FBI konnte verschlüsselte Festplatten nicht knacken

Sicherheit & Antivirus Die US-amerikanische Bundesbehörde FBI wollte Festplatten des brasilianischen Bankiers Daniel Dantas entschlüsseln. Diese waren unter anderem mit Truecrypt verschlüsselt. Laut einem Bericht von 'Globo' ist dies nicht gelungen. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Ich glaub bei uns muss man auch kein PW rausrücken, wenn ich mich ned ganz täusche. Aber zur Sache an sich: Lustig :D
 
@Narf!: Nein, niemand muss sich selbst belasten und deshalb muss auch niemand das PW zu seiner verschluesselten Platte rausruecken.
 
@Valfar: In GB muss man es schon. Und es wird auch darüber nachgedacht ob man es EU weit so regeln soll. Wenn man es vergessen hat etc. gibt es eine Strafe. Diese liegt glaube ich bei bis zu 3 Jahren Haft. Also in GB. Da man inzwischen aber mit 2 Partionen also eine schein und eine im Versteckten Container. Und das kann man ja nicht rausfinden. Du gibst ihnen ja ein Passwort, aber eben das für die Unwichtige schein Partition.
 
@Narf!: naja überleg mal, was wollen sie denn tuen? wenn du belastendes material aufm rechner hast das dich für den rest deines lebens in den knast bringt oder dich für immer pleite macht dann sag es einfach nicht. selbst wenn sie dich halt paar jahre in knast stecken, wennde wieder raus kommst haste deine daten wieder ^^
 
@DataLohr: Aus einer Aussageverweigerung darf einem kein Nachteil entstehen. Wenn also so eine Festplatte das einzige belastende Material ist und die Polizei sie nicht entschluesseln kann ist man fein raus.
 
@Valfar: Nein, ist man nicht. Je nach Schwere und Art des Vorwurfs kann z.B. schnell eine unmittelbare Gefahr daraus gemacht werden und Du kannst mit Beugehaft nasch StPo rechnen. Setzt allerdings ein laufendes Verfahren voraus, glaube ich.
 
@mcbit: Vor ungefähr einem Jahr habe ich mal ein System mit Truecrypt verschlüsselt, seitdem nicht mehr benutzt und jetzt kann ich mich tatsächlich nicht mehr an das Passwort erinnern. So was passiert schon mal. Wenn das FBI Truecrypt nicht knacken kann, dann kann ich es ja erst recht nicht. An die Daten auf dem verschlüsseltem System kommt jetzt niemand mehr ran. Weder FBI, ich Schussel, noch sonst irgendwer und wenn die sich auf den Kopf stellen und mit dem Arsch Mücken fangen.
 
@mcbit: naja nur wollen sie dich in Beugehaft bringen weil du das Passwort "vergessen" hast? Am ende wäre halt die frage, was passiert wenn man danach immer noch nichts rausrückt (frag ich mich grad interessehalber ^^)
 
@MarcelP: Das spielt erstmal keine Rolle, sondern ich habe lediglich ausgesagt, dass es die Möglickeit gibt, auch durch eine Aussageverweigerung Schaden zu nehmen.
 
@Fusselbär: Ja, das habe ich schon verstanden. Aber als Verdächtiger in etwas wirst Du mit der Aussage erstmal nicht weit kommen, da Ermittler ja von Hause aus misstrauisch sind.
 
@mcbit: Mag sein, ändert aber nichts daran, dass das Verschlüssungs-Passwort schlichtweg fehlt. Da können die sich auf den Kopf stellen und mit dem Arsch Mücken fangen. Das ist auch kein Bug, sondern ein Feature von guter Verschlüsselung. In meinem Fall ist es auch bloß reine Schusseligkeit und Vergesslichkeit. Aber das ließe sich natürlich auch für Denial of Service benutzen, Festplatten sind ja billig heutzutage, werden viele sein, die sich ganz lässig dutzende von Festplatten leisten können, die schön verschlüsseln, gar nicht erst drauf achten, was da als möglichst langes Passwort eingegeben wird, von mir aus auch ein Gürteltier auf der Tastatur zum Passwort eingeben wälzen lassen und schon gibt es jede Menge Köder welche die Ressourcen der Verschlüsselungsangreifer auffressen.
 
@mcbit: falls es noch kein anderer hier gesagt hat. beugehaft gibt's niemals für beschuldigte und mit ihm verwande und verschwägerte, nur als ein zeuge der kein aussageverweigerungsrecht besitzt könnte man dich(begrenzt) in beugehaft nehmen oder dir ein saftiges ordnungsgeld aufbrummen > http://www.gesetze-im-internet.de/stpo/__70.html <
 
@Rulf: Oki, danke. Habs nur aus dem fernen Gedächtnis hingeschrieben, wusste nicht mehr genau.
 
@mcbit: Ja, eben, wenn du als potenzieller Terrorist oder os eingestuft wirst... Dann muss man es rausgeben. Alles andere wäre, wie du schon sagtest, Quatsch...
 
@DataLohr: Die Platte kriegst du aber nicht zurück, sprich die Daten sind weg, außer du hast noch ein Backup irgendwo in der Wolke
 
@Narf!: Stimmt muss man nicht, aber dann wird einem - in unserem Rechtsstaat - kurzerhand "Verschleierung von terroristischen Aktivitäten" oder ähnliches angehangen. Möchte sehen wer da nich einlenkt.
 
@RocketChef: Blödsinn!
 
@RocketChef: Unschuld bis zur Beweis der Schuld und wie schon gesagt muss man sich nicht selber belasten.
 
@Narf!: und wenn, dann erinnert man sich einfach nicht mehr dran, ich glaub dafür könnten die niemanden Bestrafen
 
@Narf!: wieder einmal viel bla bla und halbwissen hier, (sorry). truecrypt arbeitet mit der sogenannten 'Plausible Deniability', das heißt das es ein vorgebliches password gibt das man preisgeben kann, auf dem system das dadurch zugänglich wir sind nur vorgeblich interessante/geheime daten. ein zweites wirklich geheimes password bringt das 'geheime system' welches durch vorher genanntes nicht erkennbar ist ... also keine zweite partition etc. da es nicht mit headern arbeitet ist es nicht erkennbar ob ein zweites 'noch geheimeres' system vorhanden ist oder nicht.
 
@ruder: du ahst vergessen zu erwähnen das diese funktion nur beim verschlüsseln eines gesamten systems zur verfügung steht und nicht beim verschlüsseln einzelner platten!
 
@bamesjasti: das ist nicht richtig, das prinzip der 'Plausible Deniability' ist selbst in verschlüsselten containern möglich. partitionsweise nur in der systempatition (pre-boot authentication), das ist richtig. aber die verschlüsselung beruht hier auf verschiedenen (geheim/geheimer) systemen, deswegen geht es hier um system oder container verschlüsselung. eine partitions weise verschlüsselung ist selbstverständlich möglich, allerdings ohne 'Plausible Deniability' ... was für future releases denkbar ist, aber ein technisch komplett neues feature darstellt. btw leider funktioniert die systemverschlüsselung nur unter windows.
 
@ruder: man kann es herausfinden. Und zwar wenn man das Gesamtsystem zur Verfügung hat. nehmen wir an es ist die Systemplatte, die verschlüsselt ist und wir bekommen den schlüssel. Dann öfnnet sich das OS und wir sehen aber keine schlimmen Daten. Darin ist jetzt noch irgendwo ein zweiter Container. Den kann man aber finden. Und zwar wenn man die restlichen Daten auf der Platte gegen eine Hashdatenbank laufen lässt, die meisten sind ja statisch. Und dann schaut man sich einfach alle restlichen Daten an, die eine gewisse Größe haben. Hinweise auf einen 2ten Container sind auch recht leicht zu finden, und zwar dann, wenn daraus mal irgendwann mal was gestartet worden ist. Windows legt an zahlreichen Orten logs an. Und da stehen u.a. Pfade und GUID drin. Wenn diese nicht zu finden sind, dann ist das schon ein hinweis. So kann man z.b. auch erkennen welche und wieviele USB Sticks benutzt worden sind. Interessante Orte für diese logdateien sind für mich z.b. der prefetch ordner, oder die temp files, oder allgemein der slack space auf der platte.
Ein Container innerhalb eines Containers ist also keinesfalls niemals auffindbar. Man muss nur richtig suchen.
 
@tavoc: Also so einfach ist es nicht, der Container im Container wird von hinten her abgezwackt und es wird keine Datei oder sowas angelegt, wenn man zuviele Daten in den umgreifenden Container schreibt werden die Daten im inneren Container überschrieben. Logisch kann man die Pfade und GUID zu allem Möglichen finden, aber es gibt soo viele Tools, die genau diese Spuren beseitigen. USB Stickts werden von mir auch alle paar Tage von den netten Tools von Nirsoft beseitigt, da bleibt nichts übrig. Meine temporären Dateien liegen auf der eingerichteten RAM Disk. Bei meinen sensibelen Daten habe ich eine so vorbereitete Externe HDD und die lass ich blöderweise nicht im System.
 
@MrOuzo: also ich kann sagen, das ich truecrypt container gefunden habe, aus Hinweisen die im System waren. Ich hatte ein normales Windows image und es gab Hinweise auf weitere Pfade. Den truecrypt container hab ich gefunden, und öffnen können und auch den versteckten. Denn es ist recht einfach auf der Platte zu sehen welche Sektoren frei sind oder welche beschrieben sind. Egal was Windows zur freienn Kapazität sagt. War bei mir im Rahmen der Vorlesung Forensik. So sicher wie sich viele wähnen sind sie bei weitem nicht. In einem großteil der systeme werden zwar viele tolle verstecktools verwendet, aber irgendwo findet man einen hinweis. Und dann ist es in der Regel recht einfach. Um alle Orte clean zu halten und unschuldig zu wirken ist wirklich schwer, und der Mensch macht Fehler. Auch wenn das Sytem zu "sauber" wirkt, könnte das ein Hinweis auf antiforensik sein.
 
@ruder: Jetzt mal eine ernsthafte Frage. Das mit der geheimen Partition habe ich zwar schon oft gelesen, aber nie so wirklich verstanden. Ich habe eine 200GB Festplatte verschlüsselt und gebe dem FBI ein Passwort, damit sie zufriedengestellt sind. Mit diesem Passwort können sie dann auf 100GB zugreifen. Nun nehme ich an, dass jeder Agent die Schule mindestens bis zur 3. Klasse absolviert hat. Kann man dann nicht schon erahnen, dass es noch eine versteckte Partition gibt?
 
@CherryCoke: Hier liegt dein Denkfehler, habe ich im anderen Post geschrieben. Der äussere Container ist nur eine Hülle, die du nicht benutzen darfst, schreib einfach ein paar Böse Worte drauf, oder leg ein paar Bilder deiner Oma ab..irgendwas.. der innere Container liegt dann von hinten nach vorne in dem beschreibbaren Bereich des äusseren Containers. Der äussere Container wird erst schreibgeschützt wenn du den inneren mit deinem Passwort aufgemacht hast, vorher kannst du Daten reinschreiben, was dann aber bei zuvielen Daten zur Zerstörung des inneren Containers führt. Der äussere Container zeigt also genau die Größe an, die fehlt..also nicht 100GB sondern 200GB und da den inneren Container finden ist schon nicht einfach.. Vorrausgesetzt du warst nicht so ungeduldig und hast die funkelnagelneue HDD NICHT mit den Randomwerten überschrieben.
 
@CherryCoke& tavoc: vielleicht kurz zum verständnis, das erste system ist als fake anzusehen ist aber natürlich voll funktionsfähig. so, nehmen wir an es handelt sich um eine 320 GB platte, dann sind im ersten system die ganzen 320 GB sichtbar. der benutzer muß selber darauf achten, daß er nicht mehr als die hälfte der platte voll macht, besser nur ein drittel. sollte er die platte vollschreiben, ist das geheime/zweite system beschädigt, bzw gelöscht. im zweiten system ist der platz zu sehen den man allokiert hat, in der regel auch ein drittel der gesamtkapazität. hier kann man den platz vollmachen wie man will. erstaunlich ist, daß die performance nicht drunter leidet, wenn dann nur theoretisch.
 
@ruder: tnx für die Erklärung. Dann habe ich es nun verstanden. Daten können also versehentlich überschrieben werden. Das habe ich mir fast gedacht...
 
@Narf!: Das FBI hatte wahrscheinlich nur keinen richtigen Supercomputer zur Verfügung. Anekdote: Ich hatte mal ein Tool, was die benötigten Rechen-Zeiten zum Entschlüsseln eines RAR-PW angegeben hat. Wo mein P4 mit 3200 Mhz 3Jahre benötigt hätte wäre der damals schnellste Supercomputer in knapp 3min fertig gewesen.
 
@Narf!: In speziellen Verdachtsfällen kann man mit sog. Beugehaft so etwas durchaus erzwingen, also nicht zu sicher fühlen!
 
@Narf!: Niemand kann dich zwingen das Passwort rauszugeben. Bei Kapitalverbrechen kann jedoch eine Beugehaft bis zu 6 Monaten verhängt werden, wenn dus nicht sagen willst...
 
Das FBI kann eben auch nicht alles:D
 
@Sonny Black: naja, da steht aber auch unteranderem Truecrypt.
Wahrscheinlich hat er noch so ein 1337-Crypt Programm von Aliens benutzt.
 
@Sonny Black: Hätten sie es mal zum NSA gebracht ;) Die haben noch im Keller Diabolus stehen
 
@TobiTobsen: Ein 20 stelliges PW mit zahlen gross, klein Buchstaben und Sonderzeichen wird keiner auf der Welt knacken können.
 
@BVB09Fan1986: Bei "24" knacken sie verschlüsselte Dateien in 20 Sekunden - Ist die Serie etwa nicht realistisch :(?
 
@Zebrahead: Bei 15 Zeichen brauchen die besten Knacker ca. 19104730610573 Jahre also unmöglich zu knacken.
 
@Zebrahead: genauso realistisch wie csi
 
@Zebrahead: Bei 24 wird aber von einem anderen (unrealistischen) Verfahren ausgegangen. Closed Source mit Backdoor.
 
@Rulf: Nein, CSI ist noch realistischer :) http://www.youtube.com/watch?v=hkDD03yeLnU @John-C: In Staffel 6 stimmt das, aber Chloe knackt ja auch sonst immer alles innert Minuten :). @BVB09Fan1986: Das ist die Maximalzeit, aber wenn das Programm früher auf die gewünschte Kombination stösst, kann es theoretisch auch nur ein paar Sekunden / Minuten dauern :).
 
@Zebrahead: Sie benutzen auch Macs für ihre endcoolen IT-Aktionen. Also kann die Serie irgendwie nicht realistisch sein. Wäre sie realistisch müßte man nach jeder Aktion erstmal 20 Sekunden das bunte Rad anschauen.
 
@Zebrahead: Na bei CSI gehen die auch davon aus, das der Verbrecher seinen Vornamen als Passwort verwendet
 
@BVB09Fan1986 und @BVB09Fan1986 wie kommt ihr auf diese interessanten Zahlen? Selbst ausgerechnet? Bei 20 Stellen ist es viel schneller knackbar. Vorallem in zeiten von EC2 und co.
 
@BVB09Fan1986: Das war eine scherzhafte anspielung auf Dan Browns Diabolus ;)
 
Jetzt ist noch die Frage mit welchem Verschlüsselungsagorithmus?
 
@zivilist: schick ihm doch ne E-Mail und frag nach^^
 
@zivilist: Ist doch egal, immerhin haben sie versucht die Passphrase zu knacken und nicht den Algorithmus.
 
@zivilist: Alle Algorithmen in Truecrypt sind AES-Finalisten. Davon ist bis Heute kein einziger geknackt.
 
Im Prinzip ist es doch egal ob Truecrypt oder BitLocker. Letztendlich ist doch das Passwort relevant.
 
@Black-Luster: jop, aber auch ob und wie das passwort wo gespeichert wird und vorallem, wie du schon sagst, was für ein passwort man benutzt.
 
@Black-Luster: bist du dir sicher das BitLocker 100% Sicher ist, also das MS nicht irgendwo nen Genralschlüssel hat bzw. spezielle Techniken zu entschlüsseln?
 
@Nero FX: Microsoft sagte selber, dass die nirgendwo eine "Hintertür" eingebaut haben und hat dies sogar mehrmals bekräftigt. Letztendlich wäre sowieso der Sinn fragwürdig, wieso die überhaupt sowas einbauen sollten. Microsoft weiß selbst, wenn die sowas einbauen würden und das rauskommt dass die dadurch schonmal einen Imageschaden daudrch einbüßen müssen. Also von daher schlussfolgere ich, mit ziemlich hoher warscheinlichkeit, dass BitLocker keine Hintertür hat.
 
@Black-Luster: Die Hintertür wird streng vertraulich gehandelt... Später wird auch nicht gesagt das es durch eine Hintertür öffnen ging, sondern in den Medien steht dann sie haben das Passwort geknackt bekommen, mehr nicht.
 
@Black-Luster: Mircosoft behauptet auch sein Betriebssystem sein sicher. Das sind doch die typischen Schutzbehauptungen. Einen wirklichen Ausschluss von Hintertüren kann da nur OpenSource garantieren.
 
@BastiB: garantieren kann man garnichts, siehe kürzlich das problem von unreal ircd...
 
@Black-Luster: Microsoft hat ein kostenloses Tool unter anderem zum Bitlocker knacken schon lange rausgegeben, nennt sich "COFEE". Da hat Winfuture auch schon drüber berichtet: http://winfuture.de/news,51708.html
 
@Fusselbär: Wo zum Teufel steht dort dass man mit diesem Tool BitLocker knacken kann??? So ein Schwachsinn!
 
@Fusselbär: Wieso spinnst du dir bei Windows-Geschichten sowas zurecht und bei Linux und BSD kommt dir so ein Schwachsinn nicht in den Sinn?
 
@DennisMoore: Wenn Du da genaueres weißt, dass Microsoft Cracker-Tools gegen Linux und BSD entwickelt haben soll, dann einfach an Winfuture als News einsenden.
 
@Fusselbär: Lies dir erstmal den Inhalt deines eigenen Links durch und such mal die Stelle wo vom Knacken von Bitlocker die Rede ist. Dieses Tool ist nur fürr Polizisten-Noobs die die Datensammlung bei verdächtigen Rechnern nicht selber machen können/wollen.
 
@DennisMoore: Ich zitiere mal aus dem verlinkten Winfuture Artikel, ganz langsam und auch für schwächelnde Augen: "Unter anderem lassen sich damit auch passwortgeschützte und verschlüsselte Daten sichern." Wenn Dir Winfuture als Quelle ausnahmsweise mal nicht seriös genug sein sollte, hier noch mal heise.de: http://heise.de/-204068 Wo ebenfalls darauf hingewiesen wird, dass dies Microsoft "COFEE" ein Angriffstool auf Passwörter ist: "COFEE enthält 150 Programmbefehle, mit denen automatisch Kennworte entschlüsselt, Daten auf der Festplatte gefunden oder [...]" Allzu offensichtlich ist Microsoft COFEE zwar ein illegales Tool, wegen dem Hackerzparagraphen, aber das wird die Täter wohl kaum davon abhalten, es nach Gutdünken zu benutzen, sofern das Microsoft COFEE Tool die Mindestvoraussetzungen für das jeweilige System erfüllt, anstatt dass der COFFE USB-Sitck von mächtigeren anständigen Systemen geräuschlos übernommen wird und später dann gleich alle anderen Systeme, die mit dem COFEE USB-Stick in Kontakt kommen. Womit Du allerdings recht hast: dieses MS-COFEE richtet sich allzu offensichtlich an N00bs, da können wir uns soweit einig werden.
 
@Fusselbär: Ändert alles nichts daran, dass COFEE nicht imstande ist Bitlocker zu knacken. Ferner besdeutet "passwortgeschützte und verschlüsselte Daten" zu sichern nicht, dass man sie entschlüsselt sichert. Man kann auch verschlüsselte Dateien erkennen und dann automatisch auf nen Stick kopieren (Befehl: Suche und sichere Passwortgeschützte Dateien). Und ob da nun 150 Programmbefehle oder 1000 drin sind um Passwörter zu entschlüsseln ist im Prinzip wurscht wenn das Passwort gut genug gewählt ist und die Software die zur Verschlüsselung genutzt wurde die Algorithmen richtig und sicher implementiert hat. Nebenbei bemerkt arbeietet Bitlocker mit TPM-Chips und damit mit Zertifikaten. Das macht das COFEE-Tool noch unnützer in Bezug auf Bitlocker.
 
@Black-Luster: Microsoft sagt auch das ihr Betriebssystem sicher ist. ^^ Wie bereits von meinem vorredner erwähnt, gibt es sogar ein extra tool zum knacken
 
@MarcelP: Apple sowie die Linux community/devs behaupten auch das ihre systeme sicher sind. Tatsache ist aber das grundlegend bei jeder black hat veranstaltung IMMER apple sowie Linux systeme mit abstant am schnellsten und einfachsten geknackt werden, soviel zur nichtigkeit deines arguments! Desweiteren ist COFFE mit absolutersicherheit NICHT zum knacken von Bitlocker gedacht, noch kann dieses tol dies, informiere dich bitte, bevor du dich durch solche peinlichen unwarheiten blamierst...
 
@Necrovoid: Zeigt mir die News von einer Black Hat Conference bei der ein Liux System geknackt wurde! Bei MacOS ist es wohl so, aber definitiv nicht bei Linux Systemen!
 
@Black-Luster: also ich finde erstens vergessen menschen schnell und zweitens würden sie es nie zugeben, wennn es so ist.
 
@Black-Luster: "Microsoft sagt selber, sie haben keine Hintertür eingebaut" *looooool* Wie süß :-D :-D :-D
 
@Black-Luster: ms hat sich die sicherheit von vista dazumal von der nsa bestätigen lassen...mehr braucht man dazu nicht zu wissen...
 
nuja alle windowse haben einen fehler in der rnd generierung, somit wird der zufall berechenbar. darum würde ich verschlüsselungen von ms stark mißtrauen, da dadurch auch die verschlüsselung eine "hintertür" über das generierungssystem hat.
 
@Black-Luster: wie die antworten beweisen, ist es nicht egal. ms behauptet, bei trucrypt ist es nachvollziebar, ich würde meine daten niemals einem konzern 'übergeben' der seine verschlüselungssoftware nicht offenlegt. ich habe mich eingehend mit diesem thema beschäftigt und dieser 'artikel' unterstreicht nur meine meinung. ... EDIT: naja nix gelernt ... aber das ist ja nichts neues hier, werde mich auch wieder aus den posts raushalten wie schon die letzten drei monate, es macht einfach keinen sinn. dumm bleibt dumm da helfen weder posts noch pillen
 
@Black-Luster: Bei Treucrypt kann man auch eine Datei definieren, die zum "Entschlüsseln" notwendig ist. Hat man das so gemacht, reicht das Passwort eben nicht aus !!! Nach meinem Kenntnisstand kann man bei einer Truecrypt-Datei auch nicht erkennen, ob zur Entschlüsselung nur ein Passwort oder ein Passwort mit Datei notwendig ist.
 
@drhook: genau, oder man legt die Passwort Datei (als das "stark" verschlüsselte Passwort für die Container auf einen USB ab und verschlüsselt es mit einem einfachen Wort was man weiß. Vorzugsweise würde ich dann einen Micro USB Stick nehmen, der nur 3cm groß ist, den kann man dann auch noch gut unterm Teppich, im Garten oder ins Mauerwerk verstecken. Denn Wasserdicht sind die Dinger auch noch. ;-) Man selbst hat eine kleine Hintertür offen und trotzdem ist alles verschlüsselt.
 
@knuffi1985: Ist gar nicht notwendig diese "Passwort Datei" supersicher abzulegen. Es weiss ja niemand, dass genau diese Datei zur Entschlüsselung notwendig ist. Deshalb kann man die ganz normal auf dem Computer belassen und zusätzlich mit vielen anderen unwichtigen Dateien auf einem USB-Stick oder einer CD speichern. Natürlich darf man nicht vergessen, welche dann genau die "richtige" Datei ist.
 
@Black-Luster: Nein, ist es nicht. Geschlossene Software für Sicherheit ist so absurd, das tut schon weh...
 
Wusst ich doch, dass das Auswendiglernen meines 64stelligen PW was bringt :)

Da soll meine Freundin nochmal sagen: Du bist verrückt :D
 
@Normenn12596702: Ich möchte nicht ausschließen, dass es in irgendeiner Bunkeranlage oder whatever genügend Rechenpower gibt, um selbst so ein langes PW zu knacken. Klingt für heute unrealistisch, das militär benutzt aber nicht Technologie von Heute, sondern von Morgen. Wenn das Knacken wirklich so sauwichtig wäre, würden die es sicherlich auch schaffen.
 
@monte: Selbst mit dem schnellsten Computer der Welt würde es ewig dauern, weil TrueCrypt Eingaben nicht unendlich schnell bearbeiten kann, und die Grenze ist schon mit handelsüblichen Computern erreicht. Über ein paar hundert Eingaben pro Minute kommt man softwarebedingt nicht hinaus.
 
@lutschboy: Informier dich mal über den Suoercomputer der NSA.
 
@lutschboy: Man kann aber, da es sowieso opensource ist, die Funktionen die überprüfen ob das Passwort nutzbar ist um valide Daten aus dem Container zu extrahieren in einem eigenen Programm nutzen.
 
@sinni800: Das könnte man, stimmt.
 
@lutschboy: Ja klar, ein paar hundert Eingaben pro Minute. Bei einem OpenSource Tool, an das ich mir mal eben ein Kommandozeileninterface anflanschen kann und nur neu kompilieren muss. Da gibt es keine Einschränkungen. The sky is the limit.
Außerdem - hier redet jeder nur über BruteForce. Das ist die langwierigste und dümmste Möglichkeit, an geschützte Daten zu kommen. Vielleicht fangen sie einfach mal bei der echten Schwachstelle an: Beim Benutzer. So werden aus hunderttausend Jahren schnell mal zwei Nachmittage. Wenn das Passwort nicht auf einem Zettel steht, dann vielleicht in einer anderen Datei oder in einem Passwort-Safe der wiederrum vielleicht nicht so genial ist wie Truecrypt und einen schlimmern Fehler hat...
 
@monte: Seh ich ähnlich. Erinnert sich noch jemand an den Fall wo ein Kind in den USA entführt wurde und die NASA mit bestimmten Technologien das Namensschild auf dem Hemd des Entführers (er hatte das Kind in der Öffentlichkeit unter Vorwand weg gelockt) lesbar machen konnte, was augenscheinlich nur aus ein paar Pixelblöcken/Mischmasch bestand? Und das auch noch bei einer Graufstufenaufnahme der Überwachungskamera. Ich denke jeder Geheimdienst hat Programme von denen wir nur erahnen können was die an Leistung bieten.
 
@Schallf: Hast du da ne Quelle? Ich halte das für unmöglich, man kann Informationen nicht aus dem Nichts lesen. Kommt jetzt natürlich drauf an wie pixelig die Buchstaben waren, aber wenn da jetzt ein Wort aus nur 2-3 Pixeln bestand dann halt ich das für eine Legende.
 
@lutschboy: Es ist schon möglich. Es geht hier oft um Wahrscheinlichkeit. Also was liegt am wahrscheinlichsten neben pixel a wenn pixel x oben und pixel y diagonal links daneben liegt. Das muss nicht das richtige sein, kommt aber immer besser hin. Das klappt natürlich eher bei Gesichtern, als denn bei schrift.
 
@TobiTobsen: Klar, aber dafür müssen genug Informationen, also genug Pixel, vorhanden sein. Man müßte halt wissen wovon Schallf redet.
 
@monte: Um an die Ressourcen des Militärs zu kommen müsste es die Nationale Sicherheit betreffen. Vorher interessiert die das nicht wirklich.
 
@monte: Das _Militaer_ ist sicher nicht vorneweg. Allein schon weil die viele Sachen auch auslagern. Wer glaubst d stellt Kampfdronen und co her? Firmen die das dann an das Militaer verkaufen.

Und diese Firmen sind auch nur soweit wie die anderen normalen Firmen auch sind.
 
@Normenn12596702: Unsinn. Das war vor 10-20 Jahren so. Heutzutage ist das Militär eher hinten dran. Klar können sie sich den schnellsten Rechner kaufen, aber wenn du nun mal Algorithmen verwendest deren Laufzeit so stark ansteigen, dass selbst ein Quantenrechner 100te von Jahren brächte dann bringt das auch nix.
 
@Normenn12596702: 64? Krank :) Bin gerademal bei 25 Stellen, wobei das Passwort absolut keinen Sinn ergibt (Groß/Klein-Schreibung, Sonderzeichen, Zahlen). Irre :D
 
@Normenn12596702: Jetzt, wo du verraten hast, dass dein Passwort genau 64 Stellen hat, tun sich die Behörden schon mal wesentlich leichter :-)
 
@Normenn12596702: wenn es um die nationale sicherheit gegangen wäre, hätte man in guantanamo sicher noch ein plätzchen frei(den transfair übernimmt weltweit die cia)...und alles was dort passiert(zb chem. mittelchen) wäre voll legal, weil 1. nicht auf amerikanischem boden und 2. streng geheim...so einfach ist das...leider
 
Ein Tipp für sichere Passwörter unter Windows: Ihr könnt einen Bug in den Passwortfeldern von Windows nutzen: Wenn ihr CTRL+BACKSPACE drückt erzeugt das (in den meisten PW-Feldern) ein neues Zeichen, dass außerhalb der druckbaren Bereiche liegt. So kann euer PW auch nicht mit den normalen Brute-Force Methoden geknackt werden, da diese sich normalerweise auf die druckbaren Zeichen einschränken :)
 
@Hades32: Man kann aber nur ASCII-Zeichen inder Passphrase verwenden, und das Sonderzeichen ist darin nicht enthalten.
 
@Hades32: Das ist eine heikle Angelegenheit. Lieber nur ASCII Zeichen aber dafür sehr viele und ein sicheres booten mit der Preboot Funktion.
 
@Hades32: und was macht man wenn MS diesen Bug beseitigt und man sein Passwort nicht mehr eintippen kann?
 
ist auch gut, sorry, aber der typ is auch nich sooo dumm, das er nen passwort wie, gummiente benutzt... hallo! naja, da sieht man das sich verschlüsseln lohnt :) freut mich eigentlich!
 
@Sackmaus: Im Internetz wird gerüchtet, dass Obama "yeswecan" als Passwort verwendet haben soll und dass da andere drauf gekommen sind. :-)
 
Irgendwie seltsam die Meldung, immerhin hat die Passphrase jetzt nix mit dem Algorithmus zu tun. Ist doch klar dass die ein langes, starkes Passwort nicht knacken können, auch das FBI unterliegt den Gesetzen der Mathematik.
 
Jaja plappert nur alle nett, "boa die knacken das net..." Ich sag euch was, die knacken das schon -und jetzt sagen sie, "das knacken wir nicht", damit alle Truecrypt verwenden. Eben, weil sie das gut knacken können ;)
 
@kaepten: Sehr seltsame Logik die du da hast. Denn wenn sie entschlüsseln können, es aber nicht tun aus Angst dass rauskommt dass sie es können, dann ist das irgendwie paradox und man ist genauso sicher wie wenn sie es nicht könnten ^^
 
@lutschboy: Nicht wirklich. Wenn man im Glauben ist, dass mit einer Software die Daten sicher verschlüsselt werden können, dann verwendet man diese auch, was dann wiederum der Vorteil für die Ermittler ist, da diese dann trotz der vermeintlichen Sicherheit an die relevanten Informationen gelangen könnten. Zudem wird die Aufmerksamkeit vor möglicherweise noch sichereren Verschlüssungsmethoden abgelenkt.
 
@Ferrum: Das ist doch blödsinn, denn: Wenn dann die Ermittler doch auf die Daten zugreifen, dann kommt ja raus dass es geknackt wurde. Immerhin muss das ganze als Beweis vor Gericht vorgelegt werden. Also entweder sie greifen drauf zu, und es wird bekannt, oder sie greifen nicht drauf zu, und selbst wenn sie es knacken könnten, ist man sicher. Woran man dann glaubt ist doch egal, sobald sie die Verschlüsselung knacken, wird's auch publik.
 
@lutschboy: Könnte auch sein, dass sie die Festplatte geknackt haben und nix wertvolles gefunden haben. Vielleicht haben die sich dann gesagt "Hmm, warum sollen wir bekanntgeben, dass wir etwas knacken können, wenn uns das eh keinen Vorteil bringt?". Also sagen sie, sie können es nicht knacken und haben dadurch einen Vorteil (S. aussage von Ferrum)
 
@shu: Sicher, so wird's sein.
 
@lutschboy: Überleg einfach mal, was du in so einer Situation machen würdest. Wenn ich vom FBI wäre, ich würde es so machen. Ich kann dabei nur gewinnen. Wäre nicht das erste und sicher auch nicht das letzte Mal, dass ein Geheimdienst falsche Informationen streut.

Zudem: in der Informatik ist so gut wie nichts unmöglich. Das wird dir jeder Programmierer sagen. Der Algorithmus mag vielleicht sicher sein, aber die Implementierung kann durchaus fehlerhaft sein. Und wenn du jetzt mit dem Argument kommst, dass TC OpenSource ist und jeder den Code einsehen kann, dann möchte ich dir folgende Fragen stellen: Was glaubst du, wie viele fähige Leute wirklich drüber geguckt haben? Ich denke, es sind nicht so viele. Die meisten werden "Implementierungsfehler" gar nicht entdecken. Wenn aber einer der Agencies eine Lücke findet, die werden das sicher nicht bekannt geben.
Ich hab zwar keine Beweis dafür, aber ich kann mir einfach nicht vorstellen, dass das FBI (oder auch die anderen Agencies) so hilflos gegen TC ist. Sie werden sich sicher was überlegt haben.
 
@shu: Das ist aber hier ein Einzelfall! Spätestens wenn das FBI die Platten von jemanden knackt, und darauf etwas findet, wird es diese Beweise auch vor Gericht tragen, und spätestens dann wird man wissen, wozu es in der Lage ist. Und wenn man bedenkt dass täglich hunderte PCs beschlagnahmt werden, dann kann man davon ausgehen, dass dieser Fall schon längst eingetreten wär. Und wenn man sich die Fähigkeit Verschlüssungen zu knacken geheim hält für besondere Fälle, dann denke ich nicht, dass Daniel Dantas so einer wäre. Warum du eine Polizeibehörde als göttlich betrachtest versteh ich auch nicht, denn die sind doch die letzten die mal was auf die Reihe kriegen! Grad die Polizei ist strunzdumm und hinkt technisch immer Jahre hinterher. Viel wahrscheinlicher dass irgendwelche Forscher oder Hacker irgendwann AES & Co knacken. Außerdem setzt selbst das Militär AES als Standard ein, du denkst doch wohl nicht ernsthaft dass sie das würden, wenn selbst die Polizeibehörde fähig wäre, das zu knacken?! Bei so einer Sache würd irgendeiner zwitschern. Du bist einfach nur paranoid und überschätzt maßlos die Fähigkeiten amerikanischer Behörden, vermutlich ist es genau das was sie bezwecken, dass die Leute denken die USA wäre übermächtig. Und was TrueCrypt nun direkt mit der Verschlüsselung zu tun haben soll versteh ich auch nicht, TrueCrypt ist nur das Backend, der Algorithmus der eingesetzt wird ist gleichbleibend selbst wenn TrueCrypt noch so umgeschrieben wird. Angriffspunkt wäre die Passphrase, und wenn es da keine Backdoor gibt, gibt's auch kein durchdringen. Und grade weil TrueCrypt OpenSource ist kann man sich sicher sein dass es keine Backdoor gibt. OpenSource ist also als Sicherheitszuwachs zu werten, nicht als Lücke wie du es auslegst. Wieviele den Code testen weiß ich nicht, aber das ist auch irrelevant, denn wie gesagt, wenn sie die Verschlüsselung geknackt hätten, dann würden sie davon auch Gebrauch machen, nur aus Prinzip "Angst und Zweifel zu schüren" wenn man statdessen Menschen denen etwas zur Last gelegt wird auch überführen könnte ist doch absolut unlogisch! Du tust grad so als gäb es nur einmal in 10 Jahren eine Festplattenbeschlagnahmung.
 
@lutschboy: Ich denke du unterschätzt die Agencies. Ich verwende selbst TC und bin ebenfalls der Meinung, dass es die Sicherheit erhöht. Allerdings gibts es zu viele Leute, die einfach TC als DAS Tool sehen, was unknackbar ist. Wenn du dir wirklich mal ansehen willst, wie viel Wissen und Power hinter einer Agency steckt, dann schau dir an, wie viele Doktorarbeiten sie jährlich bzgl. Kryptographie vergeben. Und dann schau dir die Leute an, die sie bekommen. Das sind teilweise die klügsten Köpfe von MIT. Sie rekrutieren verdammt gut Leute. Und noch was, das PW ist nicht die Schwachstelle, sondern die Implementierung des Verschlüsselungsalgorithmus. Du kannst jeden Informatiker, Mathematiker/Physiker mit IT-Hintergrund fragen. Sie werden dir dasselbe sagen.
 
@shu: Gut, du denkst ich unterschätz, ich denk du überschätzt sie. Aber: Zeig mir EINEN Fall, in dem jemals eine mit TrueCrypt-Verschlüsselte Platte geknackt worden wäre. Und zwar ohne Keylogger oder 5-stellige Passphrase. Es ist absolut unlogisch fähig zu sein Platten zu entschlüsseln, und dann Kriminelle laufen zu lassen weil.. ja weil? Um die Leute im Schein zu lassen? Wie gesagt, ich finde das total unlogisch. Das wäre als würde man Kameraaufzeichnungen nicht auswerten weil man nicht will dass die Leute wissen dass eine Überwachungskamera wo hängt. Außerdem ist das FBI keine Geheimpolizei, wenn die Behörde fähig wär TC zu knacken, dann würde dass auch nach außen dringen, da arbeiten viel zu viele Leute, Polizisten, Richter, Anwälte, sie alle wollen Transparenz um einen Fall zu behandeln, da kann man nicht einfach unterschlagen woher Daten kommen wenn sie vorgelegt werden. Und wenn du meinst das FBI findet auf allen tausenden geknackten Platten nur unwichtiges Zeug was es nicht Wert wäre die Tarnung auffliegen zu lassen, dann find ich das schon echt reichlich verquirlt.
 
@lutschboy: Mir wäre neu, dass FBI, NSA, CIA oder irgendeine Behörde in den USA Transparanz haben wollen ....

Gut, ich denk wir werden mit der Diskussion nicht mehr viel weiterkommen. Was ich erreichen wollte ist nur, dass man denken soll "die agencies können gar nichts und TC schützt mich vor alles"
 
@shu: Dass die Behörden nichts drauf haben, behauptet hier keiner, aber es sitzen dort eben auch keine Zauberer.
 
@94m0r: Eben, es ist ja auch nicht so als wenn die Leute vom MIT alle nur geniale Leute wären und es woanders keine schlauen Leute gibt! Es ist ja nicht so, das die Leute die TrueCrypt entwickeln nicht eine gute Ausbildung genossen hätte....Habe grade einfach mal ne Quelltextdatei(Aestab.c) von TrueCrypt geöffnet und hier den Namen "Brian Gladman" gefunden. Nun einfach mal nach dem namen suchen und schwups findet man die Homepage der besagten Person. Ach und welch Zufall, dieser hat sehr viel fürs UK-Militär und die NATO gearbeitet. Man sollte also auch nicht OpenSource-Entwicklungen unterschätzen!
 
@shu: Hab ich gesagt dass die Behörden Transparenz wollen, oder die, die mit ihnen arbeiten? Ein Gericht wird kein Beweis akzeptieren dessen Herkunft nicht klar ist. Und auch ein Anwalt wird wissen wollen, woher die Daten kommen, die das FBI vorlegt. Es ist nicht geheim zu halten wenn aktiv Verschlüsselungen geknackt werden! So schwer!? Es wird keiner verurteilt mit der Begründung "Wir dürfen nicht sagen warum, aber wir haben unsere Gründe - Lebenslänglich!". Ich mein, erklär mir doch mal wie das in der Praxis laufen soll. Das FBI kommt, beschlagnahmt einen Computer, es kommt zu einer Anklage. Dann vor Gericht werden Beweise vorgelegt die von der geknackten Platte stammen, der Angeklagte steht auf "Hey! Das sind doch Daten von meiner Platte!". Dann kommt ein Mann in Schwarz und schießt einen Blitz. "Sie haben nie eine Platte gehabt. Sie und alle Anwesenden vergessen nun das sie TrueCrypt je eingesetzt haben",...? Passt das in deine Theorie?
 
@lutschboy: Es ist wohl davon auszugehen, wenn die Behörden selbst zugeben, dass sie die Truecrypt verschlüsselten Festplatte nicht knacken konnten, dass dies in diesem Fall sogar stimmen kann, den sonst hätten die ja wohl den Bankier Daniel Dantas liebend gerne verknackt. Aber wenn es um die "nationale Sicherheit" ginge, weil zum Beispiel die RIA-Agengcy oder andere Mafias mit viel Einfluss und hoher Gesetzmanipulationsenergie das behaupten, dann hätten die wohl ganz einfach illegale Folter gegen random Delinquenten eingesetzt, wenn es um solche Schwerverbrechen wie Filesharing gegangen wäre und nicht bloß um solche Peanuts wie irgendwelche Milliarden an Schwarzgeld und/oder Steuerhinterziehung. ,-)
 
@kaepten: Das FBI könnte auch denken, dass wir denken dass FBI will uns mit dieser Nachricht einen Bären aufbinden damit wir uns ja nicht Truecrypt zulegen. Weil in Wirklichkeit kann das FBI alles knacken ausser Truecrypt :D:D
 
@kaepten: Hier schonmal ein Ansatz: In den Treiber einfach eine Mitschreibfunktion einbauen, entweder für das eingegebene Passwort oder für den errechneten Hash. Neu kompilieren und der Zielperson auf den Rechner schieben. Wenn er ein paar mal gemountet hat, kann das FBI auch ohne Passwort an den Container. Danke OpenSource wäre das alles kein Problem. Zumal der TrueCrypt-Treiber nicht mal installiert werden muss. Er kann auch ohne Installation vom GUI-Programm verwendet werden. Das macht die Sache noch leichter.
 
@DennisMoore: Hallo, japp - genauso würde ich es evenfalls machen.... möglichst unauffällig ueber einen Systembug und/oder Dummheit des Anwenders eine entsprechende DLL einspielen die entweder die Truecrypt-Anfragen lokal wegsichert/oder verschluesselt an $SERVER schickt - oder gkleich die gesamten Tastatur-Eingaben... Alternativ könnte ebenfalls im laufenden Betrieb dank irgent einen Tools der Arbeitsspeicher ausgelesen werden....
Im Übrigen hat Adobe mit Photoshop vorgemacht wie man Key-Eingaben selbst nach einem Format-C prüfen kann. Man sichert sie einfach ausserhalb Sektoren-Grenzen welche das System vorgibt (ersatzsekrtoren). Ist nur aufgefallen weil einige höherwertige Raid-Sektoren Alarm schlugen bezüglich Fehlerhafter Schreibzugriffe... - selbstverständlich gibts dazu inzwischen Patches....
 
Ist halt nicht so wie im Fernsehen, wo selbst Computerprofis den Namen ihrer Katze als Passwort benutzen :)
 
@Shade: Nein - es ist in der Wirklichkeit noch viel schlimmer.....
 
@Shade: Bei uns in der Firma ist es erschreckend, wie oft sehr persönliche Namen oder Angaben als Passwort benutz werden. Aber da sind es auch normale" Betriebsinterna, die geschützt sind. Wirklich sensible Daten sind besser geschützt. - Da komme auch ich nicht ran.
 
Nun bekommt er sie zurück und zeigt denen dass gar nichts wichtiges auf der HDD war...würde ich zu genial finden...
 
@bluefisch200: das wäre zu geil: Backrezepte oder so :)
 
@zivilist: ja in dem einen Container. TrueCrypt hat ja bekanntlich auch die Funktion namens "Hidden Container" xD
 
@computerfreak: Der hidden Container wird aber leicht identifiziert. Er wird meistens am Ende des Obercontainers angelegt und wird als freier Speicher dargestellt. Wenn du jetzt den Obercontainer versucht voll zu bekommen, wird man sich aber wundern warum in dem Container noch paar GB's freier Speicher verfügbar sind. Steht aber auch in der Hilfedatei von TrueCrypt.
 
@Pineparty: und man sieht das direkt auf der Platte, das da noch was ist.
 
Na bitte! Bessere Werbung gibt es wohl nicht :)
 
Wird TrueCrypt überhaupt noch weiterentwickelt?
Die aktuelle Verison (6.3a) gibt es schon seid 2009-11-23
 
@zOrg: Man macht was, wenn es fehler gibt die beheben werde sollten - gibt es aber nicht wirklich. Ausserdem gibt es keine neuen Ideen, du siehst ja nicht mal die FBI knackt das ding...warum also unbedingt ne neue Version wollen?
 
@ReVo-: ok, das ist ein Argument ^^
 
@ReVo-: Auf der Webseite steht was sie noch implementieren wollen. Nicht auf der ToDo-Liste steht Multiboot allerdings wird das im Programm selber erwähnt. Neue Versionen kamen immer sehr spät das konnte immer gut ein Jahr dauern. Bugfix-Releases kamen dann innerhalb Wochen und Monaten.
 
ich warte auf die AES-NI unterstützung
 
@ReVo-: Klar gibts neue Ideen. Zum Beispiel die Unterstützung von USB-Sicherheitstoken.
 
selbst wenn es ein gesetz gibt, das man das passwort rausrücken muss hätte das FBI noch nicht gewonnen, denn wenn er schon alles verschlüsselt hat, dann war das sicher ein hidden container format mit 2 passwörtern. ein passwort fürs geheime, und eins fürs FBI ^^
 
Das FBI behauptet bloß, es nicht knacken zu können. Gibt es überhaupt eine bessere Möglichkeit, seine potentiellen Gegner durch ein so ausgelöstes, weltweites Mediengetröte in (falscher) Sicherheit zu wiegen? Dementsprechend ist diese Aussage nur eines: Nämlich ziemlich wertlos. Geheimdiensten glaubt man einfach nicht. Tarnen und täuschen gehört schließlich zu deren Hauptaufgaben.
 
@Der_Heimwerkerkönig: oder sie wollen denken, das die leute denken, es währe unsicher, damit die Leute es nicht nutzen :-P
 
@Der_Heimwerkerkönig: Oder sie wollen das das Volk denkt Verschlüsselung sei böse. Als ehrenwerter Bürger macht man sowas nicht. ;)
 
@Der_Heimwerkerkönig: Sehe ich genauso, ist ein super Marketing für die und nicht nur das. Denn vielleicht wollten sie auch nur, dass sich der Bankier in Sicherheit wägt. Evtl. haben sie nicht das auf dem Laptop gefunden was sie benötigt hätten. Es wäre aber höchst dämlich zuzugeben, dass sie eine Verschlüsselung nicht knacken können, wenn es wirklich war wäre.
 
@Der_Heimwerkerkönig: Selbst wenn es die Intention wäre die Menschheit zu täuschen, die Entwickler von Verschlüsselungsalgorythmen sind keine Idioten, sondern vom Wissen her mindestens genauso intellektuell und Fähig, wie Leute bei Polizei und Nachrichtendienst. Wäre Verschlüsselung so leicht von einer Behörde zu knacken, dann wüsste es die Welt bereits.
 
@94m0r: Es muss nicht leicht sein, es reicht schon nur, wenn die Behörden es wissen. Es gibt ja unzählige Beispiele wie einer behautpet hat, nur weil es noch keiner konnte ist es nicht möglich und jahre später kam doch aus, dass es einer es schon zu Anfang geschafft hat. Nur weil du nichts davon weisst, ist dies kein Argument, dass niemand davon weiss.
 
@Rumulus: Ein Verschlüsselungsalgorithmus ist aber keine Verschlusssache, sondern etwas, dass von vielen Millionen Menschen benutzt und auch permanent von Hackern und IT-Spezialisten auf Schwachstellen untersucht wird. Wäre irgendein Algorithmus kompromittiert, wüssten wir es bereits.
 
@94m0r: Ja klar, es ist ja wie die 8 Jahren alten der Lücke im Linux Kernel damals, da haben ja auch alle Behauptet so was ist unmöglich, weil der Quellcode ja immer überprüft werde und Millionen von User können ihn ja öffentlich einsehen, somit kann sich keine Lücke über Jahren einschleichen. Wie wurden auch eines Besseren belehrt, aber beenden wir die Diskussion hier, es ist nicht meine Aufgabe dich von Etwas zu überzeugen. Übrigens, es war nur ein Beispiel wegen Linux, bitte jetzt nicht noch solchen Diskussionen.
 
@Rumulus: Ne Lücke in einem Kernel lässt sich wohl kaum mit einer Sicherheitslücke in einem Algorithmus vergleichen. Ein OS-Kernel hat mehrere Aufgaben zu verwalten, während ein Verschlüsselungsalgorithmus nur eine Aufgabe hat.
 
@94m0r: Eine solche Aussage habe ich wirklich erwartet, ist immer das Geliche. Aber schon gut, glaube was du willst und hoffen wir alle dass du recht hast. Nur Hoffnung ist hier mir zu wenig und heisst nicht Wissen
 
@Rumulus: Wissen verbreitet sich aber heutzutage schnell und genau das ist der Punkt.
 
@Der_Heimwerkerkönig und [U]nixchecker: Kann euch nur zustimmen, die Wahrheit kenne ich zwar selbst nicht, aber mein Verstand lässt hier berechtigte Zweifel zu.
 
Die Chloe aus "24" hätte das in 15 Minuten geschafft ^^
 
@XChrome: in Fernsehsendungen beginnt ja auch jede Telefonnummer mit 555 und hat 6 stellen, dass ist ja easy. Wäre interessant wieviel Stellen sein Passwort hatte und ob Sonderzeichen vorhanden waren..
 
Ach neee...was hat man sich denn bitte vorgestellt? Was würde denn Verschlüsselung bringen, wenn es eine Behörde, wie das FBI dann letztendlich doch knacken könnte? Wenn ein sicherer Algorythmus verwendet wird, bleibt eben nur der Weg alle möglichen Passwortvariationen durchzutesten und das kann ein Menschenleben dauern. Selbst mit einerm Verbund von mehreren Supercomputern. In den meisten Fällen (wie bei Privatpersonen) würden die Behörden aber noch nichtmal so weit gehen und soviel Rechenpower verschwenden, da der Aufwand in der Regel einfach zu hoch ist.
 
Ich kann das in einer Sekunde! Einfach Enter drücken und fertig! Die meisten suchen und suchen und es gibt gar keins haha
 
@JepJep123: :D ist mir auch schon passiert :D
 
Ist das jetzt ein Aufruf, alles zu verschlüsseln? Damit man noch sensiblere Daten hemmungslos raus rückt? Es ist doch schon lange bekannt, dass man jede Verschlüsselung mit dem richtigen Algorithmus LIVE mitlesen kann.
 
@Sighol: Wohl kaum, sonst wäre Verschlüsselung hinfällig. Ansonsten: Quelle her, bitte!
 
@94m0r: ich glaube er meint einen keylogger
gab mal einen der sich vor den bootmanager von true crypt gehängt hat daraufhin gingen alle davon aus das true crypt unsicher ist ... solange man diesen virus aber nicht hat ist es das auch nicht
 
@dzdz: Ich kann mich noch gut an diese Meldung erinnern. Wer ein wenig des Lesens mächtig ist konnte schnell erkennen das der Angreifer den MBR verändern muss. Das ist in der Praxis zu schwer.
 
@Sighol: Wie schön muss es sein, dumm zu sein!
 
@Sighol: Kleiner Schizo, was? In dem Fall hast diesmal recht.
 
Wenn alle alles verschlüsseln würden, könnte man Mitleid mit den Geheimdiensten haben, die ja den ganzen Tag nichts anderes tun als Emails und andere privaten Sachen ausspionieren. Das können sie aber nur, weil wir es denen so einfach machen. Im prinzip haben wir doch selber Schuld wenn die jeden Käse mitlesen.
 
So und dank dieser hochinteressanten Meldung sowie zahlreichen sicherheitsbedachten Menschen werden Die Downloads von TrueCrypt in der nächsten Woche dann wohl um 100% steigen...
 
Nur mal so zum Nachdenken: Man kann sich auch in falscher Sicherheit wiegen. Solche Meldungen gezielt streuen und die Dummen glauben sich sicher.
 
@Rumulus: War es denn vorher ein Geheimnis, dass man seine Daten sicher verschlüsseln kann, sodass niemand ohne das Passwort heran kommt? Nein.
 
@94m0r: Dumme Frage von dir nicht wahr? Mein Beitrag war nur zum Nachdenken da. Die Wahrheit kenne ich nicht, ich hinterfrage nur, was ist daran falsch? Sicher intelligenter, als etwas zu Glauben nur weil man daran glauben will, oder? Dass man hier schon nur für ein Gedankenspiel, das durchaus realistisch sein könnte Minus bekommt, zeigt doch nur wie eingeschränkt gewisse Leute urteilen. Darüber sollten einige auch nachdenken.....
 
@Rumulus: Aber selber fleißig Minuse verteilen, wie?
 
@94m0r: Diese Unterstellung passt zu deinen Kommentaren hier. Eine Annahme wird für dich schon zur Wahrheit, nur muss ich dich eines Besseren belehren, ich bewerte hier nie! Denn die Bewertung sagt meiner Meinung nach nichts über den Kommentar selbst aus, habe schon zu oft erlebt, dass die dümmsten mit Plus belohnt und gute mit Minus bestraft wurden. Übrigens, kann jedermann eine gewisse Zeit nachverfolgen wer hier bewertet, aber nur weil du nichts davon weisst, ist das für dich natürlich unmöglich......
 
@Rumulus: Wer so aggressiv antwortet, muss damit rechnen, was unschönes zurück zubekommen. Du fühltest dich ja gleich (aus welchem Grund auch immer) von meinem Kommentar attackiert, obowohl ich auch nur bemerken wollte, dass es bei weitem kein Geheimnis ist, dass man seine Daten vor fremden (einschließlich Behörden, wie dem FBI) verschlüsseln kann, was dem Streuen von Unwahrheiten dahingehend den Sinn nehmen würde.
 
@94m0r:Mit Unterstellung und Mutmassungen kommen wir hier nicht weiter. Grösse ist, zu seinen Fehler zustehen und gewisse Wahrheiten werden wir evtl. nie erfahren, auch wenn wir es uns noch so wünschen. Ich habe nie geschrieben, dass es unmöglich ist und genau darin liegt der Unterschied zwischen uns. Du vermittelst hier klar die Stellung, dass man es nicht knacken kann, aber einen sachlichen beweis bleibst du schuldig, gleichzeitig kannst du aber gesunde Skepsis nicht anerkennen. Für mich ist die Diskussion hier beendet, ich wünsche dir einen schönen Abend.
 
@94m0r: Auch zum Nachdenken gedacht, wurde auch als unmöglich dargestellt: http://www.pcgameshardware.de/aid,702844/Weltrekord-768-Bit-Verschluesselung-geknackt/Sicherheit/News/ ---- Truecrypt beherrscht nach meine Wissen, noch keine 768 Bit Verschlüsselung und selbst wenn, es ist ja nicht mehr sicher. ,-)
 
@Rumulus: "Du vermittelst hier klar die Stellung, dass man es nicht knacken kann, aber einen sachlichen beweis bleibst du schuldig" Es reicht zu wissen, dass regelmäßig Forscher und Techniker versuchen Angriffsverfahren zu entwickeln, um Schwachstellen aufzudecken. Ich sage nicht, dass es unmöglich wäre, aber wenn es bereits erfolgreiche Verfahren gäbe, um Verschlüsselungen zu knacken, würde es sicherlich keine Fälle mehr geben, wo beschlagnahmte Rechner jahrelang bei Polizeibehörden rumstehen.
 
@Der Weise: Dass es nicht nur um den Schlüssel, sondern um den verwendeten Algorithmus geht, ist dir schon bewust?
 
@94m0r: Und wer sagt dir, dass diese News der Wahrheit entspricht? Polizei ist nicht gleich Polizei, dass sollte dir auch klar sein. Denn z.B. Geheimdienst haben sicherlich die besseren Möglichkeiten, als der kleine Polzeiposten in Bayern. Auch solltest du nicht vergessen, dass der Aufwand den man betreiben muss, nicht immer in Verhältnis steht, also was heisst das? Tja, und wie blöd wären die Behörden, wenn sie ihre Möglichkeiten veröffentlichen? Ist es nicht besser für die Behörden, die "Täter" in falscher Sicherheit zu wiegen? Dir ist sicherlich auch klar, dass der Schlüssel mit einem Algorthmus verschlüsselt wird und somit steht es doch auch im Zusammenhang? Nur gut für die Behörden, dass es Leute wie dich gibt, darüber freuen sich sicherlich einige.
 
@94m0r: http://www.golem.de/1003/74189.html --- und schau mal auf das Datum auf der Seite! So viel zum Thema unmöglich....
 
@Rumulus: Wenn ich, anstelle des FBIs, eine Lücke in Truecrypt gefunden hätte, würde ich genau so eine Meldung unters Volk bringen. Daher finde ich die Skepsis von Rumulus gerechtfertigt.
 
@Rumulus:
Nichts ist unmöglich...
Im Bezug auf deinen Golem-Link: Der Rechner muss dazu eingeschaltet und entsperrt sein, muss Autostarts von externen Datenträgern zulassen, die Firewall-Schnittstelle darf nicht deaktiviert sein...
Natürlich kann dann noch Hardwareseitig das Speicherabbild mit hohen Aufwand erfasst werden.
Es gibt bisher keine effiziente Methode, um Festplatten zu entschlüsseln, die in ausgeschalteten PCs vorgefunden werden.
Die Ausprobiermethode (Brute-Force) ist von der Art und Länge des Passworts, von der Rechnerleistungsentwicklung abhängig und dem Zufall natürlich.
http://www.1pw.de/brute-force.html
 
@Rumulus: Wie mein Vorredner schon sagte, muss man dazu Zugang zum eingeschalteten Rechner haben. Es ist also kein Umgehen oder Knacken der Verschlüsselung.
 
@pete2112: Lies den Artikel nochmal! Er muss noch laufen, aber wenn er gesperrt, oder im Ruhezustand ist geht es (angeblich) auch! Habe es nie selbst gesehen, oder getestet. Nur ist es meiner Meinung nach extrem naiv, heutzutage zu denken, dass ein PC immer sicher ist, selbst mit Verschlüsselung. Wie die Vergangenheit schon oft gezeigt hat, ist es nur eine Frage der Zeit, bis einer technisch, oder auch wegen evtl. Bugs eine Möglichkeit gefunden hat. Wenn es so einfach ist Algorithmen zu 100% zu überprüfen bezüglich der Sicherheit, dann muss man sich fragen, warum schaffen es Hacker/Cracker immer wieder diese auszuhebeln/umgehen? Es ist nur eine Frage der Zeit und der Ressourcen, aber nicht unmöglich. Hacker informieren darüber, aber Cracker und Behörden werden sich sicherlich darüber ausschweigen, wenn sie eine Möglichkeit gefunden haben. Und nicht immer ist der Gute auch der bessere und schneller........ Bei der XP Verschlüsselung dauerte es damals auch über zwei Jahren, bis der Russe (ElcomSoft) es veröffentlicht hat, dass er die Verschlüsselung geknackt hatte. Ansonsten hatte weltweit über 5 Jahre niemand die Möglichkeit gefunden, obwohl sie da war, wie der Russe es ja schlussentlich unter Beweis stellte. Ob die Behörden es nicht auch schon viel früher gewusst haben, bleibt dabei offen.
 
@94m0r: Lies den Artikel nochmal und dann wiederhole deine Aussage!
 
@Rumulus: Was soll ein zweites Mal Lesen an meiner Aussage ändern? Wenn der Rechner läuft (Ruhezustand und Kontensperre zählen auch dazu), ist es kein Kunststück an Daten zu kommen, da im Moment des Betriebs die Daten unverschlüsselt sind und sich darüber hinaus auch Informationen im RAM befinden können. Das ist aber kein Knacken der Verschlüsselung, sondern eine Ausnutzung eines technischen Umstandes. Ist man schlau, fährt man seinen Rechner in Abwesenheit eben herunter oder achtet darauf, dass das verwendete Verschlüsselungsprogramm eine Funktion besitzt, die den Rechner in bestimmten Situationen abstürzen lässt.
 
@94m0r: Ist es nicht egal durch welche Methode es geschieht? Es kommt immer auf das Ergebnis an. Ob es nun technisch, durch eine Lücke, oder Trojaner geschieht ist dabei doch egal. Resultat ist doch, dass deine Daten ausgeslesen wurden und glaube mir, die Methode wird dir dann nur noch nebensächlich vorkommen. Nur dumm ist es, wenn man sich allzu sicher füllt. Fazit bleibt doch: Egal durch welche Methode es geschieht, deine Daten werden nie 100% sein, es ist schon technisch unmöglich eine 100% Verschlüsselung zu kreieren. Beschäftige dich einmal mit dem Thema, es liegt schon im Konzept ein Fehler vor, dass heute zur Anwendung kommt und darum wird man immer früher, oder später eine Verschlüsselung auf irgend eine Form umgehen können.
 
@Ruderix2007: Nein, es ist eben nicht egal. Denn die genannten Schwachstellen lassen sich letztendlich auf die Nachlässigkeit der Nutzer zurückführen und nicht auf die Unsicherheit einer Verschlüsselung. Sie lassen sich aber sehr leicht vermeiden, indem man sich über die Risikofaktoren bewust ist und sein Verhalten darauf abstimmt bzw. ein entsprechende Bewustsein dafür entwickelt. Darunter fallen auch banale Dinge wie beispielsweise, dass man Passwörter nicht an Freunde verraten soll. Bei einer komprimittierten Verschlüsselung ist es hingegen völlig egal, wie man sich verhält, da es in dem Falle dann wirklich eine Sicherheitslücke darstellt.
 
@94m0r: Du hast meinen Beitrag nicht verstanden, oder verstehen wollen. Ich bin nicht explizit auf das eingegangen was du ansprichst, sondern allgemein. Es kann gar keine 100% Sicherheit geben, selbt wenn du dich an alle Regeln hällst. Der Fehler liegt in der Methode. Ich habe keine Lust dir alles zu erklären, aber wenn es dich wirklich intressiert, dann findest du zahlreichen Artikel von Unis und Prof. die dir alles vor Augen führen. Füher, oder Später wird jede Verschlüsselung geknackt.
 
@Ruderix2007: Ich sage nicht, dass es 100%ige Sicherheit gibt, aber ich weiß, dass es Verschlüsselungsalgorithmen gibt, wo der Aufwand einfach viel zu hoch ist, als dass eine Behörde wie das FBI in der Lage wäre, es zu knacken. Und bis eine Verschlüsselung geknackt ist, gibt es schon wieder neue und bessere Verfahren, um sich und seine Daten schützen zu können.
 
@Rumulus:
wenn die Firewire- Schnittstelle deaktiviert ist wie soll das Programm darüber den Arbeitsspeicher Auslesen? Und wenn noch der Autostart für externe Datenträger deaktiviert wird kann nur mit Einstecken kein Programm gestartet werden.
 
@Rumulus:
Schlaue informieren sich...
 
Keine Ahnung obs schon gepatcht wurde aber August 2009 kam das:

At the Black Hat security conference, Austrian IT security specialist Peter Kleissner presented a bootkit called Stoned which is capable of bypassing the TrueCrypt partition and system encryption. A bootkit combines a rootkit with the ability to modify a PC's Master Boot Record, enabling the malware to be activated even before the operating system is started.

Available as source code, Kleissner's bootkit can infect any currently available 32-bit variety of Windows from Windows 2000 to Windows Vista and the Windows 7 release candidate. Stoned injects itself into the Master Boot Record (MBR), a record which remains unencrypted even if the hard disk itself is fully encrypted. During startup, the BIOS first calls the bootkit, which in turn starts the TrueCrypt boot loader. Kleissner says that he neither modified any hooks, nor the boot loader, itself to bypass the TrueCrypt encryption mechanism. The bootkit rather uses a "double forward" to redirect I/O interrupt 13h, which allows it to insert itself between the Windows calls and TrueCrypt. Kleissner tailored the bootkit for TrueCrypt using the freely available TrueCrypt source code.
 
das funktioniert...ja..aber nur thoretisch... wie auch das einfrieren des speichers wegen dem pass. um einen manipulierten bootloader einzusetzen muss man schon vorher das pass kennen. was dann wieder sinlos ist. und einen manipulierten bootloader würde spätestestens deine antivierussoftware finden..melden, bzw kaspersky ändert das selbst wieder zu den normalen der bei der letzten abfrage da war. somit ist das rein hypotethisch.
 
@MxH: So wie ich das verstanden habe, muss man den passphrase nicht kennen, nur an den Rechner im laufenden Betrieb rankommen. Was ja bekanntlich auch aus der Ferne geht. Und Antivirus Software traue ich nicht über den Weg :) Mit Ausnahme von lowlevel cleanern á la combofix oder evtl. DrWeb Live CDs. Aber das sind ja keine Guards sondern kommen nur zum Einsatz wenn´s schon zu spät ist für "herkömmliche" Software! ^^
 
@fudda: Die ist aber auch nur möglich weil TrueCrypt den MBR nicht prüft bevor der Bootloader das Passwort abfragt. Ansonsten würde eine Manipulation durch Stoned auffallen.
 
@fudda: funktioniert nur beim laufendem system, wenn das pw schon eingegeben wurde oder noch wird...ich nehme mal an, das der pc aus war, als man die fp ausgebaut hatte
 
@Rulf: http://www.golem.de/1003/74189.html
 
@Rumulus: den artikel hatte ich noch in grauer erinnerung...und wie schon gesagt: funktioniert nur, wenn der betreffende pc noch läuft...wenn überaupt...
 
was soll ich sagen.......ein Fall für NEO =))))
 
gute werbung... :D
 
Also ich verlass mich nicht mehr auf Passwörter. Egal ob man in einem Land gezwungen werden darf oder nicht das Passwort rauszurücken. So eine Geschichte ist immer mit Ärger verbunden. Dem gehe ich mit nem Aladdin Sicherheitstoken aus dem Weg. Bei Bedarf wird das Ding einfach zerstört und der Verschlüsselungskey ist weg. Meinetwegen können die Strafverfolgungsbehörden dann versuchen die Chips wieder zusammenzukleben. Viel Spaß ^^
 
FBI konnte verschlüsselte Festplatten nicht knacken
Festplatte ist mit Truecrypt verschlüsselt.
Super werbung für das Programm.
 
Vielleicht hat das FBI auch diese Meldung lanciert, damit mehr Leute Truecrypt verwenden? Warum sollten sie eine für sie unvorteilhafte Information an die Presse durchsickern lassen? Vielleicht wollten sie ja auch die Gegenseite in dem Glauben lassen, sie wären nicht an die Informationen gekommen? Oder sie haben doch einen Ansatz gefunden Truecrypt (die Verschlüsselung) mit etwas Rechenpower zu knacken?
 
ob sie wohl lkwpeter mal probiert haben?;)greetz
 
Tja, die CTU hätte das in 30min geschafft.
 
@.Omega.: du meinst sicher in 30sek...oder?
 
Gut zu wissen dass die das nicht können :D
 
http://xkcd.com/538/
 
@ryazor: wenn es sich nicht um einen steinreichen bankier mit entsprechender macht und einfluss bis in höchste kreise gehandelt hätte, wäre das sicher so ähnlich passiert...
 
War das jetzt Schleichwerbung für True Crypt.....Egal ich vertrau dem auch aber werde mich hüten einen key anzulegen...hab da wochenlang eine sehr lange Zeichenkette auswendig gelernt und sollte Alzheimer kommen ist eben alles futsch aber immer noch besser als FBI,VS oder andere Bazillen meine Geheimnisse anzuvertrauen.....und wie kann ein Staat denn die Herausgabe des Passwort gesetzlich anordnen wo der user wegen Angst vor Psychofolter das Passwort einfach nicht mehr zusammenbekommt?? die Spinnen die Engländer!!!!
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles