TrueCrypt 4.0 - Freie Verschlüsselungssoftware

@Komandar: Müssten eigentlich alle Methoden mit 3 Algorithmen sein. Ich würde aber AES-Blowfish nehmen, da schnell&sicher.

@Komandar: Kannst aber auch danach "googlen", bzw. in einer Suchmaschine deiner Wahl danach ausschau halten. Dann findet man z. B. das hier: http://tinyurl.com/9c34l

Was für ein Unsinn - BlowFish+AES ist langsamer als jeder einzelne der beiden, außerdem ist eine ordentlichen AES-Implementierung wie diese hier schneller als BlowFish. Außerdem bist du nicht mehr auf aktuellem Stand: Es existiert ein Ciphertext-only-Angriff auf TwoFish mit 2^64 Geheimtextblöcken und nur 2^52 Suchaufwand - wobei man das auch auf 2^32 und 2^84 skalieren kann und damit sogar praktisch angreifbar wird.

@Rika wow, kannst Du das mal so beschreiben, das ich das auch verstehe :-D

@Rika: Wie wäre es wenn du schlussendlich Komandar's Frage noch verständlich beantworten könntest und nicht nur schreibst was Unsinn ist?

@swissboy:
Nein, das geht nicht - solche einfach Denkvorgänge kann sein Gehirn doch gar nicht be/verarbeiten :P

Hm... sinnentnehmendes Lesen? AES ist von allen wirklich sicheren Algorithmen der schnellste.

@Rika: Wo gibt es denn Infos zu dem möglichen Angriff auf Twofish? Interessiert mich nämlich, da ich diesen eingesetzt hatte bisher. Denn beim Benchmarktest von Truecrypt war der bei mir deutlich schneller als AES - und als ich im Internet nach der Sicherheit von Twofish gesucht habe, habe ich nichts negatives, nur positives gefunden. Daher interessiert mich näheres.

@Komandar: Wahrscheinlich werden die unterschiedlichen Methoden für den Fall angeboten/unterstützt, das ein Verfahren geknackt wird. Damit brauch man dann nicht das ganze Tool wegschmeissen, sondern benutzt ab da eben ein anderes Verfahren.

@MHX: Yiqun Lisa Yin, Shiho Moriai: "Cryptanalysis of TwoFish (iii)". Das Paper ist leider recht neu und bislang nur via ACM Workshop zu bekommen, gleichnamige Version (ii) beschreibt jedoch die verwendete Technik. Außerdem kann ich dein Benchmark nicht nachvollziehen, liegt aber vermutlich daran, daß ich das Programm selbst kompiliert habe und damit deutlich bessere Resultate erziele.

@Rika: ja, ohne Quellenangabe bzw. Beweiß ist so eine Aussage wirklich immer blöd! Ich glaube auch weniger das Twofish so leicht zu knacken wäre, soll etwa Bruce Schneier bei Twofish schlechter als beim Blowfish gearbeitet haben, welcher bis heute nicht "knackbar" ist bzw. es keine brauchbaren Attacken gegen ihn gibt?!

Also bei mir ist jedenfalls der Serpent cipher der schnellste und ich behaupte auch mal das der Serpent Algorithmus der sicherste unter den AES finalen 5 Kandidaten ist.. (Rijndael (jetzt AES..), RC6 (der schnellste unter den AES Kandidaten..), Twofish (Bruce Schneier und co (Counterpane), Serpent, MARS (IBM))

MfG
CYA

iNsuRRecTiON

1. BlowFish ist über einen probabilistischen Angriff auf die halbe Schlüssellänge reduzierbar, und es hat nicht zu verachtende Klassen von schwachen Schlüsseln. 2. Serpent als schnellsten kann ich überhaupt nicht nachvollziehen - hast du überhaupt über 100MB oder mehr gebenchmarkt? Indes, selbst kompiliert mit allen Optimierungen ist schon eher das Maß der Dinge. 3. Serpent hat zwar die höchste Diskriminanzgrenze bei Angriffen, aber MARS gilt eigentlich als sicherer das sehr konservativ designt.

@Rika: Die Angriffe die du aufführst können gar nicht so schlimm und relevant sein, denn sonst würden die TC coder/TC Foundation schon die entsprechenden unsicheren Algorithmen entfernen, du kannst mir nicht weißmachen das die keine Ahnung hätten und sich damit nicht mehr als gut genug auskennen und beschäftigen und über sowas bescheid wissen..! MfG CYA iNsuRRecTiON

@155mbit: Schön. Wie ich das letzte mal auf die TrueCrypt Seite geschaut habe, hies es noch, das Linux-Tool sei noch in der Entwicklung. THX!!!

@Bschorf: Schau doch mal auf die Homepage.

@Bschorf: Yep, jetzt mit der neuesten Version schon und bald wird sie auch in deutsch verfügbar sein (vorerst nur Windows Version..) bzw. ein deutsches Sprachpaket erscheinen..Guck dir auf der HP einfach mal die Dokumentation an.. MfG CYA iNsuRRecTiON

@Bschorf: Zieh dir die Software für Windows und Linux. Erstell auf der Festplatte nen Container (den kannst da auch über die ganze Größe der Festplatte erstellen). Dann sollte es afaik gehen.

@Bschorf: http://www.realvnc.com/cgi-bin/download.cgi

@djxspeedy: Nutze die Software seit Version 2 und bin immer noch begeistert. Toll finde ich das neue Feature TrueCrypt nun auch auf einem externen Speichermedium (bspw. USB-Stick) mitnehmen zu können und somit auf Daten einer externen (verschlüsselten) Festplatte zugreifen zu können.

BfACS kann man ja nicht mal kompilieren, ohne sich auf den Borland-Quatsch-Compiler einlassen zu müssen.

Doch, ist es, und zwar immer. Das Problem ist, daß man den Dateisystemtreiber nicht installieren kann - ist er einmalig installiert, kann man problemlos als User mounten.

@rika: Mensch, darum ging es doch in der Aussage. Du musst eben etwas installieren können - mit Adminrechten - sonst geht nichts = das ist sehr dumm. Deshalb nehme ich Challenger.

Und wenn man ernsthaft verschlüsseln möchte, nimmt man nicht das unsichere Challenger, sondern BfACS oder GnuPG.

@Rika: Warum sollte ich das völlig unsichere GnuPG nehmen? Mit Challenger kannst Du Dir im übertragenen Sinn ein eigenes Brute-Force-Verfahren generieren!

Das Dig unterstützt Kommandozeilenparameter.

@Terrorpudel: *gg* Rika hat zwar recht, aber das war eigentlich nicht die richtige Antwort auf die Frage.. und ja es geht ganz bequem auch ohne Kommandozeile in der neuen Version, ein Blick in die Dokumentation oder History auf der HP würde helfen.. MfG CYA iNsuRRecTiON

@bwd: Weil es ein paar Unterschiede zwischen dem Win32- und dem Win64-API gibt. Um den Ansatz einer Vorstellung von den Design-Fehlern der Datentypen von Win32 und den daraus resultierenden "lustigen" Nebenwirkungen zu bekommen, kannst du dich mal hier einlesen: http://blogs.msdn.com/oldnewthing/archive/2005/01/31/363790.aspx

Was für Datentypen hat denn die Vorgängerversion von TrueCrypt benutzt, damit die Umstellung vorgenommen werden musste?

@bwd: Ich sehe schon: Lesen ist deine Sache nicht - du wartest wohl immer auf den Film :-) Also: Microsoft hat sich zB entschlossen, den Datentyp LONG auf 32bit Länge zu fixieren (wahrscheinlich immer noch in der Bill Gates Mentalität: "640kb should be enough for everyone"). Jetzt, wo "plötzlich" 64bit Platformen verfügbar sind, wären die longs halt auch mit 64bit möglich - Microsoft hingegen hat sich entschieden, dafür den neuen Typ longlong einzuführen. Du siehst schon, wo das etwa hinführt, wenn in ein paar Jahren 128bit CPUs eingeführt werden .... Wenn Microsoft sich - für einmal - an bewährte Standards gehalten hätte, würden sie jetzt den Vorteil von (portablen) int16, int32, int64 etc Variablen geniessen.

So einen Quatsch habe ich ja seit langem nicht mehr gehört. LONG-Variablen sind immer 32-Bit lang und 64-Bit-Variablen nennt man QUAD. Daran hat Microsoft auch nichts geändert. (So ein Quatsch von Dir hier.) Die Variablentypen sind keine Erfindung der Softwareindustrie, sondern ergeben sich aus der maximalen Registerbreite der Prozessoren. Ein QUAD-Datentyp unter 32-Bit-Systemen muss im Prozessor als zwei 32-Bit aufgesplittet werden. Das meintest Du wahrscheinlich mit LONGLONG. Aber was hat das alles mit TrueCrypt zu tun?

@bwd: glaub doch, was du willst - oder mal nach long datatype unix googlen.

@nickname: Da muss ich nicht googeln. Da könnte ich ja auch nach "integer datatype unix" googlen, wo kommen wir denn da hin? Was wurde nun in TrueCrypt geändert, dass es nun unter 64-Bit arbeitet?

'long' hat genau gar keine defintierte Länge, es ist lediglich länger als 'int'. Drum wurden schon in C++ 92 die Typen (u)int8,(u)int16,(u)int32,(u)int64 und (u)int128 eingeführt, auf die dann die Standardtypen via Preprocessor gemappt werden.

@Rika: danke!

@Rika: Das ist doch an Dummheit nicht zu übertreffen. Mein Gott...

@bwd: Warum wirfst du nicht mal einen Blick auf die FAQ von Truecrypt? http://www.truecrypt.org/faq.php Q: Which cipher is the most secure?
A: Unfortunately, it is impossible to answer this question. However, all ciphers implemented in TrueCrypt are well known and trusted. No weak cipher has been implemented in TrueCrypt.

Wie nennt man jemanden, der mit dem antwortet, was die Frage fragt? Scherzbold

@bwd: Wie bereits festgestellt: Wer lesen kann, ist klar im Vorteil! - Nicht nur habe ich dir den Link gesetzt, ich war sogar so nett, dir den entsprechenden Eintrag aus den FAQs direkt zu quoten: was also erwartest du mehr?

Wenn ich hier eine Frage stelle, dann möchte ich hier eine Antwort erhalten oder eben eine Diskussion (nicht alles kann immer gleich beantwortet werden). Die FAQ nutzt mir nichts, weil dort in keinster Weise auf die Frage eingegangen wird. Selbst wenn dort steht: "TrueCrypt verwendet alle sicheren Verschlüsselungsverfahren, weil die Software die Sicherste sein soll.". Ich würde mich sofort fragen, was hat die Sicherheit mit vielen sicheren Verfahren zu tun? Oder, könnte es sein, dass ein Verfahren zukünftig unsicher werden könnte? Oder, handelt es sich um eine Spielsoftware, mit der ich alle sicheren Verfahren testen und prüfen kann? Oder, ist es eine Lernsoftware?

@bwd: Ich interpretiere die Aussage in den FAQ so, dass die Programmierer von TrueCrypt ebenfalls nicht wissen, welches Verfahren das sicherste ist. Merke: Die Programmierer von TrueCrypt sind *nicht* die Erfinder der eingesetzten Verschlüsselungsverfahren! - Sie haben die als sicher geltenden Verfahren gewählt und in ein Anwendungsprogramm "verpackt". Alle gewählten Verfahren gelten heute als "sicher", da sie noch nicht offiziell geknackt wurden.

DAS HALTEN WIR MAL FEST. Die Verfahren gelten heute als sicher, läßt auch offen, dass die Sicherheit nicht 100% bewiesen ist!

@bwd: kürzlich ne neue Windmühle gesichtet? :-)

@Bobbie25: Also, ich würde an Deiner Stelle bei ArchiCrypt bleiben, wenn Du zufrieden bist. Die 32-GB-Einschränkung wird bestimmt bei den nächsten Updates aufgehoben.

8 Zeichen aus einem 62-Zeichen-Vorrat reichen gegen die Polizei nicht - ich knack dir das für 1000€ Aufwand 200mal über's Wochenende.

@rika: 62 Zeichen?!? Wie kommst du auf diese Zahl? - drschnagels schreibt von einer Tastaturhälfte in Kleinschrift: das gibt nimmermehr 62 Zeichen -> du verdienst also viel weniger :-)

@drschnagels: Es sind 20 verschiedene Zeichen. 1-5, qwertasdfgyxcvb.
Faktisch ist das natürlich recht wenig, aber die normale Polizei oder das BKA muss ja erstmal ein Programm schreiben das Brute-Force auf ein Truecrypt Volume anwenden kann (was kein Problem sein wird wenn die verschlüßelten Daten irgendwelche Anschlagspläne enthalten sollten). Und dann muss die Polizei aber mit allen Zahlen und allen Buchstaben groß/klein und vielleicht Sonderzeichen brute-forcen... denn woher soll die denn wissen das man nur 20 Zeichen insgesamt benutzt hat?! Bei 62 möglichen Zeichen und 8 Zeichen Passwörtlänge braucht ein normaler Rechner noch 84 Tage. Nach drei Monaten muss die Polizei den beschlagnahmten Rechner zurückgeben (mit Hilfe von einem Anwalt, nach meinen Informationen).

Deshalb nimmt man keine normalen Rechner, sondern baut sie sich selber. Ein FPGA-Toolkit mit 256K Gattern@200 MHz und VHDL-Designer und Design-Bibliothek kostet knapp 1000€ und implementiert dir in wenigen Stunden Arbeit ein AES-Modul mit 1 AES-Runde/Cycle und das 8192 mal parallel. Wenn man jetzt noch die Passwörter geschickt durchprobiert und immer nur die Änderungen propagiert, kommt man im Schnitt mit 6 statt 14 AES-Runden (respektive 16 statt 24 für AES256) aus. 48 Bit Schlüsselraum sind damit in knapp 'ner Viertelstunde durchsucht, und man kann das Gerät beliebig oft wiederverwenden. Außerdem kann man sich doch eine Kopie der zu entschlüsselnden Daten anfertigen, es besteht also keine Eile.

@drschnagels: Okay! :) und wenn du mir jetzt noch ein LKA zeigst das die notwendigen und ausgebildeten Leute für so eine Aktion sowie ein solches Gerät hat, erhöhe ich die Passwortlänge von 8 auf 16 bei 20 möglichen vers. Zeichen. Wann bist du zufrieden? Meine Intension war den Leuten die keine NSA/CIA/FBI-feste Sicherheit haben wollen ein paar Tipps zu geben mit denen man bequem Truecrypt benutzen kann. In Deutschland muss man sein Passwort nicht rausrücken und Beugehaft gibt es nicht :).

@tinko: Schon mal auf der TrueCrypt-Homepage geschaut?

@der_primat: Ist etwa ähnlich clever, wie wenn du dein ganzes Geld in Aktien einer einzigen Firma anlegst. Wenn dem Filesystem deiner Megapartition was passiert, sind alle deine Daten futsch inklusive der gecrypteten Containerfiles. Wenn du aber das Risiko liebst, ist der Ansatz möglich. Gemountete Truecrypt-Container verhalten sich voll transparent für Anwendungsprogramme. Die Geschwindigkeitseinbusse hängt vom gewählten Verschlüsselungsverfahren und der Leistungsfähigkeit deines PCs ab. Auskunft über die Transferraten auf deinem System gibt dir Tools-Benchmark.

@der_primat: spricht nichts dagegen. allerdings halte dir eins vor augen, knackt jemand dein windows zugang, so hat er auch zugriff auf die container, da diese automatisch geladen werden. ich wende auf meine verschlüsselte container sogar extra noch die NFTS Verschlüsselung an. also AES + NTFS. Gespeichert hab ich alle keyfiles auf einem USB-Stick, so daß ich alles bequem davon laden kann. Dies zu knacken ist unmöglich, da meine keyfiles schon 65kb haben!

@Bobbie25: ich glaub kaum das die Größe einer keyfile wichtig ist. Es werden glaub nur die ersten 100 Bytes der Keyfile benutzt. Zumindest schließe ich darauf weil Truecrypt nur 1KB große Keyfiles generiert.

LOL. EFS ist genauso sicher wie das Benutzepasswort oder maximal 128 Bit. TrueCrypt ist genauso sicher wie die Schlüsselänge (256 Bit bei AES256) oder dein Passwort für das Volume. Macht maximal 384 Bit. @nickname: Das ist Quatsch - TrueCrypt arbeitet, wie jedes ordentliche Krypto-Filesystem, mit ECB über Blöcken, in denen CBC verwendet wird, üblicherweise in Clustergröße - d.h. ein Defekt breitet sich maximal über ein Cluster aus, der Rest ist davon unabhängi lesbar. Kritisch ist nur der Partitionsheader, welcher die Derivation Keys enthält - und für den gibt's jetzt eine spezielle Backupfunktion.

@rika: Irgentwie verstehe ich die Aufsummierung der Schlüssellängen nicht. Auch kann ein Passwort nicht einer Schlüssellänge zugeordnet werden. Vielmehr muss die verwendete Hashfunktion betrachtet werden. Wenn eine 128-Bit-Hashfunktion geknackt werden könnte, dann sind die 256-Bit-Schlüssellänge bei AES ohnehin belanglos. Du kannst nicht 128+256 rechnen! Die Sicherheit beträgt bei einer 128-Bit starken Hashfunktion (Seed-Generierung) eben "nur" max. 128 Bit. Das entspricht natürlich trotzdem einer sehr hohen Verschlüsselungstiefe.

1. Es wird nicht nur die Ausgabe der Hashfunktion genutzt, sondern der Schlüssel selbst ebenfalls - stellt mithin keine Limitierung dar. 2. Die Aufsummierung betrifft die Verschaltung von NTFS-EFS mit TrueCrypt, und da AES keine Gruppe ist, kann man die Schlüssellängen trivial addieren.

@rika: ok, ich habe vergessen, dass du Hex-Dumps liest, wie andere die Bild Zeitung :-) ein normaler Anwender dürfte aber bereits bei einer zerschossenen Partitionstabelle das Handtuch werfen.

@Rika: 1. Wie jetzt? Die Ausgabe der Hashfunktion UND der Klartextschlüssel wird genommen? Bei welchem Programm jetzt? // 2. Achso, Du meinstest EFS wird mit AES (aus TrueCrypt) überverschlüsselt. OK, dann kann man die 128 Bit und die 256 Bit addieren, aber warum sagst Du nicht einfach: "Es werden die 128-Bit-EFS und die 256-Bit-AES addiert. // Die Addition darf aber nur vorgenommen werden, wenn der EFS-Schlüssel geheim bleibt. EFS ist knackbar, weil der Schlüssel mit Adminrechten exportiert werden kann. Also darf die EFS-Verschlüsselung nicht wirklich hinzugezogen werden! // Aber bei all den Spaß an den langen Schlüssellängen: Warum reden alle immer von 256 Bit, wenn 128 Bit völlig ausreichend sind? Sogar 80 Bit ist doch bereits eine übertrieben lange Schlüssellänge (Bei Brute-Force-Verfahren). Naja, das nur mal so...

1. Das darf der Admin zwar, kann er aber nicht, da er keinen Schlüssel für den Zugriff hat. Sowas können nur welche, die Zweitschlüssel haben, und das sind die Backup-Operatoren - per Default ist der Admin kein Backup-Operator. Und dann müsstest du das Admin-Kennwort statt des Benutzer-Kennwortes knacken. 2. 80 Bit werden in baldiger Zukunft angreifbar sein. Außerdem besteht nachwievor die Chance, dann hinreichend strukturierte Chiffren sich via Quantencomputer auf die Hälfte der Schlüssellänge reduzieren lassen.

@Rika: Vielleicht können 80 Bit irgentwann oder auch bald geknackt werden. Dann nimm eben 81 Bit. Das ist dann wieder eine Verdoppelung der Zeit für einen Brute-Force-Angriff. Das andere was Du schreibst ist völlig aus der Luft gegriffen. // Der Admin kann sich doch einfach Backup-Operator-Rechte setzen. Das Adminpasswort kann einfach per Freewaretools zurückgesetzt werden. Außderdem lies hier: http://www.heise.de/newsticker/result.xhtml?url=/newsticker/meldung/57091&words=EFS

@surfacecleanerz: Ich glaube da kommt SafeGuard Easy in Frage. Aber dieses Programm kostet ein paar Scheine.

@surfacecleanerz: Hey, da kenne ich als kostenlose Alternative nur CompuSec von www.ce-infosys.com Hat in Tests eigentlich immer ganz gut abgeschnitten, nur ist es nicht Open-Source..MfG CYA iNsuRRecTiON

Compusec hat doch gravierende Sicherheitsmängel. Der Schlüssel wird im "Klartext" auf der Platte gespeichert.

@bwd: ahja, gibt es zu deinen Aussagen und Beschuldigungen auch Beweiße, Quellen? Links? Ich will nen Nachweis! MfG CYA iNsuRRecTiON

@iNsuRRecTiON: Wurden nur Dateien oder Ordner verschlüsselt, legte das Programm die Schlüssel in einer Windows-Systemdatei im Klartext ab. Damit ließen sich die Dateien dann entschlüsseln. // ComputerBild 23/2005 vom 28.10.2005, Seite 55

@bwd: lool, da hat sich einer wirklich als Computer Bild Leser geoutet, rofl. Naja, solange du ComputerBild glaubst und mir nix besseres vor zu weißen hast, kann man dein Kommentar getrost ignorieren. CompuSec hat bestimmt nicht solch eine Lücke ^^ MfG CYA iNsuRRecTiON

Naja, lesen tue ich nicht die gesamte Zeitung. Nur hat mich der eine Artikel auf dem Tisch in der Raucherecke doch interessiert. Wobei ich auch kein Rauchen bin, sondern gelegentlich Kaffee trinke und dazu leider ins Rauchereck muss. Aber ich denke mal dass diese Zeitung auch keine Unwahrheit schreiben darf.

@bwd: Auf der Website von CE-Infosys steht dazu folgendes: "Peinliche Panne bei Computer Bild. Testergebnis in Computer Bild ist falsch!
Tester hat Signatur mit Schlüssel verwechselt. Details dazu in kurze."
Original Zitat incl. Rechtschreibfehler

hab ich doch gewusst @all und besonders bwd, die ComputerBild mal wieder, muahahaha. Schlechter gehts kaum!!1 ^^ Achso, bwd, jetzt ist es zu spät, braucht nicht mit Ausreden kommen :-P MfG CYA iNsuRRecTiON (PS: Trotzdem schöne Story von dir an den Haaren herbeigezogen :D)

Naja eine Gegenaussage vom Hersteller ist auch nicht gerade vertrauenswürdig. Der muss ja so reagieren. Wie auch sonst? Ich wollte auch keine Werbung für "SafeGuard Easy" machen. Bei diesem Produkt bin ich mir aber über die Qualität sicher. Ich will auch nichts schlecht machen. Wer will kann auch CompuSec nutzen. Bitte schön, wer die Wahl hat, hat die Qual.

@Ted1001: Was ist denn mit Dir? Geht es Dir gut? Es geht hier zwar sehr theoretisch zu, jedoch finde ich die Diskussion schon sehr wichtig. Zukünftig werden so einige Dinge von echter Sicherheit abhängen. Es wäre schön, wenn Du etwas zum Thema beisteuern könntest.

@bwd: Lass ihn doch. Er hat doch nur seine Meinung geäußert. Dafür sind die Kommentare ja da. Und der geneigte Leser bildet sich eben sein eigenes Urteil darüber. Ich hoffe nicht, dass Du bei allem, was Dir in dieser Welt begegnet dich geich so stark emotional einbindest. Das wäre schon - meiner Ansicht nach - ein äußerst unangenehmes Leben. Ich denke schon, dass er die Sinnhaftigkeit der Diskussion(-en) erkannt hat. Gleichzeitig zweifelt er aber auch an, ob dies für einen Großteil der Computernutzer relevant ist. Für ihn anscheinend nicht, und deswegen schläft er bestimmt auch nicht schlechter... [Es braucht zum Bleistift nicht jeder Spikereifen für sein Auto, dennoch wird es wohl in bestimmten Personenkreisen fundierte Diskussionen um verschiedene Modelle geben.] Und zum Thema theoretisch: Verschlüsselung ist grundlegend blanke Mathematik. Diese lässt sich zwar praktisch anwenden, ist in ihrem Wesen aber in keinster Weise praktisch. Von daher ist das durchaus zulässig, hier eine rein theoretische Diskussion zu führen. Zumal ja der Sinn einer solchen besteht, weiterzudenken während man im Dialog steht. Und für Gedankenspiele gibt es eben noch keine praktische Umsetzung. Wem dieses Thema deutlich zu abstrakt ist, dem sei das Cryptonomicon empfohlen. Ein gutes Buch (Roman/Thriller/Epos?), welches sich beständig um dieses Thema dreht. Auch wenn ich (bei all den Abkürzungen und teilweise mir unbekannten Verfahren) nicht ales in dieser Diskussion nachvollziehen konnte, bin ich der Ansicht, dass immer noch der generelle Grundsatz gilt: unknackbar ist nichts, es gilt lediglich, den Aufwand soweit zu erhöhen, dass es sich nicht mehr lohnt denselbigen zu betreiben. Dass die - durchaus schützenswerten - Bilder von Oma Lisls Geburtstag dann eben doch einen geringeren Verschlüsselungsaufwand erfordern als niedergelegtes geistiges Eigentum (z.B. eines Ingenieurbüros), welches in vielen Berufsgruppen das wertvollste, ja elementare Gut ist, sollte selbstverständlich sein. Dies zu beurteilen obliegt jedoch wie üblich dem Anwender. Und gesunder Menschenverstand ist eben durch nichts zu ersetzen. Gerade im Umgang mit EDV und Medien wie dem Internet.

@bwd: Daraus folgt: In diesem Zusammenhang gilt ein besonderes Augenmerk auf die eingesetzte Hashfunktion! Je schneller die Hashfunktion arbeitet, je schneller könnte auch ein Brute-Force-Angriff durchgeführt werden. Je langsamer die Hasfunktion arbeitet, je unpraktischer ist der Umgang mit TrueCrypt. :-)

Dann hast du was missverstanden - man benutzt die Hashfunktion als sicheren Entropie-Extractor und maximal noch als Key-Stretching und aus keinem anderen Grund. Eine Passphrase, die die maximale Entropie ausnutzt, kann problemlos direkt als Schlüssel verwendet werden.

@Rika: "Dann hast du was missverstanden - man benutzt die Hashfunktion als sicheren Entropie-Extractor und maximal noch als Key-Stretching und aus keinem anderen Grund." __> Du bist aber auch... Ich habe lange nicht soviel Schrott auf einmal erlebt... //// "Eine Passphrase, die die maximale Entropie ausnutzt, kann problemlos direkt als Schlüssel verwendet werden." __> Eine Benutzereingabe wird wohl kaum die Zeichen &h00 bis &hFF ausnutzen. Damit kann keine Gleichverteilung gegeben sein und deshalb darf auch keine Benutzereingabe direkt als Schlüssel verwendet werden!!! Benutzereingaben müssen in jedem Fall durch eine Einweg-Hashfunktion laufen. Sonst ist die gesamte Verschlüsselung nicht Hackerfest!

1. Du musst auch nicht den theoretisch maximalen Zeichenvorrat verwenden, es reicht eine entsprechende Konvertibilität aus. Z.B wenn du via Base64-Tabelle auf 6Bit/Zeichen mappst und diese dann entsprechend kompakt kodierst. 2. Nein, muss sie nicht. Eine einfache Entropie-Extraktion durch CRC(-128) hätte genau den gleichen Effekt, obwohl die ganz bestimmt nicht kryptographisch sicher ist. 3. Die extrahierte Entropie bildet die untere Grenze für den Aufwand via Brute-Force, und das setzt voraus, daß man die koditionale Entropie exakt modellieren kann. Ein zuällig gewählter Satz hat im Schnitt etwa 4,1 Bits/Zeichen an Entropie, bei 32 Zeichen (=256 Bit) macht das nicht minder denn 131,2 Bit an Entropie. Klar ist das nicht optimal-effektiv, aber trotzdem unknackbar.

@Rika: Es ist das 1mal1 der Kryptografie: Du darfst ein starkes Passwort oder eine starke Phrase nie als Input zur Verschlüsselung nehmen, nur als Input zur Seed-Bildung (also als Input für die Hashfunktion). Deine Gedanken ein starkes Passwort ist stärker gegen einen Brute-Force-Angriff auf die Verschlüsselung ist falsch. Durch ein starkes Passwort oder durch starke Phrasen kannst Du nur die Möglichkeit schmälern die Hashfunktion "anzugreifen". Eine gute Verschlüsselung ist nur gut, wenn die Startschlüssel gut genug sind. // CRC ist keine kryptografische Prüfsumme!

@Stamfy: Irgentwie sehr viel geschrieben - aber bissel zusammenhangslos. Zum Schluss konnte ich dann wieder folgen. Schwamm drüber. // Zur absoluten Sicherheit kann ich nur sagen: Die etablierten Verschlüsselungsverfahren sind bestimmt in sich schlüssig und nach außen unknackbar. Aber welcher normale Mensch kann das tatsächlich prüfen? Selbst eine 32-Bit-Verschlüsselung kann kaum einer knacken. Theoretisch kann jeder von anderen Menschen nachsprechen und behaupten, dass dies oder jenes Verfahren sicher ist. Sicher vor der Allgemeinheit - ja klar. Wenn wir aber davon ausgehen, dass in manchen Labors Resultate vorliegen, die Jahre (manchmal bis zu 50 Jahre) der Öffentlichkeit vorenthalten bleiben, warum sollten wir dann davon ausgehen, dass die propagierten Verfahren nur durch Brute-Force-Angriffe knackbar wären? Wenn ein Team gegen einen Schachmeister spielt und das beste Team-Mitglied nur halb so gut ist wie der Meister, dann wird immer das Team verlieren. Das liegt daran, dass jedes einzelne Mitglied nicht den Horizont des Meisters "erkennen" kann. Warum sollte AES und Co. nicht von einem begnadeten "Sonstwas" entwickelt worden sein. Der Knack-Horizont liegt deutlich über die Leistung des überdurchschnittlich begabten Mathematikers. Damit ist die Allgemeinheit unter sich geschützt. Für bestimmte Interessensgruppen besteht aber die Möglichkeit mitzulesen!

Der AES-Algorithmus Rijndael wurde an der Vreye Universite Asterdam von zwei klugen Mathematikprofessoren entwickeln und hat einen sehr soliden mathematischen Hintergrund. Ich denke, daß da auch sämtliche bei der NSA angestellte Mathematiker weder die Beauftragung noch die Fähigkeit dazu haben, dort entscheidende neue Erkenntnisse zu machen. Öffentliche Skrunität macht sich da bezahlt, aber wenn du es wirklich sicher haben möchtest, dann nimm doch ein One-Time-Pad.

@Rika: Das ist trotzdem kein Beweis gegen Intrigen und den dunklen Machenschaften einiger machtbesessener Menschen. Macht kennt keine Grenzen! In der Vergangenheit gibt es genug Beispiele, wie einfach es ist die Massen an der Nase zu führen. Es gab sogar Zeiten, da haben die Deutschen geglaubt, dass Kartoffeln Teufelszeug ist, nur weil die Knollen unter der Erde wachsen. // Das OTP eignet sich leider nur zum Nachrichtenaustausch - nicht für umfangreiche Daten. Leider. Leider deshalb, weil das OTP tatsächlich nachweislich (mathematisch und physikalisch) sicher und für jeden nachvollziehbar ist.

@Bobbie25: Da fühle ich mich angesprochen, da ich auch von einer 32-Bit-Verschlüsselung sprach. // Das ist klar - das sagte ich auch - dass das keine gute Verschlüsselung ist. Aber ich sagte das im Zusammenhang mit Otto-Normal-Verbraucher. // Aber Du musst konsequent zwischen der Schlüssellänge der eigentlichen Verschlüsselung (also AES usw.) und der Hashfunktion trennen! Wenn AES mit einem 32-Bit-Schlüssel arbeiten würde (diesen Modus gibt es bekanntlich nicht: ist nur ein Gedankenspiel), dann wäre die Verschlüsselung für Otto schon unknackbar. Für irgentwelche Gruppen ist das natürlich eine lächerliche Verschlüsselung. Dabei spielt dann auch keine Rolle aus welchem Passwort die Startschlüssel erzeugt wurden! Wenn die Verschlüsselung stärker wird (so ab 80 Bit), dann wird ein Knacken der Verschlüsselung unmöglich. Dann wird versucht das Passwort zu knacken. Hierbei wird also nicht die Verschlüsselung geknackt, sondern es wird versucht den Startschlüssel durch die Brute-Force-Methode zu erzeugen. // Wie gesagt, es ist falsch dem Passwort eine Schlüssellänge zuzuschreiben! Das Wort Schlüssellänge ist in der Kryptografie anders definiert. Sehr wohl sollte das Passwort kompliziert sein. Besser ist es von einer Passphrase zu reden!