Full-System-Encryption - Softwareempfehlung

@ DragonTear
Es schimmert langsam durch die Clownade, daß er stinksauer ist. Der Finger passte in die Wunde. Das ist nicht schlimm. Das ist gut :)

OnT
Das macht es ja einfach. Man muß nur an den Antikontext denken. Es wird aber weiterhin nicht erklärt wieviel schwächer ein grober Kontext nur mit wenigen Zahlen und Sonderzeichen bei einer ordentlichen KDF schwächer ist. Oder, obs real überhaupt schwächer ist. Und beim Knacken des Passwortes etwas ausmacht.

Sonst hälst du eine pseudozufällige (anders geht es mit nur Software ja nicht) Auswahl aus einem eingeschränkten öffentlichen Wörterbuch, wo auch nur Kleinbuchstaben genutzt werden, für besser als das Chaos in deiner Rübe? :)

Seine Einwände bedeuten, daß er vermutet, mit (Crack)Algos kann man das "menschliche Unterbewustsein" in nenneswerten Masse simulieren. Oder wenigstens Regeln erstellen die das nachbilden. Gibt es da Links dazu?

Damit müßten die Kisten wenigstens halbsogut sein wie in ExMachina ;) Dafür brauchst du entweder soviel Leistung daß auch PBKDF2/sha-512/500.000 iterations völlig egal ist oder soviel Speicher, daß scrypt egal ist.

Wenn das so wäre, wäre Z>h= Agµw<g6%8+bTG$#j5r!Wf']H_Q=\U5a_34J auch egal...

Oder halt eine völlig neuartige Verarbeitungstechnologie (Hardware). Wie Quantenkomputer eben. NUR mögen die dadurch und vielleicht für einiges neuartiges taugen, nur wohl nicht für die Simulation des Unterbewustseins. Die Art der Datenverarbeitung scheint mir ziemlich ungünstig bei denen für solche Problemfelder :)
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Du hast allerdings allgemeingültig behauptet, dass es keinen Beweis gäbe, dass dein im Kopf zusammengewürfelter Satz unsicherer sei. Und ja, schon wenn die rechenzeit nur um 1 Seknden abnimmt, kann man von "unsicherer" sprechen. Natürlich ist das dann Haarspalterei..

Und dies heir
Die menschliche Komponente, als der "Reflex", ist nur zusätzliche Entropie
Zum Vergrößern anklicken....
ist schon prinzipiell falsch. Die menschliche Komponente kann die Entropie höchstens reduzieren!

Edit: Grade hab ich auf der Suche nach ernsthafteren Quellen das hier gefunden: https://roguedaemon.net/rephrase/ Kanns grad nicht testen, aber es soll anhand von etwas Information über die Passphrase, den Rest erraten können.

EDIT2: Mir scheint du hast das ganze immernoch nicht begriffen...
Es ging nirgends darum, das Unterbewusstsein des Menschens zu simulieren, sondern nur syntaxische Regeln einzuhalten! Solche Regeln sind klar definiert und mit ihnen arbeiten können Computer sehr wohl. Siehe Spracherkennungssysteme wie Siri und Google Now.
 
Zuletzt bearbeitet:
BessereHälfte schrieb:
Sonst hälst du eine pseudozufällige (anders geht es mit nur Software ja nicht) Auswahl aus einem eingeschränkten öffentlichen Wörterbuch, wo auch nur Kleinbuchstaben genutzt werden, für besser als das Chaos in deiner Rübe? :)
Zum Vergrößern anklicken....

Würfeln ist nicht pseudozufällig.

Die Auswahl soll man ja unter keinen Umständen mit einem PRNG vornehmen.
 
Zuletzt bearbeitet:
Ich hab doch schon geschrieben welche Tricks seit Urzeiten genutzt werden um bei der Generierung eines Schlüssels durch die Interaktion mit dem Menschen die Entropie zu steigern.

Eine Studie o.ä. die zeigt, das war/ist eine schlechte Idee, sah ich noch nicht. Deswegen macht man das auch weiterhin so, falls es nicht um eine Massenproduktion von Keys geht.

Es geht darum was TCM für soweit relevant hält, daß er es miterwähnt. Ich hoffe du behälst den Faden auch weiterhin. Deine Beiträge sind weitgehend sachlich und beschäftigen sich mit den Inhalten. Erfrischend :)

Imho brauchst du für Rephraser (diesen kenn ich nicht) noch das Wörterbuch. Wenn du das mit "elefanten" fütterst, kommt kein "Scharfe" und kein "kante" bei raus. Das funzt nur grob, wenn du als Passphrase meinemutteristddiebeste nutzt. Oder meinefrauliebtmich. "Kind" kommt dann mit "schlau" oder "süß" daher usw. usw.

Für Idioten-Passphrasen also. Und das errät sie nicht, sondern gibt einem nur grobe Denkanstösse, damit man sich dann an seine Idioten-Passphrase selbst erinnerst.

"Rephrase" selbst kommt mir grad ziemlich slim vor. Kannst mal ausprobieren, wenn du das unter Linux kompiliert bekommst :)

@TCM
Nächste Woche zum Baumarkt hin?
https://www.youtube.com/watch?v=0SVz1ZZJkLA
 
Zuletzt bearbeitet:
BessereHälfte schrieb:
Ich hab doch schon geschrieben welche Tricks seit Urzeiten genutzt werden um bei der Generierung eines Schlüssels durch die Interaktion mit dem Menschen die Entropie zu steigern.

Eine Studie o.ä. die zeigt, das war/ist eine schlechte Idee, sah ich noch nicht. Deswegen macht man das auch weiterhin so, falls es nicht um eine Massenproduktion von Keys geht.
Zum Vergrößern anklicken....

Man macht das nicht, weil der Mensch so gute Entropie liefert, sondern weil es nicht anders geht, da ein Computer nunmal keinen echten Zufall liefern kann (Hardware-RNG mal außen vor, aber auch da gibts Vertrauensprobleme, weil es i.A. eine Blackbox ist).

Der Input des Menschen wird ja auch nicht komplett als Zufall hergenommen sondern steuert nur einige wenige Bits bei. Wie du auf Anhieb deine Maus bewegst, ist mit ziemlicher Wahrscheinlichkeit nicht vorhersehbar. Wie du eine Stunde lang die Maus bewegst, ist dagegen höchstwahrscheinlich weit von "rein zufällig" entfernt.

Du ziehst den Schluss, dass wenn menschlicher Input als kleines Rädchen in einem PRNG die Entropie erhöht, dass er das dann überall kann, selbst wenn der RNG nicht "pseudo" ist, was einfach mal kompletter Quatsch ist und beweist, auf welchem pseudowissenschaftlichen Niveau du hier rumhantierst.

Wenn der RNG "echt" ist, was physikalische Würfel nunmal sind (wenn nicht gezinkt), dann braucht man die Krücke "menschlicher Input" nicht und tut besser daran, sie wegzulassen.

- - - Updated - - -

BessereHälfte schrieb:
@TCM
Nächste Woche zum Baumarkt hin?
https://www.youtube.com/watch?v=0SVz1ZZJkLA
Zum Vergrößern anklicken....

Nee, wenn dann richtig https://www.youtube.com/watch?v=7n8LNxGbZbs
 
Zuletzt bearbeitet:
Ich hab momentan keine Zeit mehr. Bis nachher.

Der Diskussion wäre aber sehr zuträglich, wenn du das persönliche nicht weiterhin zum Schwerpunkt deiner Beiträge machst. Wenn ich schon als Beispiel dienen kann, dann siehts wirklcih schlecht aus ;)

p.s.:
Wer vertraut den Würfeln? Die für 1€ 20Stk von der Bucht? Wie ideal sind die denn im Vergleioch zur RNG-Blackbox?
Ok, man kann sie anschliessend wegwerfen, falls der Angriff auch physisch wird. Dann ist es ok.

Meine Meinung ist und bleibt (die Punchline also), daß es nicht schadet, sondern hilft, wenn man zu dem Würfelergebnis wenige Zahlen/Sonderzeichen nach eigenem Gutdünken hinzufügt.

Eigentlich reden wir ja über verschiedene Neuancen der gleichen Lösung und tun so, als wenn sie der absolute KErn des ganzen wäre. Das ist Panne.

https://www.youtube.com/watch?v=7n8LNxGbZbs
Zum Vergrößern anklicken....
Bin begeistert :d
 
Zuletzt bearbeitet:
Eine RNG-Blackbox kann im schlimmsten Fall komplett vorhersehbar sein. Selbst wenn "echter Zufall" hinten rausfällt, weißt du ja nicht, ob die die Blackbox nicht einfach die aktuelle Zeit mit einem Schlüssel des Herstellers AES-verschlüsselt. Schlüsseltext aus einem guten Algorithmus soll ja bekanntlich von zufälligen Bits nicht zu unterscheiden sein.

So eine Zufallszahl würde zwar allen statistischen Tests standhalten, aber trotzdem wäre sie komplett unsicher, weil sie irgendwer berechnen kann.

BessereHälfte schrieb:
Meine Meinung ist und bleibt (die Punchline also), daß es nicht schadet, sondern hilft, wenn man zu dem Würfelergebnis wenige Zahlen/Sonderzeichen nach eigenem Gutdünken hinzufügt.
Zum Vergrößern anklicken....

Das ist und bleibt falsch.

PRNGs z.B. sind eine Wissenschaft für sich, die ich nicht mal annähernd durchschaue. Eine Essenz davon ist: "schlechter Zufall", den man hinzufügt, schadet nie, "guter Zufall" hilft immer. Der riesige Knackpunkt ist aber das Hinzufügen. Jeglicher Input eines PRNG wird ja nicht einfach "irgendwie" dazugerechnet, sondern da gibt es komplizierte Filter und Algorithmen, die sicherstellen, dass schlechter Input den Output nicht schwächt. Wenn man da was falschmacht, kann das den ganzen PRNG schwächen. Ich würde mir im Leben nicht anmaßen, zu wissen, welche statistischen Auswirkungen irgendwelches Gutdünken von mir hat, von dem du aber so überzeugt bist.

Selbermachen ist bei Krypto immer schlecht. Wenn man keine Ahnung hat, lieber an das halten, was andere erforschen.

Edit: http://en.wikipedia.org/wiki/Cryptographically_secure_pseudorandom_number_generator
 
Zuletzt bearbeitet:
Jetzt sind wir aber endgültig in eine Wissenschaft abgetaucht, die für Privatpersonen, ebenso wie für Mittelständische Unternehmen, keinerlei Bedeutung in der Praxis mehr hat...
 
Das ist jetzt aber etwas unglücklich ausgedrückt. :)

Natürlich hat die Wissenschaft die einzige Bedeutung für jeden, der vernünftige Krypto machen will. Was eher richtig ist: nicht jeder muss die Wissenschaft verstehen. Man sollte aber schon unbedingt die Grundlagen kennen und vor allem wissen, wenn man nichts weiß und dann nicht versuchen, es selber besser zu machen. Genau das ist nämlich der Grund, warum Leute immer wieder eigene Verschlüsselungen erfinden, die in der realen Welt in 10s auseinandergenommen werden.

- - - Updated - - -

Hochinteressant: https://youtu.be/_wziEUZXpwg?t=475 ab 7:55
 
Zuletzt bearbeitet:
DragonTear schrieb:
Jetzt sind wir aber endgültig in eine Wissenschaft abgetaucht, die für Privatpersonen, ebenso wie für Mittelständische Unternehmen, keinerlei Bedeutung in der Praxis mehr hat...
Zum Vergrößern anklicken....
Schlecht aufgepasst. Wer hat denn für was den Dice-O-Mat genutzt/konstruiert?

@TCM
Du beachtest die Entropiestärke nicht weitrechend genug. Du würfelst bekannte Zeichenketten aus und sammelst sie in einer größeren unbekannten Zeichenkette. Da macht ein persönliches Salt aus wenigen Zeichen irgendwo dazwischen was kaputt an der Entropie? Wie soll man das glauben? :)

Sonst ist dir aber auch bekannt, daß der Angreifer je nach der von dir verwendeten Lösung (Software) einen trade-off macht und bei brauchbarer Soft er das mit der Passwortknacker verwirft und drum herum angreift?

Das Passwort ist da fast schon zweitrangig. Der, der es kann, geht drum herum. Der, der es nicht kann, ist auch nicht in der Lage subtriviale Passwörter zu knacken.

Ok, wenn du OpenBSD fährst, gilt das für dich. Alle anderen Systeme werden deinen Passphrasen einfach nicht gerecht. Das ist wie Reifen bis 300kmh auf einem Passat 2.0tdi.

edit:
Das Video kann man sich in deutschland nicht anschauen
Dann halt so
Quarks & Co. – Die Wissenschaft vom Zufall | dokustreams.de

edit2:
ROFL
Project Abacus: Google will Passwörter eliminieren - Golem.de
 
Zuletzt bearbeitet:
Ja ich weiß, an dir solls nicht liegen :fresse:

Entweder du schreibst also irgendwas sinnvolles zum Topic oder bleibst weiter OT. Wenn du weiter OT bleibst und das nur um weiterhin rumzutrollen, wird sich das jemand angucken müßen

:wink:
 
Dann soll es sich jemand anschauen. :wink: In die herablassende Schiene bin ich nicht als erstes hinabgeglitten. Zum Glück auch nachweisbar. Ich hab nur zum Ausdruck gebracht, daß ich das Ganze leicht lächerlich finde. Natürlich kann jeder verschlüsselungstechnisch machen, was er will - sollte klar sein, oder? ;) Jedoch bin ich der Meinung, daß so ein enormer Aufwand für Otto Normalverbraucher in meinen Augen Humbug ist. Nennt man Meinungsäußerung. Wenn Du Dich dahingehend in Deiner Verschlüsselungs-Ehre angegriffen fühlst, ist das nicht mein Problem.

Aber um nochmal zum Topic zu kommen: Ja, ich nutze auch Verschlüsselung über Bitlocker. Meiner Meinung nach VÖLLIG ausreichend. Wer paranoid genug ist und/oder das Fachwissen dazu hat, kann natürlich auch Truecrypt und Konsorten nutzen - das Ganze noch mit einem 94-stelligen Passwort, welches über eine anderer Software (oder "Hardware") entworfen wird, absichern (Achtung: leichte Ironie). Aber wir leben in einer freien Welt mit freier Meinungsäußerung. Und wenn Du jetzt als (vermeintlicher) Profi sagst, daß Bitlocker lächerlich ist, dann ist das in Deinen Augen so und ich werd deswegen keinen Streit vom Zaun brechen, weil es halt Deine Meinung ist. Nur laß mir auch meine Meinung und geh nicht unter die virtuelle Gürtellinie, denn das kann ich auch.

Für meine Begriffe hat es DragonTear schon richtig ausgedrückt: "Jetzt sind wir aber endgültig in eine Wissenschaft abgetaucht, die für Privatpersonen, ebenso wie für Mittelständische Unternehmen, keinerlei Bedeutung in der Praxis mehr hat..."
 
Was machen wir wenn offensichtlicher Nichtprofi sagt, alles außer Bitlocker ist Schizo?

Und warum darf man frei rumtrollen, sobald man den Faden verleirt und nichts mehr nachvollziehen kann? Was ist das für eine Rechtfertigung?

Meinungsfreiheit darfst du vom Staat verlangen. Was der "Betreiber" von HWluxx von deiner Vorstellugn davon hält ist alleine seine Sache. Das nennt sich Hausrecht.

Deswegen ruft dein Nachbarn weder die Polizei noch reicht eine Klage ein, wenn er dich grad vor deiner Haustür vollquaatschen will und du sie einfach hinter dir zumachst.
Obwohl ihm von Staat Meinungsfreiheit zugesichert wurde ;)

In diesem Sinne, Bis moin.
 
Wer sagt, daß alles außer Bitlocker shizo ist? Ich war's nicht. Wer sagt, daß ich den Faden verloren hab? Ich folge Euren Ausführungen interessiert, auch wenn ich als Nicht-Profi nicht alles verstehe.

Jetzt schiebst Du wieder worthülsen vor Dir her, ohne beim Thema zu bleiben. Dann erklär mir doch, wozu ich so eine wesentlich höhere Verschüsselungsstärke und ellenlange Schlüssel benötige und drifte nicht schon wieder ab! :)


Sent from my iPhone using Hardwareluxx app
 
Wir kommen jetzt mal wieder sachlich zum Thema, ja?
 
Sehe grad erst jetzt, die Listen haben auch eine tabelle mit der man auch Sonderzeichen würfeln kann :) Jetzt weiß ich erst recht nicht worbüer wir diskutiert haben.

Ohne es zu kennen hab ich alles genauso empfohlen. der Unterschied bei Diceware ist halt nur, man überlegt sich nichts, sondern würfelt schlicht. Was ich übrigens garnicht so verkehrt finde.

Dafür müßte ich mir fortlaufend schlechten Hohn anhören? :) Naja nicht schlimm. Trotzdem cool, daß wir darüber gesprochen haben.

Zur Erhöhung der Entropie gehört imho aber auch, daß man im Netz nicht glasklar kundtut, mit welcher Methodik man vorgeht...

Bin raus.

@sonnyboy
Du hast dich als Diksussionspartner leider nicht empfehlen können. Was die Konsistenz des Threads aber auch nicht bedeuitend gestört hat. Nicht weiter schlimm also.
 
BessereHälfte schrieb:
Zur Erhöhung der Entropie gehört imho aber auch, daß man im Netz nicht glasklar kundtut, mit welcher Methodik man vorgeht...
Zum Vergrößern anklicken....

Das ist obskures Denken. Ich kann ruhigen Gewissens verraten, dass ich Würfel benutzt habe, oder dass ich an anderer Stelle PBDKF2 nutze mit HMAC-SHA512. Davon darf die Sicherheit nicht abhängen, sonst macht man was falsch.

Verschlüsselungsalgorithmen sind ja auch nicht geheim.
 
Zuletzt bearbeitet:
TCM schrieb:
Das ist obskures Denken. Ich kann ruhigen Gewissens verraten, dass ich Würfel benutzt habe, oder dass ich an anderer Stelle PBDKF2 nutze mit HMAC-SHA512. Davon darf die Sicherheit nicht abhängen, sonst macht man was falsch.

Verschlüsselungsalgorithmen sind ja auch nicht geheim.
Zum Vergrößern anklicken....
Daher schrieb ich auch nicht, daß davon die Sicherheit abhängt.
Zum Gück hat der Thread damit auch sein Ende erreicht. Das roboterartige Missverstehenwollen ging mir ehrlich gesagt vom Anfang an ziemlich auf den Keks.

Ciao

@sonnyboy
Wir versuchen später nochmals irgendwo :) Ich glaub ich muß mir erst beibringen mit dieser östrogenen Art vernünftig umzugehen.
 
Östrogene Art? Das ist geil - muß ich mir merken. :bigok: Aber wie heißt es so schön: man erntet, was man sät. ;)


Sent from my iPhone using Hardwareluxx app
 
Noch nicht ganz ;)

Ausgiebige Audits sind anscheinend und sozusagen nur die Vorspeise... Neue Beta 1.15 von VeraCrypt, weil jemand sie jemand über Email kontaktiert hat und anscheinend sehr plasusible Meldung machte. Weitere genauere Infos sollen folgen
"* Fix privately reported critical TrueCrypt vulnerability (details and credits to be announced later)"
VeraCrypt - Browse /VeraCrypt Nightly Builds at SourceForge.net

"TrueCrypt" heißt hier immer im Kontext, daß es etwas ist was vom TC-Code 1:1 übernommen ist/war. Da bin ich mal gespannt...
 
Wow. Leute von Google Project Zero schauen über VeraCrypt :)
Schade daß so ein superpro Audit sowas nicht findet...

- Windows: * Fix two TrueCrypt vulnerabilities reported by James Forshaw (Google Project Zero)
* CVE-2015-7358 (critical):
* Local Elevation of Privilege on Windows by abusing drive letter handling.
* https://code.google.com/p/google-security-research/issues/detail?id=538

* CVE-2015-7359:
* Local Elevation of Privilege on Windows caused by incorrect Impersonation Token Handling.
* https://code.google.com/p/google-security-research/issues/detail?id=537
 
In der Tat. Die habe ich nur copypastet... Aber hej, das findet ein "guruhacker" nicht selbst? Ich hab 2x rumgescrollt, weil ich überzeugt war, in dem beitrag steht noch sowas wie:
"Das sollte man aber auch schon richtig machen, wenn denn. Hier sind die beiden Links die gehen."

Aber Namen... sind ja nur Schall&Rauch ;)
 
Leute um ehrlich zu sein: Ich blick die Hälfte hier nicht.

Gibt es eine abschließende einfache Programm-Empfehlung für den Laien?

Danke.
 
Was verstehst du denn bei Veracrypt/Truecrypt nicht?
Funktioniert bei mir bestens
 
Hab nun Bitlocker.
NSA ist mir egal, mir geht es um Diebe und lokale Ermittlungsbehörden.
 
vorallem mit Bitlocker ^^
 
Anmelden, um zu antworten.

Ähnliche Themen

Amaya
Backupsoftware gesucht, ein System mit diversen Betriebsysteme und Datenträgern.
Antworten
4
Aufrufe
511
flyingjoker
flyingjoker
Netter-Mann
[User-Review] Lesertest Netac ZX20L "Die portable SSD für Unterwegs"
Antworten
0
Aufrufe
474
Netter-Mann
Netter-Mann
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh