[Frage] AES,Twofish,Serpent. Algorythmen sicher?

[Mangamaniac]

Wenn sich der Hacker (eigentlich Cracker) online zu deinem System Zutritt verschafft hat und du die Platte gerade eingehängt hast braucht er das Passwort ja logischerweise nicht um die Platte zu lesen
Wenn du die Platte aber geunmounted hast is das Passwort ziemlich schnell weg, da im Betrieb das RAM ja heißgehalten wird (und natürlich sowieso immer wieder neubeschrieben wird )

 

[Saiyu]

ja aber die gemountete platte teilweise (max 100kb/sek wegen uploadgeschwindigkeit) zu kopieren oder das pw dazu zu haben is schon ein gewaltiger unterschied ^^ (vorallem bei hausdurchsuchung)

du hast das mit den keyloggern noch nich beantwortet

 

[Mangamaniac]

Bei Keyloggern zählt wie bei anderen Themen wie Viren/Trojaner/Spyware etc auch der gesunde Menschenverstand: "Kann ich der Seite, wo ich gerade das coole tool xy runtergeladen hab vertrauen oder nicht? Kann ich den Mailanhang gefahrlos öffnen oder nicht?"
Es gibt keine NonPlusUltra Tools, die einen hundertprozentig davor schützen können, man sollte selber aufpassen, was man online tut. Aus sicherheitstechnischer Sicht heisst das auch, wenn ein System einmal kompromitiert ist muss man es komplett neu aufsetzen (gilt bei handgecrackten Servern mehr als bei eingefanger Malware auf Privatrechnern) um wirklich sicher zu sein, dass nix zurückgeblieben is.
Was anderes sind Hardware Keylogger, und da hängts davon ab, wie paranoid du danach suchen möchtest^^ Es gibt kleine PS/2 Stecker, die man zwischen Maus/Tastatur und Rechner stecken kann, und die alles auszeichnen, was getippt wird (die kann man allerdings recht leicht finden). Was euer BKA mit dem Bundestrojaner (der ja auch diese Art der Durchsuchung beinhaltet) da sonst noch in Petto haben (zB Keylogger in die Tastatur selber einbauen) weiss ich nicht ^^
Wie gesagt, is alles eine Frage wie paranoid du dich schützen willst.

 

[terminator2k2]

Bei einer Hausdurchsuchung musst du soviel ich weiss auch dein PW rausrücken.. da sollte man noch so ein Verstecktes Truecrypt Container machen

 

[Mangamaniac]

Was? So weit ist bei euch die Demokratie schon enigeschränkt worden? Nach meinem letzten Wissensstand muss man sich nicht selber belasten... Was kommt als nächstes, Folter?
Nur zum Nachlesen, hast du da Quellen dafür?

 

[terminator2k2]

http://board.gulli.com/thread/898813-effektivitaet-von-versteckten-truecrypt-volumes/#8

naja vielleicht auch etwas falsch ausgedruckt..
ich denke, dass es zusätzliche Folgen für einen hätte, wenn man nichts sagt und dadurch die "Ermittlung" behindert. also sollten sie das PW überhaupt knacken..
Aber es gab mal was mit den AntiTerrorgesetze.. diesbezüglich, auf das war es eigentlich bezogen.

Irgendein Politiker oder wer das war meinte ja auch öffentlich, dass die Beamten bei einer Hausdurchsuchung mit einem "spezialisten" kommen, und gucken, dass der Rechner nicht ausgeschaltet wird, damit sich der "Schutz" nicht aktiviert xD

 

[Mangamaniac]

Och haben die das jetzt auch schon rausgefunden, naja, bin ich froh, dass sich bei uns der FI Schalter direkt neben der Eingangstür befindet^^

Und zu dem Beitrag im Gulli Board: Ich würde mich da weniger drauf verlassen, was die User dort sagen, denn manchmal nimmt das schon ziemlich wilde Auswüchse an. Bei dem ganzen Thema bezieh ich mich dann eher auf das Video vom 32Chaos Computer Congress, wo der Anwalt Udo Vetter einen Vortrag darüber hält http://events.ccc.de/congress/2006/Fahrplan/events/1346.en.html
Video hier: Fehler in Google Videos

 

[Revie]

Bei einer Hausdurchsuchung musst du soviel ich weiss auch dein PW rausrücken.. da sollte man noch so ein Verstecktes Truecrypt Container machen

Glücklicherweise nicht
Es gibt Berichte (Gerüchte?) von Leuten die von der Polizei unter Druck gesetzt wurden, allerdings ist die Polizei dazu nicht befugt und es ist mehr ein überzeugen/überreden als eine "Folter"^^ Ich glaube das wird in dem Video oben in einem anderen Zusammenhand auch erwähnt. wenn die Polizei zB versucht bei dir ins Haus ohne Durchsuchung etc. zu kommen in dem sie dir Druck machen. Ist zwar rechtswiedrig aber man kann nix dagegen machen...

Wie es im Punkto Terrorismus aussieht weis ich nicht.. wer weis schon was das BKA da anstellt?

@topic: die Verschlüsselungen gelten nicht ohne grund als nicht knackbar! die US Regierung verwendete (viell immernoch?) AES für die höchste Sicherheitsstufe nur so als Bsp. Und Masterpasswörter oder dergleichen gibt es sicherlich nicht, wäre sogut wie unmöglich bei Open Source.. und wenns doch eine Hintertür hat, dann finde sie und mach sie einfach raus :D

Ps: Nieder mit gulli :D Was die immer für Gerüchte verbreiten... kein wunder, wenn der Betreiber zugleich der Betreiber von Firstload etc ist...
Pss: Danke für das tolle Video Mangamaniac

 

[Saiyu]

das video kannte ich schon, übrigens im gulliboard gesehen ^^

naja denke damit hat sich das thema erledigt

 

[DonTako]

Twofish stellt den Nachfolger von Blowfish dar und stellte sich 1998/1999 dem Ausscheid zum Advanced Encryption Standard. Dort kam er zusammen mit den Algorithmen MARS, RC6, Rijndael und Serpent in die Runde der letzten fünf. MARS, Twofish und Serpent wurden als „hoch-sicher“ eingestuft, während Rijndael und RC6 „nur“ die Bewertung „hinreichend-sicher“ erhielten.

Rijndael wurde hinsichtlich seiner Sicherheit vor allem wegen seiner mathematischen Struktur, die möglicherweise zu Angriffen führen könnte, kritisiert. Bei Twofish wurde bezüglich seiner Sicherheit vor allem die Eigenschaften der Schlüssel-Teilung und seine Komplexität, die eine Sicherheitsanalyse beeinträchtigt, kritisiert. Andererseits stellt Twofish laut seinem Entwickler-Team gerade durch diese Schlüsselteilung (key-dependent S-boxes) eine Sicherheitsarchitektur gegen noch unbekannte Angriffe dar.

Also wenn, dann würde ich Twofish nehmen. Nen backdoor hat aber soweit ich weiß noch keiner bei den 3 Algorithmen gefunden. Soweit ich weiß, gibt es aber theoretische Angriffe auf den AES Link

 

[spYro]

Backdoor ist beim Algorythmus ausgeschlossen. Höchstens in der Software könnte man sowas einbauen, was allerdings wiederum auch nichts bringt, das ja kein Passwort in der Software gesiepert wird, sondern man es sich meken oder aufschreiben muss. Wenn ich die Platte von nem Kumpel bei mir einhänge, kann es noch so große Backdoors geben, aber das Passwort kriegt die Software nicht durch "wissen" heraus, sondern höchstens durch Bruteforce und da beißt sich die Katze in den Schwanz

Wer will, kann sich in Wikipedia mal den MD5-Algorythmus angucken, der ist auch sehr interessant und an dem kann man gut erkennen, wieso es ünmöglich ist bei manchen algorythmen das passwort "zu errechnen".

Zum Thema Truecrypt un den verschienden Verschlüsselungen:
Wie Termi schon mit seinem Zitat gesagt hat, es kommt auf das Passwort und den Rechner an.
Aber ernn ihr sowieso nur ein Passwort mit bis zu 6 oder 8 Stellen hat, braucht ihr garnicht erst zu verschlüsseln.
Ich habe eine Platte mit sensiblen Daten, welche ich mit Truecrypt in der Rechenintensivsten Verschlüsselungs-Kombination gecryptet habe und das Passwort ist 64 Zeichen lang und hatte alle Zeichen des KAyboard drin (Leerzeichen, !"§$%&/()=?`*'ÄÖ e.t.c.).
Ich denke, dass selst ein Supercomputer Monate oder Jahre dafür brauchen würde und vermutlich würde die Platte vorher wegen Überbeanspruchung kaputt gehen.

Also: Wenn ihr etwas ganz sicheres haben wollt, nehmt euch Truecrypt und nehmt ein Passwort, das nicht unter 30 Zeichen lang ist.

MFG spYro

PS: Natürlich gibt es nie eine 1005-ige Sicherheit, aber dass sollte jedem klar sein