Welche Festplattenverschlüsselung ist sicherer?
Thorsten Sachs
wollte hier nachfragen, welcher Verschlüsselungsalgorithmus
als der mehr sichere angesehen werden kann in bezug auf
Knackbarkeit durch brute-force oder ähnliches.
Zur Auswahl stehen:
AES mit 256 Bit Schlüssel und 128 Bit Blocklänge
und
Blowfish mit 64-Bit Blockchiffrieralgorithmus mit einer
Schlüssellänge von 256 Bit und 16 Runden
So, nun dürft ihr ;-)
Welchen von beiden nehmen oder ist es egal. Der
Einsatzzweck ist eine Komplettverschlüsselung der
Festplatte.
Grüße
Thorsten
Thorsten Sachs
niemand auf meinen Beitrag gemeldet hat...
Juergen P. Meier
> wollte hier nachfragen, welcher Verschlüsselungsalgorithmus
> als der mehr sichere angesehen werden kann in bezug auf
> Knackbarkeit durch brute-force oder ähnliches.
Das kannst du selbst ausrechnen. Miss einfach mal, wie lange jeder der
beiden Algorithmen braucht, um einen Schluessel zu validieren.
Derjenige, bei dem die Schluessel schneller durchgetestet werden
koennen ist theoretisch weniger Sicher vor einem Brute-Force Angriff.
> Welchen von beiden nehmen oder ist es egal. Der
> Einsatzzweck ist eine Komplettverschlüsselung der
> Festplatte.
Beide Algorithmen bieten ausreichende Sicherheit vor Brute-Force wenn
dein Schluessel ordentlich gross ist und nicht auf dem System
gespeichert ist und asymmetrisch verschluesselt ist mit einer
ordentlichen Passphrase.
Ich wuerde hier die Performance fuer wichtiger erachten als diese
Frage, zumal brute-force bei beiden nicht mehr innerhalb deiner
Lebenserwartung Wahrscheinlich ist (die Realisierung eines allgemeinen
Quantencomputers oder eines allgemeinen DNA-Computers mal aussen vor
lassend).
Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
Mario Wolf
> Ich wuerde hier die Performance fuer wichtiger erachten als diese
> Frage, zumal brute-force bei beiden nicht mehr innerhalb deiner
> Lebenserwartung Wahrscheinlich ist (die Realisierung eines allgemeinen
> Quantencomputers oder eines allgemeinen DNA-Computers mal aussen vor
> lassend).
Also ich habe herausgefunden, dass der Blowfish-Algorithmus in bezug
auf Performance dem AES 256 immer überlegen war.
Ist das auch so Eure Erfahrung?
Mike
Zwischen AES und Blowfish gibt es zwar Unterschiede bei der Performace,
die du im normalen Einsatz aber vernachlässigen kannst und nicht
bemerken wirst, wenn du nicht ständig mehrere GB-große Dateien
von einer Platte auf die andere kopierst.
Letztendlich sind AES und Blowfish beide sehr sicher, vorausgesetzt
das Passwort ist nicht "123" oder etwas ähnliches, das
Verschlüsselungsprogramm keine Backdoors enthält und die Implementierung
sicher ist im Hinblick auf Treiber und Einbindung ins Betriebssystem.
Vor 1 oder 2 Jahren gab es da ein kostenfreies Tool (kenne Namen nicht
mehr), welches professionel aussah und funktionierte, allerdings auf
der Festplatte 2 KB (erste Sektoren) unverschlüsselt lies, in der das
Passwort nebst Benutzernamen im Plaintext eingetragen war.
Um PGP WDE wird momentan z.B. ein Kleinkrieg in Foren geführt, da WDE
auch einige KB auf der Festplatte nicht verschlüsselt, die man per
Hexeditor einsehen kann. Welche Daten dort genau enthalten sind, ist
erst teilweise geklärt.
Ich selbst verwende die Komplettverschlüsselung ausschließlich auf dem
Notebook, da hier die Gefahr des Diebstahls (schon 2x passiert) relativ
groß ist, insbesondere wenn das Notebook der ständige Arbeitsbegleiter ist
und sich wichtige Firmendaten darauf befinden, die bei Abhandenkommen
in machen Fällen 100tausende Euro Entwicklungskosten vernichten.
Stefan Weichselbaumer
> Hallo,
>
> wollte hier nachfragen, welcher Verschlüsselungsalgorithmus
> als der mehr sichere angesehen werden kann in bezug auf
> Knackbarkeit durch brute-force oder ähnliches.
>
> Zur Auswahl stehen:
>
> AES mit 256 Bit Schlüssel und 128 Bit Blocklänge
>
AES ist der derzeit sicherste Algorithmus. Wurde erst 2001 von der NIST
ausgewählt. Wird auch vom Militär in den USA für Dokumente für die
höchste Geheimhaltungsstufe verwendet.
> und
>
> Blowfish mit 64-Bit Blockchiffrieralgorithmus mit einer
> Schlüssellänge von 256 Bit und 16 Runden
>
Blowfish ist in der Perfomance auf 32 und 64-Bit Prozessoren
unübertroffen. Ist schon etwas älter, nämlich von 1993, aber bei
ausreichend langem Schlüssel auch noch ziemlich sicher.
> So, nun dürft ihr ;-)
>
> Welchen von beiden nehmen oder ist es egal. Der
> Einsatzzweck ist eine Komplettverschlüsselung der
> Festplatte.
>
> Grüße
> Thorsten
>
>
Als Programm zur Verschlüsselung kann ich dir TrueCrypt
(http://www.truecrypt.org/) empfehlen. Das Tool ist kostenlos, hat also
keine Backdoors. Es ist für Linux und Windows verfügbar und hat jede
Menge an Algorithmen drin. Du kannst auch einen Benchmark machen, um zu
schauen, welches Tool am längsten ist.
Ich habe meine komplette zweite Platte (80 GB) damit verschlüsselt.
Hoffe ich konnte dir helfen
Gruß Stefan
Mario 'BitKoenig' Holbe
> AES ist der derzeit sicherste Algorithmus. Wurde erst 2001 von der NIST
Unsinn. Unter den Kandidaten fuer AES waren durchaus Kandidaten, denen
bessere Sicherheitseigenschaften bescheinigt wurden. Die Eigenschaften
wegen denen Rijndael letzlich das Rennen um AES gemacht hat, waren eher
seine gute Implementierbarkeit (in Hard- und Software) und seine
Performanz.
regards
Mario
--
The secret that the NSA could read the Iranian secrets was more
important than any specific Iranian secrets that the NSA could
read. -- Bruce Schneier
Sebastian Gottschalk
> Stefan Weichselbaumer <stefan.wei...@gmx.de> wrote:
>> AES ist der derzeit sicherste Algorithmus. Wurde erst 2001 von der NIST
>
> Unsinn. Unter den Kandidaten fuer AES waren durchaus Kandidaten, denen
> bessere Sicherheitseigenschaften bescheinigt wurden.
Unsinn. Nur in manchen Aspekten, in andere war AES weit überlegen.
> Die Eigenschaften
> wegen denen Rijndael letzlich das Rennen um AES gemacht hat, waren eher
> seine gute Implementierbarkeit (in Hard- und Software) und seine
> Performanz.
Und seine Eleganz. Schau dir mal den Beweis für die Sicherheit gegen den
Stättigungsangriff an, und vergleiche den mit dem komplizierten
Gehampel bei z.B. TwoFish.
Zur eigentlichen Frage: BlowFish wird zwar nicht als sonderlich anfällig
diesbezüglich vermutet, kennt aber bislang keinen solchen Beweis, trotz
steter Bemühungen. Und generell haben ja einige Chinesen gezeigt, daß
das Design von BlowFish und auch TwoFish ziemlich wackelig ist.
Philipp Tölke
Stefan Weichselbaumer wrote:
> Als Programm zur Verschlüsselung kann ich dir TrueCrypt
> (http://www.truecrypt.org/) empfehlen. Das Tool ist kostenlos, hat also
> keine Backdoors. ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
^^^^^^^^^^^^^^^
/Die/ Schlussfolgerung musst du mir jetzt aber mal erklären.
Grüße,
--
Philipp Tölke
PGP 0x96A1FE7A
Volker Birk
> AES ist der derzeit sicherste Algorithmus.
Nein. Aber es ist sehr sicher.
> Blowfish ist in der Perfomance auf 32 und 64-Bit Prozessoren
> unübertroffen.
Würde mich wundern.
Viele Grüße,
VB.
--
"If you want to play with a piece of windows software that makes you
click all over the place, there's always minesweeper."
Kyle Stedman about "Personal Firewalls" in c.s.f
Jens Sülwald
[...]
> Das Tool ist kostenlos, hat also keine Backdoors.
Sebastian Gottschalk
'N Trojaner hat auch selten eine Backdoor.
SCNR, duck und weq
Thomas Hühn
> Das Tool ist kostenlos, hat also keine Backdoors.
Diese Schlußfolgerung finde ich mutig. :-)
Thomas
Stefan Weichselbaumer
Nunja, ich habe gehört das kommerzielle Tools aus den USA (wie z.B.
DriveCrypt) eine BackDoor eingebaut haben _müssen_. Weiß allerdings
nicht genau, ob das wirklich stimmt ;)
Thomas Hühn
Das klingt völlig unglaubwürdig. Weshalb sollte man eine solche
Vorschrift nicht auf Freeware ausdehnen?
Thomas
Steffen Schulz
>> Die Eigenschaften wegen denen Rijndael letzlich das Rennen um AES
>> gemacht hat, waren eher seine gute Implementierbarkeit (in Hard- und
>> Software) und seine Performanz.
>
> Und seine Eleganz. Schau dir mal den Beweis für die Sicherheit gegen
> den Stättigungsangriff an, und vergleiche den mit dem komplizierten
> Gehampel bei z.B. TwoFish.
Den was? Null Treffer bei Google und keine sinnvollen
Berichtigungsvorschlaege..
In der Tat hat man AES so gebaut, dass es mathematisch bisher (mit) am
robustesten gegen Differentieller(und glaube Linearer..) Attacke ist.
Aber bei der Auswahl hat NIST Timing-Attacks weitgehend ignoriert, was
Bernstein und andere oefter mal bemaengelt haben und nun auch zu einem
Problem werden koennte:
http://cr.yp.to/antiforgery/cachetiming-20050414.pdf
Hier wird die Zeitabhaengigkeit von Table-Lookups benutzt, um
Schluesselbits zu erfahren. Die Tables sind im Mehrbenutzersystem
allgemein erstmal "nicht immer" im Cache und der Index fuer den Lookup
besteht halt aus Schluesselbits.
Dieser Angriff funktioniert in der Anwendung Festplattenverschluesselung
erstmal nicht, denn wenn man das Crypto-System als Orakel nutzen kann,
laeuft das System, also kann man vermutlich auch direkt von gemounteten
Partitionen lesen.
> Zur eigentlichen Frage: BlowFish wird zwar nicht als sonderlich
> anfällig diesbezüglich vermutet, kennt aber bislang keinen solchen
> Beweis, trotz steter Bemühungen. Und generell haben ja einige Chinesen
> gezeigt, daß das Design von BlowFish und auch TwoFish ziemlich
> wackelig ist.
Wo?
Von praktischer Seite gilt wohl, dass man vor allem seinen "master-key"
sicher eingeben und aufbewahren(zB im Kopf) sollte. Die Implementation
der Verschluesselung, wie man zB den wahlfreien Zugriff realisiert,
duerfte den Zweitbesten Angriffspunkt darstellen. Dazu war vor einiger
Zeit(1 Jahr?) mal im Linux-Magazin nen guter Beitrag.
Da die Diskussion zum zu benutzenden Cipher aber so interessant ist:
o Nobody will fire you for using AES.
o If you are paranoid about the security of your data and speed is not
that important, then you should use Serpent. During the AES process,
every serious cryptographer agreed that Serpent was the most
secure(or most conservative) of all the submissions.
(Practical Cryptography von Schneier/Ferguson.)
mfg
pepe
--
Der größte Teil der kulturellen Produktion der letzten Jahrzehnte wäre
durch einfaches Turnen und zweckmäßige Bewegung im Freien mit großer
Leichtigkeit zu verhindern gewesen. -- Bertold Brecht
Paul Muster
> In de.comp.security.misc, you wrote:
^^^
Hä?
>>Und seine Eleganz. Schau dir mal den Beweis für die Sicherheit gegen
>>den Stättigungsangriff an, und vergleiche den mit dem komplizierten
>>Gehampel bei z.B. TwoFish.
>
> Den was? Null Treffer bei Google und keine sinnvollen
> Berichtigungsvorschlaege..
Lösche an passender Stelle ein "t" und du bekommst Treffer. Sieht aber
irgendwie nach Kriegsspielen aus.
mfG Paul
Sebastian Gottschalk
> In de.comp.security.misc, you wrote:
>>> Die Eigenschaften wegen denen Rijndael letzlich das Rennen um AES
>>> gemacht hat, waren eher seine gute Implementierbarkeit (in Hard- und
>>> Software) und seine Performanz.
>> Und seine Eleganz. Schau dir mal den Beweis für die Sicherheit gegen
>> den Stättigungsangriff an, und vergleiche den mit dem komplizierten
>> Gehampel bei z.B. TwoFish.
>
> Den was? Null Treffer bei Google und keine sinnvollen
> Berichtigungsvorschlaege..
Richtig geschrieben und passend tranliteriert ist es als "saturation
attack" bekannt.
> In der Tat hat man AES so gebaut, dass es mathematisch bisher (mit) am
> robustesten gegen Differentieller(und glaube Linearer..) Attacke ist.
Und auch gegen manche andere moderne Attacken, z.B. Saturation Attack
und Boomerang Attack.
> Aber bei der Auswahl hat NIST Timing-Attacks weitgehend ignoriert, was
> Bernstein und andere oefter mal bemaengelt haben und nun auch zu einem
> Problem werden koennte:
>
> http://cr.yp.to/antiforgery/cachetiming-20050414.pdf
>
> Hier wird die Zeitabhaengigkeit von Table-Lookups benutzt, um
> Schluesselbits zu erfahren.
Das ist ja noch 'ne ganz andere Geschichte, denn die grundlegende
Evaluation bezüglich Timing-Attacks ging von konstanten Zeiten für
Table-Lookups aus.
>> Zur eigentlichen Frage: BlowFish wird zwar nicht als sonderlich
>> anfällig diesbezüglich vermutet, kennt aber bislang keinen solchen
>> Beweis, trotz steter Bemühungen. Und generell haben ja einige Chinesen
>> gezeigt, daß das Design von BlowFish und auch TwoFish ziemlich
>> wackelig ist.
>
> Wo?
Shiho Moriai, Lisa Yiqun Yin, "Cryptanalysis of Twofish (II)",
Technical report, IEICE, ISEC2000-38, July 2000.
http://info.ipsj.or.jp/members/SIGNotes/Eng/27/2000/010/article016.html
http://66.102.7.104/search?q=cache:4foX4_B8eCwJ:info.ipsj.or.jp/members/SIGNotes/Eng/27/2000/010/article016.html+%22cryptanalysis+of+Twofish%22+moriai+yin&hl=en&client=firefox-a
Kurze Zusammenfassung: Wenn nur relativ unscheinbare Parameter an nur
einer von so manchen Stellen nur ein klein wenig ändert, dann ist
TwoFish effizient brechbar.
> Von praktischer Seite gilt wohl, dass man vor allem seinen "master-key"
> sicher eingeben und aufbewahren(zB im Kopf) sollte. Die Implementation
> der Verschluesselung, wie man zB den wahlfreien Zugriff realisiert,
> duerfte den Zweitbesten Angriffspunkt darstellen. Dazu war vor einiger
> Zeit(1 Jahr?) mal im Linux-Magazin nen guter Beitrag.
Ich denke Bruce Schneier hat dazu auch genug geschrieben. 95% aller
erfolgreichen Angriffe richteten sich gegen die Implementierung, davon
90% gegen die Entropiequelle der Schlüsselgenerierung.
>
> Da die Diskussion zum zu benutzenden Cipher aber so interessant ist:
>
> o Nobody will fire you for using AES.
Nobody will fire you for using Windows...
> o If you are paranoid about the security of your data and speed is not
> that important, then you should use Serpent. During the AES process,
> every serious cryptographer agreed that Serpent was the most
> secure(or most conservative) of all the submissions.
Naja, Serpent ist nun wirklich eine übertrieben dumme Alternative zu
3DES-EEE.
Steffen Schulz
> Steffen Schulz wrote:
>> http://cr.yp.to/antiforgery/cachetiming-20050414.pdf
>>
>> Hier wird die Zeitabhaengigkeit von Table-Lookups benutzt, um
>> Schluesselbits zu erfahren.
>
> Das ist ja noch 'ne ganz andere Geschichte, denn die grundlegende
> Evaluation bezüglich Timing-Attacks ging von konstanten Zeiten für
> Table-Lookups aus.
Was halt nichtmal ansatzweise stimmt, es reichen schon die Unterschiede
zwischen L1/L2-Cache. Bernstein hatte in einem Vortrag auf der ECRYPT im
Juni tolle Zitate, sowas wie "Dagegen kann man halt nichts machen, daher
lassen wir das mal aussen vor." Man war nachlaessig und hat ignoriert,
dass es auch anders geht. Und zwar by design. Das ist immer besser als
im Nachhinein zu sagen "Ja das gilt ja nich, du hast das falsch
implementiert."
> Shiho Moriai, Lisa Yiqun Yin, "Cryptanalysis of Twofish (II)",
> Technical report, IEICE, ISEC2000-38, July 2000.
>
> http://info.ipsj.or.jp/members/SIGNotes/Eng/27/2000/010/article016.html
> http://66.102.7.104/search?q=cache:4foX4_B8eCwJ:info.ipsj.or.jp/members/SIGNotes/Eng/27/2000/010/article016.html+%22cryptanalysis+of+Twofish%22+moriai+yin&hl=en&client=firefox-a
Hm. Cache und original URL gingen nicht, aber der hier hat ne Kopie:
http://www.schneier.com/blog/archives/2005/11/twofish_cryptan.html
> Kurze Zusammenfassung: Wenn nur relativ unscheinbare Parameter an nur
> einer von so manchen Stellen nur ein klein wenig ändert, dann ist
> TwoFish effizient brechbar.
Wenn man der Zusammenfassung von Schneier glauben kann, hat man ne
Charakteristik gefunden, die vermutlich gar nicht ausnutzbar ist. Und
selbst wenn, wird unter guenstigsten Umstaenden noch immer unrealistisch
viel Aufwand benoetigt.
Aber richtig, warum sowas verwenden, wenn man Alternativen hat...
>> o Nobody will fire you for using AES.
>
> Nobody will fire you for using Windows...
Also bei mir disqualifizieren sich Leute damit regelmaessig..
>> o If you are paranoid about the security of your data and speed is not
>> that important, then you should use Serpent. During the AES process,
>> every serious cryptographer agreed that Serpent was the most
>> secure(or most conservative) of all the submissions.
>
> Naja, Serpent ist nun wirklich eine übertrieben dumme Alternative zu
> 3DES-EEE.
Ich kenn ihn nicht, aber lt Homepage ist er durchaus schneller und hat
groessere Blocklaenge. Als AES-Kandidat unterstuetzt er nen 256bit-Key.
Das hier find ich auch ueberzeugend:
http://www.cl.cam.ac.uk/ftp/users/rja14/slides-bw.pdf
Dadurch, dass man heutzutage in Sachen Security immer das
Minimum faehrt, macht man sich nur Arbeit. Wo Geschwindigkeit
ein Problem ist, wird eh auf Hardware gesetzt...
mfg
pepe
--
If you aren't remembered, then you never existed.
- Serial Experiments Lain
Thomas Hochstein
> Als Programm zur Verschlüsselung kann ich dir TrueCrypt
> (http://www.truecrypt.org/) empfehlen. Das Tool ist kostenlos, hat also
> keine Backdoors.
Das ist ein ... äh ... interessanter Schluß.