In dem ERFH fehlen andere Betriebssysteme, denn meist wird auf einem Rechner, der nicht nur als Server ständig unter einem OS laufen soll, neben ein Linux auch ein MS-Windows installiert. Sinnvoll ist dies auch zum Ablenken und für Plausibilität: Ein Rechner ohne ein OS und mit Datenmüll (Zufallsbytes) gefüllt sieht verdächtig nach einem Encrypted Root Filesystem aus, denn selbst wenn jemand mal die Partion(en) löscht, installiert er ja im Normalfall direkt anschließend mindestens ein OS. Zur Plausibilität sollte man aber neben dem (unverschlüsselten) Windows auch ein unverschlüsseltes Linux installieren um zu zeigen das man nichts zu verbergen hat und die Partition mit dem Datenmüll noch/wieder eine Baustelle für ein weiteres OS oder eine Datenpartition ist und daher mit Datenmüll sicher gelöscht oder nur getestet wurde oder nach der Randomisierung schlicht nicht genutzt wurde.

Zur Plausibilität gehört natürlich auch auf jedem Rechner mindestens eine Partition mit Datenmüll (Zufallsbytes) oder einem ERF einzurichten und jeden Datenträger zu Randomisieren, zum Einen als ersten Datenträgertest auf Fehler und zum Anderen um sie für Angreifer weniger attrakiv zu machen und zudem Angreifer mit Datenmüll zu beschäftigen.
Zum einfachen Randomisieren mit zumindest nicht leicht erkennbaren Pseudozufallsbytes reicht schon aus die betreffende Partition mit badblocks schnell zu Randomisieren:

badblocks -wsv -c 65536 -t random /dev/<device><partition number>

und man kann es während der zweiten Hälfte, die ja nur zur Überprüfung liest, vorzeitig mit Ctrl-C beenden.
Mit m Boot-Medien und n Rechnern ergeben sich mⁿ Kombinations-Mögichkeiten. Bei m=n=10 sind es zehn Milliarden und bei m=10, n=3 sind es schon tausend. Ist nur ein ERF eingerichtet, so ist die a A-priori-Wahrscheinlichkeit, das jemand eine gültige Kombination zusammenstellt nur m^-n, aber selbst in diesem unwahrscheinlichen Fall kann ein Angreifer damit nichts machen; ohne das richtige Passwort kann er nicht einmal beweisen das es die richtige Kombination ist.
Hierbei muß man natürlich darauf achten, das der betreffende Bootloader nur einfache Geräte und keine Labels oder IDs verwendet.
Den Überblick über die Sticks behält man indem man sich auswendig merkt welcher Stick zu welchem Rechner bzw. ERF gehört oder man erstellt eine Liste der Sticks mit dem Typ (Hersteller, Hersteller-Bezeichnung, Speicherplatz) und der Seriennummer, die man kurz nach dem Einstecken z. B. so angezeigt bekommt, mitsamt Uhrzeit:

tail -n 1234567 -f /var/log/messages | grep -i serialnumber:


Wenn die unverschlüsselten Betriebssysteme nur selten genutzt werden kann einem Angreifer dies zwar auffallen, aber dafür gibt es viele mögliche Gründe: Ein vom USB-Stick gebootetes Knoppix (siehe auch Kapitel "Spam auf und mit Boot-Medien") oder von CD/DVD gebootetes Bankix, PXE-Boot usw. oder einfach ein seltenes Benutzen des betreffenden Rechners, denn das ist ohne ständige Überwachung nicht nachweisbar.

Das Einrichten schon während der Installation ist relativ neu, denn 2006 war es noch nicht möglich: http://www.linux-magazin.de/Heft-Abo/Ausgaben/2006/10/Mobiler-Datentresor.
Einige Distributionen, z. B. Debian Lenny seit mindestens 2009, haben die Einrichtung eines ERF in die Installation integriert.
Ein sehr ausführliches Beispiel findet man hier in Form von Screenshots von der Installation: http://kaoso.org/debian_installer-lenny/ .
Und für OpenSuSE ab Version 11.1 findet man eine Beschreibung hier: http://lizards.opensuse.org/2009/03/18/encrypted-root-file-system-on-lvm/.

Allerdings werden die andere Ratschläge für das ERF dort nicht berücksichtigt; man sollte diese Beispiele nur angepasst übernehmen, also möglichst ohne LUKS usw..
Und um nicht stundenlang warten zu müssen und nicht nur eine nur grobe Randomisierung zu verwenden sollte man das Randomisieren vorher erledigt haben (siehe Kapitel "Randomisieren des Datenträgers").

Mit dem bei der Installation integrierten Einrichten des ERF entfällt der etwas umständliche Weg zunächst unverschlüsselt zu installieren und erst danach ein ERF einzurichten und das installierte System dort hin zu kopieren.

Eine Installation mit ERF ist damit kaum aufwändiger als ohne; der Mehraufwand ist im Wesentlichen (neben der einmaligen Randomisierung) nur die zum Booten nötigen Dateien auf einem Wechseldatenträger zu integrieren, bei einem Kernel-Update die Boot-Dateien anzupassen und die Passworteingabe beim Booten.

Übrigens kann man ein verschlüsseltes Root-Dateisystem inzwischen (2009) nicht nur unter Linux, BSD usw. einrichten, sondern auch unter Microsoft-Windows, beispielsweise mittels Truecrypt.

Absichern der Installation

Zusätzlich zu dem sicheren und abstreitbaren Verschlüsseln kann man Dateisysteme auch zusätzlich verstecken um sie besser vor Angreifern zu schützen und das Abstreiten der Verschlüsselung plausibler zu machen.

Die erste Methode ist geschicktes Partitionieren. Das einfachste zusätzliche Verstecken ist die betreffende Partition als leer zu deklarieren, also den Partitiontyp 0 (=leer) zu verwenden. Beim Mounten/Unmounten ist der Partitiontyp egal, so das der Partitiontyp 0 daher nicht stört.
Allerdings können auch Programme, mit denen der Datenträger analysiert wird, den Partitionstyp ignorieren. Dieses einfachste Verstecken bietet daher nur wenig Schutz.
Ebenso einfach aber wenig wirksam ist das Anlegen von mehreren Partitionen auf Wechseldatenträgern, denn bei denen kann ein MS-Windows nur auf die erste Partition zugreifen (Stand Juli 2010). Unter anderem mit einem Linux läßt sich diese Limitierung leicht umgehen.

Die zweite Methode ist gar keine Partitionierung zu verwenden. Bei dieser Null-Partitioniung, die auch Superfloppy-Format genannt wird, weil Disketten fast immer in diesem Format verwendet werden, wird der gesamte Datenträger wie eine Partition verwendet.
Dieses Format eignet sich auch gut für Backups, läßt aber keinen Raum für anderes; von einem solchen Datenträger kann nicht gebootet werden.
Die meisten Analyse- oder Partitonierungs-Tools setzen voraus das Partitionen vorhanden sind und beherrschen das Superfloppy-Format nicht (mehr). Beispielsweise zeigt das fdisk Mitte 2013 zu einem USB-Stick mit einem LUKS-Dateisystem eine leere Partitionstabelle, so als ob der Stick leer wäre, und hal-get-property zeigt zum Stick Dateisystem "unknown" sowie eine leere UUID, obwohl Dateisytemtyp und UUID sogar im Klartext am Anfang stehen.
Die dritte Methode ist die betreffende Partition einfach zu löschen und wieder einzurichten, wenn man auf die Daten zugreifen möchte. Hierbei wird, wie üblich, nicht die Partition selber verändert, sondern nur deren Deklaration im Master-Boot-Record (MBR), also den erste 512 Bytes des Datenträgers. Dadurch müssen nur diese 512 Byte verändert werden, aber die Partition selber nicht.
Dies erreicht man sehr einfach mit nur primären Partitionen und zwei Versionen des MBR: Eine mit der Partition (mit dem ERF) und eine ohne. Man muß dann vor dem Verwenden des ERF den MBR ohne diese Partition ersetzen durch den MBR mit dieser Partition. Dafür reicht ein kurzes Kommando wie "dd if=mbr.bin of=/dev/sda". Alternativ notiert man sich den Beginn und das Ende der Partition und löscht sie mit einem Programm wie fdisk, aber nutzt man wie üblich die maximale Größe für die Partition, kann man sich das Notieren sparen. Diese Art des Versteckens erfordert aber jeweils ein zusätzliches unverschlüsseltes Booten und Kopieren des MBR mit der Partition, vor dem Booten mit dem ERF.
Wegen diesem zusätzlchen Aufwand wird man daher in der Regel nur für im Vorhinein bekannte Angriffe treiben, oder wenn das ERF nur selten gebootet wird.
Durch die fehlende Partition ist das Dateisystem richtig verborgen, also steganografisch.
Dieser Trick funktioniert auch bei unverschlüsselten Dateisystemen: Ohne die Partition kann nicht mehr simpel auf die Daten dort zugegriffen werden, so das ein

file -k -s /dev/<device><partition number>

mit dem man normalerweise den Dateisystem-Typ angezeigt bekommt, nicht funktioniert, da die Partition fehlt.

Die vierte Methode ist die Daten nicht wie per Voreinstellung (Default) üblich vom Anfang (von Datenträger oder Partition) an abzulegen, sondern erst hinter einigem Datenmüll (z. B. einige Bytes aus /dev/urandom).
Schließlich kann man beim Mounten auch einen Offset angeben und in den Raum davor beliebigen Datenmüll ablegen; dafür benötigt man nur die zusätzliche Mount-Option "offset=<offset>".
Hierbei ist der Offset in Bytes anzugeben. Beispiel: Das Dateisystem beginnt 123456*512 Bytes hinter dem Anfang (z. B. von /dev/sdc), und damit beim Offset 63209472, so das die ersten rund 63 MByte nur Datenmüll sind.
Dadurch kann ein Angreifer an die verschlüsselten Daten auch dann nicht heran, wenn er sowohl das Verschlüsselungsverfahren als auch das Passwort aber nicht den Offset kennt. Allerdings kann der Offset auch mittels Brute-Force ermittelt werden, so das er nur wenig zusätzliche Sicherheit bedeutet.

Die fünfte Methode ist die (zusätzliche) Verschlüsselung vom Header, der Magischen Zahl, dem Datei-Anfang. Dies leistet das Skript enc.sh, das mit der Opton -d auch entschlüsseln kann.
Damit wird aus sichtbarer Verschlüsselung wie dem Wort "LUKS" am Anfang einer mit LUKS verschlüsselten Partition ein scheinbarer Datenmüll und damit abstreitbare Verschlüsselung.

Daneben gibt es noch weitere Möglichkeiten, beispielsweise versteckte Datenträger: USB-CD/DVD-Laufwerke werden normalerweise nicht angezeigt, weder unter MS-Windows noch unter Linux, denn unter MS-Windows muß dafür meist ein Treiber geladen werden und unter Linux zeigt das übliche Auflisten, "fdisk -l", Datenträger in solchen Laufwerken nicht an. Ein Beispiel für so ein Laufwerk ist der "CnMemory externer USB-/DVD-/RW-Brenner", angeboten u. a. von Norma im August 2010. Ebenso ist es mit vielen externen Festplatten/SSDs, beispielsweise der Intenso Memory Case 2TB schwarz (USB 3.0). Über eine innenliegende Buchse kann man die auch im Gehäuse betreiben.
Allerdings sind versteckte Datenträger meist etwas umständlich und nur dann sinnvoll wenn sie physikalisch versteckt werden.
Natürlich können die Methoden beliebig kombiniert werden, also beispielsweise ein verschlüsselter Header, ein Offset und als Partitionstyp 0, aber jede Methode bedeutet mehr oder minder viel zusätzlichen Aufwand, so wie auch das Trollen durch ein Vortäuschen von einem verschlüsslten Dateisystem, das nur Fake ist und nur der Ablenkung dient, wie weiter untern im Kapitel zum Trollen (Täuschen) beschrieben.

In Zukunft wird es wohl auch diverse Optionen geben, mit denen die Dateisysteme auch auf weiteren Ebenen versteckt werden. Ein Beispiel ist Honey Encryption, durch die a) jedes Passwort akzeptiert wird und b) mit jedem Passwort plausible Daten angezeigt werden, aber nur mit dem richtigen die echten Daten. Bis das aber für ein komplettes Root-Dateisystem verfügbar ist, wird aber wohl viel Zeit vergehen; vor 2020 sollte man damit nicht rechnen.

Durch sicheres Aufbewahren der Boot-Dateien, z. B. auf einem USB-Stick der ständig am Körper getragen wird, hat man eine brauchbare Absicherung des Boot-Prozesses, aber absolut sicher ist das nicht, da der Träger auch mal schlafen muss und der Datenträger kaum überall hin mitgenommen werden kann, z. B. in das Schwimmbad oder in die Sauna. Alternativen wie Tresore sind auch nicht absolut sicher, so das es auch sinnvoll sein kann auch bei separat aufbewarten Boot-Dateien zusätzliche Sicherungsmaßnahmen zu ergreifen.
Zur zusätzlichen Sicherheit kann man von einem Boot-Skript in der verschlüsselten Partition die Integrität der Boot-Dateien (MBR, Bootloader-Menü, Bootloader, Kernel, initial Ramdisk) überprüfen um Angriffe auf den Boot-Prozess schon beim Booten relativ sicher zu erkennen.
Weil im Worst case jede Datei auf dem Boot-Medium von einem Angreifer ersetzt sein kann, benötigt man die Boot-Dateien auch in dem ERF und ein kleines Boot-Skript das die Dateien mit den Originalen vergleicht.
Ein Beispiel ist check0.sh.

Um sich Probleme wie Hash-Kollisionen zu ersparen wird dabei kein Hash verwendet, sondern simpel mittels diff verglichen und anschließend das Ergebnis per Email mitgeteilt; im Fehlerfall auch mit sofortigem Piepsen, damit der Benutzer schon vor dem Einloggen und noch beim Booten z. B. alle Netzkabel ziehen kann, nach am Rechner versteckten USB-Sticks suchen kann (z. B. auf der meist nicht direkt einsehbaren Rechner-Rückseite) und auch zeitnah protokollieren kann, wer seit der letzten erfolgreichen Überprüfung manipuliert haben könnte.
Von der Zeitschrift c't gibt es etwas ähnliches, das chkboot-Paket mit dem Skript chkboot.sh, was allerdings SHA1-Prüfsummen verwendet und daher nicht absolut sicher gegenüber Hash-Kollisionen ist, aber (2013) noch völlig ausreicht: Boot-Sicherung, Verschlüsselte Linux-Notebooks absichern, Softlink dazu. Beschrieben ist es auch in c't kompakt Linux 02/2012, S. 160 und in dem chkboot-Paket selbst, unter www.ct.de/cs1204160. Verwendet wird von diesen beiden Skripten zusätzlich auch die Überprüfung des MBR der inodes sowie der belegten physikalischen Blocks.

Man kann noch weiter gehen und mehr überprüfen, beispielsweise zusätzlich die Seriennummern von RAM-Riegeln, CPUs, HDDs usw. überprüfen, aber das bringt nur relativ wenig mehr Sicherheit.
Der Vollständigkeit halber ist hier ein Codeschnipselchen dazu, das die Ausgabe von hwinfo ohne die nicht selten variablen Takte, IRQs und Item-Nr. verwendet:

hwinfo --all --dump-db 1 > hwinfo.txt
sed '/Clock: /d;/IRQ:/d;s/[0-9]*: *//' hwinfo.txt > hwinfo_red.txt
diff hwinfo_red.txt hwinfo_red.original

Damit wird dann z. B. auch die Seriennummer vom USB-Stick überprüft, aber empfehlenswert ist alle eigenen USB-Sticks am Gehäuse unauffällig zu markieren, damit man einen Austausch schon vor dem Einstecken bemerkt.

Daneben muß der Benutzer auch auf verdächtige Anzeichen wie ein Reboot beim Neustart achten, denn sowas ist meist ein Anzeichen für eine Manipulation: http://www.heise.de/security/meldung/Angriff-auf-Windows-Bitlocker-877647.html.

Ebenso verdächtig ist wenn der Grafiktreiber nicht geladen wird, denn z. B. der Treiber von NVIDIA verweigert die Arbeit, wenn die Kernel-Version nicht stimmt; dann gibt es keine grafische Oberfläche mehr.

Eine weitere Möglichkeit den Boot-Prozess abzusichern gibt es bei einem Rechner mit einem Trusted Platform Module (TPM) Chip, denn der ermöglicht ein Trusted Boot mit Trusted Grub: http://www.linux-magazin.de/Heft-Abo/Ausgaben/2011/11/Trusted-Boot.
Mit UEFI statt einem einfachen BIOS nennt heißt es Secure Boot und auch mit Anleitungen gut beschrieben findet man das in c't Linux 2013 S. 24-29 sowie S. 35.

Bei entfernten Rechnern, beispielsweise Server, die in einer entfernten Server-Farm stehen, kann man nicht einfach eine CD/DVD oder einen USB-Stick mit relativ sicher nicht von Angreifern manipulierten Dateien verwenden, weil der Server meist weit weg ist und zudem meist nur Wartungs-Personal Zutritt hat. Allerdings gibt es für dieses Problem eine Lösung: Per IPMI oder DASH die CD/DVD, den (schreibgeschützten) Stick oder einfach nur ein Image remote anhängen, per virtual media/USB redirect. Davon kann man dann die Programme/Skripte ausführen oder lieber booten.
Zumindest mit dem IPMI von Supermicro funktioniert das ganz brauchbar und die Software dafür gibt es kostenlos.
Man kann auch mehrere virtuelle Medien kombinieren; beispielsweise das Betriebssystem in einem (automatisch) schreibgeschützten Image, und zusätzlich ein USB-Stick zum Speichern von Daten. Damit kann man beim entfernten Rechner auf lokale Datenträger komplett verzichten, was den Rechner wenig angreifbar macht.
Lädt sich das Betriebssystem selber in das RAM, was z. B. das Knoppix mit der Option toram macht, benötigt man das Medium/Image mit dem Betriebssystem auch nur beim Booten und kann sich beim IPMI danach ausloggen.
Viele Server-Mainboards wie das Supermicro X8DTH-6F haben das IPMI onboard; da kostet auch die Hardware nichts (zusätzlich). Es kostet nur eine zweite IP für das IPMI und beim X8DTH-6F muß eine weitere Netzwerkbuchse angeschlossen werden.
Es gibt dabei noch das Rest-Problem, das das IPMI selbst gecrackt werden kann, aber bei entfernter Hardware unter fremder Kontrolle können auch andere Firmwaren im Rechner durch gecrackte ersetzt werden oder ein Memory Dump z. B. per Firewire mit DMA oder Cold Boot Attack erfolgen. Dem kann man nur beschränkt vorbeugen, beispielsweise indem man Booten von USB-Stick oder CD im Bios deaktiviert und Secure Boot aktiviert, damit ein Angreifer nicht etwas anderes Booten und ein Speicherabbild (Dump) anfertigen kann.

Neben Keyloggern in Software, beispielsweise in Trojanern, gibt es sie auch in Hardware und damit können alle Tastatureingaben aufzeichnet und so auch die Passwörter ermittelt werden. Das FBI nutzt sie seit den 90ern und die deutschen Geheimdienste seit den 00ern: http://www.golem.de/news/pgp-vs-geheimdienste-pgp-ist-weiterhin-sicher-1205-92043.html .
Gegen solche Manipulationen hilft ein festes Verbinden der Tastatur mit dem Rechner, z. B. mit reichlich Heißkleber, und regelmäßiges Überprüfen der Hardware, das u. A. auch mit Entstauben kombiniert werden sollte.
Für die Anschlüsse gibt es auch Schlösser, insbesondere Smart-Keeper-Schlösser, für USB, VGA, RS-232 usw., aber anscheinend nicht für PS/2: https://www.connectivitycenter.com/peripheral-accessories/security-products.html.

Zusätzlich kann man den Rechner schwer manipulierbar machen durch einen Rechner-Schrank oder durch ein Schloß, das die Gehäuse-Öffnung blockiert. Für ein Vorhänge-Schloß reichen schon zwei an einer Ecke in das Gehäuse gebohrte Löcher und für höheren Sicherheitsbedarf gibt es Tresore mit ingegrierter Kühl-Anlage und speziellen Kabel-Durchführungen: http://lampertz.de/html/default.asp?site=1_6. Allerdings kosten sie einen fünf- bis sechsstelligen Betrag und wiegen ca. eine Tonne.

Zusätzlich oder stattdessen kann man PS/2-Tastaturen per Software ständig überwachen und so erkennen ob jemand die Verbindung unterbrochen hat, z. B. um einen Keylogger anzustecken. Dazu kann man heartbeat++.c verwenden.
Für USB-Tastaturen, aber auch allgemein für USB-Geräte, eignet sich heartbeatusb.c.
Damit es ständig läuft und automatisch beim Booten gestartet wird benötigt man eine Datei in /etc/init, z. B. mit Namen heartbeatusb und folgendem Inhalt, hier für das USB-Gerät 1d6b:0002 am USB-Bus Nummer 1, das man z. B. mittels lsusb ermitteln kann:

# heartbeatusb, usb keyboard monitoring
description "simple keyboard monitoring"
start on stopped rc RUNLEVEL=[123456]
# stop on runlevel [!123456]
#task
exec /sbin/heartbeatusb 1d6b:0002 1

Nebenbei wird vom dem Programm, heartbeat++ für PS/2-Tastaturen und heartbeatusb für USB-Tastaturen, über Tastatur-LED-Blinken signalisiert a) die aktuelle Rechner-Auslastung (load average) beziehnungsweise ein Hangup, daher auch der Name, und b) über das Muster ob es (mindestens) eine Verbindungsunterbrechung zur Tastatur gab, der Recher also wahrscheinlich manipuliert wurde, denn das möchte man ja erfahren bevor man den Rechner benutzt, beispielsweise um zum Einloggen das Passwort einzutippten.

Daneben kann man auch im BIOS Event Log nachsehen nach verdächtigen Einträgen wie "Keyboard not functional".
Hilfreich ist dabei auch der Watchdog vom BIOS oder IPMI, denn so ein Hardware-Watchdog ergänzt Software-Watchdogs wie das heartbeat++/heartbeatusb.
Zusätzlich kann man auch die Zeiten aufzeichnen und überprüfen, in denen der Rechner nicht lief, mit Tools wie Downtimed.

Verwandt mit Hardware-Keyloggern sind Manipulationen, für die das Gehäuse geöffnet wird. Diese machen sich im BIOS Event Log bemerkbar durch Einträge wie "Chassis Intrusion", vorausgesetzt ein entsprechender Schalter ist im Gehäuse vorhanden, an das Mainboard angeschlossen und der Rechner nicht ausgeschaltet. Aber man kann den Rechner auch in einem Rechner-Schrank unterbringen, der gegen Einbruch geschützt ist und an den Türen Türschalter hat, die beim Türöffnen den Strom und damit die Rechner abschalten (http://www.dradio.de/dlf/sendungen/computer/2144535/).
Gegen ein unbefugtes oder zumindest unbemerktes Öffnen kann man sich absichern mit Schraubensicherungslack/Schraubensiegellack (Tamper Evidence Seal) wie beispielsweise Bloc'Lube von Electrolube. Diese Lacke werden auch als Plombier- oder Signierlack bezeichnet und sie sind üblicherweise wasser-, öl- und benzinfest sowie beständig gegen verdünnte Säuren und Laugen. Eine andere Maßnahme ist ein Gehäuse, dessen Öffnen man mit einem Schloss verhindern kann. Solche Gehäuse gibt es für Desktop-PCs in vielen Varianten.

Den Schraubensicherungslack kann ein Angreifer natürlich ersetzen um einen erfolgten Angriff zu verdecken, aber dagegen gibt es mehrere Abwehrmaßnahmen:

A) Markieren der Lackoberseite mit einem billigen UV-Marker wie dem Edding 8280 und Nachweis/Überprüfung mit einer UV-Lampe, die es auch in Form eines Schlüsselanhängers mit UV-Diode ("UV-LED") gibt. Lack, Edding und UV-Lampe erhält man bei Elektronik-Versendern wie voelkner.de oder conrad.de. Dies ist die einfachste und billigste aber auch am leichtesten zu fälschende Methode.

B) Markieren des Lacks mit etwas schwacher Radioaktivität geringer Reichweite, die ungefährlich und Unterhalb der Freigrenze ist aber völlig ausreicht zum Nachweis mit einem nicht teuren Geigerzähler der auch Alphastrahlung und schwache Betastrahlung nachweisen kann, z. B. Gamma-Sout, in direkter Nähe. Zum Markieren braucht man weit weniger Radioaktivität als ein Mensch natürlicherweise enthält, also wirklich wenig. Die geringe Reichweite der radioaktiven Strahlung ist wichtig, nicht wegen dem Strahlenschutz vor dem bischen Radioaktivität sondern damit man eine dünne Schicht von unmarkiertem Lack auf dem markiertem Lack direkt messen kann, damit Angreifer nicht unerkannt Überpinseln können. Daher sollten nur Alphastrahler oder niederenergetische Betastrahler verwendet werden, die man schon durch Überkleben mit einem dünnen Klebestreifen komplett abschirmen kann. Deshalb eignet sich beispielsweise C14, mit nur 20 mm Reichweite der Betastrahlung in Luft. Das C14 ist auch ein natürliches Isotop, sozusagen öko:

Solche Glaskapseln, beispielsweise vom Hersteller J. T. Baker unter der Bezeichnung MAXICOUNT (obiges Bild) sind gemacht zum Auflösen der durchsichtigen C14-Verbindung in einem Lösungsmittel und da Schraubensicherungslacke zum Großteil aus Lösungsmittel bestehen kann man sie damit leicht markieren, aber durch die geringe Reichweite der Betastrahlung schirmt ein solcher Lack sehr stark ab bis das Lösungsmittel verdunstet ist und danach hat man noch eine merkliche Schwächung durch den eingetrockneten Lack, so das man an einer Schraube nur um 1 µSv/h messen kann, ca. das sechsfache der Umgebungsaktivität. Es reicht aber auch schon 0,15 µSv/h, was bei einer üblichen Umgebungsaktivität von gleichen Wert am Lack bescheidene 0,3 µSv/h ergibt und hier gilt das Motto weniger ist mehr (Sicherheit), denn je kleiner die Aktivitätt desto länger muss man messen um sie auch nur halbwegs genau zu bestimmen. Einen Geigerzähler für eine Minute aufzulegen ist keine große Sache, aber einem Angreifer der stattdessen nur wenige Sekunden misst übersieht 0,15 µSv/h. Und sofern man nur eine Schraube markiert hat, hat man den Meßaufwand nur einmal.
Um kleine Aktivitäten genau einzustellen benötigt man eine direktverdrängende Kolbenhubpipette mit fest eingestelltem Volumen, denn damit kann man das Mischungsverhältnis und auch die Dosis pro Schraube genau einstellen.
Benötigt man keine genau eingestellte Aktivität ist die Anwendung des C14 sehr einfach: In eine MAXICOUNT-Kapsel gibt man einen Tropfen Aceton und einen Tropfen Lack, z. B. Bloc´Lube von Electrolube, mischt mit einem mit Aceton befeuchteten kleinen Pinsel wenige Sekunden durch und trägt den markierten Lack mit dem Pinsel auf. Halbtrocken und noch flexibel ist der Lack Bloc'Lube von Electrolube nach 10 Minuten, nach 24 Stunden ist die Trocknung abgeschlossen und man kann die Aktivität richtig messen. Andere Schraubensiegellacke trocknen schneller und eine MAXICOUNT-Kapsel reicht für dutzende Schrauben.

Ein Klecks Siegellack, an dem vom C14 mit dem Geigerzähler deutliche 2,6 µSv/h messbar sind

Unmittelbar vor einem Angriff sollte man den Rechner ausschalten, um Angriffen auf den Bildschirmschon, wie auch Cold Boot Attacken, Viren, Trojanern u. A. sofort vorzubeugen. Dafür benötigt man ein Not-Aus, d. h. ein schnelles Ausschalten für das man eine Tastenkombination aber kein Passwort oder ähnliches benötigt, denn nur so ist sichergestellt das das Not-Aus immer funktioniert.

Um den Rechner schneller als über ein Shutdown/Ausschalten vom Betriebssystem durchzuführen hat man mehrere Möglichkeiten:

- Die Stromversorgung abschalten über eine Steckdosenleite mit Schalter oder Netzleitung (Stromkabel) ziehen oder über den Sicherungskasten oder einen Not-Aus-Schalter (falls vorhanden).

- Die Power-Taste für 4 s drücken.
Hierbei kann das Betriebssystem zumindest die wichtigsten Daten speichern und die Dateisysteme in einen konsistenten Zustand bringen.

- Mittels Magic SysRq key Poweroff.
Im einfachsten und schnellsten Fall nimmt man Alt-SysRq-o oder -b und für einem geordneten Shutdown mit zumindest dem Speichern der wichtigsten Daten und den Dateisystemen in einem konsistenten Zustand nimmt man Alt-SysRq-r|e|i|s|u|o, mit jeweils ca. 0,5 s Abstand.

Wichtig ist bei all diese Möglichkeiten, das man nicht eingeloggt sein muß, denn nur so ist sichergestellt das das Not-Aus immer funktioniert.

Man sollte die Benutzung trainieren, damit man Alt-SysRq-o oder -b im Notfall auch wirklich schnell beherrscht, innerhalb von ein bis maximal zwei Sekunden. Dazu fängt man am einfachsten mit einer nicht angeschlossenen Tastatatur oder einem ausgeschalteten Rechner an, nach dem Booten vor dem ersten Einloggen sowie nach jedem Absturz. Zum sehr schnellen Shutdown mit Alt-SysRq-b sollte man nicht viel mehr als eine Sekunde benötigen.

Daneben kann man ein Not-Aus oder auch ein Reboot von einer automatischen Überwachung der Sensor-Daten ausführen lassen kann, denn zu den Sensor-Daten gehört auch das Gehäuse (Chassis Intrusion Switch), vorausgesetzt das Mainboard hat einen entsprechenden Anschluß und das Gehäuse einen entsprechenden Schalter, der auch angeschlossen ist und der Rechner ist nicht ausgeschaltet. Gehäuse-Öffnungen zeigen sich dann im BIOS-Log, aber auch mit entsprechden Programmen wie Supero Doctor von Supermicro, das es für MS-Windows und Linux gibt. Beispiel mit geschlossenem Gehäuse:

> sdt 2>&1 | grep Intrusion
Chassis Intrusion Good

Entsprechend kann man es erweitern auf Rechner im Netzwerk, indem man deren ständige Anwesenheit überprüft mittels ping, arping oder ähnlichem.

Not-Aus mit Alarm

Man kann auch ein zweites Passwort verwenden und damit doppelt verschlüsseln (Two-factor authentication).
Wie oben zu enc.sh beschrieben kann man den Header/Anfang separat verschlüsseln, mit einem zweiten Passwort. Dazu gehört natürlich Brute-Force-Attacken zu blocken mit einem halbwegs sicheren Passwort, also nicht-trivial, mind. 20 Zeichen lang, mit Groß- u. Kleinschreibung, Ziffern, Sonderzeichen usw..
Den Anfang der Partition oder des Datenträger zu verschlüsseln reicht aus, weil die Verschlüsselung des ERF dort beginnt und nur dort angesetzt werden kann. Der Grund hierfür ist das Cipher Block Chaining (CBC) Aber selbst ohne CBC würde ein Verschlüsseln vom Anfang nicht einfach umgangen werden können, weil dort der Header des Dateisystems steht und ohne den hat man kein Dateisystem.

Zum Durchführen des XOR kann man viele Verschlüsselungs-Programme nehmen, man könnte es mit einem Bash-Skript machen und ich habe dafür mal das C-Programm exor.c gemacht.
Ähnliche findet man auf sourceforge.net mit der Suche nach XOR.
Ein einmaliges anwenden des XOR verschlüsselt, ein zweites entschlüsselt.
Für das Lesen/Schreiben am Partitionsanfang nimmt man ein Programm wie dd, denn den Programmen zum exklusiv-verodern kann man meist nicht angeben, wie viele Byte geodert werden sollen und terrabytegroße Partitionen exclusiv zu verodern dauert mehrere Stunden.

Etwas umständlich hierbei ist das man erstmal ein anderes System, z. B. ein Knoppix, booten muß und das XOR ausführen muß, aber dies macht viele Angriffe auf das ERF unwirksam.
Beispielsweise erfährt ein eingeschlepptes Rootkit nichts von dem zweiten Passwort.
Wegen diesem zusätzlchen Aufwand wird man daher in der Regel nur für im Vorhinein bekannte Angriffe treiben, oder wenn das ERF nur selten gebootet wird.

Diese Methode braucht man auch, wenn man Passwörter regelmäßig ändern möchte ohne neu zu Installieren, denn beim Loop-AES kann man das Passwort bisher nicht ändern.

Ein ERF kann man auch mit einer virtuellen Maschine wie beispielsweise VirtualBox verwenden und in einen Truecrypt-Container oder hidden Container oder einer verschlüsselten Partition installieren.
Damit hat man die komplette Verschlüsselung des virtualisierten Betriebssystems durch ein externes Programm.
Daneben hat man natürlich weiterhin die Möglichkeit das Betriebssystem mit Bordmitteln zu verschlüsseln, so wie ohne Virtualisierung.

Zur Absicherung gehört auch ein sicheres Umfeld, beispielsweise damit niemand zur Passwort-Ausspähung über die Schulter sieht (visueller Keylogger) und damit niemand zur Passwort-Umgehung den noch eingeloggten Benutzer von der Tastatur wegreißen und dessen Account Übernehmen kann.
In der eigenen Wohnung oder am Arbeitsplatz ist das sichere Umfeld meist vorhanden, aber beispielsweise nicht mit dem Notebook draußen, z. B. in einer U-Bahn. Das Ausspähen von Passwörtern, die nicht für den Ausspäher bestimmt sind ist illegal, in Deutschland nach § 202a StGB, unabhängig davon wer Eigentümer der Hardware ist, weil die Verfügungsbefugnis der Daten geschützt ist, unabhängig auch davon ob es private, geschäftliche oder staatliche Daten sind und auch unabhängig davon was sie enthalten, d. h. auch Spam und BIOS-Einstellungen sind nach § 202a StGB geschützt. Zu diesem Straftatbestand gilt: "Ausreichend ist auch, daß die Daten nur in flüchtiger Form auf dem Bildschirm erscheinen.". Quelle: http://www.rz.uni-wuerzburg.de/netzbericht/Kapitel-7.html#sub722 . Damit ist klar, das man ohne explizite Zustimmung nicht beim Sitznachbar nachsehen darf, was dessen Monitor zeigt oder was er auf der Tastatur macht, aber in der Praxis zeigt sich das über 10 % der Mitreisenden von einem Nachbarsitz ausspähen, mehr als nur einen normal kurzen Blick, circa eine Sekunde, auf Monitor und Tastatur werfen, meist auch mehrmals und sogar über Minuten, so das man in Zügen/Bussen/Flugzeugen/U-Bahnen häufig ausgespäht wird. Spähangriffe sind deshalb eine sehr weit verbreitete Gewohnheitsstraftat, die nicht nur von Geheimdiensten begangen wird. Sie wird aber nur auf Antrag verfolgt (§205 StGB), es sei denn, die Strafverfolgungsbehörden halten ein Einschreiten von Amts wegen für geboten, aber das ist praktisch nie der Fall.
Zu Ausspäh- und Lauschangriffen auf Reisende gibt es einige Studien, beispielsweise eine von Iron Mountain Anfang 2014: http://www.com-magazin.de/news/sicherheit/pendler-datenschutzrisiko-234950.html.

Dagegen hilft sich häufig umsehen, aber das ist aufwendig und lückhaft. In der Sitaution hilft hier das, was allgemein gegen Gefahren von hinten und der Seite hilft: Ein konvexer Rückspiegel, mit dem man auch überprüfen kann ob Frisur und Kleidung noch richtig sitzen und was denn im Fenster hinter/neben einem zu sehen ist ohne den Nacken zu strapazieren, so das der Spähsuchutz nur ein Nebeneffekt ist.
Den Rückspiegel gibt es als Software, indem man das Bild von der integrierten Webcam verwendet, und auch als Hardware, also sogenannten PC Rückspiegel oder Computer Rückspiegel. Diese Spiegel sind kleine konvexe Spiegel mit einem Sichtfeld von um 45° zu den Seiten und nach oben/unten.
Gut bewährt haben diese Spiegel sich unterwegs aber nicht direkt am mobilen Rechner sondern daneben oder darüber:


So einen mittelkleinen Konvexspiegel, Durchmesser rund 6 cm, kann man leicht an der Notebook-Tasche befestigen, beispielsweise mit etwas Gewebekleband auf der Rückseite und einer Sicherheitsnadel.
Auf der Reise ist so ein Spiegel doppelt hilfreich, denn er hilft auch das Gepäck im Blick zu halten, dem man den Rücken zugekehrt hat, man sieht auch mit einem steifen Hals und sehr schnell was draußen hinter einem am Fenster vorbeizieht. Daneben kann man auch den Sitz der Kleidung und die eigene Frisur korrigieren.
Den weitesten Sichtbereich erhält man mit einem größeren und stärker gekrümmten Spiegel vom Typ Sumex 2808046 Jumbo Konvexspiegel, Produktbezeichnung Convex Interior Mirror "Jumbo View", 13,5 cm breit und 6,8 cm hoch, mit einem Sichtbereich nach oben/unten von 100° und nach links/rechts von 135°. Damit erkennt man auch Spähangriffe von der Seite, aus 90° links/rechts genau, und hat damit eine 360° Rundumsicht, also (horizontal) keinen Toten Winkel!
Vom Hersteller wird der Spiegel empfohlen zur Befestigung an der KFZ-Frontscheibe zur Überwachung von Mitfahrern, insbesondere Kindern, auf den Rücksitzen. Nach Abziehen der Saugnapf-Halerung kann man ihn mit zwei Sicherheitsnadeln an einer Notebook-Tasche befestigen und mit unten auf der Rückseite an den unteren Ecken aufgeklebten Gummipuffern (Bumpons) ausrichten.
Allerdings sind diese Spiegel technisch sehr primitiv, sie reflektieren das Licht nicht nur zum Benutzer direkt davor sondern auch in alle Richtungen. Möglich wären viel unauffälligere Spiegel die mit einem Filter wie einer Rayleigh'schen Lichtfalle nur in eine Richtung reflektieren. Oder auch ein Tablet mit Blickschutzfolie und einer Panorama-Kamera.

Der Spiegel allein nützt aber wenig; man muss ihn öfters ansehen um nachzusehen ob man ausgespäht wird und ständig den Überblick behalten. Normalerweise reicht zum Abstellen vom Ausspähen ein Kontrollblich aus dem Seitenwinkel, ein Seitenblick, also nur Bewegen der Augen. Bei Härtefällen hilft das Drohstarren: Den Kopf in die Richtung des Ausspähers/der Ausspäherin drehen und direkt in die Augen sehen, denn erwischt werden, selber angesehen und beim Spähangriff beobachtet zu werden, mögen Ausspäher nicht.
Steigern kann man es indem man wartet bis der Spähangreifer den Blick abwendet. Oder man selbst wendet den Blick nach einigen Sekunden nach unten ab, als abschätziges Taxieren.
In früheren Zeiten wurden weit härtere Methoden, bis zur Terminierung, gegen Spähangreifer angewendet. Beispielsweise um die Wende vom 19. zum 20. Jahrhundert galt es als hinreichender Anlaß, um jemanden zum Duell herauszufordern, wenn man sich von ihm lediglich "fixiert", also direkt angeblickt gefühlt hatte: http://www.spektrum.de/lexikon/biologie/drohstarren/19471.

In Zügen, insbesondere Regionalzügen, gibt es immer mal wieder Leute die mehr oder minder zufällig gegen die eigene Hardware laufen/torkeln, weshalb man wertvolle Hardware wie ein Ultrabook in einer aufgeklappten Aktentasche oder einem Aktenkoffer, wie oben zu sehen, betreiben sollte um Sachbeschädigungen vorzubeugen.
Dabei sollte man auch den Selbstschutz nicht vergessen und zumindest Sicherheitsstiefel (mit integrierter Stahlkappe) tragen um die eigenen Füße zu schützen, beispielsweise auch wenn mal wieder ein Selbstmörder den Zug zum Anhalten und die Fahrgäste Umsteigen auf Busse zwingt, denn auch auf einem nassen rutschigen Bahndamm gebenn Sicherheitsstiefel guten Halt, schützen etwas vor dem Umknicken der Füße und halten die Füße trocken auch wenn man durch zentimeterhoch mit Wasser gefüllte Gräben gehen muss (vorausgesetzt die Stiefel wurden vorher mit Imprägnierspray weitgehend wasserdicht gemacht).
Gegen blendendes direktes wie auch reflektiertes Sonnenlicht hilft auf Reisen eine Baseball-Kappe, die ausreichend tief gezogen ist.

Eine integrierte Webcam als Rückspiegel zu benutzen ist deutlich unauffälliger als ein rein optischer Rückspiegel und einfacher, mit dem Bild in einem Fenster auf dem Desktop und die verräterische Kontrollleuchte mit einem schwarzen Aufkleber verdeckt. Alternativ kann man meist einfach einen dünnen Magneten (Magnetscheibe) auflegen oder einfach mit einem schwarzen Permanentmarker, z. B. Edding 8300, übermalen. Für Webcams gibt es viele mögliche Programme zum Anzeigen, beispielsweise Kopete, Luvcview, Guvcview, Camorama, Kamerka, Kamoso, Fswebcam, Mplayer und VLC. Allerdings schützt ein Webcam-Rückspiegel nicht bei den Passwort-Eingaben zum Booten oder Login und die meisten Webcams zeigen a) eine erhebliche Trägheit und Latzenz im Berich hunderter Millisekunden und b) das Bild seitenverkehrt, verglichen mit einem Spiegel. Deshalb muss man für die meisten Webcams das Programm mit Seitenverkehrung aufrufen um ein normales Bild zu erhalten. Den mplayer(2) beispielsweise so:

mplayer2 -nocache -vf mirror -tv device=/dev/video0 tv://

Durch die Option -nocache wird die Latenzzeit so gering wie möglich gehalten.
Die Spiegelung kann man auch optisch vornehmen, durch Aufsetzen eines Dove-Prismas, aber das ist umständlich.
Mplayer(2) hat allerdings zwei Nachteile: a) Es kann die Bilder von der Webcam nicht speichern und b) bei einigen Kameras verwendet es nicht die volle Auflösung, z. B. bei der HP Truevision HD nur 640x480 statt den möglichen 1200x720. Diese Nachteile hat man mit qv4l2 nicht, aber dafür zwei andere: a) Die Anzeige ist in starrer Größe, kann weder verkleinert noch vergrößert werden und b) gibt es kenen Mirror-Modus, so das es sich nur bedingt als Spiegel-Ersatz eignet. Aber qv4l2 erlaubt eine mit kleinerer Frame-größe höhere Frame-Rate.
Allerdings haben Webcams mit rund 30° einen viel kleineren Blickwinkel als die Computer-Rückspiegel, die rund 100° haben. Hier kann man nachhelfen mit einer aufklemmbaren 180° Fischauge Linse, die für Smartphones und einem Preis um 5 Euro angeboten werden. Damit liegt der Öffnungswinkel bei rund 150°.

Beim Notebook und allgemein bei Displays schützt zudem sogenannte Blickschutzfolie vor seitlichen Blicken auf das Display. Wie die Blickschutzfolie wirkt kann man an den meisten Geldautomaten gut sehen, wenn man bei einem seitlichen Winkel von ungefähr 45° versucht zu erkennen was der Monitor anzeigt. Die Blickschutzfolie wirkt vorwiegend zu den Seiten und weniger nach oben oder unten. Nachteile sind das ca. 30 % der Helligkeit verloren geehen und das diese Folien spiegeln, im oberen Bild mit dem Spiegel zu erkennen an der Folie darunter (Typ Vikuiti Gold). Aber wie an den Rändern zu sehen ist, spiegeln die meisten Monitore ebenso stark.

Optimal wäre wenn die Hersteller die Folie bei Modilgeräten integrieren würden, aber anscheinend bietet auch 2014 kein Mobilgerätehersteller eine integrierte Blickschutzfolie an und der Trend geht leider zu Displays mit weiten Blickwinkeln, die das Ausspähen erleichtern.
Ende 2016 gibt es (angekündigt) Notebooks mit integriertem Blickschutz, Blickschutzfilter per Knopfdruck, von HP mit "Sure-View-Technik": http://heise.de/-3304834 Ob die Monitore auch Matt und entspiegelt sind ist fraglich und die Chiclet-Tastatur ist gewöhnungsbedürftig, aber es sind wohl die ersten Notebooks mit integriertem Blickschutz.

Ein weiterer Tipp gegeh Ausspähung ist eine hohe Bildauflösung, mindestens Full HD (1080p HD), besser 4K UHD oder 8K UHD, zu verwenden und die Schriftgröße möglichst klein zu wählen. Mit einer Lesebrille kann man das sehr weit treiben und hat damit zudem den Vorteil das man auf dem Desktop viel mehr unterbringen kann. Damit können Informationen nur aus sehr kurzer Distanz ausgespäht werden.

Eine weitere, aber mit einer Polbrille auch leicht zu umgehende Blickschutzmaßnahme, ist der Geheimmonitor, bei dem der oberste Polfilter entfernt wurde und den der Benutzer mit einer Polbrille wie gewohnt benutzt, während Ausspäher ohne nur einen einheitlich weißen Monitor sehen: http://www.cnet.de/41563550/privater-monitor-im-eigenbau-perfekter-blickschutz-ohne-polfilter-und-mit-polarisationsbrille/.

Ein weiterer Schutz gegen Ausspähung ist, nachdem man das 10-Finger-System gelernt hat, die Tastaturbeschriftung zu übermalen oder eine Tastatur ohne Beschriftung zu verwenden, beispielsweise die getDigital Blank Keyboard, das Keyboard 4 Ultimate oder das Model S Ultimate. Schließlich weiß man ja nach dem Erlernen des 10-Finger-Systems wo welche Taste sitzt und zur Orientierung hat man unter anderem auch die kleinen Erhebungen zur Blindorientierung (Fühlpunkte) auf Taste f und Taste j. Deshalb gibt es auf dem Markt auch unbeschriftete Tastaturen wie beispielsweise "Das Keyboard 4 Ultimate". Allerdings kosten solche "Elite-Tastaturen" meist über hundert Euro, sind also auch preislich "Elite". Aber eingebaute Tastaturen, z. B. im Notebook, gibt es leider nicht ohne Beschriftung zur Auswahl. Gegen diesen Mangel hilft Übermalen, beispielsweise mit einem Filzstift, wie man an der folgenden halbfertigen Tastatur erkennen kann:


Im Prinzip geeignet wäre mit Tastaturaufklebern eine andere Tastaturbelegung vorzutäuschen, aber das ist nicht emfehlenswert, weil sie Angreifern die Orientierung erleichtern, sofern nicht jede Taste genau gleich beschriftet wird.

Kann man eine separate Tastatur einsetzen, ist sinnvoll sind eine Tastatur mit programmierbarer Beschriftung, und ständigem Ändern der Anzeige auf den Tasten, wobei keine Taste jemals das Zeichen zeigt, mit dem sie funktionsmäig belegt ist. Durch das Ändern der Anzeige einzelner Tasten, beispielsweise eine Änderung pro Sekunde bei einer Taste, mit sanftem Überblenden, so das es möglichst wenig auffällt. Spähangreifer, die sich an der Tasttaturbeschriftung orientieren, spähen damit nur Fehlinformationen aus. Hierfür eignen sich Tastaturen wie die Optimus Maximus, die auf jeder Taste ein Farbdisply aus OLEDs mit 48 × 48 Pixeln (High Color) hat. Allerdings kostet sie 2014-07 um 1800 Euro. Die kleinere Optimus Popularis hat auf jeder Taste 64 x 64 Bildpunkte mit jeweils 18 Bit Farbtiefe, ist kaum billiger und kann wohl nur direkt beim Hersteller gekauft werden (www.artlebedev.com/everything/optimus/popularis/). Um Spähangriffe zusätzlich zu erschweren kann man die Tastatur auch rythmisch oder zufällig Blinken lassen, denn damit hat man auf der Tastatur neben dem Tastendrücken weitere Aktionen.
Als ergänzende Maßnahme kann man auch eine oder mehrere Tasten funktionslos programmieren und Passworteingaben damit ergänzen.

Bei Spähangriffen auf die Tastatur wird auch klar, wieso sichere Passwöter unter Anderem auch Großbuchstaben und Sonderzeichen wie Unterstrich enthalten sollen, denn dafür sind Tastenkombinationen zu Drücken und die sind mehr als doppelt so schwer wie einfache Tastendrücke auszuspähen, weil ein Ausspäher parallel zwei Tastendrücke Ausspähen muss. So wie am Geldautomaten, also einfachen Tastendrücken, von irgendwo auf die Tastatur zu spähen reicht bei Tastenkombinationen nicht mehr aus.
Wer ohne die originale Tastaturbeschrifung Schwierigkeitkeiten hat, z. B. selten benutzte Tasten nicht findet, kann einfach ein Bild der Tastaturbelegung auf den Desktop legen, z. B. als Hintergundbild des Desktops. Daneben kann der Schreiber bei genauem Hinsehen aus der Nähe die Beschriftung der Tasten auch durch Farbe hindurch erkennen, also auch direkt nachshen. Und zu einzelnen Tasten, kann man als Markierung mit einem Filzstift einen Punkt daneben malen, z. B. neben F7 um das UEFI-Boot-Menü zu erreichen.
Damit hat man natürlich keinen perfekten Schutz, aber selbst wer das Zehnfingersystem kennt, schafft es ohne spezielles Training normalerweise nicht fremden schnellen Tastatendrücken, insbesondere solchen mit geringer Amplitude wie sie bei Mobilgeräten üblich sind, zu folgen. Schließlich müssen dabei pro Sekunde um zwei Tastendrücke oder Tastendruckkombinationen erkannt und der Entsprechenden Taste bzw. Tastenkombination richtig zugeordnet werden und ohne Beschriftung ist das doppelt schwer - insbesondere weil es ohne Beschriftung mehrdeutig wird, da es verschiedene Tastaturbelegungen gibt, beispielsweise QWERTZ für deutschsprachige Länder und QWERTY für englischsprachige Länder.

Die Schutzmaßnahmen sind auch juristisch relevant, denn juristisch ist auch egal ob der Schutz perfekt ist oder nicht; entscheidend ist ob es einen Schutz gibt und das ist schon bei einer Sichtschutzfole der Fall und damit steht der Schutz durch § 202a außer Frage. Zudem hat man als Verfügungsberechtiger schon mit einem Schutz wie einer Sichtschutzfole sein Geheimhaltungsinteresse nach außen kundgetan; Spähangreifern ist damit, wie auch mit Privacy-Bildschirmen wie sie beispielsweise beim HP EliteBook wie das x360 1030 G6, klar gezeigt das sie unerwünscht sind.
In Härtefällen, beispielsweise Wiederholungstätern, hilft daher eine Strafanzeige nach § 202a weiter, oder auch die Spionageabwehr, für die in Deutschland nach § 3 Abs. 1 Nr. 2 BVerfSchG der Verfassungsschutz zuständig ist.

Trolle können das Spammen zum Trollen ausbauen um damit Angreifer zu provozieren, deren Resourcen zu binden und sie so zu kontrollieren. Früher oder später werden die Angreifer merken, das sie sinnlos beschäftigt wurden, von weiteren Angriffen absehen und sich ein leichtes Opfer suchen.
Hintergrund ist auch, das eine sichere Verschlüsselung nur durch eine korrekte Entschlüsselung wirklich nachgewiesen werden kann, das man aber Anzeichen für Verschlüsselung a) leicht vortäuschen (faken) kann und b) Anzeichen für tatsächliche Verschlüsselung nahezu unauffindbar sowie immer abstreitbar verstecken kann. Welche Anzeichen man vermeiden sollte, bzw. zum Spammen vortäuschen sollte, findet man in diversen Publikationen wie HTCIA 2006: Detecting and Collecting Whole Disk Encryption Media oder http://www.htcia-sd.org/Reference Documents/Detecting Whole Disk Encryption.pdf (anscheined ein ab 2010 toter Link, aber über Google sollte man die Datei auch heute noch finden).
Zum Vortäuschen/Faken mit dem Inhalt selber reicht es schon aus einen alten und möglicht nicht fehlerfreien Datenträger zu nehemen, ihn mit "badblocks -wsv -t random -c 65536 /dev/<device >" oder besser "dd conv=noerror if=/dev/urandom of=/dev/<device>" mit Datenmüll zu füllen und ihn mittels "dd if=luks.bin of=/dev/<device>" als LUKS-Verschlüsselt auszuweisen wie auch ein anschließendes "file -s /dev/<device>" zeigt. Hierbei kann <device> eine Partition oder der gesamte Datenträger sein, beim sogeannten Superfloppy-Format. Die Datei luks.bin hier stammt von einer ehemals verwendeten Partition und ist echt (kein Fake), aber es sind nur die ersten 512 Byte und damit ist alles dahinter Fake.

Ein weiterer Hintergrung ist das Menschen sehr häufig mit Vorurteilen arbeiten und beispielsweise vermuten das ein Dateiname etwas über den Dateiinhalt aussagt, aber tatsächlich ist das nur eine Vermutung, denn der Inhalt ist vom Namen völlig unabhängig, frei wählbar, und zudem sagt schon der Name wenig aus, ist nicht selten mehrdeutig oder gar missdeutend; beispielsweise faltet ein Zitronenfalter keine Zitronen.
Ein weiteres Beispiel ist das Vorurteil das sich auf einem privaten Computer Pornos befinden und daher ist ein Computer ohne Porno für Polizisten ungewöhnlich: http://www.heise.de/tp/blogs/5/149563. Fehlt Spam in Form von Pornos sind viele Angreifer richtig enttäuscht und der anwaltliche Rat vom RA Udo Vetter lautet daher "Wir halten also fest: Ein paar legale Pornos sollten stets auf der Festplatte eines Mannes sein - schon um die Kripo nicht ins Grübeln zu bringen.".
Am besten geeignet sind Polizei-Pornos, denn das macht den Computerbesitzer nicht nur unverdächtiger sondern auch sympathischer.


Zudem kann man mit Spam/Trollen/Honeypots sogar beweisenermaßen richtig behaupten, das die abstreitbare Verschlüsselung nur ein Trollen mit Datenmüll ist!
Jack Sparrow beschrieb dies im Film "Der Fluch der Karibik" so: "Man kann sich darauf verlassen, dass ein unehrlicher Mann immer unehrlich ist. Ehrlich.".
Juristisch gesehen handelt es sich beim Trollen/Spammen um ein Veralbern oder zum Narren halten ohne das damit zwingend ein materieller Nachteil verbunden sein muss. Juristen nennen dies Verarschen. Kombiniert man es mit einem materiellen Nachteil, handelt es sich um ein Bescheißen. Ausführlich nachlesen kann man dies beim Landgericht Frankfurt_am_Main, Beschluss v. 26.09.2008 - Az.: 3-11 O 63/05.

Zum Trollen reicht es schon aus, die nicht mehr benötigte alte Hardware, insbesondere Datenträger wie Festplatten, nicht einfach zu entsorgen oder für meist sehr wenig Geld zu verkaufen, sondern aufzuheben und als Honeypot zu verwenden, für proaktiven Datenschutz. Alternativ kann man alte Hardware für das Trollen für sehr wenig Geld z. B. auf Flohmärkten oder auf ebay kaufen oder auf Recyclinghöfen finden.
Wem das zu aufwendig ist, kann sie auch bei mir kaufen: Eine garantiert defekte und/oder mit Datenmüll gefüllte HDD ab 9,99 Euro (+Versand) und ein mit Datenmüll gefüllter und ein intakter PC, den man auch von USB-Stick booten kann, ab 99,99 Euro (+Versand).

Zum Trollen kann man die Datenträger nach der Randomisierung (s. o.) lustig beschriften.
Die Klassiker sind GEHEIM, STRENG GEHEIM, VS-VERTRAULICH, VS-NUR FÜR DEN DIENSTGEBRAUCH, bzw. in englisch Secret, Top secret, Confidential, Restricted, COSMIC Top Secret, NATO Secret, NATO Confidential oder NATO Restricted.
Andere Klassiker sind die Betreffzeilen lustiger Überweisungen, also:
Finanzierung geheimer Untergrundarmee
Unterstützung der Revolution
Rebellenführer-Lohn
Provision für Beseitigung der Leiche
Geldwaesche Januar, Schwarzgeld
Schwarzarbeit
Verschwörung
Ertrag aus Drogenhandel, Prostitution und Schutzgeld
illegale Parteispende
für sexuelle Gefälligkeiten
Kinderpornoring Trier West
Sonderangebot: Combo mit Sarin, Antrax, Plutonium und Zuendsaetzen
Hanfsamen, Mohnkuchen
Danke für die Warez-CDs
Auftragsmord am 20.11.
Blutgeld
Steuersünder-Datei Nr. 3
Bestechungsgeld Nr. 2
Amoklauf 2.3.
Schweigegeld
Schwarzbrennerei
Entführung
Al Quaida
Planung des dritten Weltkriegs
Kalaschnikow Semtex RAF AK47 Sarin Heroin Heil Hitler und Rot Front
Ertrag aus Drogenhandel, Prostitution und Schutzgeld
BIOWAFFEN,URAN,ANTHRAX / DANKE FÜR DIE PA!
SCHWEIGEGELD / JETZT SIND WIR QUIT!
KOKS UND NUTTEN
Sprengen und Sparen
Kokslieferung 09/10
Für terroristische Zwecke
Waffenlieferung 11/10
Osama
rosa marmelade
Nazi
Anna Ziegler

Weitere Quellen findet man u. A. bei Juristen: Beispielsweise Kurs-Namen wie "Tötung und Körperverletzung" (Kurs 5046 der Fernuni Hagen) und das Inhaltsverzeichnis vom Strafgesetzbuch. Dort findet man auch Varianten wie "Tötungsdelikt" statt Mord oder Totschlag oder §211 statt Mord.

Die Beschriftungen sollten wie üblich kurz (und damit unpräzise) sein und vor allem mehrdeutig, damit sie die Phantasie anregen, neugierig machen und anregen den Inhalt einzusehen.
Beispielsweise kann "Kokslieferung 09/10" für Daten zu einer Kokslieferung für eine Heizung oder einen Hochofen stehen, oder für Daten zu einer Kokainlieferung oder für Daten zu einer Ermittlung zu einer Kokslieferung oder ... Ohne eindeutige Beschreibung mit Datum, Ort und Anwesenden/Eingeladenen ist so eine Beschriftung nichtssagend, regt aber die Phantasie an.
Ein Beispist ist "Drogen und Sucht", zum dem die Such-Treffer bei Google zu über 90 % Seiten dagegen anzeigen und die gleichnamige Broschüre des Bund deutscher Kriminalbeamter enthält auch nichts dafür.
Ein anderes Beispiel ist "Sprengen und Sparen", denn das kann sparsamen Umgang mit Sprengstoff bedeuten, z. B. auf Truppenübungsplätzen oder beim Bergbau oder um Porto bei Briefbomben zu sparen, aber meist bedeutet es schlicht sparsame Bewässerung im Garten.

Zusätzlich zu der Randomisierung kann man auch eine verschlüsselte Partition vortäuschen, wie im Kapitel Verschlüsselungsverfahren beschrieben. Damit macht man die Datenträger interessanter für Angreifer und man macht ihnen damit eine (kurzzeitige) Freude, wie bei Honeypots üblich.

Um es Angreifern nicht zu leicht zu machen, sollte man zumindest einige der Festplatten mit einem Degausser oder einem billigen Todesmagneten behandeln, damit der Datenmüll nicht einfach und schnell sondern nur langsam und mit einem teuren Datenrettungs-Labor ausgelesen werden kann.

Alte Rechner sollte man mit reichlich unwichtigem Datenmüll betriebsbereit stehen lassen; falls ein Angreifer sie mitnimmt, macht man ihm damit eine (kurzfristige) Freude, er spart einem den Aufwand für die Entsorgung und nachdem der Angreifer merkt was er mitgenommen hat, wird er sich sicherlich ein anderes Opfer suchen.
Als Datemüll sollte man in den unverschlüsselten Partitionen nicht nur langweilige Zufallsbytes in uninteressanten Dateinamen nehmen, sondern abwechslungsreichen Datenmüll wie z. B.:

- Dateien mit den Namen, Größen und CRC32-Prüfsummen von (2009) bekannten Pornos und Dateien mit Datenmüll, aber lustigen Namen wie z. B. Anthrax_Powder_4.pdf. Dafür gibt es z. B. das Skript noscript in dem die zu erzeugenden Dateien eingetragen sind und das sich nach dem Erzeugen der Dateien natürlich selbst löscht, zusammen mit dem für die Prüfsummen benötigten fakecrc.

- Dateien, die auf den ersten Blick verschlüsselt aussehen, aber nachweisbar nur Datenmüll sind. Dafür gibt es z. B. das Skript pgpfake.sh, das PGP-Verschlüsselte Nachrichten fakt.

- Zip-Bomben und Sparse Files, die zwar nur Nullen enthalten, die aber virtuell so groß sind, das deren Durchsuchen mehrere Tage dauern würde. Beispiele sind die Zip-Bomben 42.zip und klein.bz2 sowie sparse Files wie z. B.:

dd if=/dev/zero bs=1M of=secret.img seek=1M count=0

Wobei diese Datei eine scheinbare Größe von 1 TiB bei einer tatsächlichen Größe (auf dem Datenträger) von 0 hat.

- Verzeichnisse die alle möglichen Dateinamen der Länge n enthalten. Hierfür gibt es das filescreate.c.
Es eignet sich auch um eine Partition zu 100 % zu füllen, indem man einfach n ausreichend groß wählt, wobei n=4 mit gut vier Milliarden Dateinamen meist ausreicht. Um möglichst wenig Platz zu verschwenden sollte man dazu ein Dateisystem mit Tail Packing / Block Suballocation verwenden.

Es gibt noch einigen anderen Datenmüll, den man nehmen kann; z. B. Link Loops und Direktory Loops.
Daneben gibt es noch als Klassiker das unter der Tastatur auf einem Aufkleber notierte Passwort und weil das geheim sein sollte, schreibt man darauf z. B. "Passwort: geheim".

Es ist auch möglich Server mit einem verschlüsselten Root-Dateisystem zu betreiben. Problematisch dabei ist das Booten, denn das erfordert eine Passworteingabe und die ist bei Servern meist nicht direkt, also lokal über eine Tastatur möglich. Die Strategie den Server immer laufen zu lassen, damit man das Passwort nur einmal eingeben muss, ist meist riskant, nicht nur weil einige Updates ein Reboot erfordern sonder auch weil es immer Risiken wie einen Stromausfall oder Hardware-Defekt gibt, die ein neu Starten erzwingen können. Deshalb gibt es drei Lösungen um auch Sever komplett zu verschlüsseln, wobei bei allen das Passwort beim Booten einzugeben ist und weil das nicht direkt erfolgt ist es nicht ganz so sicher wie ein klassisch verschlüsseltes Root-Dateisystem:

a) Fernwartungstechnik wie IPMI oder DASH, so das man auch aus der Ferne die Passworteingabe durchführen kann, weil man auch aus der Ferne Zugriff auf Maus, Tastatur und Monitor vom Server hat.

b) Den Server in einen verschlüsselten Container betreiben, mit LinuX Container (LXC). Hierbei startet ein unverschlüsseltes Linux als Host-System, das einen verschlüsselten Linux-Container startet und den Zugang dazu per SSH ermöglicht. Mittels Reverse SSH Tunnel gelingt dies sogar dann wenn der Server hinter einem NAT-Router ist, auch ohne Hilfen wie Port-Forwarding. Zudem benachrichtigt das Host-Linux beim Booten den Admin per E-Mail, oder auch über andere Nachrichten-Wege wie beispielsweise SMS, das er zum Starten des Linux-Containers das Passwort eingeben muss.
Beschrieben ist diese Variante unter anderem in c't 2016, Heft 19, S. 152-154, Artikel "My Home-Server is my castle", Permalink: http://heise.de/-3305819

c) Das verschlüsselte Root-Dateisystem so einrichten, das es schon zur Passwortabfrage per SSH erreichbar ist, indem dropbear mit in das initramfs gepackt und automatisch gestartet wird:
https://www.thomas-krenn.com/de/wiki/Voll-verschl%C3%BCsseltes-System_via_SSH_freischalten

Die Benachrichtigung beim Booten kann man auch bei Variante a) und c) realisieren, beispielsweise indem man minütlich testet ob der Server noch online ist, z. B. mittels Ping. Varianten b) und c) erfordern keine zusätzliche Hardware, sind daher billiger in der Anschaffung als a), aber IPMI oder DASH kosten nicht viel, circa 50 Euro. Am flexibelsten ist Variante b) denn damit kann man mehrere verschlüsselte Server mit verschiedenen Admins auf einem Rechner betreiben.

Zum Verschlüsseln in der Cloud gibt es spezielle Programme wie Cryptomator, die nicht Partitionen oder ganze Datenträger verschlüsseln sondern einzelne Dateien und zwar nicht nur deren Inhalt sondern auch den Dateinamen und die Dateigröße. Cryptomator läuft unter iOS, OS X, Windows und Linux; eine Alternative ist Boxcryptor.

Passwörter sollten generell nichtdruckbare Sonderzeichen enthalten, beispielsweise Leerzeichen oder Tabulatoren. Ein Beispiel ist ein Passwort mit am Anfang 5 Leerzeichen und am Ende 3 Tabulatoren.
Das sichert auch notierte Passwörter, aber dazu sollte man sich die nichtdruckbaren Sonderzeichen zusätzlich merken oder separat notieren.

Comparison of disk encryption software.
Eine sehr umfangreiche und aktuelle Übersicht der Features verschiedener Programme zur Festplatten-Verschlüsselung.

Workshop: Rechner mit Luks und ZFS on Linux komplett verschlüsseln.
Ein Artikel des Linux-Magazin 01/13, S. 62-65, mit Gentoo und dem transparent komprimierendem Dateisystem ZFS, das mit LUKS verschlüsselt ist. Der Artikel zeigt auch das die Verschlüsselung die Performance meist nur minimal verschlechtert.