Ich wurde zwar per privater Nachricht gefragt, wie es denn möglich sei, dass verschlüsselte Container über temporäre Dateien auslesbar sind, da das aber evtl. noch für andere interessant sein könnte, hier für alle:
Die verschlüsselten Container ansich sind erst mal nicht das Problem, sondern folgende zwei Umstände:
- Auslagerungsdatei / Swappartition: Dient dazu den verfügbaren Hauptspeicher zu erweitern. Wird im Idealfall nur genutzt, wenn der der eigentliche Hauptspeicher voll ist, verlassen kann man sich aber darauf nicht.
- temporäre Dateien: Für temporäre Dateien gibt es in der Regel definierte Ordner (/tmp/ unter Linux, C:\Users\...Temp), in der Programme Dateien ablegen können, die sie nachdem sie beendet wurden, nicht mehr benötigen.
Ein worst case Szenario sieht nun wie folgt aus:
- Ich habe einen verschlüsselten Container, in der ich ein Word-Dokument mit meinen Pins für's Onlinebanking habe.
- Dieses öffne ich mit Word, um es zu erweitern und speichere es.
- Word hält die alte Version in den temporären Dateien vor, um mir die Möglichkeit zu bieten, zur alten Version zurück zu gelangen.
- Parallel habe ich andere Programme offen, der Hauptspeicher geht zur Neige und die aktuell in Word geöffnete Datei wird in die Auslagerungsdatei / Swappartition ausgelagert.
Beides mal wird der Inhalt des Worddokuments
unverschlüsselt auf Bereiche der Platte geschrieben, die nicht im verschlüsselten Container enthalten sind. Und was einmal auf der Platte gelandet ist, lässt sich auslesen, bis der entsprechende Bereich überschrieben wurde. Selbst wenn die temporäre Datei oder Auslagerungsdatei gelöscht wurde (der Bereich wird als gelöscht markiert, der eigentliche Inhalt lässt sich aber wiederherstellen, z.B. mit solchen Tools
http://www.pcwelt.de/ratgeber/Dateien-wiederherstellen-Gratis-Tools-zur-Datenrettung-46951.html).
Grobfahrlässige Frohnaturen werden jetzt aufschreien, dass diese Bedingungen sicher niemals auftreten müssen, da der eigene Rechner ja eh zu viel Hauptspeicher hat oder Word die alten Versionen nicht in den temporären Dateien sondern im Hauptspeicher vorhält. Fakt ist aber, dass du verloren hast, sobald auch nur einer dieser Umstände eintrifft und für dich selbst nicht transparent ist, wenn dieser Fall eingetreten ist.
Die einzig wirksame Methode ist daher die Vollverschlüsselung der Platte, denn dann werden auch die temporären Dateien und die Auslagerungsdatei verschlüsselt. Und bisher konnte mir noch keiner ein Argument liefern, was gegen eine Vollverschlüsselung spricht.