Salamander76
Anmeldungsdatum: 14. März 2014
Beiträge: 205
|
Hallo an euch, zum Thema Verschlüsselung habe ich mich mal durch das Wiki hier gekämpft, bin jedoch leider nicht wirklich fündig geworden ☹ Vielleicht hat ja von euch jemand eine Idee?
Habe auf meinem Rechner Xubuntu 15.10. Auf einer Partition habe ich / und auf einer weiteren /data definiert. Auf /data sind alle Daten wie Bilder, Musik, Dokumente etc.
Nun würde ich gerne die gesamte Partition oder wahlweise einzelne Verzeichnisse verschlüsseln (evtl. auch einzelne Dateien). LVM möchte ich nicht nutzen. Würde sich theoretisch TruCrypt anbieten, doch das ist ja leider nicht mehr 100%ig sicher. Nun gibt es ja den Nachfolger VeraCrypt, da stört mich jedoch, dass es nur von einer externen Paketquelle installiert werden kann. Kennt ihr ein Tool, das alles wie beschrieben kann und auch noch eine grafische Oberfläche bietet?
|
frostschutz
Anmeldungsdatum: 18. November 2010
Beiträge: 7658
|
Es muss also auch von Windows gelesen werden können? Unter Linux würde man sonst einfach LUKS verwenden (für eine ganze Partition). Einzelne Verzeichnisse / Dateien ist dann wieder was anderes.
|
Salamander76
(Themenstarter)
Anmeldungsdatum: 14. März 2014
Beiträge: 205
|
Nein, Windows ist kein Thema.
|
Salamander76
(Themenstarter)
Anmeldungsdatum: 14. März 2014
Beiträge: 205
|
Frage zu LUKS: hat dieses Tool einen Mechanismus gegen Brute-Force-Attacken?
|
frostschutz
Anmeldungsdatum: 18. November 2010
Beiträge: 7658
|
Ja... jeder Versuch kostet 1 Sekunde Rechenzeit (ab cryptsetup 1.7.0: 2 Sekunden, läßt sich aber jederzeit mit --iter-time einstellen). Das wird dadurch erreicht daß eine einfache Hashfunktion hunderttausendmal (je nachdem wie schnell dein Rechner ist) durchlaufen wird. Ein gutes Passwort vorausgesetzt ist es dann einfach zu rechenintensiv alle Möglichkeiten durchzuprobieren.
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17449
|
Salamander76 schrieb: Frage zu LUKS: hat dieses Tool einen Mechanismus gegen Brute-Force-Attacken?
Um noch konkreter zu werden: PBKDF2. Der Schutz gegen Brute-Force ist also, ein sicheres Passwort vorausgesetzt, ausreichend. Ausgenommen ist dabei hoch spezialisierte Hardware welcher aber wohl nur bei einem sehr gezielten Angriff zum tragen kommen dürfte. 99.9% der Angreifer werden eh einfach deine Platte formatieren und verkaufen und sich nicht mit LUKS rumschlagen 😉 mfg Stefan Betz
|
V_for_Vortex
Anmeldungsdatum: 1. Februar 2007
Beiträge: 12085
Wohnort: Berlin
|
|
Vegeta
Anmeldungsdatum: 29. April 2006
Beiträge: 7943
|
Salamander76 schrieb: Würde sich theoretisch TruCrypt anbieten, doch das ist ja leider nicht mehr 100%ig sicher. Nun gibt es ja den Nachfolger VeraCrypt, da stört mich jedoch, dass es nur von einer externen Paketquelle installiert werden kann.
100%ig sicher ist leider keine Software und selbst wenn die verwendete Software absolut sicher wäre, liegt das Problem eher beim verwendeten Passwort oder das ein nicht mehr sicherer Verschlüsselungsalgorithmus verwendet wird. TrueCrypts Sourcecode wurde von Experten überprüft, bei dm-crypt & LUKS steht das aus. Da die NSA bereits versucht hat im Linuxkernel Hintertüren einbauen zu lassen, kann man sich gut vorstellen, dass dm-crypt & LUKS ein Ziel sein könnten.
Sicher für den Normalgebrauch sind alle genannten Programme. Für dm-crypt / LUKS gibts auch Frontends.
|
Salamander76
(Themenstarter)
Anmeldungsdatum: 14. März 2014
Beiträge: 205
|
Danke mal für eure Antworten! Wer denkt, dass LUKS oder was auch immer gegen eine NSA sicher genug ist, der sollte wohl nochmal mit Kapitel 1 im Linux-Handbuch beginnen 😉 Aber ich denke, als kleiner Wurm bin ich sooooo weit weg vom Interesse der NSA. Naja, jetzt mal Spaß beiseite. Mir geht es mehr um Angriffe von Hackern aller Art auf meine Daten wie private Dokumente, Fotos, Videos etc. Sei es weil der Stick verloren ging, ich ne Festplatte verkaufen will oder was auch immer. Zum Thema Schwachpunkte:
1. so ein Passwort kann man sich ja generieren lassen. Das dürfte also passen.
2. Die Methode. Da frage ich mich, ob AES mit gerade mal 256bit wirklich ausreicht???
|
unbuntuS12
Anmeldungsdatum: 2. Juni 2010
Beiträge: 1816
|
Salamander76 schrieb: Wer denkt, dass LUKS oder was auch immer gegen eine NSA sicher genug ist, der sollte wohl nochmal mit Kapitel 1 im Linux-Handbuch beginnen 😉
...und dann feststellen, dass genau das der Fall ist? Selbst mit den 20 Jahren Vorsprung in der Forschung, die man der NSA gut und gerne geben kann, haben die keine Chance, und zwar...
2. Die Methode. Da frage ich mich, ob AES mit gerade mal 256bit wirklich ausreicht???
...eben deswegen. Schon mal 2^256 ausgerechnet? Ich frag' nur mal so. Vergleiche dazu auch hier. Wenn die an deine verschlüsselten Daten wollen, dann werden sie im Leben nicht auf den Gedanken kommen, die zu entschlüsseln. Stattdessen werden sie eine viel effizientere, schnellere und günstigere Methode verwenden. Nämlich die hier. edit: Und selbst in letztgenanntem Szenario kann man ein Schnippchen schlagen, zumindest, wenn man absehen kann, dass der Laptop in falsche Hände geraten kann. Es gibt einen Patch für Cryptsetup, der hier beschrieben wird, der es erlaubt, den LUKS-Header bei der Eingabe eines eigens vorgesehenen Passworts zu zerstören. Dann sind die Daten nachweisbar weg, und zwar so nachweisbar, dass selbst jemand, der dich zwingen würde, das Passwort einzugeben nach der Eingabe des Nuke-Passworts nachvollziehen kann, dass du jetzt selbst mit dem richtigen Passwort nichts mehr wiederherstellen kannst.
|
robert-engel
Anmeldungsdatum: 30. Oktober 2015
Beiträge: 1972
|
unbuntuS12 schrieb: ... Schon mal 2^256 ausgerechnet?
Ca. 116 Dodezilliarden. 😀
|
frostschutz
Anmeldungsdatum: 18. November 2010
Beiträge: 7658
|
Und selbst in letztgenanntem Szenario kann man ein Schnippchen schlagen [...] Es gibt einen Patch für Cryptsetup
Danke, selten so gelacht. 😬 Selbst wenn das offiziell eingebaut wäre, das funktioniert nicht.
|
unbuntuS12
Anmeldungsdatum: 2. Juni 2010
Beiträge: 1816
|
Bevor sie einen Dump ziehen, tust du so, als würdest du kooperieren und zerstörst den Header nachweislich. Sicherlich ein eng abgegrenzter Anwendungsfall, aber was soll denn daran nicht funktionieren?
|
frostschutz
Anmeldungsdatum: 18. November 2010
Beiträge: 7658
|
unbuntuS12 schrieb: was soll denn daran nicht funktionieren?
Ja sicher, es ist abhängig von der Dummheit der anderen. Wenn die das nicht in einer eigenen Umgebung machen sondern deine Killswitch-Version benutzen. In dem XKCD-Szenario hast du es aber nicht mit dummen sondern mit skrupellosen Leuten zu tun. 😉 Tatsächlich in der Situation würdest du trotzdem das richtige Passwort rausrücken (Angst ums eigene Leben bewirkt Wunder). Auch bei der Einreise in die USA würdest du dir dreimal überlegen, ob du da jetzt wirklich direkt den Rückflug antreten willst (im besten Fall) oder Bekanntschaft mit schwedischen Gardinen machst. Durchgewunken wirst du da eher nicht, wenn du dem TSA-Typen die Nuke-Passphrase gibst. Und wenn du das Wort "Nuke" überhaupt in den Mund nimmst um dem Typen zu erklären was da gerade passiert ist dann hast du eh nichts mehr zu lachen. Ich kann der Idee wenig bis nichts abgewinnen und bin froh daß dieser Unsinn nicht offiziell in cryptsetup eingebaut wurde.
|
unbuntuS12
Anmeldungsdatum: 2. Juni 2010
Beiträge: 1816
|
Ich bestreite nicht, dass es Situationen gibt, in denen man sich zweimal überlegt, was man tut. Das heißt nicht, dass es in anderen Situationen nicht doch sinnvoll ist. Und im Zweifel hat man eine Karte mehr auf der Hand. Die muss man nicht spielen. Und wenn man sich entscheidet zu kooperieren, wird nicht einmal rauskommen, dass es eine zweite Karte gab. Insofern ist deine Bewertung falsch: Es funktioniert. Du findest es nur nicht sinnvoll. Das sei dir unbenommen.
|