GLF

[Jean Valjean]

yay, Encrypted Dual-Boot läuft!!!!!!

[Lolimat]

Und inzwischen haben sich auch mal Leute tatsächlich den Quellcode angesehen, zumindest teilweise die Windows-Version:

http://heise.de/-2170398

[Unvisible]

jetzt rennen alle zu "sichereren" verschlüsselelungsprogrammen die "natürlich" besser sind.

[Ovid]

Diese benutzt die PBKDF2-Funktion, um aus dem Passwort für das Volume den Schlüssel für die verschlüsselten Daten abzuleiten. TrueCrypt nutzt hierbei allerdings, je nach Anwendungsgebiet, nur 1000 oder 2000 Durchgänge, was die Verschlüsselung anfällig für Brute-Force-Angriffe macht.

Das könnte man für sich selbst leicht ändern (allerdings muss man mit diesem neuen TrueCrypt dann ganz neu verschlüsseln; das fummeln und basteln an einem laufenden TC System um den Count zu ändern, ist nicht zu empfehlen. Man müsste den Hash manuell auswechseln etc.)

Man lädt sich einfach den SourceCode und öffnet \Common\Pkcs5.c

Code: Alles auswählen

int get_pkcs5_iteration_count (int pkcs5_prf_id, BOOL bBoot)
{
	switch (pkcs5_prf_id)
	{
	case RIPEMD160:	
		return (bBoot ? 1000 : 2000);

#ifndef TC_WINDOWS_BOOT

	case SHA512:	
		return 1000;			

	case SHA1:		// Deprecated/legacy		
		return 2000;			

	case WHIRLPOOL:	
		return 1000;
#endif

	default:		
		TC_THROW_FATAL_EXCEPTION;	// Unknown/wrong ID
	}
	return 0;
}

Hier die Anzahl der Durchgänge einfach nach Geschmack erhöhen und dann rekompilieren.
Und schon hat man den größten Kritikpunkt des Audits selbst gelöst.

[Lolimat]

Laut den Forschern seien selbst mittelmäßig komplexe Passwörter durch diesen Prozess nicht sicher und erlaubten es einem Angreifer, das verschlüsselte Volume zu knacken.

Die Frage ist, was hierbei unter einem mittelmäßig komplexen Passwort verstanden wird. Ich persönlich vermute, dass Passwörter mit etwa 10-13 Stellen (inkl. Groß-, Kleinbuchstabe, Ziffer, Sonderzeichen) mittelmäßig komplex sind.
TrueCrypt selbst empfiehlt beim Erstellen eines verschlüsselten Containers/Partition, dass das Passwort mind. 20 Stellen haben sollte.


Ovid, wie zuverlässig ist denn Deine Info über das Ändern des Quellcodes? Wie sicher ist es denn, dass das wirklich die einzige Stelle im Quellcode ist, die verändert werden müßte?
Möchtest Du uns berichten, wie TrueCrypt 7.1a-Ovid funktioniert?
Und wäre es für den einfachen TrueCrypt-Anwender nicht einfacher und sinnvoller, seine für TrueCrypt verwendeten Passwörter zu verlängern?


Für mich ist diese Nachricht eigentlich eine gute, da ich nur eher komplexe Passwörter benutze. Die Tasache, dass bislang keine Hintertüren gefunden werden konnten - es wurden nur "Bootloader und Windows-Kerneltreiber" geprüft - zählt für mich bedeutener.

[Jean Valjean]

Nächste Frage: Angeblich soll es mit Cryptsetup ab Version 1.6 möglich sein ein TrueCrypt-Volumen zu mounten. Seit meiner erfolgreichen Wiederverschlüsselung der Windows-Partition kann ich von Linux aus leider nicht mehr auf diese zugreifen. Ärgerlich. Die Cryptsetup-Dokumentation gibt dazu leider sehr wenig her, speziell, wenn es darum geht besagtes Volumen beim Boot zu mounten.

Kann irgendwer helfen??

[Waldbär]

Auf diesem schönen Weg nicht, aber der pragmatische geht eigentlich, jedenfalls benutze ich das seit Jahren so:
TrueCrypt für Linux installieren und dann die Windows-Partition damit mounten. Es gibt einen Haken, den man setzen muss (irgendwas mit Pre-Boot-Authentication oder so, weiß nicht mehr genau, ist in den erweiterten Mount-Optionen) und die Tastaturbelegung im Linux muss vorübergehend auf US-Englisch umgestellt werden.
Vorsicht: Win8-Systempartitionen nur schreibgeschützt mounten, da Windows seit 8 standardmäßig nicht mehr runterfährt.

Waldbär

[Baumkrone]

jetzt rennen alle zu "sichereren" verschlüsselelungsprogrammen die "natürlich" besser sind.

Dazu gibt es keine Veranlassung, wenn das Passwort "3nt2pr3ch3nd S1ch3r und l43nger 4l2 d4s h13r" ist.

[Unvisible]

leet Sprache schön und gut aber da fehlen die Sonderzeichen.

[Baumkrone]

3nt2pr3ch3n[) S!ch3r & l43nger 4l2 d4s h!3r ?

[Unvisible]

jau, ich übernehme das dann mal so .. Gleich mal mein System umstellen. Danke

[Mitleser]

Na, wer weiß, ob NSA und Co. nicht mittlerweile auch Passwortlisten mit Leetspeak benutzen...

[Fetzer]

Also eine Verschlüsselung hat mir durchaus gereicht! Ich streb eine Novellierung vom GLF an! Das Unterforum kann z.B. ins Oberforum "Off-Tropic" und da am besten wos genauso gehandhabt wird! Nämlich so wie die off Pädos *hihi* Off Pädos!

[Lolimat]

leet Sprache schön und gut

Von leet speak wird z.B. in c´t - Artikeln schon länger mit deutlichen Worten abgeraten

[Jean Valjean]

es spricht aus meiner sicht eigentlich gar nix gegen leetspeak. man sollte sich jedoch auf keinen fall auf ein einziges abstrahiertes wort beschränken sondern einen satz zusammenbauen und diesen dann leeten. --> sicheres passwort

noch ein kleiner tipp:

man sollte einen buchstaben nicht immer mit dem selben ersetzen sondern variieren.

ein e sollte also nicht immer eine 3 sein sondern auch mal ein € oder [=

(Beim Boot-Passwort sind Zeichen aus der 3. Tastaturebene (Ctrl + Alt/AltGr) unbedingt zu vermeiden - eigene Erfahrungen gemacht )