View previous topic :: View next topic |
Author |
Message |
Sujao l33t
Joined: 25 Sep 2004 Posts: 677 Location: Germany
|
Posted: Tue Dec 09, 2008 4:57 pm Post subject: |
|
|
OK, ich versuchs nochmal anders auszudrücken:
Wir gehen davon aus, dass sowohl AES als auch Blowfish und Twofish hinreichend sicher sind. Wenn AES eine Schwäche hat, dann ist das nur marginal und heisst nicht, dass Daten die mit AES verschlüßelt sind, bereits in 0.0001 der Zeit einer Bruteforceattacke entschlüßelt werden können. Es sind pessimistisch betrachtet 0.5, schlimmstensfals 0.1. Da selbst Supercomputer einige Jahre brauchen um AES normal zu knacken, werden sie dann halt mit der Schwachstelle vielleicht einen Monat brauchen.
Ein Monat Supercomputerzeit kostet bestimmt ein Vielfaches des Einbaus einer Überwachsungskamera/Keylogger die eure Passphrase auspionieren (Staatliche Methode). Ein Schläger der euch irgendwo überfällt und euch Finger abschneidet, bis ihr im die Passphrase freiwillig verratet, ist noch viel billiger (illegale Methode, aber auch möglich).
DESWEGEN ist es scheissegal ob der Algorithmus Schwächen hat, aber immer noch zu sicher ist um mit normalen PCs in vertetbarer Zeit geknackt zu werden. Und DESWEGEN ist auch der Vergleich Schwachsinn. Solange AES nicht auf das Niveau von WEP rutscht, wird sich keiner den Aufwand machen eure Daten zu Bruteforcen.
Jetzt klar was ich meine? |
|
Back to top |
|
|
Yamakuzure Advocate
Joined: 21 Jun 2006 Posts: 2293 Location: Adendorf, Germany
|
Posted: Wed Dec 17, 2008 12:47 pm Post subject: |
|
|
???
...Das ist es also... Die Linux-Welt ist durchfurcht von Paranoikern...
Wer was gegen mich hat und mich hacken will, kann sich gerne mit meinem Router unterhalten. Der schiebt alles brav nach /dev/null. Per SSH? Viel Spaß, bei reinem Key-Auth. Einzig der Diebstahl meiner Festplatten wäre ärgerlich. Ja, dafür würde sich eine Verschlüsselung in der Tat lohnen.
Aber jetzt mal Scherz beiseite:
Ich habe mir den Thread durchgelesen, und habe den Eindruck Ihr glaubt das da draussen eine Milliarde hochspezialisierter Profi-Hacker aller erdenklicher Vereinigungen lauern genau *euren* Computer zu hacken. Es gibt nur eine funktionierende Methode Daten zu verstecken: "Erzähle niemandem, dass sie da sind!"
Denn merke: Nur wenn ein hochqualifizierter Hacker es genau auf dich und aus einem verdammt guten Grund abgesehen hat, könntest du, vielleicht, ein Problem bekommen.
Was gibts denn da draußen sonst? Script-Kiddies. Und Dumm-User die ihre Windoofs-Kiste mit Freuden mit allem möglichen Mist zumüllen. (Obwohl ich auch schon "Profis" gesehen habe, die dem User "Test" der Gruppe "wheel" gestatten sich ohne Passwort per SSH zu verbinden... ) _________________ Edited 220,176 times by Yamakuzure |
|
Back to top |
|
|
b3cks Veteran
Joined: 23 Mar 2004 Posts: 1481 Location: Bremen (GER)
|
Posted: Wed Dec 17, 2008 3:39 pm Post subject: |
|
|
Hier geht es darum seine Daten vor unbefugtem (direkten) Zugriff (auf die Festplatte) zu schützen. Vor wem ist dabei vollkommen unerheblich. Und wie stark man diese schützen möchte, ist jedem selbst überlassen. Im Normalfall möchte man ja den bestmöglichen Schutz. Und das wurde hier u.a. diskutiert. Es geht nicht direkt um Hacker, Script-Kiddies oder neugierige Freunde, es geht ums Prinzip seine Daten und somit auch sich zu schützen! _________________ I am /root and if you see me laughing you better have a backup. |
|
Back to top |
|
|
mastacloak Apprentice
Joined: 01 Aug 2004 Posts: 174 Location: Berlin / Germany
|
Posted: Wed Dec 17, 2008 8:01 pm Post subject: |
|
|
Eine Verschlüsselung von Notebook-Festplatten und externen Festplatten halte ich schon für sinnvoll. Ein Notebook mag man vielleicht nicht so schnell vergessen (irgendwo hab ich mal gehört, dass an Flughäfen ein ganzes Sammelsurium von Notebooks in den Fundbüros rumliegen muss), bei einer externen Festplatte kann das schon schneller mal passieren. Und nicht zu vergessen: Notebook-Diebstahl. Dann ist es schon ärgerlich genug, dass der Rechner weg ist, aber wenigstens kann ich einigermaßen sicher sein, dass der Dieb keinen Zugriff auf meine Daten hat. Und seien das nur der abgespeicherte Lebenslauf, die Kontoauszüge etc. pp. und meine Urlaubsbilder muss er auch nicht unbedingt haben...
Also nix Paranoia. Wer allerdings seine Daten freiwillig im Internet publiziert oder unsichere Online-Speicher nutzt, braucht auch seine lokalen Festplatten nicht zu verschlüsseln. |
|
Back to top |
|
|
mv Watchman
Joined: 20 Apr 2005 Posts: 6780
|
Posted: Wed Dec 17, 2008 8:30 pm Post subject: |
|
|
Sujao wrote: | Wir gehen davon aus, dass sowohl AES als auch Blowfish und Twofish hinreichend sicher sind. |
Woher nimmst Du diese vollkommen unbegruendete Annahme?
Quote: | Wenn AES eine Schwäche hat, dann ist das nur marginal und heisst nicht, dass Daten die mit AES verschlüßelt sind, bereits in 0.0001 der Zeit einer Bruteforceattacke entschlüßelt werden können. Es sind pessimistisch betrachtet 0.5, schlimmstensfals 0.1. |
Woher nimmst Du diese vollkommen unbegruendete Annahme? Genau darum ging doch die Diskussion, ob das denn richtig ist. Bei Triple-DES beispielsweise ist der Faktor vermutlich wohl inzwischen wesentlich (etliche Zehnerpotenzen) kleiner als Deine "schlimmstenfalls 0.0001". AES ist noch nicht so lange auf dem Markt, also auch noch nicht ganz so gut analysiert. Bei einem Faktor von 0.5 oder 0.1 wuerde niemand von einer Schwaeche eines Algorithmus sprechen. |
|
Back to top |
|
|
Sujao l33t
Joined: 25 Sep 2004 Posts: 677 Location: Germany
|
Posted: Thu Dec 18, 2008 1:05 am Post subject: |
|
|
Woher nimmst Du diese vollkommen unbegruendete Annahme, dass meine Aussage nicht stimmt?
Leute schieben schon Panik, wenn eine möglicherweise unter bestimmten Umständen. potentielle. zum Teil auftretende. äußerst seltene. zum Teil unbewiesene mathematische Schwäche in einem Algorithmus gefunden wird. |
|
Back to top |
|
|
manuels Advocate
Joined: 22 Nov 2003 Posts: 2146 Location: Europe
|
Posted: Thu Dec 18, 2008 11:58 am Post subject: |
|
|
Sujao wrote: | Leute schieben schon Panik, wenn eine möglicherweise unter bestimmten Umständen. potentielle. zum Teil auftretende. äußerst seltene. zum Teil unbewiesene mathematische Schwäche in einem Algorithmus gefunden wird. |
Verständlicher Weise. Eine kleine Schwachstelle entwickelt sich schnell zu einer großen.
Es kann ganz schnell sein, dass die aktuelle top sichere Verschlüsselung von heut auf morgen nix mehr wert ist. _________________ Build your own live cd with catalyst 2.0! |
|
Back to top |
|
|
Yamakuzure Advocate
Joined: 21 Jun 2006 Posts: 2293 Location: Adendorf, Germany
|
Posted: Thu Dec 18, 2008 12:39 pm Post subject: |
|
|
@Sujao:
Ich sag doch: Alles Paranoiker! _________________ Edited 220,176 times by Yamakuzure |
|
Back to top |
|
|
schachti Advocate
Joined: 28 Jul 2003 Posts: 3765 Location: Gifhorn, Germany
|
Posted: Fri Dec 19, 2008 6:59 am Post subject: |
|
|
Yamakuzure wrote: | ???
Einzig der Diebstahl meiner Festplatten wäre ärgerlich. Ja, dafür würde sich eine Verschlüsselung in der Tat lohnen.
|
Und was ist, wenn mal eine Festplatte während der Garantie kaputtgeht und eingeschickt werden muss? Ich mag den Gedanken nicht, dass da evtl. ein Service-Techniker in meinen Bewerbungsschreiben, Briefen an Versicherungen, Steuerdaten etc. herumschnüffelt. Oder dass gar die instandgesetzte Festplatte an einen ganz anderen Kunden geht... (Zumindest vor ein paar Jahren war das angeblich üblich, wie sieht das aktuell aus?)
Persönliche Daten sind schützenswert, wie uns die Datenskandale der letzten Zeit gezeigt haben. Das gilt nicht nur für das, was man unfreiwillig in Kundendateien von Versicherern, Kreditinstituten, Telekommunikationsunternehmen etc. bzw. freiwillig bei StudiVZ und Co. preisgibt, sondern auch für das, was preisgegeben werden könnte, wenn jemand an meinen PC oder meine Festplatte kommt. Nein, ich habe nichts auf der Platte, das strafrechtlich relevant oder zumindest sehr peinlich für mich wäre - und trotzdem verschlüssele ich meine Home-Partition, einfach nur für den Fall der Fälle. _________________ Never argue with an idiot. He brings you down to his level, then beats you with experience.
How-To: Daten verschlüsselt auf DVD speichern. |
|
Back to top |
|
|
SkaaliaN Veteran
Joined: 21 Apr 2005 Posts: 1362 Location: Valhalla
|
Posted: Fri Dec 19, 2008 8:07 am Post subject: |
|
|
Ich weiß gar nicht wieso man es überhaupt großartig erklären muss ob und wann und warum man seine Partition verschlüsselt.
Es steht außer Frage das man seine Daten auf eine gewisse Art und Weise schützen soll. Wie bleibt jedem selbst überlassen. Die einen machen mehr für Ihren Schutz, die anderen weniger. Die einen interessieren sich für Verschlüsselung und probieren es aus. Die anderen machen es weil sie es müssen und andere wiederrum sagen das es ihnen sonst wo vorbeigeht und machen es gar nicht.
Ich schütze meine Daten ebenfalls. Allein aus Interesse und zudem auch aus Datenschutzgründen. Ich hab einfach keine Lust meine defekte Festplatte (falls es mal so sein sollte) an meinen für die Garantie zuständigen Anbieter ohne Verschlüsselung abzugeben. Gleiches gilt für einen Einbruch u.s.w.! Was auf meiner Festplatte ist geht niemanden was an. Andernfalls würde ich es sharen.
Bei mobilen Festplatten würde ich persönlich grundsätzlich verschlüsseln, da diese natürlich auch schneller in falsche Hände geraten könnten.
Jeder musst für sich ausmachen was er möchte und was ihm am liebsten ist und ob er sich einlesen oder auch einarbeiten will..
Mal davon abgesehen das dieser Thread mittlerweile total vom eigentlichen Thema abdriftet, sollte doch die Frage des Threadstellers mittlerweile doch beantwortet sein. Oder nicht? _________________ c'ya !
skaalian |
|
Back to top |
|
|
Yamakuzure Advocate
Joined: 21 Jun 2006 Posts: 2293 Location: Adendorf, Germany
|
Posted: Fri Dec 19, 2008 12:48 pm Post subject: |
|
|
Davon einmal ganz abgesehen, dass es natürlich absolut sinnvoll ist zumindest die Partition auf der sich /home (und etwaige andere persönliche Daten) befindet zu verschlüsseln, wüßte ich persönlich noch ganz gerne, was denn überhaupt empfehlenswert ist? Damit meine ich nicht den Algorithmus, sondern die Software, mit der man das ganze bewerkstelligt. dmcrypt? truecrypt? was anderes? Wie sind da eure Erfahrungen?
@metal1ty:
Es ging mir nicht darum die Verschlüsselung ansich zu hinterfragen. bei persönlichen Daten sinnvoll bis heutzutage notwendig, keine Frage. Es ging mir um die völlig überzogene Diskussion um "den stärksten Algorithmus", die ich, nach wie vor, für überzogen halte. _________________ Edited 220,176 times by Yamakuzure |
|
Back to top |
|
|
kernelOfTruth Watchman
Joined: 20 Dec 2005 Posts: 6111 Location: Vienna, Austria; Germany; hello world :)
|
Posted: Fri Dec 19, 2008 1:11 pm Post subject: |
|
|
Yamakuzure wrote: | Davon einmal ganz abgesehen, dass es natürlich absolut sinnvoll ist zumindest die Partition auf der sich /home (und etwaige andere persönliche Daten) befindet zu verschlüsseln, wüßte ich persönlich noch ganz gerne, was denn überhaupt empfehlenswert ist? Damit meine ich nicht den Algorithmus, sondern die Software, mit der man das ganze bewerkstelligt. dmcrypt? truecrypt? was anderes? Wie sind da eure Erfahrungen?
@metal1ty:
Es ging mir nicht darum die Verschlüsselung ansich zu hinterfragen. bei persönlichen Daten sinnvoll bis heutzutage notwendig, keine Frage. Es ging mir um die völlig überzogene Diskussion um "den stärksten Algorithmus", die ich, nach wie vor, für überzogen halte. |
da bei truecrypt die leute nicht wirklich wissen wer dahinter steckt (NSA, ... ???)
sind klar cryptsetup(-luks) und eCryptFS demgegenüber zu empfehlen
ich nutze zur Zeit cryptsetup und damit sehr zufrieden _________________ https://github.com/kernelOfTruth/ZFS-for-SystemRescueCD/tree/ZFS-for-SysRescCD-4.9.0
https://github.com/kernelOfTruth/pulseaudio-equalizer-ladspa
Hardcore Gentoo Linux user since 2004 |
|
Back to top |
|
|
Yamakuzure Advocate
Joined: 21 Jun 2006 Posts: 2293 Location: Adendorf, Germany
|
Posted: Fri Dec 19, 2008 1:35 pm Post subject: |
|
|
klasse, danke! _________________ Edited 220,176 times by Yamakuzure |
|
Back to top |
|
|
Sujao l33t
Joined: 25 Sep 2004 Posts: 677 Location: Germany
|
Posted: Fri Dec 19, 2008 4:49 pm Post subject: |
|
|
Hmm, laut Wikipedia ist Truecrypt Open Source, der Quellcode ist also theoretisch nachprüfbar. Ich nutze aber auch lieber Cryptsetup-Luks weil es besser in das system integrierbar ist. Truecrypt nur für Windowspartitionen. |
|
Back to top |
|
|
schachti Advocate
Joined: 28 Jul 2003 Posts: 3765 Location: Gifhorn, Germany
|
Posted: Sat Dec 20, 2008 10:22 am Post subject: |
|
|
Ich nutze für meine Home-Partition eine dm-crypt verschlüsselte Partition, die mittels pam_mount beim Einloggen automatisch gemountet wird, so dass keine zusätzliche Passworteingabe erforderlich ist. Finde ich sehr angenehm. _________________ Never argue with an idiot. He brings you down to his level, then beats you with experience.
How-To: Daten verschlüsselt auf DVD speichern. |
|
Back to top |
|
|
Yamakuzure Advocate
Joined: 21 Jun 2006 Posts: 2293 Location: Adendorf, Germany
|
Posted: Mon Dec 22, 2008 11:30 am Post subject: |
|
|
Das klingt doch gut.
Wenn ich mich recht entsinne habe ich hier im Forum auch irgendwo ein dm-crypt + pam-mount howto gesehen. _________________ Edited 220,176 times by Yamakuzure |
|
Back to top |
|
|
schachti Advocate
Joined: 28 Jul 2003 Posts: 3765 Location: Gifhorn, Germany
|
|
Back to top |
|
|
doedel Guru
Joined: 05 Feb 2006 Posts: 579 Location: Denmark
|
Posted: Wed Jan 07, 2009 8:14 pm Post subject: |
|
|
Ich hab meine Root-Partition mit aes-cbc-essiv:sha256 verschlüsselt und meine Datenpartition mit Truecrypt (da weiss ich gar nicht mehr genau was ich gewählt habe, da hier drauf sowieso nichts allzuwichtiges ist, Musik, Filme, ...). Den Truecrypt Container habe ich, da ich von meinem Windows aus ebenfalls auf die Daten zugreifen will.
Ich habe noch eine recht kleine Partition auf der wichtige Briefe usw liegen, ebenfalls mit dm-crypt/luks aber zusätzlich zum Passwort, ein Keyfile auf der Root-Partition, die wird beim booten automatisch entschlüsselt. _________________ 1 ha == 1 Hekto-Ar == 1 Hektar |
|
Back to top |
|
|
pieter_parker Veteran
Joined: 07 Aug 2006 Posts: 1488 Location: 127.0.0.1
|
Posted: Thu Jul 02, 2009 9:57 am Post subject: |
|
|
Quote: | Neuer Angriff auf AES-Verschlüsselung
Besser als Brute-Force, aber keine reale Gefahr für AES
Forscher der Universität Luxemburg haben eine neue Angriffsmethode auf AES vorgestellt. Damit lässt sich das bisher als sicher geltende AES schneller knacken als mit einem Brute-Force-Angriff. |
http://www.golem.de/0907/68117.html |
|
Back to top |
|
|
think4urs11 Bodhisattva
Joined: 25 Jun 2003 Posts: 6659 Location: above the cloud
|
Posted: Thu Jul 02, 2009 1:56 pm Post subject: |
|
|
und ein paar Zeilen weiter lesen wir
Quote: | Die Angriffe seien theoretischer Natur und würden es vermutlich auch bleiben, so Schneier. Doch auch wenn es derzeit keinen Grund gebe, von einer Verwendung von AES abzusehen, |
Solange das Brechen eines Schlüssels noch >>2^75 Versuche benötigt und ich nicht gleichzeitig auf der Liste der top wanted in den top 10 auftauche ist alles prima. Und derzeit scheint das beste Verfahren hier (bei einigen Schlüsseln) 2^96 Versuche zu brauchen.
Beim Hashen sieht das etwas anders aus, aber selbst dort ist noch kein akuter Handlungsbedarf für $ich!=Topterrorist _________________ Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself |
|
Back to top |
|
|
Sujao l33t
Joined: 25 Sep 2004 Posts: 677 Location: Germany
|
Posted: Fri Jul 03, 2009 11:06 pm Post subject: |
|
|
Ich glaube das "Problem" ist eher, dass selbst das CIA mit ihren Supercomputern jetzt nicht mehr 10000 Jahre sondern nur noch 100 Jahre braucht. Ich denke, dass kann man verschmerzen. |
|
Back to top |
|
|
mv Watchman
Joined: 20 Apr 2005 Posts: 6780
|
Posted: Sat Jul 04, 2009 5:24 am Post subject: |
|
|
Sujao wrote: | Ich glaube das "Problem" ist eher, dass selbst das CIA mit ihren Supercomputern jetzt nicht mehr 10000 Jahre sondern nur noch 100 Jahre braucht. |
Nach Moores Gesetz wären sie dann also in ca. 9 Jahren so weit, dass sie im Schnitt nur noch 1 Jahr brauchen. Wenn Du politisch unliebsam bist, solltest Du also keine Daten mit AES verschlüssseln, die Dir in 10 Jahren schaden könnten. |
|
Back to top |
|
|
schachti Advocate
Joined: 28 Jul 2003 Posts: 3765 Location: Gifhorn, Germany
|
Posted: Sat Jul 04, 2009 5:28 pm Post subject: |
|
|
Ich zitiere dazu mal heise online:
Quote: |
"Die neuen Angriffe funktionieren nur, wenn man annimmt, dass ein Angreifer den unbekannten Schlüssel manipulieren kann", erläutert Christian Rechberger, Kryptologe an der TU Graz, gegenüber heise Security.
|
Das ist also bisher wirklich nur ein theoretischer Angriff. _________________ Never argue with an idiot. He brings you down to his level, then beats you with experience.
How-To: Daten verschlüsselt auf DVD speichern. |
|
Back to top |
|
|
pieter_parker Veteran
Joined: 07 Aug 2006 Posts: 1488 Location: 127.0.0.1
|
Posted: Mon Jul 27, 2009 10:14 am Post subject: |
|
|
Fujitsu liefert Bridge für SATA-Festplatten an USB 3.0
Controller mit AES-Verschlüsselung für schnelle externe Laufwerke
-> http://www.golem.de/0907/68609.html |
|
Back to top |
|
|
moe Veteran
Joined: 28 Mar 2003 Posts: 1289 Location: Potsdam / Germany
|
Posted: Mon Jul 27, 2009 10:53 am Post subject: |
|
|
Ich würde gerne nochmal auf dieses Thema zurückkommen:
kernelOfTruth wrote: | pieter_parker wrote: | wie ist das eigentlich wenn ich nicht zukomme
cryptsetup luksClose festplatte
zumachen weil .. weil z.b. ein stromausfall war
mit welchem schaden ist zurechnen ? |
das dürfte nix ausmachen, im grunde hängt das aber vom zugrundeliegenden dateisystem ab:
* mit jfs hatte ich alle daten der partition verloren (unsauber umounted oder was weiß ich)
* mit reiserfs hatte ich bis jetzt, soviel ich weiß, keine probleme
* xfs ...
* ... |
Ich habe seit etwa einem halben Jahr eine Partition mit LUKS und aes-cbc-essiv:sha256 verschlüsselt, und dadrin ein jfs-Dateisystem. Das ganze wird vie pam_mount beim Einloggen eingehangen. Der Rechner ist schon häufig abgestürzt, ohne das meine Daten weg waren. Insofern würd ich die Aussage von kernelOfTruth als bedauerlichen Einzelfall sehen.
Aber meine eigentliche Frage, wie verhält man sich im Fall von unsauberen umounts? Ein automatischer fsck beim Booten fällt ja aus, pam_mount tut auch scheinbar nichts in Richtung fsck. Ich mache es momentan so, dass ich nach nem Absturz als root anmelde, luksOpen usw. mache und dann fsck.jfs, aber das ist bestimmt nicht das Optimum, oder? |
|
Back to top |
|
|
|
|
You cannot post new topics in this forum You cannot reply to topics in this forum You cannot edit your posts in this forum You cannot delete your posts in this forum You cannot vote in polls in this forum
|
|