30. Juni 2010

Festplatten verschlüsseln schützt vor der Polizei

Category: Datenschutz,Hacking,Recht — Christian @ 19:57

So alt und kann doch nicht oft genug wiederholt werden. Verschlüsselte Daten auch auf privaten Festplatten und Datenträgern schützen! Nicht nur bei Verlust der Datenträger sondern auch und vor allem vor Behörden. Und gerade da kann man gar nicht vorsichtig genug sein. Ich hatte neulich erst wieder mit drei Gestalten vom Verfassungsschutz zu tun, mit denen war nicht mal eine normale Diskussion zu diesem Thema möglich, soweit hatten die die Realität ausgeblendet.

Ich persönlich habe meine Rechnerfestplatten normalerweise komplett mit Utimaco verschlüsselt. Das ist ein kommerzielles Produkt, weil ich eventuell dafür Support haben möchte und hauptsächlich deshalb im Einsatz, weil es das erste war, das gut mit Dual-Boot Platten mit Windows/Linux zurecht kam. Wichtige Daten sind auf der verschlüsselten Windows-Partition zusätzlich in einem Truecrypt-Container gespeichert (nur für den Fall, dass Utimaco irgendwann eine Sicherheitslücke oder Hintertür haben sollte) und Passwörter befinden sich in diesem Truecrypt-Container nochmal in einem KeePass-Safe. Wenn das nicht reicht, weiß ich auch nicht.

Ach ja, die Truecrypt-verschlüsselte Festplatte hat aktuell einen brasilianischen Bankier vor dem FBI gerettet. Nach einem Jahr hat das FBI aufgegeben, die Platte noch entschlüsseln zu können. Meine Empfehlung sind Passphrases mit mindestens 20 Zeichen, Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen gemischt. Bei meinen Platten halte ich das (mit zwei Ausnahmen) genauso. Ausnahme eins ist ein unverschlüsselter USB-Stick zum Datenaustausch mit Leuten die nicht verschlüsseln können und Ausnahme zwei ist eine Festplatte mit Daten die lediglich für Schulungen und Seminare benötigt werden und eigentlich nicht vertraulich sind. Da ist nur routinemäßig Verschlüsselung drauf und das Passwort kennen ein paar Kollegen. Und so lässt sich auch prima arbeiten.

8 Comments

  1. Traeumt mal schoen weiter. Aber bitte verbreitet nicht solchen Unsinn: Truecrypt beruht auf AES256. AES256 ist schon seit Jahren geknackt. Und vor einem Jahr hat die Universitaet Luxemburg publiziert, wie es geht. White-Paper unter: http://www.zdnet.de/distinguisher_and_related_key_attack_on_the_full_aes_256_download-39002355-88063327-1.htm

    Solche Aufgaben werden heute von parallelgeschalteten Grafikkarten (ja, Ihr habt richtig gelesen) innert weniger Stunden erledigt.
    Uebrignes laesst sich mit solchen Systemen auch WPA2 knacken. Meist wird dazu NVIDIA’s Cuda verwendet. Auf einer 480 GTX dauert es aber noch einige Jahre… Aber auf 2 schon nur noch Monate. Und auf 4… Ja, es gibt ja bereits MB’s, die bis zu 4 480 GTX unterstuetzen (Gigabyte X58A-UD9 zum Besipiel). Dan reden wir noch von Tagen. Aber man kann auch ein Cluster bauen. So geht es nur noch Stunden…

    Also bitte Leute, wacht auf! Und verbreitet nicht solchen Unsinn. Kann ja sein, dass der Banker gerettet war: Aber nicht wegen der Verschluesselung: Das FBI hat es warscheinlich nicht als wichtig genug angesehen, da mehr Geld aufzuwenden…

    Comment by Felix Foxberger — 16. Juli 2010 @ 10:09

  2. Das Whitepaper (eigentlich eher ein Research Paper) der Uni Luxemburg bekommt man auch ohne Anmeldung bei ZDnet, beispielsweise hier (PDF).

    Dort heißt es wörtlich: „Finally we extend our results to find the fi rst publicly known attack on the full 14-round AES-256: a related-key distinguisher which works for one out of every 235 keys with 2^120 data and time complexity and negligible memory. This distinguisher is translated into a key-recovery attack with total complexity of 2^131 time and 2^65 memory.“

    Für Laien auf Deutsch bedeutet das, sie haben die Komplexität von AES (d.h. den Schlüsselsuchraum) von 2^256 auf 2^131 reduziert. Wissenschaftlich ist das eine extrem coole Leistung und kann eventuell dazu führen, dass die NIST in ein paar Jahren einen neuen Wettbewerb startet. Praktisch hat das auf die AES-Verschlüsselung noch keine Auswirkungen. Knackbar wird AES erst, wenn die Komplexität unter etwa 2^80 sinkt. Und da ist schon noch etwas hin.

    Verschlüsselung mit Grafikkarten zu brechen ist auch nix neues, das gibt es schon seit diversen Jahren, weil die Shader in den Grafikkarten ideale Parallelrechner darstellen. Ich kenne NIEMANDEN, der bei WPA2 die Verschlüsselung brechen kann. Was realistisch und einfach ist, sind Angriffe gegen den Hash des Preshared-Keys der bei der Anmeldung des Clients am Access Point übertragen wird. Dagegen hilft entweder ein ausreichend komplexer Preshared Key oder zertifikatsbasierte Authentisierung wie sie in den meisten Unternehmen eingesetzt wird.

    Und zuguterletzt, wenn die AES256 nicht passt, kannst Du bei Truecrypt auch entweder einen anderen vorhandenen Algorithmus auswählen oder (ist ja OpenSource) einen eigenen implementieren. Es gibt ja genug und mit Truecrypt kann man die sogar kombinieren.

    Also mein Fazit (und dabei bleibe ich): Festplattenverschlüsselung schützt, aber nur wenn ein gutes Passwort oder besser ein Passphrase verwendet wird.

    Ach ja, der Kommentar hing leider wegen des Links im Spamfilter. Den zweiten unvollständigen lösche ich, ok?

    Comment by Christian — 16. Juli 2010 @ 10:27

  3. Also ich muss mich den Christian anschliessen. Ich habe auch meine Platten mit BitLocker verschlüsselt und die wichtige Datein bzw. Ordner Dateien darauf sind noch zusätzlich mit Sophos Free Encryption verschlüsselt.

    Die Ganze wichtigen und sensiblen Daten liegen bei mir gar nicht auf der Platte sondern, liegen irgendwo in ein Safe als HardCopy.

    Nur weil du paranoid bist, heisst das nicht, dass sie nicht hinter dir her sind 🙂

    Comment by PowerShell — 22. Juli 2010 @ 23:51

  4. Für wichtige Unterlagen habe ich schon auch noch ein Bankschließfach. Aber ich hab jetzt auch nur von digitalen Daten geredet.

    Comment by Christian — 23. Juli 2010 @ 10:41

  5. Sag mal ist es vielleicht eine schweizere Bank 😆

    viele Grüsse aus der Schweiz 😎
    PowerShell

    Comment by PowerShell — 26. Juli 2010 @ 08:59

  6. Wer bei Verschlüsselung auf CloseSource setzt hat einiges noch nicht verstanden. Vor allem seit dem 11.9.!

    Comment by niemand — 16. Februar 2011 @ 14:24

  7. Sehr interassentes Thema, meine Frage wäre welch sind die besten Verschlüsselungsprogramme die es gibt, die noch nicht geknackt wurden? Utimaco/Truecrypt sind dies eventuel schon die besten?
    Ich spiele seit geraumer Zeit mit dem Gedanken mich zu schützen, sei es vor der Polizei oder anderen unberechtigten Personen.

    Comment by X-Sider — 24. Februar 2012 @ 00:24

  8. Kommentare gesperrt wegen Spam

    Comment by Christian — 7. Juni 2012 @ 20:38

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.