chilidude schrieb:
Der Rest, den du bemängelst, ist absolut vernachlässigbar. Ob du nun zwischen verschiedenen Hashvarianten auswählst und eine Sekunde rechnest oder Eine nimmst und auch nur eine Sekunde rechnest - wo ist da der Unterschied?
Es ging darum, dass der Verschlüsselungsalgorithmus und Hash-Algorithmus automatisch erkannt wird und nicht extra in dem Header geschrieben werden muss. Je nach Implementierung wäre es nur einmalig nötig den PBKDF2-Schlüssel für ein bestimmtes Passwort zu berechnen und somit wäre es ohne Zeitverlust möglich die verwendeten Algorithmen zu bestimmen anstatt sie im Klartext reinzuschreiben. Wäre interessant zu wissen wie es TrueCrypt macht.
Und die Länge des Masterpasswords kann bei AES nur 128 oder 256 Bit sein. (Bei original Rijandel gibt es nur ein paar mehr). Es ist eine Blockchiffre mit starr festgelegter Bitlänge. (Wie du auf die 10% Verluste kommst, ist für mich nicht nachvollziehbar.)
Okay, da bin ich von einem falschen Ansatz ausgegangen. Ich dachte und das kam mir halt auch extrem seltsam vor, dass die Länge des originalen Passwortes gespeichert wird. Wenn man das nämlich nachrechnet, kommt man auf die 10%.
Aber trotzdem ist es nicht falsch, dass die Angabe der Schlüssellänge ein Schwachpunkt ist - jedenfalls bei AES. So ist AES 256 angreifbarer als AES 128, wie vor Jahren schon bei heise gelesen werden konnte. Aber es gibt ja auch noch andere Algorithmen wie den ebenfalls weit verbreiteten Twofish.
Im übrigen hält dich bei dmcrypt/LUKS tatsächlich niemand davon ab, ganz auf LUKS zu verzichten. Erstelle deinen eigenen zufälligen Schlüssel und mache die Verschlüsselung ohne LUKS, wie oben beschrieben. (Mit dmcrypt ist das kein Problem.) Dann gibt es auch nichts mehr zu meckern.
Nein nein, ich werde garantiert nicht auf LUKS umstellen. Verschlüsselung des Home-Verzeichnis benutze ich zwar mittlerweile, aber nicht die verschlüsselten externen Backup-Festplatten. Der Aufwand würde sich nicht im Geringsten lohnen, da bleibe ich bei TrueCrypt.
Und nein meckern tue ich nicht, das würde sich anders anhören.