Aloa Gemeinde,

für private Daten (Login-Sammlung, Kontoauszüge etc.) habe ich auf meiner Festplatte ein verschlüsseltes Disk Image angelegt (256bit AES). Dieses Image mounte ich, wenn ich es brauche und werfe es danach wieder aus.

Ursprünglich habe ich das Passwort zu diesem Image NICHT in meinem Schlüsselbund speichern lassen - jetzt aber aus Versehen (oder war's Faulheit) doch getan. Dabei kam mir im Nachgang folgende Frage:

Macht es für böswillige Angreifer überhaupt einen Unterschied, ob ich das Disk Image wieder auswerfe, oder nicht? Haben nicht tendenziell Schadprogramme, die Zugriff auf meine verschlüsselten, gemounteten Disk Images haben, auch Zugriff auf meine gesamte keychain? Oder letzteres denn doch nicht, da die keychain noch einmal selbst verschlüsselt ist?

Mit anderen Worten: ist es a) überhaupt ein Sicherheitsgewinn, das verschlüsselte Image zu unmounten und liegt nicht b) die Gefahr vielmehr darin, dass jmd. mein gesamtes Schlüsselbund klaut und damit dann Zugang zu quasi allem (auch den verschlüsselten Images) hat?

Danke für kurze Erleuchtung.
Offshore

Wer Dein Schlüsselbund hat und entsperren kann, hat dann natürlich Zugriff auf alle dadurch sonst geschützten Daten.
Die Antwort auf Deine Frage folgt danach noch aus einigen anderen Bedingungen, die Du nicht beschrieben hast. Handelt es sich um einen Desktop-Rechner, der zum Beispiel zu Hause physisch recht gut vor Fremdzugriff geschützt sein könnte oder um einen Laptop-Rechner, den Du in verschiedenen Umgebungen mit möglichem Fremdzugriff nutzt oder einen Arbeitsplatzrechner, den Du gar noch mit Fremden teilst? Ist das verschlüsselte Image auf der eingebauten Festplatte oder auf einem externen Laufwerk, das wiederum an verschiedenen Rechner genutzt werden soll?
Das Abmelden des geschützten Images bringt eigentlich keinen weiteren Sicherheitsgewinn, wenn ein potentieller Angreifer physischen Zugriff auf den Rechner hat und Dein Anmeldepasswort kennt oder Du nicht abgemeldet warst.
Ein Schadprogramm, das sich auf Deine angemeldeten Laufwerke verbreiten kann, muss nicht zwangsläufig Dein Schlüsselbund entziffern können. Umgekehrt wird das dann schon logischer.
Du kannst das Passwort übrigens aus dem Schlüsselbund wieder löschen und schon ist alles wieder wie zuvor.

Solange es gemounted ist, ist ein Zugriff möglich. Wenn es nicht gemounted ist, dann nicht.
Eher anderes herum: Wenn eine Schadsoftware Zugriff auf die Keychain erlangt, und wenn darin der Schlüssel für das Disk Image steht, dann könnte ein Zugriff möglich sein.
Die Keychain Datei selbst ist ebenfalls verschlüsselt. In der Standardeinstellung ist die Keychain "Anmeldung" aka "Login" aber für den gesamten Zeitraum der Sitzung offen.
Ja, denn was nicht gemounted ist, ist nicht im Zugriff. Und ein Mounten fällt auf.
Deshalb sollte man Kennwörter für solche Anwendungen (also das verschlüsselte Disk Image) *nicht* in der Keychain "Anmeldung" speichern, oder deren Sicherheitseinstellungen ändern, oder für solche Anwendungen eine eigene Keychain mit höheren Sicherheitseinstellungen anlegen.

@eyespy & Hannes Gnad: Danke fuer Euren Input!