haben, auf den meisten gängigen Plattformen anonyme Konten einzurichten, sondern nur anonym surfen wollen, oder wenn die Plattformen, die Sie nutzen wollen, eine Registrierung ohne Telefonnummer erlauben.

Physisches Burner-Telefon und Prepaid-SIM-Karte.

Besorgen Sie sich ein Brenner-Telefon.

Das ist ziemlich einfach. Lassen Sie Ihr Smartphone ausgeschaltet oder schalten Sie es aus, bevor Sie gehen. Nehmen Sie etwas Bargeld mit und gehen Sie zu einem zufälligen Flohmarkt oder einem kleinen Geschäft (idealerweise eines ohne Videoüberwachung drinnen oder draußen und ohne fotografiert/gefilmt zu werden) und kaufen Sie einfach das billigste Telefon, das Sie finden können, mit Bargeld und ohne irgendwelche persönlichen Daten anzugeben. Es muss nur funktionstüchtig sein.


Ich persönlich würde empfehlen, ein altes "Dumbphone" mit herausnehmbarem Akku zu kaufen (ein altes Nokia, falls Ihre Mobilfunknetze noch eine Verbindung zulassen, da einige Länder 1G-2G komplett abgeschafft haben). Damit vermeiden Sie das automatische Senden/Sammeln von Telemetrie-/Diagnosedaten auf dem Telefon selbst. Sie sollten das Telefon niemals mit einem Wi-Fi-Netzwerk verbinden.


Wichtig ist auch, dass Sie das Brenner-Telefon niemals (auch nicht ohne SIM-Karte) an einem Ort einschalten, der zu Ihnen führen könnte (z. B. zu Hause oder am Arbeitsplatz), und niemals an demselben Ort wie Ihr anderes bekanntes Smartphone (denn dieses hat eine IMEI/IMSI, die leicht zu Ihnen führen kann). Dies mag wie eine große Belastung erscheinen, ist es aber nicht, da diese Telefone nur während des Einrichtungs-/Signierungsprozesses und von Zeit zu Zeit zur Überprüfung verwendet werden.


Siehe Anhang N: Warnhinweis zu Smartphones und intelligenten Geräten


Bevor Sie zum nächsten Schritt übergehen, sollten Sie prüfen, ob das Telefon funktionstüchtig ist. Aber ich wiederhole mich und weise noch einmal darauf hin, dass es wichtig ist, das Smartphone zu Hause zu lassen (oder es vor der Abreise auszuschalten, wenn Sie es behalten müssen) und das Telefon an einem zufälligen Ort zu testen, der nicht zu Ihnen zurückverfolgt werden kann (und noch einmal, tun Sie das nicht vor einer Überwachungskamera, vermeiden Sie Kameras, achten Sie auf Ihre Umgebung). Auch an diesem Ort ist kein Wi-Fi erforderlich.


Wenn Sie sicher sind, dass das Telefon funktioniert, deaktivieren Sie Bluetooth, schalten Sie es aus (nehmen Sie den Akku heraus, wenn Sie können), gehen Sie nach Hause und nehmen Sie Ihre normalen Aktivitäten wieder auf. Fahren Sie mit dem nächsten Schritt fort.

Besorgen Sie sich eine anonyme Pre-Paid-SIM-Karte.

Dies ist der schwierigste Teil des gesamten Leitfadens. Es ist ein SPOF (Single Point of Failure). Die Orte, an denen Sie noch Prepaid-SIM-Karten ohne ID-Registrierung kaufen können, werden aufgrund verschiedener KYC-Vorschriften zunehmend eingeschränkt.


Hier ist eine Liste der Stellen, wo man sie jetzt noch bekommen kann: https://prepaid-data-sim-card.fandom.com/wiki/Registration_Policies_Per_Country [Archive.org]


Sie sollten in der Lage sein, einen Ort zu finden, der nicht allzu weit entfernt ist, und einfach dorthin gehen, um einige Prepaid-Karten und Aufladegutscheine mit Bargeld zu kaufen. Vergewissern Sie sich vor der Reise, dass kein Gesetz verabschiedet wurde, das eine Registrierung vorschreibt (falls das obige Wiki nicht aktualisiert wurde). Versuchen Sie, Überwachungskameras zu vermeiden, und vergessen Sie nicht, zusammen mit der SIM-Karte einen Aufladegutschein zu kaufen (wenn es sich nicht um ein Paket handelt), da die meisten Prepaid-Karten vor der Verwendung aufgeladen werden müssen.


Siehe Anhang N: Warnung vor Smartphones und intelligenten Geräten


Vergewissern Sie sich, dass die Mobilfunkbetreiber, die die Prepaid-SIM-Karten verkaufen, die SIM-Aktivierung und das Aufladen ohne jegliche ID-Registrierung akzeptieren, bevor Sie dort hingehen. Idealerweise sollten sie die SIM-Aktivierung und das Aufladen von dem Land aus akzeptieren, in dem Sie sich aufhalten.


Ich persönlich würde GiffGaff im Vereinigten Königreich empfehlen, da sie "erschwinglich" sind, keine Identifizierung für die Aktivierung und das Aufladen verlangen und Ihnen sogar erlauben, Ihre Nummer bis zu zwei Mal über ihre Website zu ändern. Mit einer Prepaid-SIM-Karte von GiffGaff erhalten Sie also 3 Nummern, die Sie für Ihre Bedürfnisse nutzen können.


Schalten Sie das Telefon nach der Aktivierung/Aufladung und bevor Sie nach Hause gehen aus. Schalten Sie es nie wieder ein, es sei denn, Sie befinden sich nicht an einem Ort, der Ihre Identität preisgeben könnte, und Ihr Smartphone ist ausgeschaltet, bevor Sie sich an diesen Ort begeben, der nicht Ihr Zuhause ist.

Online-Telefonnummer (weniger empfohlen).

DISCLAIMER: Versuchen Sie dies erst, wenn Sie eine sichere Umgebung gemäß einer der ausgewählten Routen eingerichtet haben. Dieser Schritt erfordert einen Online-Zugang und sollte nur von einem anonymen Netzwerk aus durchgeführt werden. Führen Sie diesen Schritt nicht von einer bekannten/unsicheren Umgebung aus durch. Überspringen Sie diesen Schritt, bis Sie eine der Routen abgeschlossen haben.


Es gibt viele kommerzielle Dienste, die Nummern für den Online-Empfang von SMS-Nachrichten anbieten, aber die meisten dieser Dienste bieten im Grunde keine Anonymität/Privatsphäre und können keine Hilfe sein, da die meisten Social-Media-Plattformen die Anzahl der Registrierungen für eine Telefonnummer begrenzen.


Es gibt einige Foren und Subreddits (wie z. B. r/phoneverification/), in denen Nutzer gegen eine geringe Gebühr (mit PayPal oder einer Krypto-Zahlung) anbieten, solche SMS-Nachrichten für Sie zu empfangen. Leider sind diese Seiten voll von Betrügern und sehr riskant, was die Anonymität angeht. Sie sollten diese unter keinen Umständen nutzen.


Bis heute ist mir kein seriöser Dienst bekannt, der diesen Service anbietet und Barzahlungen (z. B. per Post) akzeptiert, wie einige VPN-Anbieter. Es gibt jedoch einige Dienste, die Online-Telefonnummern bereitstellen und Monero akzeptieren, was einigermaßen anonym sein könnte (jedoch weniger empfehlenswert ist als der physische Weg im vorherigen Kapitel), den Sie in Betracht ziehen könnten:

• Empfohlen: Sie verlangen keine Identifizierung (auch nicht per E-Mail):
  
  • (https://dtmf.io/ [Archive.org] bevorzugt, weil sie sogar eine versteckte Service-Adresse für den direkten Zugang über das Tor-Netzwerk unter http://dtmfiovjh42uviqez6qn75igbagtiyo724hy3rdxm77dy2m5tt7lbaqd.onion/ anbieten.
  • (mit Sitz in Island) https://crypton.sh [Archive.org]
  • (mit Sitz in der Ukraine) https://virtualsim.net/ [Archive.org]
• Erfordern eine Identifizierung (gültige E-Mail):
  
  • (Deutschland) https://www.sms77.io/ [Archive.org]
  • (mit Sitz in Russland) https://onlinesim.ru/ [Archive.org]

Es gibt noch einige andere Möglichkeiten, die hier aufgeführt sind https://cryptwerk.com/companies/sms/xmr/ [Archive.org]. Die Nutzung erfolgt auf eigene Gefahr.


DISCLAIMER: Ich kann für keinen dieser Anbieter bürgen und empfehle daher, es selbst vor Ort zu tun. In diesem Fall müssen Sie sich auf die Anonymität von Monero verlassen und sollten keinen Dienst nutzen, der irgendeine Art von Identifizierung mit Ihrer echten Identität erfordert. Bitte lesen Sie diesen Monero Disclaimer.


Daher ist es IMHO wahrscheinlich bequemer, billiger und risikoärmer, sich einfach eine Prepaid-SIM-Karte von einem der physischen Orte zu besorgen, die sie immer noch gegen Bargeld verkaufen, ohne eine Identitätsregistrierung zu verlangen. Aber zumindest gibt es eine Alternative, wenn Sie keine andere Möglichkeit haben.

Besorgen Sie sich einen USB-Stick.

Besorgen Sie sich mindestens einen oder zwei generische USB-Sticks in angemessener Größe (mindestens 16 GB, ich würde aber 32 GB empfehlen).


Bitte kaufen oder verwenden Sie keine selbstverschlüsselnden Geräte wie diese: https://syscall.eu/blog/2018/03/12/aigo_part1/ [Archive.org]


Einige mögen sehr effizient sein, aber viele sind nur Spielereien, die keinen wirklichen Schutz bieten.

Finden Sie sichere Orte mit gutem öffentlichem Wi-Fi.

Sie müssen sichere Orte finden, an denen Sie Ihre sensiblen Aktivitäten über ein öffentlich zugängliches WLAN durchführen können (ohne Konto-/ID-Registrierung, ohne Videoüberwachung).


Dies kann ein Ort sein, der nicht direkt mit Ihnen verbunden ist (Ihr Zuhause/Arbeitsplatz) und an dem Sie das Wi-Fi eine Zeit lang unbehelligt nutzen können. Aber auch ein Ort, an dem Sie dies tun können, ohne von jemandem "bemerkt" zu werden.


Wenn Sie denken, dass Starbucks eine gute Idee ist, sollten Sie das noch einmal überdenken:

• Wahrscheinlich haben sie in all ihren Geschäften Überwachungskameras und bewahren die Aufnahmen für eine unbekannte Zeitspanne auf.
• In den meisten Läden müssen Sie einen Kaffee kaufen, um den Wi-Fi-Zugangscode zu erhalten. Wenn Sie diesen Kaffee mit einer elektronischen Methode bezahlen, können sie Ihren Wi-Fi-Zugang mit Ihrer Identität verknüpfen.

Situationsbewusstsein ist das A und O. Sie sollten sich Ihrer Umgebung stets bewusst sein und touristische Orte meiden, als ob sie von Ebola heimgesucht worden wären. Vermeiden Sie es, auf einem Bild/Video von jemandem zu erscheinen, der gerade ein Selfie macht, ein TikTok-Video dreht oder ein Reisefoto auf Instagram postet. Wenn Sie es doch tun, ist die Wahrscheinlichkeit groß, dass diese Bilder online (öffentlich oder privat) mit vollständigen Metadaten (Zeit/Datum/Geografiestandort) und Ihrem Gesicht veröffentlicht werden. Denken Sie daran, dass diese Daten von Facebook/Google/Yandex/Apple und wahrscheinlich von allen drei Agenturen indiziert werden können und werden.


Auch wenn dies den Polizeibeamten vor Ort noch nicht zur Verfügung steht, könnte es in naher Zukunft der Fall sein.


Idealerweise benötigen Sie eine Reihe von 3-5 verschiedenen Orten wie diesen, um zu vermeiden, dass Sie denselben Ort zweimal benutzen. Für die verschiedenen Schritte in diesem Leitfaden werden im Laufe der Wochen mehrere Fahrten erforderlich sein.


Sie könnten auch in Erwägung ziehen, eine Verbindung zu diesen Orten aus sicherer Entfernung herzustellen, um die Sicherheit zu erhöhen. Siehe Anhang Q: Verwendung einer Antenne mit großer Reichweite, um aus sicherer Entfernung eine Verbindung zu öffentlichen Wi-Fi-Anlagen herzustellen.

 

[HEISENBERG]

Der Weg zum Ziel.

Dieser Teil des Handbuchs hilft Ihnen bei der Einrichtung von Tails, wenn einer der folgenden Punkte zutrifft:

• Sie können sich keinen eigenen Laptop leisten
• Ihr dedizierter Laptop ist einfach zu alt und zu langsam
• Sie haben sehr geringe IT-Kenntnisse
• Sie sich trotzdem für Tails entscheiden

Tails steht für The Amnesic Incognito Live System. Es ist ein bootfähiges Live-Betriebssystem, das von einem USB-Stick läuft, der so konzipiert ist, dass er keine Spuren hinterlässt und alle Verbindungen durch das Tor-Netzwerk erzwingt.


Du steckst den Tails-USB-Stick einfach in deinen Laptop, bootest davon und schon hast du ein komplettes Betriebssystem, das auf Privatsphäre und Anonymität ausgelegt ist. Sobald du den Computer herunterfährst, ist alles weg, es sei denn, du hast es irgendwo gespeichert.


Tails ist ein sehr einfacher Weg, um in kürzester Zeit mit dem, was Sie haben, und ohne viel Lernaufwand loszulegen. Es verfügt über eine ausführliche Dokumentation und Tutorials.


WARNUNG: Tails ist nicht immer auf dem neuesten Stand, was die mitgelieferte Software angeht. Und auch die Tor-Browser-Updates sind nicht immer aktuell. Du solltest immer sicherstellen, dass du die aktuellste Version von Tails verwendest und du solltest extrem vorsichtig sein, wenn du gebündelte Anwendungen innerhalb von Tails verwendest, die anfällig für Exploits sein könnten und deinen Standortverraten265.


Es hat jedoch auch einige Nachteile:

• Tails verwendet Tor und daher werden Sie Tor verwenden, um auf alle Ressourcen im Internet zuzugreifen. Dies allein macht Sie für die meisten Plattformen, auf denen Sie anonyme Konten erstellen möchten, verdächtig (dies wird später noch genauer erklärt).
• Dein ISP (egal ob es deiner ist oder ein öffentliches Wi-Fi) wird auch sehen, dass du Tor benutzt und das könnte dich schon verdächtig machen.
• Tails enthält nicht (von Haus aus) einige der Software, die du vielleicht später benutzen willst, was die Dinge ziemlich kompliziert macht, wenn du bestimmte Dinge benutzen willst (Android-Emulatoren zum Beispiel).
• Tails verwendet den Tor-Browser, der zwar sehr sicher ist, aber von den meisten Plattformen erkannt wird und Sie daran hindert, auf vielen Plattformen anonyme Identitäten zu erstellen.
• Tails wird dich nicht mehr vor dem 5$-Schlüssel8 schützen.
• Tor allein reicht möglicherweise nicht aus, um dich vor einem Angreifer zu schützen, der über genügend Ressourcen verfügt, wie bereits erwähnt.

Wichtiger Hinweis: Wenn dein Laptop überwacht wird und einige lokale Beschränkungen bestehen, lies bitte Anhang U: Wie man (einige) lokale Beschränkungen auf überwachten Computern umgeht.


Sie sollten auch die Tails-Dokumentation, Warnungen und Einschränkungen lesen, bevor Sie weitergehen https://tails.boum.org/doc/about/warnings/index.en.html [Archive.org]


In Anbetracht all dessen und der Tatsache, dass die Dokumentation großartig ist, werde ich Sie auf das gut gemachte und gut gewartete Tutorial verweisen:


https://tails.boum.org/install/index.en.html [Archive.org], wählen Sie Ihren Geschmack und fahren Sie fort.


Wenn Sie fertig sind und ein funktionierendes Tails auf Ihrem Laptop haben, gehen Sie zum Schritt Erstellen Ihrer anonymen Online-Identitäten weiter hinten in dieser Anleitung.


Wenn du Probleme mit dem Zugang zu Tor aufgrund von Zensur oder anderen Problemen hast, kannst du versuchen, Tor Bridges zu benutzen, indem du diesem Tails-Tutorial folgst: https://tails.boum.org/doc/first_steps/welcome_screen/bridge_mode/index.en.html [Archive.org] und mehr Informationen darüber auf Tor Documentation https://2019.www.torproject.org/docs/bridges [Archive.org] findest.


Wenn du denkst, dass die Verwendung von Tor allein gefährlich/verdächtig ist, siehe Anhang P: So sicher wie möglich ins Internet gehen, wenn Tor/VPN keine Option ist

 

[HEISENBERG]

Persistent Plausible Deniability mit Whonix in Tails.

Schauen Sie sich das https://github.com/aforensics/HiddenVM [Archive.org] Projekt für Tails an.


Bei diesem Projekt handelt es sich um eine clevere Idee für eine in sich geschlossene VM-Lösung, die Sie mit einem Klick auf einer verschlüsselten Festplatte speichern können, wobei Sie plausible Bestreitbarkeit256 verwenden (siehe Die Whonix-Route: erste Kapitel und auch für einige Erklärungen zu plausibler Bestreitbarkeit, sowie den Abschnitt Wie man bestimmte Dateien/Ordner/Daten auf Ihrer Festplatte/SSD und Thumb-Laufwerken sicher löscht: am Ende dieses Leitfadens für ein besseres Verständnis).


Dies würde die Erstellung eines Hybridsystems ermöglichen, das Tails mit den Virtualisierungsoptionen der Whonix-Route in diesem Leitfaden kombiniert.

Hinweis: Weitere Erklärungen zur Stream Isolation finden Sie unter Wählen Sie Ihre Konnektivitätsmethode in der Whonix-Route


Kurz und gut:

• Sie könnten nicht-persistente Tails von einem USB-Stick aus betreiben (gemäß ihren Empfehlungen)
• Du könntest persistente VMs in einem sekundären Container speichern, der normal oder mit Veracrypt verschlüsselt werden kann (das können z.B. Whonix-VMs oder andere sein).
• Du profitierst von der zusätzlichen Tor Stream Isolation Funktion (siehe Tor über VPN für weitere Informationen über Stream Isolation).

In diesem Fall, so wie es das Projekt skizziert, sollte es keine Spuren deiner Aktivitäten auf deinem Computer geben und die sensible Arbeit könnte von VMs aus erledigt werden, die in einem versteckten Container gespeichert sind, der für einen sanften Gegner nicht leicht zu entdecken sein sollte.


Diese Option ist besonders interessant, wenn Sie mit leichtem Gepäck reisen und forensische Angriffe abschwächen möchten, während Sie Ihre Arbeit aufrechterhalten. Sie benötigen nur zwei USB-Sticks (einen mit Tails und einen mit einem Veracrypt-Container, der persistente Whonix enthält). Der erste USB-Schlüssel enthält scheinbar nur Tails, der zweite USB-Schlüssel enthält scheinbar nur zufälligen Müll, hat aber ein Täuschungsvolumen, das Sie vorzeigen können, um es glaubhaft zu leugnen.


Du könntest dich auch fragen, ob dies zu einer "Tor über Tor"-Einrichtung führen wird, aber das wird es nicht. Die Whonix-VMs werden direkt über Clearnet auf das Netzwerk zugreifen und nicht über Tails Onion Routing.


In Zukunft könnte dies auch vom Whonix-Projekt selbst unterstützt werden, wie hier erklärt wird: https://www.whonix.org/wiki/Whonix-Host [Archive.org], aber es wird im Moment noch nicht für Endbenutzer empfohlen.


Denken Sie daran, dass Verschlüsselung mit oder ohne plausible Bestreitbarkeit kein Allheilmittel ist und im Falle von Folter wenig nützt. Je nachdem, wer Ihr Gegner ist (Ihr Bedrohungsmodell), könnte es sogar ratsam sein, Veracrypt (früher TrueCrypt) überhaupt nicht zu verwenden, wie in dieser Demonstration gezeigt wird: https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm [Archive.org]


Plausible Bestreitbarkeit ist nur gegen weiche, rechtmäßige Gegner wirksam, die nicht zu physischen Mitteln greifen.


Siehe https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive. org]


ACHTUNG: Bitte lesen Sie Anhang K: Überlegungen zur Verwendung externer SSD-Laufwerke und die Abschnitte HDD vs. SSD verstehen, wenn Sie erwägen, solche versteckten VMs auf einem externen SSD-Laufwerk zu speichern:

• Verwenden Sie keine versteckten Volumes auf SSD-Laufwerken, da dies von Veracrypt nicht unterstützt/empfohlen wird.
• Verwenden Sie stattdessen Datei-Container anstelle von verschlüsselten Volumes.
• Stellen Sie sicher, dass Sie wissen, wie man Daten von einem externen SSD-Laufwerk richtig bereinigt.

Hier ist meine Anleitung, wie Sie dies erreichen können:

Erster Durchlauf.

• Laden Sie die neueste Version von HiddenVM von https://github.com/aforensics/HiddenVM/releases [Archive.org] herunter.
• Laden Sie die neueste Version von Whonix XFCE von https://www.whonix.org/wiki/VirtualBox/XFCE [Archive.org] herunter.
• Bereiten Sie einen USB-Stick/Laufwerk mit Veracrypt vor
  
  • Erstellen Sie ein Hidden Volume auf dem USB/Key-Laufwerk (ich würde mindestens 16GB für das Hidden Volume empfehlen)
  • Legen Sie auf das äußere Volume einige Täuschungsdateien.
  • Auf dem versteckten Volume platzieren Sie die HiddenVM Appimage-Datei
  • Legen Sie auf dem versteckten Volume die Whonix XFCE ova-Datei ab
• Booten Sie in Tails
• Richten Sie das Tastaturlayout wie gewünscht ein.
• Wählen Sie Zusätzliche Einstellungen und setzen Sie ein Administrator (root) Passwort (benötigt für die Installation von HiddenVM)
• Starten Sie Tails
• Verbinden Sie sich mit einer sicheren W-LAN-Verbindung (dieser Schritt ist notwendig, damit der Rest funktioniert)
• Gehen Sie zu Utilities und schalten Sie Ihr Veracrypt (verstecktes) Volume frei (vergessen Sie nicht, die Checkbox für das versteckte Volume zu aktivieren)
• Starten Sie das HiddenVM Appimage
• Wenn Sie aufgefordert werden, einen Ordner auszuwählen, wählen Sie das Stammverzeichnis des versteckten Datenträgers (wo sich die Whonix OVA und die HiddenVM App-Image-Dateien befinden).
• Lassen Sie es seine Arbeit machen (Virtualbox wird mit einem Klick in Tails installiert)
• Danach sollte der Virtualbox Manager automatisch gestartet werden.
• Importieren Sie die Whonix OVA-Dateien (siehe Whonix Virtual Machines:)

Wenn Sie während des Imports Probleme wie "NS_ERROR_INVALID_ARG (0x80070057)" haben, liegt das wahrscheinlich daran, dass auf Ihrem Hidden Volume nicht genügend Speicherplatz für Whonix vorhanden ist. Whonix selbst empfiehlt 32 GB freien Speicherplatz, aber das ist wahrscheinlich nicht notwendig und 10 GB sollten für den Anfang ausreichen. Sie können versuchen, diesen Fehler zu umgehen, indem Sie die Whonix *.OVA-Datei in *.TAR umbenennen und sie in Tails dekomprimieren. Wenn Sie mit der Dekomprimierung fertig sind, löschen Sie die OVA-Datei und importieren Sie die anderen Dateien mit dem Import-Assistenten. Dieses Mal könnte es funktionieren.

Nachfolgende Läufe.

• In Tails booten
• Mit Wi-Fi verbinden
• Entsperren Sie Ihr Hidden Volume
• Starten Sie die HiddenVM App
• Dies sollte automatisch den VirtualBox Manager öffnen und Ihre vorherigen VMs aus dem ersten Durchlauf anzeigen

 

[HEISENBERG]

Schritte für alle anderen Routen.

Besorgen Sie sich einen speziellen Laptop für Ihre sensiblen Aktivitäten.

Idealerweise sollten Sie sich einen speziellen Laptop besorgen, der nicht auf einfache Weise mit Ihnen in Verbindung gebracht werden kann (idealerweise anonym mit Bargeld bezahlt und unter Anwendung der gleichen Vorsichtsmaßnahmen wie zuvor für das Telefon und die SIM-Karte erwähnt). Dies wird empfohlen, ist aber nicht zwingend erforderlich, da dieser Leitfaden Ihnen dabei helfen wird, Ihren Laptop so gut wie möglich zu schützen, um Datenlecks auf verschiedenen Wegen zu verhindern. Zwischen Ihrer Online-Identität und Ihnen selbst stehen mehrere Verteidigungslinien, die die meisten Angreifer daran hindern sollten, Sie zu deanonymisieren, abgesehen von staatlichen/globalen Akteuren mit beträchtlichen Ressourcen.


Bei diesem Laptop sollte es sich idealerweise um einen frisch installierten Laptop (mit Windows, Linux oder MacOS) handeln, auf dem keine alltäglichen Aktivitäten stattfinden und der offline ist (noch nie mit dem Netzwerk verbunden). Im Falle eines Windows-Laptops, und wenn Sie ihn vor einer solchen Neuinstallation verwendet haben, sollte er auch nicht aktiviert sein (Neuinstallation ohne Produktschlüssel). Insbesondere bei MacBooks sollte das Gerät noch nie mit Ihrer Identität in Verbindung gebracht worden sein. Kaufen Sie also ein gebrauchtes Gerät mit Bargeld von einem unbekannten Fremden, der Ihre Identität nicht kennt.


Dies dient dazu, künftige Probleme im Falle von Online-Leaks (einschließlich Telemetrie von Ihrem Betriebssystem oder Apps) zu vermeiden, die eindeutige Identifikatoren des Laptops während der Nutzung kompromittieren könnten (MAC-Adresse, Bluetooth-Adresse und Produktschlüssel ...). Aber auch, um zu vermeiden, dass Sie zurückverfolgt werden, wenn Sie den Laptop entsorgen müssen.


Wenn Sie den Laptop zuvor für andere Zwecke verwendet haben (z. B. für Ihre täglichen Aktivitäten), sind alle seine Hardware-Kennungen wahrscheinlich bekannt und von Microsoft oder Apple registriert. Wenn später einer dieser Identifikatoren kompromittiert wird (durch Malware, Telemetrie, Exploits, menschliche Fehler ...), könnten sie zu Ihnen zurückführen.


Der Laptop sollte mindestens 250 GB Festplattenspeicher und mindestens 6 GB (idealerweise 8 GB oder 16 GB) Arbeitsspeicher haben und in der Lage sein, mehrere virtuelle Maschinen gleichzeitig auszuführen. Er sollte über einen funktionierenden Akku verfügen, der einige Stunden durchhält.


Dieser Laptop kann mit einer Festplatte (7200 U/min) oder einem SSD/NVMe-Laufwerk ausgestattet sein. Beide Möglichkeiten haben ihre Vorteile und Probleme, auf die wir später noch eingehen werden.


Alle zukünftigen Online-Schritte, die mit diesem Laptop durchgeführt werden, sollten idealerweise über ein sicheres Netzwerk erfolgen, z. B. über ein öffentliches Wi-Fi an einem sicheren Ort (siehe Finden Sie sichere Orte mit gutem öffentlichen Wi-Fi). Einige Schritte müssen jedoch zunächst offline durchgeführt werden.

 

[HEISENBERG]

Einige Empfehlungen für Laptops.

Wenn Sie es sich leisten können, sollten Sie einen Purism Librem Laptop(https://puri.sm [Archive.org]) oder System76 Laptops(https://system76.com/ [Archive.org]) in Betracht ziehen, wenn Sie Coreboot verwenden (bei dem Intel IME ab Werk deaktiviert ist).


In anderen Fällen würde ich dringend empfehlen, Business-Grade-Laptops (also keine Consumer-/Gaming-Grade-Laptops) zu kaufen, wenn Sie können. Zum Beispiel ein ThinkPad von Lenovo (mein persönlicher Favorit). Hier sind Listen von Laptops, die derzeit Libreboot unterstützen, und andere, bei denen Sie Coreboot selbst flashen können (was Ihnen erlaubt, Intel IME oder AMD PSP zu deaktivieren):

• https://freundschafter.com/research...-intel-me-iamt-and-amd-psp-secure-technology/ [Archive.org]
• https://libreboot.org/docs/hardware/ [Archive.org]
• https://coreboot.org/status/board-status.html [Archive. org]

Das liegt daran, dass diese Business-Laptops in der Regel bessere und besser anpassbare Sicherheitsfunktionen (insbesondere in den BIOS/UEFI-Einstellungen) mit längerem Support bieten als die meisten Consumer-Laptops (Asus, MSI, Gigabyte, Acer...). Die interessanten Funktionen, auf die man achten sollte, sind IMHO:

• Bessere benutzerdefinierte Secure-Boot-Einstellungen (wobei Sie alle Schlüssel selektiv verwalten können und nicht nur die Standardschlüssel verwenden)
• HDD/SSD-Passwörter zusätzlich zu den BIOS/UEFI-Passwörtern.
• AMD-Laptops könnten interessanter sein, da einige die Möglichkeit bieten, AMD PSP (das AMD-Äquivalent zu Intel IME) in den BIOS/UEFI-Einstellungen standardmäßig zu deaktivieren. Und weil AMD PSP AFAIK zufolge geprüft wurde und im Gegensatz zu IME keine "bösen" Funktionen aufweist. Wenn Sie sich jedoch für die Qubes OS Route entscheiden, sollten Sie Intel in Betracht ziehen, da sie AMD mit ihrem Anti-Evil-Maid-System nicht unterstützen.
• Secure-Wipe-Tools aus dem BIOS (besonders nützlich für SSD/NVMe-Laufwerke, siehe Anhang M: BIOS/UEFI-Optionen zum Löschen von Festplatten in verschiedenen Marken).
• Bessere Kontrolle über die Deaktivierung/Aktivierung ausgewählter Peripheriegeräte (USB-Anschlüsse, WLAN, Bluetooth, Kamera, Mikrofon ...).
• Bessere Sicherheitsfunktionen mit Virtualisierung.
• Native Schutzmechanismen gegen Manipulationen.
• Längere Unterstützung durch BIOS/UEFI-Updates (und nachfolgende BIOS/UEFI-Sicherheitsupdates).
• Einige werden von Libreboot unterstützt

 

[HEISENBERG]

Bios/UEFI/Firmware-Einstellungen Ihres Laptops.

PC.

Auf diese Einstellungen können Sie über das Startmenü Ihres Laptops zugreifen. Hier ist eine gute Anleitung von HP, die alle Möglichkeiten des Zugriffs auf das BIOS auf verschiedenen Computern erklärt: https://store.hp.com/us/en/tech-takes/how-to-enter-bios-setup-windows-pcs [Archive.org]


Normalerweise drückt man beim Booten (vor dem Betriebssystem) eine bestimmte Taste (F1, F2 oder Entf), um darauf zuzugreifen.


Sobald Sie dort sind, müssen Sie einige empfohlene Einstellungen vornehmen:

• Deaktivieren Sie Bluetooth vollständig, wenn Sie können.
• Deaktivieren Sie die Biometrie (Fingerabdruck-Scanner), wenn Sie einen haben, wenn Sie können. Sie könnten jedoch eine zusätzliche biometrische Prüfung nur für das Booten (Pre-Boot), aber nicht für den Zugriff auf die BIOS/UEFI-Einstellungen hinzufügen.
• Deaktivieren Sie die Webcam und das Mikrofon, wenn Sie können.
• Aktivieren Sie das BIOS/UEFI-Passwort und verwenden Sie eine lange Passphrase anstelle eines Passworts (wenn Sie können) und stellen Sie sicher, dass dieses Passwort erforderlich ist für:
  
  • Zugriff auf die BIOS/UEFI-Einstellungen selbst
  • Ändern der Bootreihenfolge
  • Starten/Einschalten des Geräts
• Aktivieren Sie das HDD/SSD-Passwort, wenn diese Funktion verfügbar ist. Diese Funktion fügt ein weiteres Passwort auf der HDD/SSD selbst hinzu (nicht in der BIOS/UEFI-Firmware), das verhindert, dass diese HDD/SSD in einem anderen Computer ohne das Passwort verwendet wird. Beachten Sie, dass diese Funktion auch für einige Hersteller spezifisch ist und eine spezielle Software erfordern könnte, um diese Festplatte von einem völlig anderen Computer aus zu entsperren.
• Verhindern Sie nach Möglichkeit den Zugriff auf die Boot-Optionen (die Boot-Reihenfolge) ohne Angabe des BIOS/UEFI-Kennworts.
• Deaktivieren Sie USB/HDMI oder jeden anderen Anschluss (Ethernet, Firewire, SD-Karte ...), wenn Sie können.
• Deaktivieren Sie Intel ME, wenn Sie können.
• Deaktivieren Sie AMD PSP, wenn Sie können (AMDs Äquivalent zu IME, siehe Ihre CPU)
• Deaktivieren Sie Secure Boot, wenn Sie QubesOS verwenden wollen, da es von Haus aus nicht unterstützt wird. Lassen Sie es eingeschaltet, wenn Sie Linux/Windows verwenden wollen.
• Prüfen Sie, ob das BIOS Ihres Laptops eine Option zum sicheren Löschen Ihrer Festplatte/SSD bietet, die im Bedarfsfall nützlich sein könnte.

Aktivieren Sie diese nur bei Bedarf und deaktivieren Sie sie nach Gebrauch wieder. Dies kann helfen, einige Angriffe abzuschwächen, falls Ihr Laptop beschlagnahmt wird, während er gesperrt, aber noch eingeschaltet ist ODER falls Sie ihn schnell herunterfahren mussten und jemand ihn in Besitz genommen hat (dieses Thema wird später in diesem Leitfaden erläutert).

Über Secure Boot.

Was ist Secure Boot? Kurz gesagt handelt es sich dabei um eine UEFI-Sicherheitsfunktion, die verhindern soll, dass Ihr Computer ein Betriebssystem startet, dessen Bootloader nicht durch bestimmte Schlüssel signiert wurde, die in der UEFI-Firmware Ihres Laptops gespeichert sind.


Grundsätzlich können Sie, wenn das Betriebssystem (oder der Bootloader) dies unterstützt, die Schlüssel Ihres Bootloaders in Ihrer UEFI-Firmware speichern und dies verhindert das Booten eines nicht autorisierten Betriebssystems (wie z.B. ein Live-OS-USB oder etwas Ähnliches).


Die Secure Boot-Einstellungen sind durch das Passwort geschützt, das Sie für den Zugriff auf die BIOS/UEFI-Einstellungen festlegen. Wenn Sie dieses Passwort haben, können Sie Secure Boot deaktivieren und nicht signierte Betriebssysteme auf Ihrem System booten lassen. Dies kann helfen, einige Evil-Maid-Angriffe abzuschwächen (wird später in diesem Leitfaden erklärt).


In den meisten Fällen ist Secure Boot standardmäßig deaktiviert oder nur im "Setup"-Modus aktiviert, der es jedem System erlaubt, zu booten. Damit Secure Boot funktioniert, muss Ihr Betriebssystem es unterstützen und dann seinen Bootloader signieren und diese Signierschlüssel an Ihre UEFI-Firmware weitergeben. Danach müssen Sie in den BIOS/UEFI-Einstellungen die von Ihrem Betriebssystem übertragenen Schlüssel speichern und Secure Boot vom Setup- in den Benutzermodus (oder in manchen Fällen in den benutzerdefinierten Modus) ändern.


Nach diesem Schritt können nur noch die Betriebssysteme booten, von denen Ihre UEFI-Firmware die Integrität des Bootloaders verifizieren kann.


Die meisten Laptops haben bereits einige Standardschlüssel in den Secure-Boot-Einstellungen gespeichert. Normalerweise stammen diese vom Hersteller selbst oder von Unternehmen wie Microsoft. Das bedeutet, dass es standardmäßig immer möglich ist, einige USB-Datenträger auch mit Secure Boot zu booten. Dazu gehören Windows, Fedora, Ubuntu, Mint, Debian, CentOS, OpenSUSE, Tails, Clonezilla und viele andere. Secure Boot wird jedoch von QubesOS derzeit überhaupt nicht unterstützt.


In einigen Laptops können Sie diese Schlüssel verwalten und die, die Sie nicht wollen, mit einem "benutzerdefinierten Modus" entfernen, um nur Ihren eigenen Bootloader zu autorisieren, den Sie selbst signieren können, wenn Sie das wirklich wollen.


Wovor schützt Secure Boot Sie also? Es schützt Ihren Laptop davor, dass nicht signierte Bootloader (vom Betriebssystemanbieter) gebootet werden, in die z. B. Malware eingeschleust wird.


Wovor schützt Secure Boot Sie nicht?

• Secure Boot verschlüsselt Ihre Festplatte nicht, und ein Angreifer kann die Festplatte immer noch einfach aus Ihrem Laptop entfernen und mit einem anderen Gerät Daten daraus extrahieren. Secure Boot ist daher ohne vollständige Festplattenverschlüsselung nutzlos.
• Secure Boot schützt Sie nicht vor einem signierten Bootloader, der kompromittiert und vom Hersteller selbst signiert wurde (z. B. Microsoft im Falle von Windows). Die meisten Mainstream-Linux-Distributionen sind heutzutage signiert und booten mit aktiviertem Secure Boot.
• Secure Boot kann wie jedes andere System Schwachstellen aufweisen und ausgenutzt werden. Wenn Sie einen alten Laptop verwenden, der nicht von neuen BIOS/UEFI-Updates profitiert, können diese Fehler nicht behoben werden.

Darüber hinaus gibt es eine Reihe von Angriffen, die gegen Secure Boot möglich sind, wie in diesen technischen Videos ausführlich erklärt wird:

• Defcon 22,
  [Invidious]
• BlackHat 2016,
  [Invidious]

Es kann also als zusätzliche Maßnahme gegen einige Angreifer nützlich sein, aber nicht gegen alle. Secure Boot an sich verschlüsselt Ihre Festplatte nicht. Es ist eine zusätzliche Ebene, aber das war's auch schon.


Ich empfehle Ihnen trotzdem, die Option zu aktivieren, wenn Sie können.

Mac.

Nehmen Sie sich einen Moment Zeit, um ein Firmware-Passwort gemäß der Anleitung hier einzurichten: https://support.apple.com/en-au/HT204455 [Archive.org]


Aktivieren Sie außerdem den Schutz für das Zurücksetzen des Firmware-Passworts (verfügbar über Catalina) gemäß der Dokumentation hier: https: //support.apple.com/en-gb/guide/security/sec28382c9ca/web [Archive.org]


Diese Funktion verringert die Möglichkeit für einige Angreifer, Hardware-Hacks zu verwenden, um Ihr Firmware-Passwort zu deaktivieren/umzugehen. Beachten Sie, dass dies auch Apple selbst daran hindert, im Falle einer Reparatur auf die Firmware zuzugreifen.

 

[HEISENBERG]

Schützen Sie Ihren Laptop vor unbefugten Eingriffen.

Irgendwann werden Sie diesen Laptop unweigerlich irgendwo alleine lassen. Sie werden nicht mit ihm schlafen und ihn jeden Tag überallhin mitnehmen. Sie sollten es jedem so schwer wie möglich machen, sich unbemerkt daran zu schaffen zu machen. Dies ist vor allem gegen einige wenige Gegner nützlich, die keinen 5-Dollar-Schlüssel gegen Sie verwenden werden.


Es ist wichtig zu wissen, dass es für einige Spezialisten trivial einfach ist, einen Key-Logger in Ihrem Laptop zu installieren oder einfach eine Kopie Ihrer Festplatte zu erstellen, die es ihnen später ermöglichen könnte, das Vorhandensein verschlüsselter Daten auf der Festplatte mit Hilfe forensischer Techniken nachzuweisen (mehr dazu später).


Hier ist eine gute und billige Methode, um Ihren Laptop mit Nagellack (mit Glitter) https://mullvad.net/en/help/how-tamper-protect-laptop/ [Archive.org] (mit Bildern) manipulationssicher zu machen.


Dies ist zwar eine gute und billige Methode, aber sie könnte auch Verdacht erregen, da sie ziemlich "auffällig" ist und zeigen könnte, dass Sie "etwas zu verbergen haben". Es gibt also subtilere Methoden, um das gleiche Ergebnis zu erzielen. Sie könnten z. B. auch eine Makroaufnahme der hinteren Schrauben Ihres Laptops machen oder eine sehr kleine Menge Kerzenwachs in eine der Schrauben geben, die wie gewöhnlicher Schmutz aussehen könnte. Sie können dann überprüfen, ob eine Manipulation vorliegt, indem Sie die Fotos der Schrauben mit neuen vergleichen. Die Ausrichtung der Schrauben könnte sich ein wenig verändert haben, wenn Ihr Gegner nicht vorsichtig genug war (und sie genau so angezogen hat wie vorher). Oder das Wachs im Boden eines Schraubenkopfes könnte im Vergleich zu vorher beschädigt worden sein.

Dieselbe Technik lässt sich auch bei USB-Anschlüssen anwenden, wo man einfach eine winzige Menge Kerzenwachs in den Stecker geben kann, die beim Einstecken eines USB-Sticks beschädigt wird.


In risikoreicheren Umgebungen sollten Sie Ihren Laptop auf Manipulationen überprüfen, bevor Sie ihn regelmäßig benutzen.

 

[HEISENBERG]

Der Weg von Whonix.

Auswahl des Host-Betriebssystems (das auf Ihrem Laptop installierte Betriebssystem).

Bei diesem Weg werden in großem Umfang virtuelle Maschinen eingesetzt, die ein Host-Betriebssystem benötigen, um die Virtualisierungssoftware auszuführen. In diesem Teil des Leitfadens werden Ihnen 3 Auswahlmöglichkeiten empfohlen:

• Die Linux-Distribution Ihrer Wahl (außer Qubes OS)
• Windows 10 (vorzugsweise Home Edition wegen des Fehlens von Bitlocker)
• MacOS (Catalina oder höher)

Außerdem ist die Wahrscheinlichkeit hoch, dass Ihr Mac mit einem Apple-Konto verknüpft ist oder war (zum Zeitpunkt des Kaufs oder nach der Anmeldung), so dass seine eindeutigen Hardware-Kennungen im Falle eines Hardware-Kennungslecks zu Ihnen zurückführen könnten.


Linux ist auch nicht unbedingt die beste Wahl für Anonymität, je nach Ihrem Bedrohungsmodell. Der Grund dafür ist, dass die Verwendung von Windows es uns ermöglicht, Plausible Deniability (auch bekannt als Deniable Encryption) auf der Betriebssystemebene zu verwenden. Windows ist leider auch gleichzeitig ein Alptraum für die Privatsphäre, aber es ist die einzige (bequeme) Option für die Verwendung von plausibler Bestreitbarkeit auf Betriebssystemebene. Die Telemetrie von Windows und die Blockierung von Telemetrie ist ebenfalls umfassend dokumentiert, was viele Probleme entschärfen sollte.


Was ist also plausible Bestreitbarkeit? Es ist die Möglichkeit, mit einem Gegner zu kooperieren, der Zugriff auf Ihr Gerät/Ihre Daten verlangt, ohne Ihr wahres Geheimnis preiszugeben. Und das alles mit Hilfe von Deniable Encryption.


Ein sanftmütiger Gegner könnte Sie um Ihr verschlüsseltes Laptop-Passwort bitten. Zunächst könnten Sie die Herausgabe des Passworts verweigern (unter Berufung auf Ihr "Recht zu schweigen" und Ihr "Recht, sich nicht selbst zu belasten"), aber einige Länder führen Gesetze ein, die diese Rechte ausschließen (weil Terroristen und "an die Kinder denken"). In diesem Fall müssen Sie möglicherweise das Kennwort preisgeben oder werden wegen Missachtung des Gerichts ins Gefängnis gesteckt. An dieser Stelle kommt die plausible Bestreitbarkeit ins Spiel.


Sie könnten dann ein Kennwort preisgeben, aber dieses Kennwort ermöglicht nur den Zugriff auf "plausible Daten" (ein Scheinbetriebssystem). Die Forensiker werden wissen, dass es möglich ist, dass Sie Daten versteckt haben, sollten aber nicht in der Lage sein, dies zu beweisen (wenn Sie es richtig anstellen). Sie werden kooperiert haben und die Ermittler werden Zugang zu etwas haben, aber nicht zu dem, was Sie eigentlich verbergen wollen. Da die Beweislast auf ihrer Seite liegen sollte, werden sie keine andere Wahl haben, als Ihnen zu glauben, es sei denn, sie haben einen Beweis dafür, dass Sie Daten versteckt haben.


Diese Funktion kann auf Betriebssystemebene (ein plausibles Betriebssystem und ein verstecktes Betriebssystem) oder auf Dateiebene verwendet werden, wobei Sie einen verschlüsselten Datei-Container (ähnlich einer Zip-Datei) haben, in dem je nach dem von Ihnen verwendeten Verschlüsselungspasswort unterschiedliche Dateien angezeigt werden.


Dies bedeutet auch, dass Sie Ihre eigene fortgeschrittene "plausible Bestreitbarkeit" mit einem beliebigen Host-Betriebssystem einrichten können, indem Sie beispielsweise virtuelle Maschinen auf einem versteckten Veracrypt-Volume-Container speichern (achten Sie auf Spuren im Host-Betriebssystem, die gesäubert werden müssen, wenn das Host-Betriebssystem persistent ist, siehe Abschnitt Einige zusätzliche Maßnahmen gegen Forensik weiter unten). Es gibt ein Projekt, um dies innerhalb von Tails zu erreichen(https://github.com/aforensics/HiddenVM [Archive.org]), das Ihr Host-Betriebssystem nicht persistent macht und plausible Bestreitbarkeit innerhalb von Tails verwendet.


Im Falle von Windows ist die plausible Bestreitbarkeit auch der Grund, warum Sie idealerweise Windows 10 Home (und nicht Pro) haben sollten. Das liegt daran, dass Windows 10 Pro von Haus aus ein System zur Festplattenverschlüsselung (Bitlocker) bietet, während Windows 10 Home überhaupt keine Festplattenverschlüsselung bietet. Wir werden später eine Open-Source-Software eines Drittanbieters für die Verschlüsselung verwenden, die eine vollständige Festplattenverschlüsselung unter Windows 10 Home ermöglicht. Damit haben Sie eine gute (plausible) Ausrede, um diese Software zu verwenden. Die Verwendung dieser Software unter Windows 10 Pro wäre hingegen verdächtig.


Hinweis zu Linux: Was ist also mit Linux und plausibler Bestreitbarkeit? Ja, es ist möglich, auch unter Linux eine plausible Bestreitbarkeit zu erreichen. Aber die Einrichtung ist kompliziert und erfordert IMHO ein so hohes Qualifikationsniveau, dass Sie diesen Leitfaden wahrscheinlich nicht brauchen, um es zu versuchen.


Leider ist Verschlüsselung keine Zauberei und birgt einige Risiken:

Bedrohungen durch Verschlüsselung.

Der 5$-Schlüssel.

Denken Sie daran, dass Verschlüsselung mit oder ohne plausible Bestreitbarkeit kein Allheilmittel ist und im Falle einer Folter wenig nützen wird. Je nachdem, wer Ihr Gegner ist (Ihr Bedrohungsmodell), könnte es sogar ratsam sein, Veracrypt (früher TrueCrypt) überhaupt nicht zu verwenden, wie in dieser Demonstration gezeigt wird: https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm [Archive.org]


Plausible Bestreitbarkeit ist nur gegen weiche, rechtmäßige Gegner wirksam, die nicht auf physische Mittel zurückgreifen werden. Vermeiden Sie, wenn möglich, die Verwendung von Software, die eine plausible Bestreitbarkeit ermöglicht (wie Veracrypt), wenn Ihr Bedrohungsmodell harte Angreifer beinhaltet. Windows-Benutzer sollten in diesem Fall Windows Pro als Host-Betriebssystem installieren und stattdessen Bitlocker verwenden.


Siehe https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org]

Böses-Mädchen-Angriff.

Evil-Maid-Attacken werden durchgeführt, wenn sich jemand an Ihrem Laptop zu schaffen macht, während Sie nicht da sind. Um Ihre Festplatte zu klonen, installieren Sie Malware oder einen Key Logger. Wenn es ihnen gelingt, Ihre Festplatte zu klonen, können sie ein Abbild Ihrer Festplatte zum Zeitpunkt der Entnahme während Ihrer Abwesenheit mit der Festplatte vergleichen, wenn sie sie Ihnen wegnehmen. Wenn Sie den Laptop in der Zwischenzeit wieder benutzt haben, können die Forensiker möglicherweise die Existenz der versteckten Daten nachweisen, indem sie die Abweichungen zwischen den beiden Bildern an einem leeren/unbenutzten Ort untersuchen. Dies könnte zu eindeutigen Beweisen für die Existenz der versteckten Daten führen. Wenn sie einen Key-Logger oder eine Schadsoftware auf Ihrem Laptop (Software oder Hardware) installieren, können sie das Passwort einfach von Ihnen erfragen, um es später zu verwenden, wenn sie den Laptop beschlagnahmen. Solche Angriffe können bei Ihnen zu Hause, in Ihrem Hotel, an einem Grenzübergang oder überall dort erfolgen, wo Sie Ihre Geräte unbeaufsichtigt lassen.


Sie können diesen Angriff abschwächen, indem Sie Folgendes tun (wie bereits empfohlen):

• Sorgen Sie für einen grundlegenden Manipulationsschutz (wie bereits erläutert), um den physischen Zugriff auf das Innere des Laptops ohne Ihr Wissen zu verhindern. Dadurch wird verhindert, dass sie Ihre Festplatten klonen und ohne Ihr Wissen einen physischen Key Logger installieren.
• Deaktivieren Sie alle USB-Anschlüsse (wie oben beschrieben) in einem passwortgeschützten BIOS/UEFI. Auch hier können sie sie nicht einschalten (ohne physischen Zugriff auf die Hauptplatine, um das BIOS zurückzusetzen), um ein USB-Gerät zu booten, das Ihre Festplatte klonen oder eine softwarebasierte Malware installieren könnte, die als Key Logger fungiert.
• Richten Sie BIOS/UEFI/Firmware-Passwörter ein, um das unbefugte Booten eines nicht zugelassenen Geräts zu verhindern.
• Einige Betriebssysteme und Verschlüsselungssoftware verfügen über einen Anti-EvilMaid-Schutz, der aktiviert werden kann. Dies ist der Fall bei Windows/Veracrypt und QubeOS.

Cold-Boot-Angriff.

Cold-Boot-Angriffe sind schwieriger als der Evil-Maid-Angriff, können aber Teil eines Evil-Maid-Angriffs sein, da ein Angreifer in den Besitz Ihres Laptops gelangen muss, während Sie Ihr Gerät aktiv benutzen oder kurz danach.


Die Idee ist recht einfach: Wie in diesem Video gezeigt, könnte ein Angreifer Ihr Gerät theoretisch schnell mit einem speziellen USB-Schlüssel booten, der den Inhalt des Arbeitsspeichers (RAM) des Geräts kopiert, nachdem Sie es ausgeschaltet haben. Wenn die USB-Anschlüsse deaktiviert sind oder sie mehr Zeit brauchen, könnten sie das Gerät öffnen und den Speicher mit einem Spray oder anderen Chemikalien (z. B. flüssigem Stickstoff) "abkühlen", so dass der Speicher nicht mehr zerfällt. Anschließend könnten sie den Inhalt zur Analyse kopieren. Dieser Speicherauszug könnte den Schlüssel zur Entschlüsselung Ihres Geräts enthalten. Wir werden später einige Grundsätze anwenden, um diese Probleme zu entschärfen.


Im Fall von Plausible Deniability gab es einige forensische Studien, die das Vorhandensein der versteckten Daten mit einer einfachen forensischen Untersuchung (ohne Cold Boot/Evil Maid Attack) technisch nachweisen konnten, aber diese wurden von anderen Studien und vom Betreiber von Veracrypt angefochten, so dass ich mir darüber noch keine großen Gedanken machen würde.


Die gleichen Maßnahmen, die zur Abschwächung von Evil Maid-Angriffen eingesetzt werden, sollten auch für Cold Boot-Angriffe gelten, mit einigen zusätzlichen Maßnahmen:

• Wenn Ihr Betriebssystem oder Ihre Verschlüsselungssoftware es zulässt, sollten Sie in Erwägung ziehen, die Schlüssel auch im RAM zu verschlüsseln (dies ist mit Windows/Veracrypt möglich und wird später erklärt)
• Sie sollten die Verwendung des Ruhezustands einschränken und stattdessen Herunterfahren oder Ruhezustand verwenden, um zu verhindern, dass die Verschlüsselungsschlüssel im RAM verbleiben, wenn Ihr Computer in den Ruhezustand geht. Dies liegt daran, dass der Ruhezustand die Energieversorgung des Speichers aufrechterhält, damit Sie Ihre Aktivitäten schneller wieder aufnehmen können. Nur im Ruhezustand und beim Herunterfahren wird der Schlüssel tatsächlich aus dem Speicher gelöscht.

Siehe auch https://www.whonix.org/wiki/Cold_Boot_Attack_Defense [Archive.org] und https://www.whonix.org/wiki/Protection_Against_Physical_Attacks [Archive.org]


Hier sind auch einige interessante Tools für Linux-Benutzer, um sich dagegen zu schützen:

• https://github.com/0xPoly/Centry [Archive.org] (leider wird es nicht mehr gewartet, daher habe ich einen Fork und eine Pull-Request-Aktualisierung für Veracrypt https://github.com/AnonymousPlanet/Centry [Archive.org] gemacht, die immer noch funktionieren sollte)
• https://github.com/hephaest0s/usbkill [Archive. org] (leider wird es auch nicht mehr gewartet, wie es scheint)
• https://github.com/Lvl4Sword/Killer [Archiv.org]
• https://askubuntu.com/questions/153245/how-to-wipe-ram-on-shutdown-prevent-cold-boot-attacks [Archive.org]
• (Qubes OS, nur Intel CPU) https://github.com/QubesOS/qubes-antievilmaid [Archive.org]

Über Sleep, Hibernation und Shutdown.

Wenn Sie eine bessere Sicherheit wünschen, sollten Sie Ihren Laptop jedes Mal vollständig herunterfahren, wenn Sie ihn unbeaufsichtigt lassen oder den Deckel schließen. Dies sollte den Arbeitsspeicher säubern und/oder freigeben und Schutzmaßnahmen gegen Cold-Boot-Angriffe bieten. Dies kann jedoch etwas umständlich sein, da Sie einen kompletten Neustart durchführen und eine Vielzahl von Passwörtern in verschiedene Anwendungen eintippen müssen. Verschiedene VMs und andere Anwendungen müssen neu gestartet werden. Sie könnten also stattdessen auch den Ruhezustand verwenden (wird von Qubes OS nicht unterstützt). Da die gesamte Festplatte verschlüsselt ist, sollte der Ruhezustand an sich kein großes Sicherheitsrisiko darstellen, aber er fährt Ihren Laptop trotzdem herunter und löscht den Speicher, während Sie Ihre Arbeit danach bequem fortsetzen können. Was Sie auf keinen Fall tun sollten, ist, die Standard-Ruhezustand-Funktion zu verwenden, die Ihren Computer eingeschaltet und den Speicher aktiviert lässt. Dies ist ein Angriffsvektor für die bereits erwähnten Angriffe der "evil-maid" und "cold-boot". Der Grund dafür ist, dass Ihr eingeschalteter Speicher die Verschlüsselungsschlüssel für Ihre Festplatte (verschlüsselt oder unverschlüsselt) enthält und ein geschickter Angreifer darauf zugreifen könnte.


Dieser Leitfaden wird später Anleitungen zur Aktivierung des Ruhezustands auf verschiedenen Host-Betriebssystemen (außer Qubes OS) enthalten, wenn Sie nicht jedes Mal herunterfahren wollen.

Lokale Datenlecks (Spuren) und forensische Untersuchung.

Wie bereits kurz erwähnt, handelt es sich hierbei um Datenlecks und Spuren von Ihrem Betriebssystem und Ihren Anwendungen, wenn Sie irgendeine Aktivität auf Ihrem Computer durchführen. Dies gilt vor allem für verschlüsselte Datei-Container (mit oder ohne plausible Bestreitbarkeit) und weniger für die betriebssystemweite Verschlüsselung. Solche Lecks sind weniger "wichtig", wenn Ihr gesamtes Betriebssystem verschlüsselt ist (wenn Sie nicht gezwungen sind, das Passwort preiszugeben).


Nehmen wir an, Sie haben einen mit Veracrypt verschlüsselten USB-Stick mit aktivierter glaubhafter Bestreitbarkeit. Je nach dem Passwort, das Sie beim Einstecken des USB-Sticks verwenden, wird ein Scheinordner oder der sensible Ordner geöffnet. In diesen Ordnern befinden sich Scheindokumente/-daten im Scheinordner und sensible Dokumente/Daten im sensiblen Ordner.


In allen Fällen werden Sie (höchstwahrscheinlich) diese Ordner mit dem Windows Explorer, dem MacOS Finder oder einem anderen Dienstprogramm öffnen und das tun, was Sie vorhatten zu tun. Vielleicht werden Sie ein Dokument in dem sensiblen Ordner bearbeiten. Vielleicht werden Sie ein Dokument innerhalb des Ordners durchsuchen. Vielleicht wollen Sie ein Dokument löschen oder ein sensibles Video mit VLC ansehen.


Nun, all diese Anwendungen und Ihr Betriebssystem können Protokolle und Spuren dieser Nutzung aufbewahren. Dazu gehören der vollständige Pfad zu den Ordnern/Dateien/Laufwerken, der Zeitpunkt des Zugriffs, temporäre Zwischenspeicher dieser Dateien, die Listen der zuletzt verwendeten Dateien in den einzelnen Anwendungen, das Datei-Indexierungssystem, das das Laufwerk indizieren könnte, und sogar Thumbnails, die erzeugt werden könnten.


Hier sind einige Beispiele für solche Lecks:

Windows.

• Windows ShellBags, die in der Windows-Registrierung gespeichert sind und unbemerkt verschiedene Historien der aufgerufenen Volumes/Dateien/Ordner speichern.
• Die Windows-Indizierung, die standardmäßig Spuren der Dateien in Ihrem Benutzerordner speichert.
• Listen der zuletzt verwendeten Dateien (auch Sprunglisten genannt) in Windows und verschiedenen Anwendungen, die Spuren der zuletzt aufgerufenen Dokumente speichern.
• Viele weitere Spuren in verschiedenen Protokollen. Weitere Informationen finden Sie auf diesem interessanten Poster: https://www.sans.org/security-resources/posters/windows-forensic-analysis/170/download [Archive.org]

MacOS.

• Gatekeeper290 und XProtect, die Ihren Download-Verlauf in einer lokalen Datenbank und Dateiattribute aufzeichnen.
• Spotlight-Indizierung
• Zuletzt verwendete Listen in verschiedenen Anwendungen, die Spuren der zuletzt aufgerufenen Dokumente aufbewahren.
• Temporäre Ordner, die verschiedene Spuren der App-Nutzung und der Dokumentennutzung speichern.
• MacOS-Protokolle
• ...

Linux.

• Tracker-Indizierung
• Bash-Verlauf
• USB-Protokolle
• Listen der letzten Zugriffe in verschiedenen Anwendungen, die Spuren der zuletzt aufgerufenen Dokumente enthalten.
• Linux-Protokolle
• ...

Die Forensik könnte all diese Lecks (siehe Lokale Datenlecks und Forensik) nutzen, um die Existenz versteckter Daten zu beweisen und Ihre Versuche zu vereiteln, eine plausible Leugnung vorzunehmen und Ihre verschiedenen sensiblen Aktivitäten herauszufinden.


Es ist daher wichtig, verschiedene Maßnahmen zu ergreifen, um die Forensik daran zu hindern, indem Sie diese Lecks/Spuren verhindern und säubern und, was noch wichtiger ist, indem Sie die gesamte Festplatte verschlüsseln, virtualisieren und kompartimentieren.


Forensiker können keine lokalen Datenlecks aus einem Betriebssystem extrahieren, auf das sie keinen Zugriff haben. Und Sie können die meisten dieser Spuren beseitigen, indem Sie das Laufwerk löschen oder Ihre virtuellen Maschinen sicher löschen (was bei SSD-Laufwerken nicht so einfach ist, wie Sie denken).


Einige Reinigungstechniken werden jedoch im Teil "Verwischen Sie Ihre Spuren" ganz am Ende dieses Leitfadens behandelt.

Online-Datenlecks.

Egal, ob Sie eine einfache Verschlüsselung oder eine Verschlüsselung mit glaubhafter Bestreitbarkeit verwenden. Selbst wenn Sie Ihre Spuren auf dem Computer selbst verwischt haben. Es besteht immer noch das Risiko von Online-Datenlecks, die das Vorhandensein von versteckten Daten aufdecken könnten.


Telemetrie ist Ihr Feind. Wie bereits weiter oben in diesem Leitfaden erläutert, kann die Telemetrie von Betriebssystemen, aber auch von Apps, unglaubliche Mengen privater Informationen online senden.


Im Falle von Windows könnten diese Daten zum Beispiel dazu verwendet werden, die Existenz eines versteckten Betriebssystems/Volumes auf einem Computer zu beweisen, und wären bei Microsoft leicht verfügbar. Daher ist es von entscheidender Bedeutung, dass Sie die Telemetrie mit allen Ihnen zur Verfügung stehenden Mitteln deaktivieren und blockieren. Unabhängig davon, welches Betriebssystem Sie verwenden.

Schlussfolgerung.

Sie sollten niemals sensible Aktivitäten von einem nicht verschlüsselten System aus durchführen. Und selbst wenn es verschlüsselt ist, sollten Sie wahrscheinlich niemals sensible Aktivitäten vom Host-Betriebssystem selbst aus durchführen. Stattdessen sollten Sie eine VM verwenden, um Ihre Aktivitäten effizient zu isolieren und zu unterteilen und lokale Datenlecks zu verhindern.


Wenn Sie wenig bis gar keine Kenntnisse über Linux haben oder wenn Sie das Betriebssystem als plausibles Leugnungsmittel nutzen wollen, würde ich empfehlen, der Einfachheit halber Windows zu verwenden (oder zurück zur Tails-Route). Dieser Leitfaden wird Ihnen helfen, es so weit wie möglich zu härten, um Lecks zu verhindern. Dieser Leitfaden wird Ihnen auch dabei helfen, MacOS und Linux so weit wie möglich abzusichern, um ähnliche Lecks zu verhindern.


Wenn Sie kein Interesse an einer OS-weiten plausiblen Bestreitbarkeit haben und lernen wollen, Linux zu benutzen, würde ich Ihnen dringend empfehlen, Linux oder die Qubes-Route zu wählen, wenn Ihre Hardware dies erlaubt.


In jedem Fall sollte das Host-Betriebssystem niemals dazu verwendet werden, sensible Aktivitäten direkt durchzuführen. Das Host-Betriebssystem wird nur verwendet, um eine Verbindung zu einem öffentlichen Wi-Fi-Zugangspunkt herzustellen. Es wird nicht benutzt, während Sie sensible Aktivitäten durchführen, und sollte idealerweise nicht für alltägliche Aktivitäten verwendet werden.


Lesen Sie auch https://www.whonix.org/wiki/Full_Disk_Encryption#Encrypting_Whonix_VMs [Archive.org]

 

[HEISENBERG]

Linux-Host-Betriebssystem.

Wie bereits erwähnt, empfehle ich nicht, Ihren Laptop für sehr sensible Tätigkeiten zu verwenden. Zumindest empfehle ich nicht, Ihr vorhandenes Betriebssystem dafür zu verwenden. Dies könnte zu unerwünschten Datenlecks führen, die dazu verwendet werden könnten, Sie zu anonymisieren. Wenn Sie einen speziellen Laptop für diese Zwecke haben, sollten Sie ein frisches, sauberes Betriebssystem neu installieren. Wenn Sie Ihren Laptop nicht löschen und neu beginnen wollen, sollten Sie die Tails-Route in Betracht ziehen oder auf eigenes Risiko vorgehen.


Ich empfehle Ihnen außerdem, die Erstinstallation komplett offline durchzuführen, um Datenverluste zu vermeiden.


Sie sollten immer bedenken, dass Linux-Mainstream-Distributionen (z. B. Ubuntu) trotz ihres guten Rufs nicht unbedingt sicherer sind als andere Systeme wie MacOS und Windows. Siehe diese Referenz, um zu verstehen, warum https://madaidans-insecurities.github.io/linux.html [Archive.org].

Vollständige Festplattenverschlüsselung.

Hier gibt es bei Ubuntu zwei Möglichkeiten:

• (Empfohlen und einfach) Verschlüsselung als Teil des Installationsprozesses: https://ubuntu.com/tutorials/install-ubuntu-desktop [Archive.org]
  
  • Dieser Prozess erfordert das vollständige Löschen des gesamten Laufwerks (Clean Install).
  • Aktivieren Sie einfach die Option "Verschlüsseln Sie die neue Ubuntu-Installation zur Sicherheit".
• (Mühsam, aber möglich) Verschlüsseln nach der Installation: https://help.ubuntu.com/community/ManualFullSystemEncryption [Archive.org]

Für andere Distributionen müssen Sie selbst dokumentieren, aber es wird wahrscheinlich ähnlich sein. Die Verschlüsselung während der Installation ist im Rahmen dieser Anleitung einfach viel einfacher.

Ablehnen/Deaktivieren jeglicher Telemetrie.

• Stellen Sie während der Installation sicher, dass Sie keine Datenerfassung zulassen, wenn Sie dazu aufgefordert werden.
• Wenn Sie sich nicht sicher sind, vergewissern Sie sich einfach, dass Sie keine Telemetrie aktiviert haben und folgen Sie bei Bedarf dieser Anleitung https://vitux.com/how-to-force-ubuntu-to-stop-collecting-your-data-from-your-pc/ [Archive.org]
• Jede andere Distro: Sie müssen selbst dokumentieren und herausfinden, wie Sie die Telemetrie deaktivieren können, falls es sie gibt.

Deaktivieren Sie alles Unnötige.

• Deaktivieren Sie Bluetooth, falls es aktiviert ist, indem Sie diese Anleitung https://www.addictivetips.com/ubuntu-linux-tips/disable-bluetooth-in-ubuntu/ [Archive.org] befolgen oder den folgenden Befehl eingeben:
  
  • sudo systemctl disable bluetooth.service --force
• Deaktivieren Sie Indexing, wenn es standardmäßig aktiviert ist (Ubuntu >19.04), indem Sie dieser Anleitung https://www.linuxuprising.com/2019/07/how-to-completely-disable-tracker.html [Archive.org] folgen oder folgende Befehle eingeben:
  
  • sudo systemctl --user mask tracker-store.service tracker-miner-fs.service tracker-miner-rss.service tracker-extract.service tracker-miner-apps.service tracker-writeback.service
    
    • Sie können die Fehlermeldung, dass ein Dienst nicht existiert, getrost ignorieren
  • sudo tracker reset -hard

Hibernation.

Wie bereits erläutert, sollten Sie die Ruhezustand-Funktionen nicht nutzen, sondern Ihren Laptop herunterfahren oder in den Ruhezustand versetzen, um einige Bösewicht- und Cold-Boot-Angriffe zu entschärfen. Leider ist diese Funktion bei vielen Linux-Distributionen, einschließlich Ubuntu, standardmäßig deaktiviert. Es ist möglich, sie zu aktivieren, aber sie funktioniert möglicherweise nicht wie erwartet. Befolgen Sie diese Informationen auf eigene Gefahr. Wenn Sie dies nicht tun wollen, sollten Sie niemals die Ruhezustand-Funktion verwenden und stattdessen das System ausschalten (und wahrscheinlich das Verhalten beim Schließen des Deckels auf Ausschalten statt Ruhezustand einstellen).


Befolgen Sie eines dieser Tutorials, um den Ruhezustand zu aktivieren:

• https://www.how2shout.com/linux/how-to-hibernate-ubuntu-20-04-lts-focal-fossa/ [Archive.org]
• http://www.lorenzobettini.it/2020/07/enabling-hibernation-on-ubuntu-20-04/ [Archive.org]
• https://blog.ivansmirnov.name/how-to-set-up-hibernate-on-ubuntu-20-04/ [Archive.org]

Nachdem Hibernate aktiviert ist, ändern Sie das Verhalten so, dass Ihr Laptop in den Ruhezustand geht, wenn Sie den Deckel schließen. Folgen Sie dazu dieser Anleitung für Ubuntu 20.04 http://ubuntuhandbook.org/index.php/2020/05/lid-close-behavior-ubuntu-20-04/ [Archive.org] und dieser Anleitung für Ubuntu 18.04 https://tipsonubuntu.com/2018/04/28/change-lid-close-action-ubuntu-18-04-lts/ [Archive.org]


Leider wird dadurch der Schlüssel nicht direkt aus dem Speicher gelöscht, wenn der Ruhezustand eintritt. Um dies auf Kosten der Leistung zu vermeiden, können Sie die Auslagerungsdatei verschlüsseln, indem Sie diese Anleitung befolgen: https://help.ubuntu.com/community/EnableHibernateWithEncryptedSwap [Archive.org]


Diese Einstellungen sollten Cold-Boot-Angriffe abschwächen, wenn Sie schnell genug in den Ruhezustand wechseln können.

Aktivieren Sie die Zufallsvergabe von MAC-Adressen.

• Ubuntu, folgen Sie diesen Schritten https://help.ubuntu.com/community/AnonymizingNetworkMACAddresses [Archive.org].
• Jede andere Distribution: Sie müssen die Dokumentation selbst finden, aber sie sollte der Ubuntu-Anleitung recht ähnlich sein.
• Beachten Sie diese Anleitung, die immer noch funktionieren sollte: https://josh.works/shell-script-basics-change-mac-address [Archive.org]

Linux abhärten.

Als eine leichte Einführung für neue Linux-Benutzer können Sie sich folgendes ansehen

[Invidious]


Für detailliertere und fortgeschrittene Optionen, siehe:

• Diese hervorragende Anleitung: https://madaidans-insecurities.github.io/guides/linux-hardening.html [Archive.org]
• Diese ausgezeichnete Wiki-Ressource: https://wiki.archlinux.org/title/Security [Archive.org]
• Diese hervorragenden Skripte, die auf dem obigen Leitfaden und Wiki basieren: https: //codeberg.org/SalamanderSecurity/PARSEC [Archive.org]

Einrichten eines sicheren Browsers.

Siehe Anhang G: Sicherer Browser auf dem Host-Betriebssystem

 

[HEISENBERG]

MacOS Host OS.

Hinweis: Zurzeit unterstützt diese Anleitung (noch) keine ARM M1 MacBooks. Dies liegt daran, dass Virtualbox diese Architektur noch nicht unterstützt. Es könnte jedoch möglich sein, wenn Sie kommerzielle Tools wie VMWare oder Parallels verwenden, aber diese werden in diesem Leitfaden nicht behandelt.


Wie bereits erwähnt, empfehle ich nicht, Ihr tägliches Notebook für sehr sensible Aktivitäten zu verwenden. Zumindest empfehle ich nicht, Ihr vorhandenes Betriebssystem dafür zu verwenden. Dies könnte zu unerwünschten Datenlecks führen, die dazu verwendet werden könnten, Ihre Anonymität zu verlieren. Wenn Sie einen speziellen Laptop für diese Zwecke haben, sollten Sie ein frisches, sauberes Betriebssystem neu installieren. Wenn Sie Ihren Laptop nicht löschen und neu beginnen wollen, sollten Sie die Tails-Route in Betracht ziehen oder auf eigenes Risiko vorgehen.


Ich empfehle Ihnen außerdem, die Erstinstallation komplett offline durchzuführen, um Datenverluste zu vermeiden.


Melden Sie sich niemals mit Ihrem Apple-Konto auf diesem Mac an.

Während der Installation.

• Offline bleiben
• Deaktivieren Sie alle Anfragen zur Datenfreigabe, wenn Sie dazu aufgefordert werden, einschließlich der Standortdienste.
• Melden Sie sich nicht bei Apple an
• Aktivieren Sie Siri nicht

MacOS abhärten.

Als leichte Einführung für neue MacOS-Benutzer empfehlen wir

[Invidious]


Wenn Sie sich eingehender mit der Absicherung und Härtung Ihres MacOS befassen möchten, empfehle ich Ihnen diesen GitHub-Leitfaden, der viele der Themen abdeckt: https://github.com/drduh/macOS-Security-and-Privacy-Guide [Archive.org]


Hier sind die grundlegenden Schritte, die Sie nach Ihrer Offline-Installation durchführen sollten:

Aktivieren Sie das Firmware-Passwort mit der Option "disable-reset-capability".

Zuerst sollten Sie ein Firmware-Passwort einrichten, indem Sie dieser Anleitung von Apple folgen: https://support.apple.com/en-us/HT204455 [Archive.org]


Leider sind immer noch einige Angriffe möglich, und ein Angreifer könnte dieses Passwort deaktivieren. Daher sollten Sie auch diese Anleitung befolgen, um zu verhindern, dass das Firmware-Passwort von irgendjemandem, einschließlich Apple, deaktiviert wird: https://support.apple.com/en-gb/guide/security/sec28382c9ca/web [Archive.org]

Aktivieren Sie Hibernation statt Ruhezustand.

Auch hier geht es darum, einige Cold-Boot- und Bösewicht-Angriffe zu verhindern, indem der Arbeitsspeicher heruntergefahren und der Verschlüsselungsschlüssel gelöscht wird, wenn Sie den Deckel schließen. Sie sollten immer entweder den Ruhezustand oder das Herunterfahren wählen. Unter MacOS verfügt die Ruhezustand-Funktion sogar über eine spezielle Option, mit der der Verschlüsselungsschlüssel im Ruhezustand aus dem Speicher gelöscht wird (während Sie bei anderen Betriebssystemen möglicherweise warten müssen, bis der Speicher wieder freigegeben wird). Auch hier gibt es in den Einstellungen keine einfache Möglichkeit, dies zu tun, so dass wir stattdessen einige Befehle ausführen müssen, um den Ruhezustand zu aktivieren:

• Öffnen Sie ein Terminal
• Ausführen: sudo pmset -a destroyfvkeyonstandby 1
  
  • Dieser Befehl weist MacOS an, den Filevault-Schlüssel im Standby (Ruhezustand) zu zerstören
• Ausführen: sudo pmset -a hibernatemode 25
  
  • Dieser Befehl weist MacOS an, den Speicher während des Ruhezustands auszuschalten, anstatt einen hybriden Ruhezustand zu verwenden, bei dem der Speicher eingeschaltet bleibt. Dies führt zwar zu einem langsameren Aufwachen, verlängert aber die Lebensdauer der Batterie.

Wenn Sie nun den Deckel Ihres MacBooks schließen, sollte es sich in den Ruhezustand versetzen, anstatt in den Schlafmodus zu gehen, und Versuche, Kaltstart-Angriffe durchzuführen, abwehren.


Außerdem sollten Sie einen automatischen Ruhezustand einrichten (Einstellungen > Energie), damit Ihr MacBook automatisch in den Ruhezustand versetzt wird, wenn es unbeaufsichtigt bleibt.

Deaktivieren Sie unnötige Dienste.

Deaktivieren Sie einige unnötige Einstellungen in den Einstellungen:

• Deaktivieren Sie Bluetooth
• Deaktivieren Sie die Kamera und das Mikrofon
• Standortdienste deaktivieren
• Airdrop deaktivieren
• Indizierung deaktivieren

Verhindern Sie Apple OCSP-Aufrufe.

Dies sind die berüchtigten "nicht blockierbaren Telemetrie"-Aufrufe von MacOS Big Sur, die hier offengelegt werden: https://sneak.berlin/20201112/your-computer-isnt-yours/ [Archive.org]


Sie können OCSP-Berichte blockieren, indem Sie den folgenden Befehl in Terminal eingeben:

• sudo sh -c 'echo "127.0.0.1 ocsp.apple.com" >> /etc/hosts'

Bevor Sie handeln, sollten Sie sich jedoch über das eigentliche Problem informieren. Diese Seite ist ein guter Startpunkt: https://blog.jacopo.io/en/post/apple-ocsp/ [Archive.org]


Es liegt wirklich an Ihnen. Ich würde es blockieren, weil ich keinerlei Telemetrie von meinem Betriebssystem an das Mutterschiff ohne meine ausdrückliche Zustimmung wünsche. Keine.

Aktivieren Sie die vollständige Festplattenverschlüsselung (Filevault).

Sie sollten die vollständige Festplattenverschlüsselung auf Ihrem Mac mit Filevault aktivieren, wie in diesem Teil der Anleitung beschrieben: https://github.com/drduh/macOS-Security-and-Privacy-Guide#full-disk-encryption [Archive.org]


Seien Sie bei der Aktivierung vorsichtig. Speichern Sie den Wiederherstellungsschlüssel nicht bei Apple, wenn Sie dazu aufgefordert werden (dies sollte kein Problem sein, da Sie zu diesem Zeitpunkt offline sein sollten). Sie wollen natürlich nicht, dass ein Dritter Ihren Wiederherstellungsschlüssel hat.

MAC-Adress-Randomisierung.

Leider bietet MacOS keine bequeme Möglichkeit, Ihre MAC-Adresse nach dem Zufallsprinzip zu vergeben, so dass Sie dies manuell tun müssen. Dies wird bei jedem Neustart zurückgesetzt und Sie müssen es jedes Mal neu machen, um sicherzustellen, dass Sie nicht Ihre aktuelle MAC-Adresse verwenden, wenn Sie sich mit verschiedenen Wi-Fi-Netzwerken verbinden


Geben Sie dazu im Terminal die folgenden Befehle ein (ohne die Klammern):

• (Schalten Sie das Wi-Fi aus) networksetup -setairportpower en0 off
• (Ändern Sie die MAC-Adresse) sudo ifconfig en0 ether 88:63:11:11:11:11
• (Schalten Sie das Wi-Fi wieder ein) networksetup -setairportpower en0 on

Einen sicheren Browser einrichten.

Siehe Anhang G: Sicherer Browser auf dem Host-Betriebssystem

Windows-Host-Betriebssystem.

Wie bereits erwähnt, empfehle ich nicht, Ihr tägliches Notebook für sehr sensible Aktivitäten zu verwenden. Zumindest empfehle ich nicht, Ihr eigenes Betriebssystem dafür zu verwenden. Dies könnte zu unerwünschten Datenlecks führen, die dazu verwendet werden könnten, Ihre Anonymität zu verlieren. Wenn Sie einen speziellen Laptop für diese Zwecke haben, sollten Sie ein frisches, sauberes Betriebssystem neu installieren. Wenn Sie Ihren Laptop nicht löschen und neu beginnen wollen, sollten Sie die Tails-Route in Betracht ziehen oder auf eigenes Risiko vorgehen.


Ich empfehle Ihnen außerdem, die Erstinstallation komplett offline durchzuführen, um Datenverluste zu vermeiden.

Installation.

Sie sollten Anhang A: Windows-Installation folgen


Als leichte Einführung sollten Sie sich Folgendes ansehen

[Invidious]

Aktivieren Sie die Zufallsauswahl der MAC-Adresse.

Sie sollten Ihre MAC-Adresse nach dem Zufallsprinzip vergeben, wie weiter oben in diesem Handbuch beschrieben:


Gehen Sie zu Einstellungen > Netzwerk & Internet > Wi-Fi > Zufällige Hardwareadressen aktivieren


Alternativ dazu können Sie diese kostenlose Software verwenden: https://technitium.com/tmac/ [Archive.org]

Einrichten eines sicheren Browsers.

Siehe Anhang G: Sicherer Browser auf dem Host-Betriebssystem

Aktivieren Sie einige zusätzliche Datenschutzeinstellungen auf Ihrem Host-Betriebssystem.

Siehe Anhang B: Zusätzliche Windows-Datenschutzeinstellungen

Windows Host OS-Verschlüsselung.

Wenn Sie beabsichtigen, systemweite plausible Bestreitbarkeit zu verwenden.

Veracrypt ist die Software, die ich für vollständige Festplattenverschlüsselung, Dateiverschlüsselung und plausible Bestreitbarkeit empfehlen werde. Es ist eine Abspaltung des bekannten, aber veralteten und nicht mehr gewarteten TrueCrypt. Es kann verwendet werden für

• Einfache Festplattenverschlüsselung (Ihre Festplatte wird mit einer Passphrase verschlüsselt).
• Vollständige Festplattenverschlüsselung mit plausibler Bestreitbarkeit (das bedeutet, dass Sie je nach der beim Booten eingegebenen Passphrase entweder ein Scheinbetriebssystem oder ein verstecktes Betriebssystem starten).
• Datei-Container mit einfacher Verschlüsselung (es handelt sich um eine große Datei, die Sie in Veracrypt wie ein externes Laufwerk einbinden können, um darin verschlüsselte Dateien zu speichern).
• Datei-Container mit plausibler Bestreitbarkeit (es handelt sich um dieselbe große Datei, aber abhängig von der Passphrase, die Sie beim Einbinden verwenden, werden Sie entweder ein "verstecktes Volume" oder ein "Täuschungs-Volume" einbinden).

Meines Wissens ist es die einzige (bequeme und von jedermann nutzbare) kostenlose, quelloffene und offen geprüfte Verschlüsselungssoftware, die auch für den allgemeinen Gebrauch eine plausible Bestreitbarkeit bietet, und sie funktioniert mit der Windows Home Edition.


Laden Sie Veracrypt herunter und installieren Sie es von: https://www.veracrypt.fr/en/Downloads.html [Archive.org]


Nach der Installation nehmen Sie sich bitte einen Moment Zeit, um die folgenden Optionen zu prüfen, die helfen, einige Angriffe zu entschärfen:

• Verschlüsseln Sie den Arbeitsspeicher mit einer Veracrypt-Option (Einstellungen > Leistung/Treiberoptionen > RAM verschlüsseln) auf Kosten von 5-15 % Leistung. Mit dieser Einstellung wird auch der Ruhezustand deaktiviert (wodurch der Schlüssel im Ruhezustand nicht aktiv gelöscht wird) und stattdessen der Speicher vollständig verschlüsselt, um einige Cold-Boot-Angriffe abzuschwächen.
• Aktivieren Sie die Veracrypt-Option, um die Schlüssel aus dem Speicher zu löschen, wenn ein neues Gerät eingesetzt wird (System > Einstellungen > Sicherheit > Schlüssel aus dem Speicher löschen, wenn ein neues Gerät eingesetzt wird). Dies kann hilfreich sein, wenn Ihr System beschlagnahmt wird, während es noch eingeschaltet (aber gesperrt) ist.
• Aktivieren Sie die Veracrypt-Option, um Datenträger als Wechseldatenträger zu mounten (Einstellungen > Präferenzen > Datenträger als Wechseldatenträger mounten). Dadurch wird verhindert, dass Windows einige Protokolle über Ihre Einhängevorgänge in die Ereignisprotokolle schreibt und einige lokale Datenlecks verhindert.
• Seien Sie vorsichtig und haben Sie ein gutes Situationsbewusstsein, wenn Sie etwas Seltsames bemerken. Schalten Sie Ihren Laptop so schnell wie möglich aus.
• Obwohl neuere Veracrypt-Versionen Secure Boot unterstützen, würde ich empfehlen, dies im BIOS zu deaktivieren, da ich das Veracrypt Anti-Evil Maid-System Secure Boot vorziehe.

Wenn Sie keinen verschlüsselten Speicher verwenden wollen (weil die Leistung ein Problem sein könnte), sollten Sie zumindest den Ruhezustand anstelle des Ruhezustands aktivieren. Dadurch werden die Schlüssel zwar nicht aus dem Speicher gelöscht (Sie sind immer noch anfällig für Cold-Boot-Angriffe), aber sie werden zumindest etwas entschärft, wenn Ihr Speicher genug Zeit hat, um zu zerfallen.


Weitere Einzelheiten später in Route A und B: Einfache Verschlüsselung mit Veracrypt (Windows-Tutorial).

Wenn Sie nicht beabsichtigen, systemweite plausible Bestreitbarkeit zu verwenden.

In diesem Fall empfehle ich die Verwendung von BitLocker anstelle von Veracrypt für die vollständige Festplattenverschlüsselung. Der Grund dafür ist, dass BitLocker im Gegensatz zu Veracrypt keine Möglichkeit der plausiblen Abstreitbarkeit bietet. Ein harter Gegner hat dann keinen Anreiz, sein "erweitertes" Verhör fortzusetzen, wenn Sie die Passphrase preisgeben.


Normalerweise sollten Sie in diesem Fall Windows Pro installiert haben, und die Einrichtung von BitLocker ist recht einfach.


Im Grunde können Sie die Anweisungen hier befolgen: https://support.microsoft.com/en-us...cryption-0c453637-bc88-5f74-5105-741561aae838 [Archive.org]


Aber hier sind die Schritte:

• Klicken Sie auf das Windows-Menü
• Geben Sie "Bitlocker" ein
• Klicken Sie auf "Bitlocker verwalten".
• Klicken Sie auf "Bitlocker einschalten" auf Ihrem Systemlaufwerk
• Befolgen Sie die Anweisungen
  
  • Speichern Sie Ihren Wiederherstellungsschlüssel nicht in einem Microsoft-Konto, wenn Sie dazu aufgefordert werden.
  • Speichern Sie den Wiederherstellungsschlüssel nur auf einem externen verschlüsselten Laufwerk. Um dies zu umgehen, drucken Sie den Wiederherstellungsschlüssel mit dem Microsoft-Drucker "Print to PDF" aus und speichern Sie den Schlüssel im Ordner "Documents".
  • Verschlüsseln Sie das gesamte Laufwerk (verschlüsseln Sie nicht nur den verwendeten Speicherplatz).
  • Verwenden Sie den "Neuen Verschlüsselungsmodus".
  • Führen Sie die BitLocker-Prüfung aus.
  • Starten Sie neu.
• Die Verschlüsselung sollte nun im Hintergrund gestartet sein (Sie können dies überprüfen, indem Sie auf das Bitlocker-Symbol unten rechts in der Taskleiste klicken).

Aktivieren Sie den Ruhezustand (optional).

Auch hier gilt, wie bereits erwähnt. Sie sollten niemals die Ruhezustand-Funktion verwenden, um einige Cold-Boot- und Bösewicht-Angriffe zu entschärfen. Stattdessen sollten Sie den Laptop herunterfahren oder in den Ruhezustand versetzen. Daher sollten Sie Ihren Laptop in den Ruhezustand versetzen, wenn Sie den Deckel schließen oder wenn Ihr Laptop in den Ruhezustand geht.


(Beachten Sie, dass Sie den Ruhezustand nicht aktivieren können, wenn Sie zuvor die RAM-Verschlüsselung in Veracrypt aktiviert haben)


Der Grund dafür ist, dass der Ruhezustand Ihren Laptop vollständig herunterfährt und den Speicher bereinigt. Der Ruhezustand hingegen lässt den Speicher eingeschaltet (einschließlich Ihres Entschlüsselungsschlüssels) und könnte Ihren Laptop anfällig für Cold-Boot-Angriffe machen.


Standardmäßig bietet Windows 10 diese Möglichkeit möglicherweise nicht an, daher sollten Sie sie mit Hilfe dieser Microsoft-Anleitung aktivieren: https://docs.microsoft.com/en-us/tr.../deployment/disable-and-re-enable-hibernation [Archive.org]

• Öffnen Sie eine Administrator-Eingabeaufforderung (Rechtsklick auf Eingabeaufforderung und "Als Administrator ausführen")
• Führen Sie aus: powercfg.exe /hibernate on
• Führen Sie nun den zusätzlichen Befehl aus: **powercfg /h /type full**
  
  • Dieser Befehl stellt sicher, dass der Ruhezustand voll ist und bereinigt den Speicher vollständig (nicht sicher).

Danach sollten Sie in Ihre Energieeinstellungen gehen:

• Öffnen Sie die Systemsteuerung
• Öffnen Sie System & Sicherheit
• Öffnen Sie die Energieoptionen
• Öffnen Sie "Auswählen, was der Netzschalter macht".
• Ändern Sie alles von "Ruhezustand" zu "Ruhezustand" oder "Herunterfahren".
• Gehen Sie zurück zu den Energieoptionen
• Wählen Sie Planeinstellungen ändern
• Wählen Sie Erweiterte Energieeinstellungen
• Ändern Sie alle Werte für den Ruhezustand für jeden Energiesparplan auf 0 (Nie)
• Stellen Sie sicher, dass der hybride Ruhezustand für jeden Energiesparplan ausgeschaltet ist.
• Aktivieren Sie den Ruhezustand nach der von Ihnen gewünschten Zeit
• Deaktivieren Sie alle Weckzeitgeber

Entscheiden Sie, welche Teilstrecke Sie nehmen wollen.

Nun müssen Sie sich für einen der beiden nächsten Schritte entscheiden:

• Route A: Einfache Verschlüsselung Ihres aktuellen Betriebssystems
  
  • Vorteile:
    
    • Sie müssen Ihren Laptop nicht löschen
    • Kein Problem mit lokalen Datenlecks
    • Funktioniert gut mit einem SSD-Laufwerk
    • Funktioniert mit jedem Betriebssystem
    • Einfach
  • Nachteile:
    
    • Sie könnten von einem Gegner gezwungen werden, Ihr Passwort und alle Ihre Geheimnisse preiszugeben, und haben keine plausible Bestreitbarkeit.
    • Gefahr von Online-Datenlecks
• Route B: Einfache Verschlüsselung Ihres aktuellen Betriebssystems mit späterer Nutzung der plausiblen Bestreitbarkeit der Dateien selbst:
  
  • Vorteile:
    
    • Sie müssen Ihren Laptop nicht löschen
    • Funktioniert gut mit einem SSD-Laufwerk
    • Funktioniert mit jedem Betriebssystem
    • Plausible Abstreitbarkeit bei "weichen" Gegnern möglich
  • Nachteile:
    
    • Gefahr von Online-Datenlecks
    • Gefahr von lokalen Datenlecks (was zu mehr Arbeit bei der Beseitigung dieser Lecks führt)
• Route C: Plausible Bestreitbarkeit Verschlüsselung Ihres Betriebssystems (Sie haben ein "verstecktes Betriebssystem" und ein "Scheinbetriebssystem" auf dem Laptop laufen):
  
  • Vorteile:
    
    • Keine Probleme mit lokalen Datenlecks
    • Plausible Bestreitbarkeit bei "weichen" Gegnern möglich
  • Nachteile:
    
    • Erfordert Windows (diese Funktion wird unter Linux nicht "einfach" unterstützt).
    • Gefahr von Online-Datenlecks
    • Erfordert eine vollständige Löschung des Laptops
    • Keine Verwendung mit einem SSD-Laufwerk, da Trim Operations deaktiviert werden muss. Dies wird die Leistung/Gesundheit Ihres SSD-Laufwerks mit der Zeit stark beeinträchtigen.

Wie Sie sehen, bietet Route C nur zwei Vorteile in Bezug auf den Schutz der Privatsphäre, und sie ist nur gegen einen sanftmütigen Gegner von Nutzen. Denken Sie an https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org].


Die Entscheidung, welchen Weg Sie einschlagen wollen, liegt bei Ihnen. Route A ist ein Minimum.


Achten Sie immer darauf, regelmäßig nach neuen Versionen von Veracrypt zu suchen, um sicherzustellen, dass Sie von den neuesten Patches profitieren. Überprüfen Sie dies besonders, bevor Sie große Windows-Updates anwenden, die den Veracrypt-Bootloader beschädigen und Sie in eine Bootschleife schicken könnten.


BEACHTEN SIE, dass VERACRYPT standardmäßig immer ein SYSTEM-PASSWORT in QWERTY vorschlägt (zeigen Sie das Passwort als Test an). Dies kann zu Problemen führen, wenn die Eingabe beim Booten über die Tastatur Ihres Laptops erfolgt (z. B. AZERTY), da Sie Ihr Passwort in QWERTY eingegeben haben und es beim Booten in AZERTY eingeben werden. Prüfen Sie also beim Teststart, welche Tastaturbelegung Ihr BIOS verwendet. Es könnte sein, dass Sie sich nur wegen der Verwechslung von QWERTY/AZERTY nicht anmelden können. Wenn Ihr BIOS mit AZERTY bootet, müssen Sie das Passwort in QWERTY in Veracrypt eingeben.

Route A und B: Einfache Verschlüsselung mit Veracrypt (Windows-Anleitung)

Überspringen Sie diesen Schritt, wenn Sie zuvor BitLocker verwendet haben.


Für diese Methode benötigen Sie keine Festplatte, und Sie müssen Trim bei dieser Methode nicht deaktivieren. Trim-Lecks sind nur für die Forensik von Nutzen, um das Vorhandensein eines versteckten Datenträgers zu erkennen, ansonsten sind sie nicht von großem Nutzen.


Dieser Weg ist recht einfach und verschlüsselt nur Ihr aktuelles Betriebssystem, ohne dass Daten verloren gehen. Lesen Sie auf jeden Fall alle Texte, die Veracrypt Ihnen zeigt, damit Sie verstehen, was vor sich geht.

• Starten Sie VeraCrypt
• Gehen Sie in die Einstellungen:
  
  • Einstellungen > Leistung/Treiberoptionen > RAM verschlüsseln
  • System > Einstellungen > Sicherheit > Schlüssel aus dem Speicher löschen, wenn ein neues Gerät eingelegt wird
  • System > Einstellungen > Windows > Secure Desktop aktivieren
• Wählen Sie System
• Wählen Sie Systempartition/Laufwerk verschlüsseln
• Wählen Sie Normal (Einfach)
• Wählen Sie Single-Boot
• Wählen Sie AES als Verschlüsselungsalgorithmus (klicken Sie auf die Schaltfläche Testen, wenn Sie die Geschwindigkeiten vergleichen möchten)
• Wählen Sie SHA-512 als Hash-Algorithmus (denn warum nicht)
• Geben Sie eine starke Passphrase ein (je länger, desto besser, beachten Sie Anhang A2: Richtlinien für Passwörter und Passphrasen)
• Sammeln Sie etwas Entropie, indem Sie den Cursor zufällig bewegen, bis der Balken voll ist.
• Klicken Sie auf Weiter, um den Bildschirm "Generierte Schlüssel" aufzurufen.
• Ob Sie einen Datenträger retten wollen oder nicht, bleibt Ihnen überlassen. Ich empfehle die Erstellung eines solchen Datenträgers (nur für den Fall der Fälle), aber stellen Sie sicher, dass Sie ihn außerhalb des verschlüsselten Laufwerks aufbewahren (z. B. auf einem USB-Stick, oder warten Sie das Ende dieses Leitfadens ab, um Anleitungen für sichere Backups zu erhalten). Auf diesem Rettungsdatenträger wird Ihre Passphrase nicht gespeichert und Sie benötigen sie trotzdem, um ihn zu verwenden.
• Modus "Löschen":
  
  • Wenn Sie noch keine sensiblen Daten auf diesem Laptop haben, wählen Sie Keine
  • Wenn sich sensible Daten auf einer SSD befinden, sollte Trim allein ausreichen, aber ich empfehle einen Durchlauf (Zufallsdaten), um sicherzugehen.
  • Wenn Sie sensible Daten auf einer Festplatte haben, gibt es kein Trim und ich würde mindestens 1 Durchgang empfehlen.
• Testen Sie Ihre Einrichtung. Veracrypt wird nun Ihr System neu starten, um den Bootloader vor der Verschlüsselung zu testen. Dieser Test muss bestanden werden, damit die Verschlüsselung fortgesetzt werden kann.
• Nachdem Ihr Computer neu gebootet wurde und der Test bestanden ist. Sie werden von Veracrypt aufgefordert, den Verschlüsselungsprozess zu starten.
• Starten Sie die Verschlüsselung und warten Sie, bis sie abgeschlossen ist.
• Sie sind fertig, überspringen Sie Route B und gehen Sie zu den nächsten Schritten.

Es wird einen weiteren Abschnitt zur Erstellung verschlüsselter Datei-Container mit Plausible Deniability unter Windows geben.

Route B: Plausible Deniability-Verschlüsselung mit einem versteckten Betriebssystem (nur Windows)

Dies wird nur unter Windows unterstützt.


Dies wird nur auf einem HDD-Laufwerk empfohlen. Auf einem SSD-Laufwerk wird dies nicht empfohlen.


Ihr verstecktes Betriebssystem sollte nicht aktiviert werden (mit einem MS-Produktschlüssel). Daher wird auf dieser Route eine vollständige Neuinstallation empfohlen, bei der alles auf Ihrem Laptop gelöscht wird.


Lesen Sie die Veracrypt-Dokumentation https://www.veracrypt.fr/en/VeraCrypt Verstecktes-Betriebssystem.html [Archive.org] (Prozess der Erstellung des versteckten Betriebssystems) und https://www.veracrypt.fr/en/Security Anforderungen für versteckte Volumes.html [Archive.org] (Sicherheitsanforderungen und Vorsichtsmaßnahmen in Bezug auf versteckte Volumes).


So sieht Ihr System aus, nachdem dieser Vorgang abgeschlossen ist:

(Illustration aus der Veracrypt-Dokumentation, https://veracrypt.fr/en/VeraCrypt Hidden Operating System.html [ Archive.org])


Wie Sie sehen können, erfordert dieser Prozess, dass Sie von Anfang an zwei Partitionen auf Ihrer Festplatte haben.


Dieser Prozess führt Folgendes aus:

• Verschlüsselung der zweiten Partition (das äußere Volume), die wie eine leere, unformatierte Festplatte des Scheinbetriebssystems aussehen wird.
• Sie werden aufgefordert, den Inhalt des äußeren Datenträgers zu kopieren.
  
  • Hier werden Sie Ihre Anime/Porno-Sammlung von einer externen Festplatte auf das äußere Volume kopieren.
• Erstellen Sie ein verstecktes Volume innerhalb des äußeren Volumes dieser zweiten Partition. Hier wird sich das versteckte Betriebssystem befinden.
• Klonen Sie Ihre derzeit laufende Windows 10-Installation auf das versteckte Volume.
• Löschen Sie Ihr aktuell laufendes Windows 10.
• Das bedeutet, dass Ihr aktuelles Windows 10 zum versteckten Windows 10 wird und dass Sie ein neues Windows 10 Betriebssystem installieren müssen.

Obligatorisch, wenn Sie ein SSD-Laufwerk haben und dies entgegen der Empfehlung trotzdem tun möchten: Deaktivieren Sie SSD Trim in Windows (auch dies wird NICHT empfohlen, da die Deaktivierung von Trim an sich höchst verdächtig ist), und wie bereits erwähnt, wird die Deaktivierung von Trim die Lebensdauer Ihres SSD-Laufwerks verkürzen und seine Leistung im Laufe der Zeit erheblich beeinträchtigen (Ihr Laptop wird über mehrere Monate hinweg immer langsamer werden, bis er fast unbrauchbar wird, und Sie müssen dann das Laufwerk reinigen und alles neu installieren). Aber Sie müssen es tun, um Datenlecks zu vermeiden , die es der Forensik ermöglichen könnten, Ihre plausible Bestreitbarkeit zu vereiteln. Die einzige Möglichkeit, dieses Problem zu umgehen, besteht derzeit darin, einen Laptop mit einem klassischen Festplattenlaufwerk zu verwenden.

 

[HEISENBERG]

Schritt 1: Erstellen eines USB-Sticks für die Windows 10-Installation

Siehe Anhang C: Erstellung von Windows-Installationsmedien und wählen Sie die USB-Stick-Variante.

Schritt 2: Booten Sie den USB-Stick und starten Sie den Installationsprozess von Windows 10 (verstecktes Betriebssystem).

• Stecken Sie den USB-Stick in Ihren Laptop
• Siehe Anhang A: Windows-Installation und fahren Sie mit der Installation von Windows 10 Home fort.

Schritt 3: Datenschutzeinstellungen (Verstecktes Betriebssystem)

Siehe Anhang B: Zusätzliche Datenschutzeinstellungen von Windows

Schritt 4: Veracrypt-Installation und Verschlüsselungsprozess starten (Verstecktes Betriebssystem)

Denken Sie daran, https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org] zu lesen.


Verbinden Sie dieses Betriebssystem nicht mit Ihrem bekannten Wi-Fi. Sie sollten das Veracrypt-Installationsprogramm von einem anderen Computer herunterladen und mit einem USB-Stick hierher kopieren.

• Veracrypt installieren
• Starten Sie Veracrypt
• Gehen Sie in die Einstellungen:
  
  • Einstellungen > Leistungs-/Treiberoptionen > RAM verschlüsseln(beachten Sie, dass diese Option nicht mit dem Ruhezustand Ihres Laptops kompatibel ist und bedeutet, dass Sie das Gerät komplett herunterfahren müssen)
  • System > Einstellungen > Sicherheit > Schlüssel aus dem Speicher löschen, wenn ein neues Gerät eingesetzt wird
  • System > Einstellungen > Windows > Sicheren Desktop aktivieren
• Gehen Sie zu System und wählen Sie Verstecktes Betriebssystem erstellen
• Lesen Sie alle Eingabeaufforderungen sorgfältig durch
• Wählen Sie Single-Boot, wenn Sie dazu aufgefordert werden
• Erstellen Sie das äußere Volume mit AES und SHA-512.
• Verwenden Sie den gesamten verfügbaren Speicherplatz auf der zweiten Partition für das äußere Volume
• Verwenden Sie eine starke Passphrase (siehe Anhang A2: Richtlinien für Passwörter und Passphrasen)
• Wählen Sie Ja zu großen Dateien
• Erzeugen Sie etwas Entropie, indem Sie die Maus bewegen, bis der Balken voll ist, und wählen Sie NTFS (wählen Sie nicht exFAT, da das äußere Volume "normal" aussehen soll und NTFS normal ist).
• Formatieren Sie das äußere Volume
• Öffnen Sie das äußere Volume:
  
  • In diesem Stadium sollten Sie Daten auf das äußere Volume kopieren. Sie sollten also einige sensible, aber nicht so sensible Dateien/Ordner dorthin kopieren. Für den Fall, dass Sie ein Passwort für dieses Volume angeben müssen. Dies ist ein guter Platz für Ihre Anime/Mp3/Filme/Pornosammlung.
  • Ich empfehle Ihnen, das äußere Volume nicht zu sehr oder zu wenig zu füllen (etwa 40%). Denken Sie daran, dass Sie genügend Platz für das versteckte Betriebssystem lassen müssen (das die gleiche Größe wie die erste Partition haben wird, die Sie während der Installation erstellt haben).
• Verwenden Sie eine starke Passphrase für das Hidden Volume (natürlich eine andere als die für das Outer Volume).
• Nun erstellen Sie das Hidden Volume, wählen Sie AES und SHA-512
• Füllen Sie den Entropie-Balken bis zum Ende mit zufälligen Mausbewegungen
• Formatieren Sie das versteckte Volume
• Fahren Sie mit dem Klonen fort
• Veracrypt startet nun neu und klont das Windows, mit dem Sie diesen Prozess begonnen haben, auf das versteckte Volume. Dieses Fenster wird zu Ihrem versteckten Betriebssystem.
• Wenn der Klonvorgang abgeschlossen ist, wird Veracrypt innerhalb des versteckten Systems neu gestartet.
• Veracrypt wird Sie darüber informieren, dass das versteckte System nun installiert ist und Sie auffordern, das ursprüngliche Betriebssystem (das Sie zuvor mit dem USB-Stick installiert haben) zu löschen.
• Verwenden Sie 1-Pass Wipe und fahren Sie fort.
• Ihr Hidden OS ist nun installiert, fahren Sie mit dem nächsten Schritt fort

Schritt 5: Booten Sie den USB-Stick neu und starten Sie den Windows 10-Installationsprozess erneut (Decoy OS)

Jetzt, wo das versteckte Betriebssystem vollständig installiert ist, müssen Sie ein Decoy OS installieren.

• Stecken Sie den USB-Stick in Ihren Laptop
• Siehe Anhang A: Windows-Installation und fahren Sie mit der erneuten Installation von Windows 10 Home fort (installieren Sie keine andere Version und bleiben Sie bei Home).

Schritt 6: Datenschutzeinstellungen (Decoy OS)

Siehe Anhang B: Zusätzliche Datenschutzeinstellungen von Windows

Schritt 7: Installation von Veracrypt und Start des Verschlüsselungsprozesses (Decoy OS)

Jetzt verschlüsseln wir das Decoy OS:

• Veracrypt installieren
• Starten Sie VeraCrypt
• Wählen Sie System
• Wählen Sie Encrypt System Partition/Drive
• Wählen Sie Normal (Einfach)
• Wählen Sie Single-Boot
• Wählen Sie AES als Verschlüsselungsalgorithmus (klicken Sie auf die Schaltfläche "Test", wenn Sie die Geschwindigkeiten vergleichen möchten)
• Wählen Sie SHA-512 als Hash-Algorithmus (denn warum nicht)
• Geben Sie ein kurzes, schwaches Passwort ein (ja, das ist ernst, tun Sie es, es wird später erklärt).
• Sammeln Sie etwas Entropie, indem Sie den Cursor zufällig bewegen, bis der Balken voll ist
• Klicken Sie auf Weiter, um den Bildschirm "Generierte Schlüssel" aufzurufen.
• Ob Sie die Festplatte retten wollen oder nicht, bleibt Ihnen überlassen. Ich empfehle die Erstellung eines solchen Datenträgers (nur für den Fall der Fälle), aber stellen Sie sicher, dass Sie ihn außerhalb des verschlüsselten Laufwerks aufbewahren (z. B. auf einem USB-Stick, oder warten Sie das Ende dieses Leitfadens ab, um Anleitungen für sichere Backups zu erhalten). Auf diesem Rettungsdatenträger wird Ihre Passphrase nicht gespeichert und Sie benötigen sie trotzdem, um ihn zu verwenden.
• Wischmodus: Wählen Sie sicherheitshalber 1-Pass
• Testen Sie Ihre Einrichtung vor. Veracrypt wird nun Ihr System neu starten, um den Bootloader vor der Verschlüsselung zu testen. Dieser Test muss bestanden werden, damit die Verschlüsselung fortgesetzt werden kann.
• Nachdem Ihr Computer neu gebootet wurde und der Test bestanden ist. Sie werden von Veracrypt aufgefordert, den Verschlüsselungsprozess zu starten.
• Starten Sie die Verschlüsselung und warten Sie, bis sie abgeschlossen ist.
• Ihr Decoy OS ist nun einsatzbereit.

Schritt 8: Testen Sie Ihre Einrichtung (Booten Sie in beiden)

Es ist Zeit, Ihre Einrichtung zu testen.

• Starten Sie neu und geben Sie Ihre Passphrase für das Hidden OS ein. Sie sollten nun im Hidden OS booten.
• Starten Sie das System neu und geben Sie die Passphrase für das Decoy OS ein, Sie sollten nun mit dem Decoy OS booten.
• Starten Sie Veracrypt auf dem Decoy OS und mounten Sie die zweite Partition mit der Outer Volume Passphrase (mounten Sie sie als schreibgeschützt, indem Sie in die Mount Options gehen und Read-Only auswählen) und es sollte die zweite Partition als schreibgeschützt mounten, die Ihre Decoy-Daten (Ihre Anime/Porno-Sammlung) anzeigt. Sie mounten sie jetzt als schreibgeschützt, denn wenn Sie Daten darauf schreiben würden, könnten Sie den Inhalt Ihres versteckten Betriebssystems überschreiben.

Schritt 9: Ändern Sie die Decoy-Daten auf Ihrem Outer-Volume sicher

Bevor Sie zum nächsten Schritt übergehen, sollten Sie lernen, wie Sie Ihr Outer Volume sicher mounten, um Inhalte darauf zu schreiben. Dies wird auch in dieser offiziellen Veracrypt-Dokumentation https://www.veracrypt.fr/en/Protection of Hidden Volumes.html [Archive.org] erklärt.


Sie sollten dies von einem sicheren, vertrauenswürdigen Ort aus tun.


Grundsätzlich werden Sie Ihr äußeres Volume mounten und dabei auch die Passphrase für das versteckte Volume in den Mount-Optionen angeben, um das versteckte Volume vor dem Überschreiben zu schützen. Veracrypt erlaubt Ihnen dann, Daten auf das äußere Volume zu schreiben, ohne das Risiko einzugehen, Daten auf dem versteckten Volume zu überschreiben.


Durch diesen Vorgang wird das Hidden Volume nicht tatsächlich gemountet und es sollte verhindert werden, dass forensische Beweise erstellt werden, die zur Entdeckung des versteckten Betriebssystems führen könnten. Während der Durchführung dieses Vorgangs werden jedoch beide Kennwörter im Arbeitsspeicher gespeichert, so dass Sie weiterhin für einen Cold-Boot-Angriff anfällig sein könnten. Um dies abzuschwächen, sollten Sie sicherstellen, dass Sie auch Ihren Arbeitsspeicher verschlüsseln können.

• Öffnen Sie Veracrypt
• Wählen Sie Ihre zweite Partition
• Klicken Sie auf Mount
• Klicken Sie auf Mount Options
• Aktivieren Sie die Option "Verstecktes Volume schützen...". Option
• Geben Sie die Passphrase für das versteckte Betriebssystem ein
• Klicken Sie auf OK
• Geben Sie die Passphrase für das Outer-Volume ein
• Klicken Sie auf "OK".
• Sie sollten nun in der Lage sein, Ihr Outer-Volume zu öffnen und darauf zu schreiben, um den Inhalt zu ändern (kopieren/verschieben/löschen/bearbeiten...)

Schritt 10: Hinterlassen Sie einige forensische Beweise für Ihr äußeres Volume (mit den Decoy-Daten) in Ihrem Decoy OS

Wir müssen das Decoy OS so plausibel wie möglich machen. Wir wollen auch, dass Ihr Gegner denkt, Sie seien nicht so schlau.


Deshalb ist es wichtig, dass Sie freiwillig einige forensische Beweise für Ihren Decoy-Inhalt in Ihrem Decoy-Betriebssystem hinterlassen. Anhand dieser Beweise können forensische Prüfer erkennen, dass Sie Ihr externes Volume häufig gemountet haben, um auf dessen Inhalt zuzugreifen.


Hier sind einige gute Tipps, um forensische Beweise zu hinterlassen:

• Spielen Sie die Inhalte des externen Datenträgers von Ihrem Decoy OS aus ab (z. B. mit VLC). Achten Sie darauf, dass Sie einen Verlauf davon aufbewahren.
• Bearbeiten Sie Dokumente und arbeiten Sie in ihnen.
• Aktivieren Sie die Datei-Indizierung wieder auf dem Decoy OS und schließen Sie das gemountete Outer Volume ein.
• Hängen Sie es aus und mounten Sie es regelmäßig, um Inhalte zu betrachten.
• Kopieren Sie einige Inhalte von Ihrem Outer-Volume auf Ihr Decoy OS und löschen Sie diese dann auf unsichere Weise (legen Sie sie einfach in den Papierkorb).
• Installieren Sie einen Torrent-Client auf dem Decoy OS und nutzen Sie ihn von Zeit zu Zeit, um ähnliche Inhalte herunterzuladen, die Sie auf dem Decoy OS belassen wollen.
• Sie könnten auf dem Decoy OS einen VPN-Client mit einem Ihnen bekannten VPN (unentgeltlich) installieren lassen.

Legen Sie nichts Verdächtiges auf dem Decoy OS ab, wie zum Beispiel:

• Diese Anleitung
• Jegliche Links zu diesem Leitfaden
• Jede verdächtige Anonymitätssoftware wie Tor Browser

Anmerkungen.

Denken Sie daran, dass Sie stichhaltige Ausreden brauchen, damit dieses Szenario der plausiblen Bestreitbarkeit funktioniert:


Nehmen Sie sich etwas Zeit, um die "Möglichen Erklärungen für die Existenz von zwei Veracrypt-Partitionen auf einem Laufwerk" der Veracrypt-Dokumentation noch einmal zu lesen: https: //www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org]

• Sie verwenden Veracrypt, weil Sie Windows 10 Home verwenden, das kein Bitlocker bietet, aber trotzdem Datenschutz wünschen.
• Sie haben zwei Partitionen, weil Sie das System und die Daten trennen wollten, um die Organisation zu erleichtern, und weil ein befreundeter Geek Ihnen sagte, dies sei besser für die Leistung.
• Sie haben ein schwaches Passwort für einfaches, bequemes Booten auf dem System und eine starke, lange Passphrase auf dem äußeren Volume verwendet, weil Sie zu faul waren, bei jedem Booten eine starke Passphrase einzugeben.
• Sie haben die zweite Partition mit einem anderen Passwort als das System verschlüsselt, weil Sie nicht wollen, dass jemand aus Ihrem Umfeld Ihre Daten sieht. Sie wollten also nicht, dass diese Daten für andere zugänglich sind.

Seien Sie vorsichtig:

• Sie sollten das versteckte Volume niemals vom Decoy OS aus mounten (NIEMALS!). Wenn Sie dies tun, werden forensische Beweise für das Hidden Volume innerhalb des Decoy OS erstellt, die Ihren Versuch einer plausiblen Bestreitbarkeit gefährden könnten. Wenn Sie dies trotzdem (absichtlich oder aus Versehen) vom Decoy OS aus getan haben, gibt es Möglichkeiten, die forensischen Beweise zu löschen, die am Ende dieses Leitfadens erläutert werden.
• Verwenden Sie das Decoy OS niemals über das gleiche Netzwerk (öffentliches Wi-Fi) wie das Hidden OS.
• Wenn Sie das Outer-Volume vom Decoy OS mounten, schreiben Sie keine Daten in das Outer-Volume, da dies den scheinbar leeren Speicherplatz überschreiben könnte, der aber in Wirklichkeit Ihr verstecktes Betriebssystem ist. Sie sollten es immer als schreibgeschützt mounten.
• Wenn Sie den Decoy-Inhalt des Outer-Volumes ändern wollen, sollten Sie einen Live-OS-USB-Stick verwenden, auf dem Veracrypt läuft.
• Beachten Sie, dass Sie das versteckte Betriebssystem nicht zur Durchführung sensibler Aktivitäten verwenden werden; dies wird später von einer VM innerhalb des versteckten Betriebssystems aus geschehen. Das versteckte Betriebssystem soll Sie nur vor einem sanften Angreifer schützen, der sich Zugang zu Ihrem Laptop verschaffen und Sie zwingen könnte, Ihr Passwort preiszugeben.
• Seien Sie vorsichtig bei Manipulationen an Ihrem Laptop. Evil-Maid-Angriffe können Ihr verstecktes Betriebssystem aufdecken.

 

[HEISENBERG]

Virtualbox auf Ihrem Host-Betriebssystem.

Denken Sie an Anhang W: Virtualisierung.


Dieser und die folgenden Schritte sollten innerhalb des Host-Betriebssystems durchgeführt werden. Dies kann entweder Ihr Host-Betriebssystem mit einfacher Verschlüsselung sein (Windows/Linux/MacOS) oder Ihr verstecktes Betriebssystem mit plausibler Bestreitbarkeit (nur Windows).


Auf diesem Weg werden wir ausgiebig Gebrauch von der kostenlosen Software Oracle Virtualbox machen. Dabei handelt es sich um eine Virtualisierungssoftware, mit der Sie virtuelle Maschinen erstellen können, die einen Computer emulieren, auf dem ein bestimmtes Betriebssystem läuft (wenn Sie etwas anderes wie Xen, Qemu, KVM oder VMWARE verwenden möchten, können Sie das gerne tun, aber dieser Teil des Leitfadens befasst sich der Einfachheit halber nur mit Virtualbox).


Sie sollten sich also darüber im Klaren sein, dass Virtualbox nicht die Virtualisierungssoftware mit der besten Erfolgsbilanz in Bezug auf Sicherheit ist und einige der gemeldeten Probleme bis heute nicht vollständig behoben wurden. Wenn Sie Linux mit etwas mehr technischen Kenntnissen verwenden, sollten Sie stattdessen die Verwendung von KVM in Erwägung ziehen, indem Sie dem Leitfaden folgen, der bei Whonix hier https://www.whonix.org/wiki/KVM [Archive.org] und hier https://www.whonix.org/wiki/KVM#Why_Use_KVM_Over_VirtualBox.3F [Archive.org] verfügbar ist.


Einige Schritte sollten in jedem Fall unternommen werden:


Alle Ihre sensiblen Aktivitäten werden in einer virtuellen Gastmaschine mit Windows 10 Pro (diesmal nicht Home), Linux oder MacOS ausgeführt.


Dies hat einige Vorteile, die Ihnen helfen werden, anonym zu bleiben:

• Es sollte verhindern, dass das Gast-VM-Betriebssystem (Windows/Linux/MacOS), Apps und jegliche Telemetrie innerhalb der VMs direkt auf Ihre Hardware zugreifen. Selbst wenn Ihre VM durch Malware kompromittiert wird, sollte diese Malware nicht in der Lage sein, auf die VM zuzugreifen und Ihren eigentlichen Laptop zu kompromittieren.
• Es wird uns ermöglichen, den gesamten Netzwerkverkehr von deiner Client-VM durch eine andere Gateway-VM zu leiten, die den gesamten Verkehr zum Tor-Netzwerk leitet (torifiziert). Dies ist ein "Kill Switch" für das Netzwerk. Deine VM wird ihre Netzwerkverbindung komplett verlieren und offline gehen, wenn die andere VM ihre Verbindung zum Tor-Netzwerk verliert.
• Die VM selbst, die nur über ein Tor-Netzwerk-Gateway mit dem Internet verbunden ist, verbindet sich über Tor mit deinem bezahlten VPN-Dienst.
• DNS Leaks werden unmöglich sein, da die VM in einem isolierten Netzwerk ist, das in jedem Fall durch Tor laufen muss.

 

[HEISENBERG]

Wählen Sie Ihre Konnektivitätsmethode.

Es gibt 7 Möglichkeiten für diesen Weg:

• Empfohlen und bevorzugt:
  
  • Verwende Tor allein (Benutzer > Tor > Internet)
  • In bestimmten Fällen VPN über Tor verwenden (Benutzer > Tor > VPN > Internet)
• Möglich, wenn es der Kontext erfordert:
  
  • VPN über Tor über VPN verwenden (Benutzer > VPN > Tor > VPN > Internet)
  • Tor über VPN verwenden (Benutzer > VPN > Tor > Internet)
• Nicht empfohlen und riskant:
  
  • VPN allein verwenden (Benutzer > VPN > Internet)
  • VPN über VPN verwenden (Benutzer > VPN > VPN > Internet)
• Nicht empfohlen und sehr riskant (aber möglich)
  
  • Kein VPN und kein Tor (Benutzer > Internet)

Nur Tor.

Dies ist die bevorzugte und am meisten empfohlene Lösung.

Bei dieser Lösung läuft dein gesamtes Netzwerk durch Tor und es sollte in den meisten Fällen ausreichen, um deine Anonymität zu gewährleisten.


Es gibt jedoch einen großen Nachteil: Einige Dienste blockieren/verbieten Tor-Exit-Knoten komplett und erlauben keine Kontoerstellung von diesen.


Um dies zu vermeiden, sollten Sie die nächste Option in Betracht ziehen: VPN über Tor, aber beachten Sie die damit verbundenen Risiken, die im nächsten Abschnitt erklärt werden.

VPN/Proxy über Tor.

Diese Lösung kann in einigen speziellen Fällen Vorteile gegenüber der Verwendung von Tor bringen, wenn der Zugriff auf den Zieldienst von einem Tor-Exit-Knoten aus unmöglich ist. Das liegt daran, dass viele Dienste Tor schlichtweg verbieten, behindern oder blockieren ( siehe https://gitlab.torproject.org/legacy/trac/-/wikis/org/doc/ListOfServicesBlockingTor [Archive.org]).


Wie du in dieser Illustration sehen kannst, wenn dein mit Bargeld (bevorzugt)/Monero bezahlter VPN/Proxy von einem Gegner kompromittiert wird (trotz ihrer Datenschutzerklärung und No-Logging-Richtlinien), werden sie nur einen anonymen mit Bargeld/Monero bezahlten VPN/Proxy-Account finden, der sich von einem Tor-Exit-Knoten aus mit ihren Diensten verbindet.

Wenn es einem Angreifer gelingt, auch das Tor-Netzwerk zu kompromittieren, wird er nur die IP eines zufälligen öffentlichen WLANs finden, das nicht mit deiner Identität verbunden ist.


Wenn ein Angreifer Ihr VM-Betriebssystem kompromittiert (z. B. mit einer Malware oder einem Exploit), ist er im internen Netzwerk von Whonix gefangen und sollte nicht in der Lage sein, die IP des öffentlichen WLANs preiszugeben.


Diese Lösung hat jedoch einen großen Nachteil, der zu beachten ist: Interferenzen mit Tor Stream Isolation.


Stream Isolation ist eine Technik, die verwendet wird, um einige Korrelationsangriffe zu verhindern, indem für jede Anwendung ein anderer Tor-Schaltkreis verwendet wird. Hier ist eine Illustration, die zeigt, was Stream Isolation ist:

(Illustration von Marcelo Martins, https://stakey.club/en/decred-via-tor-network/ [Archive.org])


VPN/Proxy over Tor fällt auf die rechte Seite, was bedeutet, dass die Verwendung eines VPN/Proxy over Tor Tor dazu zwingt, einen Stromkreis für alle Aktivitäten zu verwenden, anstatt mehrere Stromkreise für jede Anwendung. Das bedeutet, dass die Verwendung eines VPN/Proxy über Tor die Effektivität von Tor in einigen Fällen etwas verringern kann und daher nur für bestimmte Fälle verwendet werden sollte:

• Wenn dein Zieldienst keine Tor-Exit-Knoten zulässt.
• Wenn es dir nichts ausmacht, eine gemeinsame Tor-Strecke für verschiedene Dienste zu benutzen. Zum Beispiel, um verschiedene authentifizierte Dienste zu nutzen.

Du solltest diese Methode jedoch nicht verwenden, wenn dein Ziel nur das zufällige Surfen auf verschiedenen unauthentifizierten Webseiten ist, da du nicht von der Stream Isolation profitierst und dies Korrelationsangriffe für einen Angreifer zwischen deinen einzelnen Sitzungen erleichtern könnte (siehe Dein anonymisierter Tor/VPN-Verkehr). Wenn dein Ziel jedoch ist, bei jeder Sitzung dieselbe Identität auf denselben authentifizierten Diensten zu verwenden, ist der Wert der Stream Isolation geringer, da du durch andere Mittel korreliert werden kannst.


Sie sollten auch wissen, dass Stream Isolation nicht unbedingt standardmäßig auf Whonix Workstation konfiguriert ist. Sie ist nur für einige Anwendungen (einschließlich Tor Browser) vorkonfiguriert.


Beachte auch, dass Stream Isolation nicht unbedingt alle Knoten in deinem Tor-Kreislauf verändert. Manchmal werden nur ein oder zwei geändert. In vielen Fällen wird Stream Isolation (z.B. im Tor Browser) nur den Vermittlungsknoten und den Ausgangsknoten ändern, während der Wächterknoten (Eingangsknoten) beibehalten wird.


Mehr Informationen unter:

• https://www.whonix.org/wiki/Stream_Isolation [Archive.org]
• https://tails.boum.org/contribute/design/stream_isolation/ [Archive.org]
• https://www.whonix.org/wiki/Tunnels/Introduction#Comparison_Table [Archive.org]

Tor über VPN.

Du fragst dich vielleicht: Wie wäre es, Tor über VPN zu benutzen, anstatt VPN über Tor? Nun, das würde ich nicht unbedingt tun:

• Nachteile
  
  • Ihr VPN-Anbieter ist nur ein weiterer Internetanbieter, der Ihre Herkunfts-IP kennt und Sie bei Bedarf de-anonymisieren kann. Wir trauen ihnen nicht. Ich bevorzuge eine Situation, in der Ihr VPN-Anbieter nicht weiß, wer Sie sind. Das bringt nicht viel an Anonymität.
  • Dies würde dazu führen, dass du dich mit der IP eines Tor Exit Nodes mit verschiedenen Diensten verbindest, die an vielen Orten verboten/geflaggt sind. Es hilft nicht in Bezug auf die Bequemlichkeit.
• Vorteile:
  
  • Der Hauptvorteil ist, dass wenn du dich in einer feindlichen Umgebung befindest, in der der Zugang zu Tor unmöglich/gefährlich/verdächtig ist, VPN aber in Ordnung ist.
  • Diese Methode unterbricht auch nicht die Isolation des Tor-Streams.

Wenn du Probleme hast, auf das Tor-Netzwerk zuzugreifen, weil es blockiert/zensiert wird, kannst du versuchen, Tor Bridges zu benutzen. Siehe Anhang X: Verwendung von Tor-Bridges in feindlichen Umgebungen.


Es ist auch möglich, VPN over Tor over VPN (Benutzer > VPN > Tor > VPN > Internet) zu benutzen, indem du zwei bezahlte VPNs benutzt. Das bedeutet, dass Sie das Host-Betriebssystem mit einem ersten VPN von Ihrem öffentlichen WLAN aus verbinden, dann verbindet sich Whonix mit Tor und schließlich verbindet sich Ihre VM mit einem zweiten VPN über Tor over VPN ( siehe https://www.whonix.org/wiki/Tunnels/Connecting_to_a_VPN_before_Tor [Archive.org]).


Dies hat natürlich erhebliche Auswirkungen auf die Leistung und kann recht langsam sein, aber ich denke, dass Tor irgendwo notwendig ist, um eine angemessene Anonymität zu erreichen.


Technisch ist dies auf dieser Route einfach zu erreichen, man benötigt zwei separate anonyme VPN-Konten und muss sich mit dem ersten VPN vom Host-Betriebssystem aus verbinden und der Route folgen.


Schlussfolgerung: Mach das nur, wenn du denkst, dass es riskant/unmöglich ist, Tor alleine zu benutzen, aber VPNs okay sind. Oder einfach, weil du es kannst und warum nicht.

 

[HEISENBERG]

Nur VPN.

Dieser Weg wird weder erklärt noch empfohlen.


Wenn Sie VPNs benutzen können, sollten Sie in der Lage sein, eine Tor-Schicht darüber zu legen. Und wenn du Tor benutzen kannst, dann kannst du ein anonymes VPN über Tor hinzufügen, um die bevorzugte Lösung zu erhalten.


Es macht keinen Sinn, nur ein VPN oder sogar ein VPN über VPN zu benutzen, da diese mit der Zeit zu Ihnen zurückverfolgt werden können. Einer der VPN-Anbieter kennt Ihre tatsächliche Herkunfts-IP-Adresse (auch wenn sie sich in einem sicheren öffentlichen Raum befindet), und selbst wenn Sie ein VPN über VPN hinzufügen, weiß der zweite Anbieter, dass Sie den ersten VPN-Dienst genutzt haben. Dies wird Ihre De-Anonymisierung nur geringfügig verzögern. Ja, es ist eine zusätzliche Ebene ... aber es ist eine dauerhafte, zentralisierte zusätzliche Ebene und Sie können im Laufe der Zeit de-anonymisiert werden. Dies ist nur eine Verkettung von 3 ISPs, die alle rechtmäßigen Anfragen unterliegen.


Weitere Informationen finden Sie unter den folgenden Verweisen:

• https://www.whonix.org/wiki/Compari..._VPN_Services#Tor_and_VPN_Services_Comparison [Archive.org]
• https://www.whonix.org/wiki/Why_does_Whonix_use_Tor [Archive.org]
• https://www.researchgate.net/public...communication_VPN_and_Tor_a_comparative_study [Archive.org]
• https://gist.github.com/joepie91/5a9909939e6ce7d09e29#file-vpn-md [Archiv.org]
• https://schub.wtf/blog/2019/04/08/very-precarious-narrative.html [Archive. org]

Im Kontext dieses Leitfadens wird Tor irgendwo benötigt, um eine vernünftige und sichere Anonymität zu erreichen und du solltest es benutzen, wenn du kannst.

Kein VPN/Tor.

Wenn du weder VPN noch Tor benutzen kannst, befindest du dich wahrscheinlich in einer sehr feindlichen Umgebung, in der die Überwachung und Kontrolle sehr hoch ist.


Tun Sie es einfach nicht, es ist es nicht wert und IMHO zu riskant. Sie können von jedem motivierten Gegner, der in wenigen Minuten Ihren Aufenthaltsort ausfindig machen kann, fast sofort anonymisiert werden.


Vergessen Sie nicht, sich noch einmal über Gegner (Bedrohungen) und Anhang S: Überprüfen Sie Ihr Netzwerk mit OONI auf Überwachung/Zensur zu informieren.


Wenn Sie absolut keine andere Möglichkeit haben und trotzdem etwas tun wollen, lesen Sie Anhang P: So sicher wie möglich ins Internet gehen, wenn Tor/VPN keine Option ist (auf eigene Gefahr) und ziehen Sie stattdessen die Tails-Route in Betracht.

Schlussfolgerung.

Leider wird die Verwendung von Tor allein das Misstrauen vieler Zielplattformen wecken. Du wirst viele Hürden überwinden müssen (Captchas, Fehler, Schwierigkeiten bei der Anmeldung), wenn du nur Tor benutzt. Außerdem könnte die Verwendung von Tor an deinem Aufenthaltsort dich schon allein deshalb in Schwierigkeiten bringen. Aber Tor bleibt die beste Lösung für Anonymität und muss irgendwo für Anonymität sein.

• Wenn du vorhast, dauerhafte gemeinsame und authentifizierte Identitäten bei verschiedenen Diensten zu erstellen, bei denen der Zugang von Tor aus schwierig ist, empfehle ich die Option VPN über Tor (oder VPN über Tor über VPN, falls nötig). Es könnte etwas weniger sicher gegen Korrelationsangriffe sein, da die Isolation des Tor-Streams gebrochen wird, aber es bietet viel mehr Komfort beim Zugriff auf Online-Ressourcen als die Verwendung von Tor. Es ist ein "akzeptabler" Kompromiss, wenn du vorsichtig genug mit deiner Identität bist.
• Wenn deine Absicht jedoch nur darin besteht, zufällige Dienste anonym zu durchsuchen, ohne spezielle gemeinsame Identitäten zu erstellen, indem du Tor-freundliche Dienste benutzt; oder wenn du den Kompromiss der vorherigen Option nicht akzeptieren willst. Dann empfehle ich die Tor Only-Route, um alle Vorteile der Stream Isolation zu nutzen (oder Tor über VPN, wenn du es brauchst).
• Wenn die Kosten ein Thema sind, empfehle ich die Option Nur Tor, wenn möglich.
• Wenn sowohl der Tor- als auch der VPN-Zugang unmöglich oder gefährlich ist, hast du keine andere Wahl, als dich sicher auf öffentliche WLANs zu verlassen. Siehe Anhang P: So sicher wie möglich ins Internet gehen, wenn Tor und VPNs keine Option sind

Weitere Informationen finden Sie auch in den Diskussionen hier, die Ihnen bei Ihrer Entscheidung helfen könnten:

• Tor-Projekt: https://gitlab.torproject.org/legacy/trac/-/wikis/doc/TorPlusVPN [Archive.org]
• Tails Dokumentation:
  
  • https://gitlab.tails.boum.org/tails/blueprints/-/wikis/vpn_support/ [Archive.org]
  • https://tails.boum.org/support/faq/index.en.html#index20h2 [Archive.org]
• Whonix-Dokumentation (in dieser Reihenfolge):
  
  • https://www.whonix.org/wiki/Tunnels/Introduction [Archive.org]
  • https://www.whonix.org/wiki/Tunnels/Connecting_to_Tor_before_a_VPN [Archive.org]
  • https://www.whonix.org/wiki/Tunnels/Connecting_to_a_VPN_before_Tor [Archive .org]
• Einige Papiere zu diesem Thema:
  
  • https://www.researchgate.net/public...communication_VPN_and_Tor_a_comparative_study [Archiv.org]

 

[HEISENBERG]

Besorgen Sie sich einen anonymen VPN/Proxy.

Überspringen Sie diesen Schritt, wenn Sie nur Tor benutzen wollen.


Siehe Anhang O: Besorgen Sie sich ein anonymes VPN/Proxy

Whonix.

Überspringe diesen Schritt, wenn du Tor nicht benutzen kannst.


Diese Route wird Virtualisierung und Whonix309 als Teil des Anonymisierungsprozesses verwenden. Whonix ist eine Linux-Distribution, die aus zwei virtuellen Maschinen besteht:

• Die Whonix Workstation (dies ist eine VM, auf der du sensible Aktivitäten durchführen kannst)
• Das Whonix Gateway (diese VM stellt eine Verbindung zum Tor-Netzwerk her und leitet den gesamten Netzwerkverkehr von der Workstation durch das Tor-Netzwerk).

In diesem Leitfaden werden daher 2 Varianten dieser Route vorgeschlagen:

• Die reine Whonix-Route, bei der der gesamte Verkehr durch das Tor-Netzwerk geleitet wird (Tor Only oder Tor over VPN).

Eine hybride Whonix-Route, bei der der gesamte Verkehr über ein mit Bargeld (bevorzugt)/Monero bezahltes VPN über das Tor-Netzwerk geleitet wird (VPN über Tor oder VPN über Tor über VPN).

Sie können anhand meiner Empfehlungen entscheiden, welche Variante Sie verwenden möchten. Ich empfehle die zweite Variante, wie bereits erklärt.


Whonix wird gut gepflegt und hat eine umfangreiche und unglaublich detaillierte Dokumentation.

Eine Anmerkung zu Virtualbox-Snapshots.

Später werden Sie in Virtualbox mehrere virtuelle Maschinen für Ihre sensiblen Aktivitäten erstellen und betreiben. Virtualbox bietet eine Funktion namens "Snapshots", mit der der Zustand einer VM zu einem beliebigen Zeitpunkt gespeichert werden kann. Wenn Sie später aus irgendeinem Grund zu diesem Zustand zurückkehren möchten, können Sie diesen Snapshot jederzeit wiederherstellen.


Ich empfehle Ihnen dringend, diese Funktion zu nutzen und nach der Erstinstallation/Aktualisierung jeder VM einen Snapshot zu erstellen. Dieser Snapshot sollte erstellt werden, bevor sie für sensible/anonyme Aktivitäten verwendet werden.


Auf diese Weise können Sie Ihre VMs in eine Art Wegwerf-Live-Betriebssystem" verwandeln (wie Tails bereits beschrieben hat). Das bedeutet, dass Sie alle Spuren Ihrer Aktivitäten innerhalb einer VM löschen können, indem Sie einen Snapshot auf einen früheren Zustand zurücksetzen. Natürlich ist dies nicht so gut wie bei Tails (wo alles im Arbeitsspeicher gespeichert wird), da Spuren dieser Aktivitäten auf Ihrer Festplatte verbleiben können. Forensische Studien haben gezeigt, dass sich Daten aus einer zurückgesetzten VM wiederherstellen lassen. Glücklicherweise gibt es Möglichkeiten, diese Spuren nach dem Löschen oder Zurücksetzen auf einen früheren Snapshot zu entfernen. Solche Techniken werden im Abschnitt Einige zusätzliche Maßnahmen gegen Forensik in diesem Leitfaden erörtert.

Laden Sie Virtualbox und Whonix-Dienstprogramme herunter.

Sie sollten ein paar Dinge innerhalb des Host-Betriebssystems herunterladen.

• Die neueste Version des Virtualbox-Installationsprogramms entsprechend deinem Host-Betriebssystem https://www.virtualbox.org/wiki/Downloads [Archive.org]
• (Überspringen Sie dies, wenn Sie Tor nicht nativ oder über ein VPN verwenden können) Die neueste Whonix-OVA-Datei von https://www.whonix.org/wiki/Download [Archive.org], je nach Vorliebe (Linux/Windows, mit einer Desktop-Oberfläche XFCE für die Einfachheit oder nur mit dem Text-Client für fortgeschrittene Benutzer)

Damit sind die Vorbereitungen abgeschlossen und Sie sollten nun bereit sein, die endgültige Umgebung einzurichten, die Ihre Anonymität im Internet schützt.

Empfehlungen zur Härtung von Virtualbox.

Für eine optimale Sicherheit sollten Sie die Empfehlungen befolgen, die hier für jede Virtualbox Virtual Machine https://www.whonix.org/wiki/Virtualization_Platform_Security#VirtualBox_Hardening [Archive.org] gegeben werden:

• Deaktivieren Sie Audio.
• Aktivieren Sie keine freigegebenen Ordner.
• Aktivieren Sie keine 2D-Beschleunigung. Dies geschieht mit folgendem Befehl VBoxManage modifyvm "vm-id" --accelerate2dvideo on|off
• Aktivieren Sie keine 3D-Beschleunigung.
• Aktivieren Sie den seriellen Port nicht.
• Entfernen Sie das Floppy-Laufwerk.
• Entfernen Sie das CD/DVD-Laufwerk.
• Aktivieren Sie den Remote Display Server nicht.
• Aktivieren Sie PAE/NX (NX ist eine Sicherheitsfunktion).
• Deaktivieren Sie Advanced Configuration and Power Interface (ACPI). Führen Sie dazu den folgenden Befehl aus: VBoxManage modifyvm "vm-id" --acpi on|off
• Schließen Sie keine USB-Geräte an.
• Deaktivieren Sie den USB-Controller, der standardmäßig aktiviert ist. Setzen Sie das Zeigegerät auf "PS/2-Maus" oder die Änderungen werden rückgängig gemacht.

Schließlich sollten Sie auch diese Empfehlung befolgen, um die Uhr Ihrer VM im Vergleich zum Host-Betriebssystem zu desynchronisieren https://www.whonix.org/wiki/Network...oof_the_Initial_Virtual_Hardware_Clock_Offset [Archive.org]


Dieser Offset sollte innerhalb eines Bereichs von 60000 Millisekunden liegen und für jede VM unterschiedlich sein. Hier sind einige Beispiele (die später auf jede VM angewendet werden können):

• VBoxManage modifyvm "Whonix-Gateway-XFCE" --biossystemtimeoffset -35017
• VBoxManage modifyvm "Whonix-Gateway-XFCE" --biossystemtimeoffset +27931
• VBoxManage modifyvm "Whonix-Workstation-XFCE" --biossystemtimeoffset -35017
• VBoxManage modifyvm "Whonix-Arbeitsplatz-XFCE" --biossystemtimeoffset +27931

Ziehen Sie auch in Erwägung, diese Abschwächungen von VirtualBox aus anzuwenden, um Spectre/Meltdown-Schwachstellen zu entschärfen, indem Sie diesen Befehl im VirtualBox-Programmverzeichnis ausführen. Alle diese Maßnahmen sind hier beschrieben: https://www.whonix.org/wiki/Spectre_Meltdown [Archive.org] (beachten Sie, dass diese Maßnahmen die Leistung Ihrer VMs stark beeinträchtigen können, aber aus Sicherheitsgründen durchgeführt werden sollten).


Beachten Sie schließlich die Sicherheitshinweise von Virtualbox selbst: https: //www.virtualbox.org/manual/ch13.html [Archive.org]

 

[HEISENBERG]

Tor über VPN.

Überspringen Sie diesen Schritt, wenn Sie nicht vorhaben, Tor über VPN zu benutzen und nur Tor benutzen wollen oder können.


Wenn du Tor over VPN aus irgendeinem Grund benutzen willst. Du musst zuerst einen VPN-Dienst auf deinem Host-Betriebssystem konfigurieren.


Denken Sie daran, dass ich in diesem Fall empfehle, zwei VPN-Konten zu haben. Beide werden mit Bargeld/Monero bezahlt (siehe Anhang O: Besorgen Sie sich einen anonymen VPN/Proxy). Eines wird im Host-Betriebssystem für die erste VPN-Verbindung verwendet. Das andere kann in der VM verwendet werden, um VPN über Tor über VPN zu erreichen (Benutzer > VPN > Tor > VPN).


Wenn Sie nur Tor über VPN nutzen wollen, brauchen Sie nur ein VPN-Konto.


Siehe Anhang R: Installieren eines VPNs auf deiner VM oder deinem Host OS für Anweisungen.

 

[HEISENBERG]

Whonix Virtuelle Maschinen.

Überspringe diesen Schritt, wenn du Tor nicht benutzen kannst.

• Starten Sie Virtualbox auf Ihrem Host-Betriebssystem.
• Importiere die Whonix-Datei in Virtualbox, indem du den Anweisungen auf https://www.whonix.org/wiki/VirtualBox/XFCE [Archive.org] folgst.
• Starte die Whonix-VMs

Denke an dieser Stelle daran, dass du, wenn du Probleme mit der Verbindung zu Tor aufgrund von Zensur oder Sperrung hast, eine Verbindung über Bridges in Betracht ziehen solltest, wie in diesem Tutorial erklärt https://www.whonix.org/wiki/Bridges [Archive.org].

• Aktualisiere die Whonix-VMs, indem du den Anweisungen auf https://www.whonix.org/wiki/Operating_System_Software_and_Updates#Updates [Archive.org] folgst.
• Schalten Sie die Whonix-VMs ab
• Erstellen Sie einen Snapshot der aktualisierten Whonix-VMs in Virtualbox (wählen Sie eine VM und klicken Sie auf die Schaltfläche Snapshot erstellen). Mehr dazu später.
• Weiter zum nächsten Schritt

Wichtiger Hinweis: Sie sollten auch diese sehr guten Empfehlungen auf https://www.whonix.org/wiki/DoNot [Archive.org]lesen , da die meisten dieser Prinzipien auch auf diese Anleitung zutreffen werden. Sie sollten auch die allgemeine Dokumentation hier https://www.whonix.org/wiki/Documentation [Archive.org] lesen , die ebenfalls viele Ratschläge wie diese Anleitung enthält.