1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Verschlüsselung: Nach Truecrypt kommt…

Unbrauchbares Sicherheitsdenken

Helft uns, die neuen Foren besser zu machen! Unsere kleine Umfrage dauert nur wenige Sekunden!
  1. Thema

Neues Thema Ansicht wechseln


  1. Unbrauchbares Sicherheitsdenken

    Autor: Mingfu 20.01.16 - 10:59

    VeraCrypt ist mit den Standardeinstellungen praktisch unverwendbar. Die extrem hohe Iterationsanzahl bei der Ableitung des Header-Schlüssels aus dem Passwort führt dazu, dass man selbst auf aktuellen Systemen recht lange warten muss, bevor ein Container geöffnet ist oder - noch viel schlimmer, da im 16bit-Real-Mode ausgeführt - die Systemverschlüsselung freigegeben wird. Wenn mehrere Container zu öffnen sind, dann wartet man bis zum Sankt Nimmerleinstag.

    Ja, man kann daran etwas ändern, indem man die Iterationsanzahl mittels PIM deutlich herabsetzt. Nur wird man dafür gezwungen, recht lange Passwörter (>= 20 Zeichen) zu verwenden. Man darf also nicht selbst entscheiden, welches Sicherheitsniveau persönlich ausreichend wäre, sondern muss sich mit den mehr als paranoiden Vorgaben des Entwicklers herumschlagen. Zudem ist die zusätzliche Eingabe des PIM nervig und wenig benutzerfreundlich. Für Laien ist das ganze System damit wenig nutzbar, weil das alles recht kompliziert ist.

    Zu allem Überfluss - dafür kann der Entwickler aber nichts, sondern das ist Microsofts Unfug - kann man auf aktuellen Windows-Versionen auch nicht mal eben Anpassungen am Quellcode von VeraCrypt vornehmen und sich so seine eigene angepasste Version bauen. Denn Windows lädt keine Treiber, die nicht mittels eines von Microsoft abgeleiteten Zertifikats signiert wurden, was mehrere hundert Euro pro Jahr kostet. Es gibt keine Möglichkeit Windows beizubringen auch eigene Zertifikate zu akzeptieren. Man kann nur die Treibersignaturprüfung insgesamt ausschalten, so dass dann aber auch Schadcode entsprechend einfach zur Ausführung gebracht werden kann. Zudem werden in diesem Modus - und das ist es, auf was es Microsoft eigentlich ankommt - sämtliche Möglichkeiten deaktiviert, DRM-geschütztes Material abzuspielen. Man hat also unter Windows keine echte Möglichkeit mehr, Herr im eigenen Haus zu sein und vollständig zu bestimmen, was auf dem PC passiert.

  2. Re: Unbrauchbares Sicherheitsdenken

    Autor: Xstream 20.01.16 - 11:02

    Wie oft öffnest du die Container? Ich würde jetzt mal von ein, zwei mal am Tag als Normalfall ausgehen.

  3. Re: Unbrauchbares Sicherheitsdenken

    Autor: Mingfu 20.01.16 - 11:06

    Wenn du die Systemverschlüsselung aktiviert hast und zudem noch mehrere Partitionen als Container beim Systemstart zu öffnen sind, dann dauert der Systemstart leicht mal 5 Minuten und länger. Das ist nicht akzeptabel.

  4. Re: Unbrauchbares Sicherheitsdenken

    Autor: MrSpok 20.01.16 - 11:11

    Super-nervig wird's, wenn du direkt nach Eingabe des Kennworts merkst, dass du dich vertippt hast, aber dann eine gefühlte Mintute warten musst, bis Vera-Crypt dir die nächste Eingabe erlaubt.

    Da fehlt definitiv ein Abbrechen-Button im Mount-Fenster!

  5. "Select Device" + "Mount" statt "Auto-Mount"

    Autor: vbot 20.01.16 - 12:16

    ... dann dürfte alles schneller gehen.

  6. Re: Unbrauchbares Sicherheitsdenken

    Autor: colon 20.01.16 - 14:29

    Mingfu schrieb:
    --------------------------------------------------------------------------------
    > Wenn du die Systemverschlüsselung aktiviert hast und zudem noch mehrere
    > Partitionen als Container beim Systemstart zu öffnen sind, dann dauert der
    > Systemstart leicht mal 5 Minuten und länger. Das ist nicht akzeptabel.


    Wieviele Partionen sind das denn? Ich lasse 3 Partionen direkt mit mounten und habe eine Bootzeit von etwa 90s.

  7. Re: Unbrauchbares Sicherheitsdenken

    Autor: HiddenX 20.01.16 - 14:38

    Mingfu schrieb:
    --------------------------------------------------------------------------------
    > Zu allem Überfluss - dafür kann der Entwickler aber nichts, sondern das ist
    > Microsofts Unfug - kann man auf aktuellen Windows-Versionen auch nicht mal
    > eben Anpassungen am Quellcode von VeraCrypt vornehmen und sich so seine
    > eigene angepasste Version bauen.
    Ich habe mich jetzt nicht weiter mit der Software beschäftigt, aber der Treiber ist doch bestimmt unabhängig von der Management-Software? Und ich glaube kaum, dass der Treiber dich zu bestimmten Iterationszahlen und Passwortlänge zwingt oder?

  8. Re: Unbrauchbares Sicherheitsdenken

    Autor: Mingfu 20.01.16 - 15:21

    Da hast du recht, das ist eine interessante Idee. Es ist sogar noch einfacher, denn beim reinen Mounten wird nicht überprüft, ob das eingegebene Passwort zum PIM passt. Beim Mounten kann man also auch kürzere Passwörter und kleine PIM verwenden ohne dass eine Fehlermeldung erscheint. Man muss also lediglich einmalig den Header eines Containers / einer Partition passend modifizieren, um anschließend auch mit kurzen Passwörtern und kleinen PIM operieren zu können. Mit pytruecrypt gibt es dafür beispielsweise auch schon eine ganz gute Basis, die man lediglich etwas anpassen muss, um den Header nicht nur zu entschlüsseln, sondern ihn auch wieder verschlüsselt zusammenflicken zu können (zwecks Modifikation der Größe des Bereichs der Systemverschlüsselung selbst schon getestet).

    Man könnte es vielleicht sogar schaffen, nur den Bootloader der Systemverschlüsselung zu modifizieren (der ist ja nicht signiert), so dass dieser keinen PIM mehr abfragt und stattdessen standardmäßig einen kleineren Wert verwendet. Dann braucht man sich gar nicht mehr mit dem PIM herumschlagen, denn bei den Partitionen, die danach automatisch beim Systemstart eingebunden werden sollen, wird der PIM in den Mount-Optionen hinterlegt und stört damit nicht. Könnte nur etwas riskant sein, falls man irgendwann mal ein Update von VeraCrypt durchführt und dieses wieder seine eigene aktualisierte Variante des Bootloaders schreibt.



    1 mal bearbeitet, zuletzt am 20.01.16 15:40 durch Mingfu.

  9. Re: Unbrauchbares Sicherheitsdenken

    Autor: HansUlrich 20.01.16 - 15:30

    Eigentlich wollte ich bald zu VeraCrypt wechseln aber diese Gängelung ist mehr als unnötig.

  10. Re: Unbrauchbares Sicherheitsdenken

    Autor: p90 20.01.16 - 15:41

    Hm, also das kann ich so nicht nachvollziehen.

    Habe selber 4 VeraCrypt Partitionen mit Standardeinstellungen und ja, das mounten dauert länger als bei TrueCrypt aber eher im Rahmen von 20s für alle Partitionen.
    Ich benutze aber auf alle Partitionen auch den selben Algorithmus für den Header und habe diesen bei mir als Standard Mountparameter eingestellt. Aber selbst wenn man das nicht macht kommt man auf keine 5 Minuten, vlt 1.3 min und das ist schon hoch geschätzt.

  11. Re: Unbrauchbares Sicherheitsdenken

    Autor: Wallbreaker 20.01.16 - 15:42

    Mingfu schrieb:
    --------------------------------------------------------------------------------
    > VeraCrypt ist mit den Standardeinstellungen praktisch unverwendbar. Die
    > extrem hohe Iterationsanzahl bei der Ableitung des Header-Schlüssels aus
    > dem Passwort führt dazu, dass man selbst auf aktuellen Systemen recht lange
    > warten muss, bevor ein Container geöffnet ist oder - noch viel schlimmer,
    > da im 16bit-Real-Mode ausgeführt - die Systemverschlüsselung freigegeben
    > wird. Wenn mehrere Container zu öffnen sind, dann wartet man bis zum Sankt
    > Nimmerleinstag.
    >
    > Ja, man kann daran etwas ändern, indem man die Iterationsanzahl mittels PIM
    > deutlich herabsetzt. Nur wird man dafür gezwungen, recht lange Passwörter
    > (>= 20 Zeichen) zu verwenden. Man darf also nicht selbst entscheiden,
    > welches Sicherheitsniveau persönlich ausreichend wäre, sondern muss sich
    > mit den mehr als paranoiden Vorgaben des Entwicklers herumschlagen. Zudem
    > ist die zusätzliche Eingabe des PIM nervig und wenig benutzerfreundlich.
    > Für Laien ist das ganze System damit wenig nutzbar, weil das alles recht
    > kompliziert ist.

    Ich setze ja auf LUKS/dm-crypt und stelle recht hohe Iterationen ein, die sich in etwa in knapp 10 Sekunden niederschlagen zwischen Passworteingaben. Hinzu kommt ein über 40 stelliges Passwort, was das letztlich noch abrundet. Aus persönlicher Sicht sind höhere Zeitfaktoren purer Nonsens, denn allein 1 Sekunde an Iterationen würde schon den doppelten Rechenaufwand bedeuten, 2 Sekunden den vierfachen usw., was mehr als ausreichend ist. Die Iterationen oder besser gesagt das Feature der langsamen KDF, ist auch nur dazu da um schwache Passwörter etwas resistenter zu machen. Doch hast bereits ein starkes Passwort, dann ist das unsinnig hier die Iterationen aufzublasen, damit Minuten vergehen. Allerdings muss ich auch sagen, es ist sehr einfach starke Passwörter zu erstellen, denn 20 Stellen sind schnell erreicht ohne merklichen Aufwand.

    Beispiel: Ein Ring um sie zu knechten, sie alle zu finden, ins Dunkel zu treiben, und ewig zu binden.

    Passwortableitung via Satzmethode: *02#EruszksazfidztuezB#08* ,26 Stellen, sehr stark und einfach zu merken.

  12. Re: Unbrauchbares Sicherheitsdenken

    Autor: Heinzel 24.01.16 - 15:58

    Wallbreaker schrieb:
    --------------------------------------------------------------------------------
    > Ich setze ja auf LUKS/dm-crypt und stelle recht hohe Iterationen ein, die
    > sich in etwa in knapp 10 Sekunden niederschlagen zwischen Passworteingaben.

    cryptsetup unterstützt mehrere Verschlüsselungs-Backends und die Geschwindigkeitsunterschiede sind teils enorm. Mit nettel anstelle von gcrypt war es auf einmal wirklich doppelt so schnell.

  13. Re: Unbrauchbares Sicherheitsdenken

    Autor: M. 25.01.16 - 15:27

    > Beispiel: Ein Ring um sie zu knechten, sie alle zu finden, ins Dunkel zu
    > treiben, und ewig zu binden.
    > Passwortableitung via Satzmethode: *02#EruszksazfidztuezB#08* ,26 Stellen,
    > sehr stark und einfach zu merken.
    Diese Form der Ableitung macht aber nur Sinn, wenn die Laenge des Passworts beschraenkt ist. Ansonsten nimm doch einfach direkt deinen Satz, inklusive aller Satz- und Leerzeichen, der hat noch mehr Entropie und ist vermutlich aehnlich schnell einzugeben.

    There's no sense crying over every mistake,
    you just keep on trying 'till you run out of cake.

  14. Re: Unbrauchbares Sicherheitsdenken

    Autor: narfomat 27.01.16 - 12:59

    auf jeden fall. für menschen, die sich keine random zeichen merken können wie ;9:DnC<@7r83QxW@w!BY ist es auf jeden fall sinnvoll gagasätze als passwort zu verwenden, wie etwa derkleineklausklautklamottenbeikarstadt.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Universitätsklinikum Frankfurt, Frankfurt am Main
  2. Psychiatrisches Zentrum Nordbaden, Wiesloch
  3. Deutsche Bundesbank, Frankfurt am Main
  4. HOTTGENROTH & TACOS GmbH, Münsterland

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 169,90€ (Vergleichspreis 204,68€)
  2. 29,99€ (Bestpreis!)
  3. 9,99€ (Vergleichspreis 17,21€)
  4. 44,99€ (Vergleichspreis 56,61€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme