Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
mit welcher verschluesselung verschluesselt ihr festplatten?
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

Goto page Previous  1, 2, 3, 4, 5, 6  Next  
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Diskussionsforum
View previous topic :: View next topic  
Author Message
pieter_parker
Veteran
Veteran


Joined: 07 Aug 2006
Posts: 1488
Location: 127.0.0.1

PostPosted: Sat Nov 01, 2008 3:50 pm    Post subject: Reply with quote

lese was ihr schreibt manchmal 2 mal durch bis ich es halbwegs verstanden hab
gut, cbc also nix gut, und wie ist es mit cbc mit essiv erweiterung ?
also
cryptsetup -v -c aes-cbc-essiv:sha256 -h sha -s 256 luksFormat /dev/...
fuer wie sicher haltet ihr das ?

lrw und xts sind sind beide im kernel als experimental makiert, nutze "expirmental" makierte sachen meistens nur wenn es wirklich notwendig ist

was versteht ihr unter einem "gutem passwort" ?
cryptsetup -v -c aes-cbc-essiv:sha256 -h sha -s 256 luksFormat /dev/...
wenn das denn sicher ist (??) wuerde ich dafuer ein passwort mit 43 zeichen verwenden das grosse und kleine buchstaben hat, zahlen von 0 bis 9 und mindestes 10 sonderzeichen hat, oder besser mehr sonderzeichen ? gibt es sonderzeichen die nicht erlaubt sind ?
Back to top
View user's profile Send private message
mv
Watchman
Watchman


Joined: 20 Apr 2005
Posts: 6747

PostPosted: Sat Nov 01, 2008 4:21 pm    Post subject: Reply with quote

Für Passworte gilt generell: Hauptsache lang. Und am Einfachsten verwendest Du keine Sonderzeichen, dann kannst Du auch niemals Ärger damit haben. Da die Länge exponentiell, die Zeichenzahl aber nur polynomial eingeht, zeigt eine einfache Rechnung, dass schon sehr wenige Zeichen mehr die Nichtbenutzung von Sonderzeichen kompensieren.
Back to top
View user's profile Send private message
boris64
Veteran
Veteran


Joined: 04 Oct 2003
Posts: 1770
Location: Vechelde/Peine

PostPosted: Sat Nov 01, 2008 4:32 pm    Post subject: Reply with quote

Ich würde zuerst einmal den Hash mit "sha" nicht angeben, da eh ohne explizite
Angabe per default "ripemd160" ausgewählt wird, bei welchem (wenigstens laut Wikipedia :/)
noch keine echten Schwächen bekannt geworden sind.
Auch bei der Erstellung von Truecrypt-Containern wird imo standardmäßig ripemd-160 benutzt.

Was Passwörter angeht, empfehle ich zusätzliche Schlüsseldateien (z.B. mit Inhalt aus /dev/urandom),
die man auf einem externem Media (USB-Stick o.ä.) mitnehmen kann.
_________________
boris64.net 200x / visit my desktop / try these tiny kernel patches ;)
Back to top
View user's profile Send private message
pieter_parker
Veteran
Veteran


Joined: 07 Aug 2006
Posts: 1488
Location: 127.0.0.1

PostPosted: Sat Nov 01, 2008 5:15 pm    Post subject: Reply with quote

also so
cryptsetup -v -c aes-cbc-essiv:sha256 -s 256 luksFormat /dev/...
?

wie lang sollte denn das passwort sein ?
oder wie gross, wieviel zeichen sollte eine schluesseldatei sein ?
Back to top
View user's profile Send private message
cryptosteve
Veteran
Veteran


Joined: 04 Jan 2004
Posts: 1169
Location: GER

PostPosted: Sat Nov 01, 2008 7:00 pm    Post subject: Reply with quote

Hier ist via LUKS mit aes-cbc-essiv:sha256 verschlüsselt. Mein Passwort ist >15 Zeichen lang und enthält Gross-/Kleinschreibung, sowie Sonderzeichen. Das reicht fürs erste; diejenigen, die die Kiste im Notfall brechen könnten, sind mir eh wurscht, weil ich - falls es jemals soweit kommt, dass solche Freaks an meiner Kiste arbeiten - das Sonnenlicht eh nie wiedersehen werde.
_________________
- born to create drama -
gpg: 0x9B6C7E15
CS Virtual Travel Bug: VF6G5D
Back to top
View user's profile Send private message
STiGMaTa_ch
Veteran
Veteran


Joined: 28 Dec 2004
Posts: 1686
Location: Rüti ZH / Schweiz

PostPosted: Sat Nov 01, 2008 8:24 pm    Post subject: Reply with quote

Think4UrS11 wrote:
nicht direkt; ein Wrap ist vieles aber sicher nicht schnell ;)

Etwa dieses WRAP?
Hach.... Herrliche Teile. Habe zwei Stück davon im Einsatz. Suuuuper!!!

Aber wie du sagst... schnell? Mitnichten :lol:
_________________
Ich bin Schuldknappe. Das bedeutet ich bin immer an allem Schuld. Und das nicht zu knapp! | Der alltägliche Familienwahnsinn auf meinem BLOG
Back to top
View user's profile Send private message
pieter_parker
Veteran
Veteran


Joined: 07 Aug 2006
Posts: 1488
Location: 127.0.0.1

PostPosted: Sun Nov 02, 2008 11:08 am    Post subject: Reply with quote

kann man 384 oder 512 bit lange passwoerter verwenden ?
Back to top
View user's profile Send private message
kernelOfTruth
Watchman
Watchman


Joined: 20 Dec 2005
Posts: 6111
Location: Vienna, Austria; Germany; hello world :)

PostPosted: Sun Nov 02, 2008 9:54 pm    Post subject: Reply with quote

pieter_parker wrote:
kann man 384 oder 512 bit lange passwoerter verwenden ?


OUCH!

wie willst du dir das bitte merken ? ;)

mein passwort ist in der Reinform um die 130-140 bit lang

für wie sicher schätzt ihr whirlpool512 als hash-algorithmus ein ?

also der luksFormat Befehl lautet bei mir:

Quote:
cryptsetup -y --cipher twofish-lrw-benbi --key-size 384 -h wp512 luksFormat /dev/foo


gibst neben benbi noch was besseres ?

Quote:
* Different IV generation algorithms:
*
* plain: the initial vector is the 32-bit little-endian version of the sector
* number, padded with zeros if necessary.
*
* essiv: "encrypted sector|salt initial vector", the sector number is
* encrypted with the bulk cipher using a salt as key. The salt
* should be derived from the bulk cipher's key via hashing.
*
* benbi: the 64-bit "big-endian 'narrow block'-count", starting at 1
* (needed for LRW-32-AES and possible other narrow block modes)
*
* null: the initial vector is always zero. Provides compatibility with
* obsolete loop_fish2 devices. Do not use for new devices.


V generation algorithms gibt es wohl noch nicht - oder ?
_________________
https://github.com/kernelOfTruth/ZFS-for-SystemRescueCD/tree/ZFS-for-SysRescCD-4.9.0
https://github.com/kernelOfTruth/pulseaudio-equalizer-ladspa

Hardcore Gentoo Linux user since 2004 :D
Back to top
View user's profile Send private message
pieter_parker
Veteran
Veteran


Joined: 07 Aug 2006
Posts: 1488
Location: 127.0.0.1

PostPosted: Sun Nov 02, 2008 10:08 pm    Post subject: Reply with quote

was bedeutet 130...140 bit in der reinform lang ?

sorrie, aber es faellt mir noch schwer das alles zuverstehen
Back to top
View user's profile Send private message
kernelOfTruth
Watchman
Watchman


Joined: 20 Dec 2005
Posts: 6111
Location: Vienna, Austria; Germany; hello world :)

PostPosted: Mon Nov 03, 2008 12:33 am    Post subject: Reply with quote

pieter_parker wrote:
was bedeutet 130...140 bit in der reinform lang ?

sorrie, aber es faellt mir noch schwer das alles zuverstehen


na das ist das, was zumindest truecrypt anzeigt:

ich hab's dort mal als passwort eingegeben und es wurden über 130 bit angezeigt :wink: (wieviel zeichen das sind hängt vom einsatz der sonderzeichen bzw. zeichen generell ab)
_________________
https://github.com/kernelOfTruth/ZFS-for-SystemRescueCD/tree/ZFS-for-SysRescCD-4.9.0
https://github.com/kernelOfTruth/pulseaudio-equalizer-ladspa

Hardcore Gentoo Linux user since 2004 :D
Back to top
View user's profile Send private message
think4urs11
Bodhisattva
Bodhisattva


Joined: 25 Jun 2003
Posts: 6659
Location: above the cloud

PostPosted: Mon Nov 03, 2008 8:11 am    Post subject: Reply with quote

kernelOfTruth wrote:
Quote:
* Different IV generation algorithms:
V generation algorithms gibt es wohl noch nicht - oder ?

Also falls sich die Frage nach V auf eine Art Version beziehen soll - in dem Kontext steht 'IV generation' nicht für '4te Generation' sondern für den Initialization Vector' ;)

pieter_parker wrote:
was bedeutet 130...140 bit in der reinform lang ?

Grob gerechnet kommst du mit Groß/Kleinschreibung auf knapp 6Bit/Zeichen, mit Ziffern und den diversen druckbaren Sonderzeichen dazu auf gut 7. Ergibt also 'über den breiten Daumen' ca. 20 Zeichen.
Für den Hausgebrauch 'tut' es auch ein simpler Merksatz ala 'Mein Hamster furzt im Schlaf' oder 'Popel helfen gegen Durchfall'. Es dürfte mit herkömmlichen Passwortknackern ausreichend lange dauern den zu knacken und es ist merkbar. Und ja das widerspricht der Regel das Paßworte in keinem Wörterbuch stehen sollten; ist aber für non-military-use recht brauchbar.
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself
Back to top
View user's profile Send private message
l3u
Advocate
Advocate


Joined: 26 Jan 2005
Posts: 2537
Location: Konradsreuth (Germany)

PostPosted: Mon Nov 03, 2008 9:09 am    Post subject: Reply with quote

Na dann muß man's halt als 13376p34k schreiben, und schon steht's nicht mehr im Wörterbuch:
Quote:
M3!n H4m5t3r furz7 1m 5ch14f

Quote:
P0p31 h31f3n g3g3n Durchf411

oder sowas ;-)
Back to top
View user's profile Send private message
mv
Watchman
Watchman


Joined: 20 Apr 2005
Posts: 6747

PostPosted: Mon Nov 03, 2008 11:18 am    Post subject: Reply with quote

l3u wrote:
Na dann muß man's halt als 13376p34k schreiben, und schon steht's nicht mehr im Wörterbuch:

Und was hast Du dadurch gewonnen? Gerade ein paar Bits Redundanz mehr pro Wort! Es ist tatsächlich nicht schlimm, wenn die Worte in einem Wörterbuch stehen, vor allem wenn sie kurz sind, weil das auch nur ein paar Bytes pro Wort verkürzt. Den Hinweis, lieber einen langen Satz zu nehmen, als verkorkste Zeichen, die dann unbequem einzugeben sind und daher in der Praxis das Passwort verkürzen, haben sogar Microsoft auf einer Seite mit Sicherheitshinweisen veröffentlicht (den Link habe ich jetzt nicht zur Hand, aber die Hinweise waren wirklich seriös und alle mathematisch begründet).
Back to top
View user's profile Send private message
l3u
Advocate
Advocate


Joined: 26 Jan 2005
Posts: 2537
Location: Konradsreuth (Germany)

PostPosted: Mon Nov 03, 2008 2:08 pm    Post subject: Reply with quote

Na dann …
Back to top
View user's profile Send private message
tamiko
Developer
Developer


Joined: 02 Sep 2006
Posts: 96

PostPosted: Wed Nov 05, 2008 12:25 am    Post subject: Reply with quote

Und bitte, bitte, egal was ihr tut.

Benutzt LUKS

Also
Code:
cryptsetup luksFormat ....
Und dann luksOpen zum öffnen...

Denn ihr wollt eine sinnvolle Passwortableitung.
Back to top
View user's profile Send private message
pieter_parker
Veteran
Veteran


Joined: 07 Aug 2006
Posts: 1488
Location: 127.0.0.1

PostPosted: Thu Nov 06, 2008 1:33 pm    Post subject: Reply with quote

wie ist das eigentlich wenn ich nicht zukomme
cryptsetup luksClose festplatte
zumachen weil .. weil z.b. ein stromausfall war
mit welchem schaden ist zurechnen ?
Back to top
View user's profile Send private message
kernelOfTruth
Watchman
Watchman


Joined: 20 Dec 2005
Posts: 6111
Location: Vienna, Austria; Germany; hello world :)

PostPosted: Thu Nov 06, 2008 1:35 pm    Post subject: Reply with quote

pieter_parker wrote:
wie ist das eigentlich wenn ich nicht zukomme
cryptsetup luksClose festplatte
zumachen weil .. weil z.b. ein stromausfall war
mit welchem schaden ist zurechnen ?


das dürfte nix ausmachen, im grunde hängt das aber vom zugrundeliegenden dateisystem ab:

* mit jfs hatte ich alle daten der partition verloren (unsauber umounted oder was weiß ich)
* mit reiserfs hatte ich bis jetzt, soviel ich weiß, keine probleme
* xfs ...
* ...
_________________
https://github.com/kernelOfTruth/ZFS-for-SystemRescueCD/tree/ZFS-for-SysRescCD-4.9.0
https://github.com/kernelOfTruth/pulseaudio-equalizer-ladspa

Hardcore Gentoo Linux user since 2004 :D


Last edited by kernelOfTruth on Thu Nov 06, 2008 2:59 pm; edited 1 time in total
Back to top
View user's profile Send private message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2970
Location: Germany

PostPosted: Thu Nov 06, 2008 2:43 pm    Post subject: Reply with quote

pieter_parker wrote:
wie ist das eigentlich wenn ich nicht zukomme
cryptsetup luksClose festplatte
zumachen weil .. weil z.b. ein stromausfall war
mit welchem schaden ist zurechnen ?


Wie mein Vorredner schon sagte hängt das stark vom FS ab.

Bei meiner ext3-Partition ist bisher nie was passiert. Und die hat schon einiges mitmachen müssen als mit der USV rumgebastelt habe ;)
_________________
...it's only Rock'n'Roll, but I like it!
Back to top
View user's profile Send private message
amne
Bodhisattva
Bodhisattva


Joined: 17 Nov 2002
Posts: 6378
Location: Graz / EU

PostPosted: Thu Nov 06, 2008 7:43 pm    Post subject: Reply with quote

l3u wrote:
@amne: Ich benutze EncFS jetzt schon ein paar Jahre und hatte noch nie Probleme damit. Läuft stabil und ist äußerst praktisch, bisher gab es auch keine Inkompatibilitäten oder sowas. Wird vermutlich langsamer sein als z. B. dm-crypt, aber es ist ja auch nicht dazu gedacht, eine ganze Partition zu verschlüsseln. Und mir geht es zumindest so, daß ich nicht alles verschlüsseln will, sondern eben nur ein paar „wichtige“ Sachen. Und dafür ist es einfach perfekt.


Danke, tut inzwischen bei mir auch fein!
_________________
Dinosaur week! (Ok, this thread is so last week)
Back to top
View user's profile Send private message
schachti
Advocate
Advocate


Joined: 28 Jul 2003
Posts: 3765
Location: Gifhorn, Germany

PostPosted: Sun Nov 09, 2008 3:53 pm    Post subject: Reply with quote

Zumindest einer der Twofish-Erfinder (!) empfiehlt, AES anstatt Twofish zu benutzen: http://groups.google.com/group/sci.crypt/browse_thread/thread/7834ad13db22e207/6f6e157149330057.
_________________
Never argue with an idiot. He brings you down to his level, then beats you with experience.

How-To: Daten verschlüsselt auf DVD speichern.
Back to top
View user's profile Send private message
Sujao
l33t
l33t


Joined: 25 Sep 2004
Posts: 677
Location: Germany

PostPosted: Sun Dec 07, 2008 1:15 pm    Post subject: Reply with quote

Hab seit ca 3 Jahren XFS und ext3 alles mit LUKS+AES256 verschlüsselt. Bisher keinerlei Probleme gehabt. Denke da gehts einem mit Verschlüßelung nicht anders wie ohne Verschlüßelung.

Ich finde, dass diese Diskussion über Algorithmen Schwachsinn sind. Ihr seid nicht der CIA oder Bundesnachrichtendienst mit einer Selbsmordpille in eurem Mund und hochbrisanten Daten.

Wenn die Leute wirklich an eure Daten ranwollen, dann brechen die bei euch ein, wenn ihr nicht zu Hause seid und installieren eine 1cm³ Kamera und filmen eure Passwordeingabe ab oder installieren einen 0.3cm³ Keylogger, den ihr niemals bemerken werdet.
Oder wenn das keine staatliche Organisation ist, dann kommen die zu euch nach Hause und kneifen euch solange Finger mit der Zange ab, bis ihr das Passwort verratet.

Also scheisst drauf ob die Platte nun in 1 oder 2 Jahren mit einem Supercomputer gecrackt werden kann. Die Fingerabkneifmethode kostet maximal 0.0001 und hat die gleiche Wirkung.
Back to top
View user's profile Send private message
ScytheMan
l33t
l33t


Joined: 30 Nov 2005
Posts: 605

PostPosted: Sun Dec 07, 2008 1:26 pm    Post subject: Reply with quote

Sujao wrote:

Ich finde, dass diese Diskussion über Algorithmen Schwachsinn sind. Ihr seid nicht der CIA oder Bundesnachrichtendienst mit einer Selbsmordpille in eurem Mund und hochbrisanten Daten.


Und wer nichts zu verbergen hat, der muss erst gar nicht verschlüsseln. Ihr seid doch alles potentielle Terorristen!

Sry, aber erklär mir den Zusammenhang zwischen Algorithmen und Brisanz der Daten.
Back to top
View user's profile Send private message
Sujao
l33t
l33t


Joined: 25 Sep 2004
Posts: 677
Location: Germany

PostPosted: Mon Dec 08, 2008 12:41 pm    Post subject: Reply with quote

Denk nochmal nach über das was ich geschrieben habe. Das was du schreibst, habe ich nie behauptet.
Back to top
View user's profile Send private message
SkaaliaN
Veteran
Veteran


Joined: 21 Apr 2005
Posts: 1360
Location: Valhalla

PostPosted: Tue Dec 09, 2008 12:49 pm    Post subject: Reply with quote

ScytheMan wrote:
Sujao wrote:

Ich finde, dass diese Diskussion über Algorithmen Schwachsinn sind. Ihr seid nicht der CIA oder Bundesnachrichtendienst mit einer Selbsmordpille in eurem Mund und hochbrisanten Daten.


Und wer nichts zu verbergen hat, der muss erst gar nicht verschlüsseln. Ihr seid doch alles potentielle Terorristen!

Sry, aber erklär mir den Zusammenhang zwischen Algorithmen und Brisanz der Daten.


Sorry..aber so einen Blödsinn habe ich selten gelesen..! Es gibt auch noch Leute die evtl. personenbezogene Daten Zuhause haben!? Und selbst wenn nicht...!? Man kann sich für solche Dinge interessieren. Wieso sollte man es nicht tun!? Ist das verboten? Dein Post zeugt nicht von geistiger Reife...
_________________
c'ya !
skaalian
Back to top
View user's profile Send private message
ScytheMan
l33t
l33t


Joined: 30 Nov 2005
Posts: 605

PostPosted: Tue Dec 09, 2008 2:27 pm    Post subject: Reply with quote

*hust* http://de.wikipedia.org/wiki/Ironie *hust*, sry mein Hals. Die Aussage hat doch förmlich nach Ironie gestunken... vllt. sind Ironietags wohl doch nicht so unnütz wie ich dachte, wenn erwartet wird, dass alles offenkundig sein muss.

Allerdings disqualifiziert man sich mit Aussagen wie "Diskussionen über Algorithmen sind Schwachsinn" für eine weitere Diskussion, denn eine Verschlüsselung besteht nunmal im Kern aus einem Algorithmus. Prinzipiell ist es egal, wie wichtig die Daten sind. Eine Verschlüsselung dient für mich vor allem der Zugangskontrolle, keiner hat eben darauf Zugriff ohne Erlaubnis. Und wenn es dann um Sicherheit geht, dann will ich den sichersten Algorithmus und keinen unsicheren. Wofür ich da ein Geheimdienst sein muss, weiß ich nicht. WEP kann quasi auch jeder knacken. Oder nutzt du etwa immer noch WEP, weil Diskussionen über Algorithmen Schwachsinn sind?

Achja, das es keine 100%ige Sicherheit gibt und geben wird, ist denke ich jedem klar.
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Diskussionsforum All times are GMT
Goto page Previous  1, 2, 3, 4, 5, 6  Next
Page 2 of 6

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum