unbuntuS12
Anmeldungsdatum: 2. Juni 2010
Beiträge: 1816
|
vbnz schrieb: Tatsächlich, ich habe wirklich mein Passwort zwei mal in der Folge verändert (weil ich bei der ersten Veränderung das Passwort doch zu schwach fand)
Meinst du "in Folge des Absturzes"? Meines Wissens wird die wrapped-passphrase Datei mittlerweile beim Ändern des Login-Kennworts automatisch mit dem neuen Passwort verschlüsselt. Wenn du dein Login-Kennwort also geändert hast als du noch über die GUI gearbeitet hast, dann sollte die wrapped-passphrase-Datei mit dem neuen Kennwort verschlüsselt sein. Wenn du das Passwort allerdings erst geändert hast, nachdem du dich erfolgreich auf der Textkonsole anmelden konntest, dann wird die wrapped-passphrase-Datei mit Sicherheit noch mit dem alten Kennwort verschlüsselt sein, weil die Datei ja noch nicht entschlüsselt wurde (was die Voraussetzung ist, um sie neu zu verschlüsseln).
|
vbnz
(Themenstarter)
Anmeldungsdatum: 24. Mai 2015
Beiträge: 32
|
Eigentlich lag da sogar ein kleiner Zeitabschnitt zwischen der Änderung des Passworts und dem Absturz, weswegen ich mich selber wundere, dass das alles nicht miteinander übereinstimmt. Ich habe mittlerweile wirklich JEDES Passwort ausprobiert, welches ich hätte engetippt haben können und frage mich deshalb, ob es nicht so einen Schutzmechanismus gibt, der nach einigen falschen Eingaben hintereinander einfach alles als falsch anzeigt,so wie es zum beispiel auch die alten Nokia-Geräte tun?
|
V_for_Vortex
Anmeldungsdatum: 1. Februar 2007
Beiträge: 12085
Wohnort: Berlin
|
vbnz schrieb: Ich habe mittlerweile wirklich JEDES Passwort ausprobiert, welches ich hätte engetippt haben können und frage mich deshalb, ob es nicht so einen Schutzmechanismus gibt, der nach einigen falschen Eingaben hintereinander einfach alles als falsch anzeigt,so wie es zum beispiel auch die alten Nokia-Geräte tun?
Nein, gibt es bei eCryptfs nicht, weswegen bei solchen Verschlüsselungsmethoden gute Passwörter noch wichtiger sind als bei Systemen, die nach x Versuchen keine weiteren mehr zulassen. Bei eCryptfs, LUKS, GPG usw. kann ein Angreifer unendlich viele Passwörter ausprobieren, die Anzahl wird nur durch die zur Verfügung stehende Rechenkraft begrenzt (weshalb die bislang noch theoretischen Quantencomputer vermutlich auf einen Schlag die meisten (alle?) früheren Verschlüsselungen knacken könnten, aber ich schweife ab. ☺ ) Wenn Du wirklich alle möglichen Passwörter probiert hast, vermute ich nach wie vor einen kaputten Hauptschlüssel auf der Platte. Bzw. mal ganz blöd gedacht: Deine Tastaturbelegung ist dieselbe? Ein typischer Stolperstein bei der verdeckten Passworteingabe. Tipp mal testweise das Passwort sichtbar in einen Editor oder die Terminalzeile.
|
unbuntuS12
Anmeldungsdatum: 2. Juni 2010
Beiträge: 1816
|
OT: @Quantencomputer: Für asymmetrische Verschlüsselungsverfahren, die auf den diskreten Logarithmusproblem bzw. der Faktorisierung von Primzahlen basieren stimmt das. Bei symmetrischen Verfahren wird die Anzahl der Rechenschritte auf die Quadratwurzel reduziert. Man geht meines Wissens davon aus, dass die NSA 2^80 kacken kann. Der Wert würde sich dann, anschaulich gesprochen, verdoppeln, so dass die NSA an 2^160 rankommt. AES-128 wäre damit Geschichte, aber AES-192 und AES-256 auch langfristig noch gegen Quantencomputer sicher. Habe leider gerade keine Quellen... muss ich nochmal nachschauen. @vbnz: Ich bin gerade nochmal die letzten Beiträge durchgegangen. Das einzige, was mir noch einfällt (vielleicht ist das eingangs schon erwähnt worden) ist das Tastaturlayout. Aber das müsste ja, gerade bei Ubuntu, in der Textkonsole derselbe sein wie sonst im System...
|
saeger
Anmeldungsdatum: 1. Juni 2006
Beiträge: 258
|
Ich lese hier interessiert mit und frage mich, wie das Problem vermieden werden kann. Ich sollte vielleicht mal den Ernstfall proben, indem ich meine Festplatte an einen anderen Rechner hänge. Um ein verschlüsseltes /home/user/ und/oder ein verschlüsseltes Backup (Déjà Dup, Ubuntu 12.4) wieder herzustellen brauche ich doch ein separates, unverschlüsseltes Backup von ~/.gnupg/ oder?
|
V_for_Vortex
Anmeldungsdatum: 1. Februar 2007
Beiträge: 12085
Wohnort: Berlin
|
saeger schrieb: Ich lese hier interessiert mit und frage mich, wie das Problem vermieden werden kann.
Am einfachsten durch ein regelmäßiges Backup.
|
sinusQ
Anmeldungsdatum: 27. Oktober 2010
Beiträge: 193
Wohnort: Neudau
|
saeger schrieb: Ich lese hier interessiert mit und frage mich, wie das Problem vermieden werden kann. Ich sollte vielleicht mal den Ernstfall proben, indem ich meine Festplatte an einen anderen Rechner hänge. Um ein verschlüsseltes /home/user/ und/oder ein verschlüsseltes Backup (Déjà Dup, Ubuntu 12.4) wieder herzustellen brauche ich doch ein separates, unverschlüsseltes Backup von ~/.gnupg/ oder?
Hallo! Von DejaDup habe ich nicht besonders viel Ahnung, habe aber gesehen, dass im Wiki-Artikel ziemlich weit ein interessanter Link ist: Déjà Dup (Abschnitt „Passwortfehler-beim-Wiederherstellen“) Laut Homeverzeichnis wird /home per default von ecryptfs/Einrichten verschlüsselt, um dass dann zu entschlüsseln brauchst du meines Wissens nach keine GPG-Keys. Meine GPG-Keys habe ich in KeePass2, das KeePass-File wird dann gesichert. Im Falle, dass ich diese dann wiederherstellen muss, brauche ich nur das PW zur KeePass-DB, muss dann die Keys händisch kopieren und wieder importieren.
|
saeger
Anmeldungsdatum: 1. Juni 2006
Beiträge: 258
|
V_for_Vortex schrieb: saeger schrieb: Ich lese hier interessiert mit und frage mich, wie das Problem vermieden werden kann.
Am einfachsten durch ein regelmäßiges Backup.
Mache ich täglich. Aber woher liest Duplicity im Wiederherstellungsfall den privaten Schlüssel falls die ursprüngliche /home partition nicht mehr existiert?
|
Benno-007
Anmeldungsdatum: 28. August 2007
Beiträge: 29240
Wohnort: Germany
|
Wir sollten langsam zur Urspungsfrage zurückkommen - eine dritte Randbemerkung habe ich aber auch noch: LUKS hat 1s, bei neueren Versionen 2s Zeitverzögerung bei gleicher Rechnerleistung zwischen den Passwortversuchen, was die Sicherheit beträchtlich erhöht.
|
V_for_Vortex
Anmeldungsdatum: 1. Februar 2007
Beiträge: 12085
Wohnort: Berlin
|
saeger schrieb: V_for_Vortex schrieb: Am einfachsten durch ein regelmäßiges Backup.
Mache ich täglich. Aber woher liest Duplicity im Wiederherstellungsfall den privaten Schlüssel falls die ursprüngliche /home partition nicht mehr existiert?
Aus dem Backup von /home/$USER/.gnupg. Genau deshalb sollte man mehrere zyklische Backups haben, damit man bei Problemen nicht auf die Daten im problematischen Backup selbst angewiesen ist.
|
vbnz
(Themenstarter)
Anmeldungsdatum: 24. Mai 2015
Beiträge: 32
|
Ist zwar mittlerweile unnötig, dass ich das noch sage, aber ich habe das schon längst aufgegeben.
|
sinusQ
Anmeldungsdatum: 27. Oktober 2010
Beiträge: 193
Wohnort: Neudau
|
Benno-007 schrieb: LUKS hat 1s, bei neueren Versionen 2s Zeitverzögerung bei gleicher Rechnerleistung zwischen den Passwortversuchen, was die Sicherheit beträchtlich erhöht.
Hi! Durch eine längere Zeitverzögerung wird doch die Verschlüsselung nicht sicherer?! Es wird aufwändiger das Passwort zu "erraten" (Bruteforce oder Wörterbuch), aber die Sicherheit wird durch Verbesserung der Verschlüsselungsmethode oder Verbesserung des Passworts erhöht. Frohe Festtage,
Michael
|
vbnz
(Themenstarter)
Anmeldungsdatum: 24. Mai 2015
Beiträge: 32
|
Um die Aufwändigkeit geht es doch, oder? Ich wünsche euch auch allen ein frohes Fest.
|
redknight
Moderator & Supporter
Anmeldungsdatum: 30. Oktober 2008
Beiträge: 21725
Wohnort: Lorchhausen im schönen Rheingau
|
Kommt drauf an 😀 Die Antwortverzögerung schützt dich vor den Effekten von Seitenkanalangriffen - speziell "Timing-attacken". Das Ausschließen von möglichen Angriffen ist schon eine Erhöhung der Sicherheit, auch wenn es die konzeptionelle Sicherheit nicht erhöht.
|