View previous topic :: View next topic |
Author |
Message |
pieter_parker Veteran
Joined: 07 Aug 2006 Posts: 1488 Location: 127.0.0.1
|
Posted: Sat Nov 01, 2008 3:50 pm Post subject: |
|
|
lese was ihr schreibt manchmal 2 mal durch bis ich es halbwegs verstanden hab
gut, cbc also nix gut, und wie ist es mit cbc mit essiv erweiterung ?
also
cryptsetup -v -c aes-cbc-essiv:sha256 -h sha -s 256 luksFormat /dev/...
fuer wie sicher haltet ihr das ?
lrw und xts sind sind beide im kernel als experimental makiert, nutze "expirmental" makierte sachen meistens nur wenn es wirklich notwendig ist
was versteht ihr unter einem "gutem passwort" ?
cryptsetup -v -c aes-cbc-essiv:sha256 -h sha -s 256 luksFormat /dev/...
wenn das denn sicher ist (??) wuerde ich dafuer ein passwort mit 43 zeichen verwenden das grosse und kleine buchstaben hat, zahlen von 0 bis 9 und mindestes 10 sonderzeichen hat, oder besser mehr sonderzeichen ? gibt es sonderzeichen die nicht erlaubt sind ? |
|
Back to top |
|
|
mv Watchman
Joined: 20 Apr 2005 Posts: 6747
|
Posted: Sat Nov 01, 2008 4:21 pm Post subject: |
|
|
Für Passworte gilt generell: Hauptsache lang. Und am Einfachsten verwendest Du keine Sonderzeichen, dann kannst Du auch niemals Ärger damit haben. Da die Länge exponentiell, die Zeichenzahl aber nur polynomial eingeht, zeigt eine einfache Rechnung, dass schon sehr wenige Zeichen mehr die Nichtbenutzung von Sonderzeichen kompensieren. |
|
Back to top |
|
|
boris64 Veteran
Joined: 04 Oct 2003 Posts: 1770 Location: Vechelde/Peine
|
Posted: Sat Nov 01, 2008 4:32 pm Post subject: |
|
|
Ich würde zuerst einmal den Hash mit "sha" nicht angeben, da eh ohne explizite
Angabe per default "ripemd160" ausgewählt wird, bei welchem (wenigstens laut Wikipedia :/)
noch keine echten Schwächen bekannt geworden sind.
Auch bei der Erstellung von Truecrypt-Containern wird imo standardmäßig ripemd-160 benutzt.
Was Passwörter angeht, empfehle ich zusätzliche Schlüsseldateien (z.B. mit Inhalt aus /dev/urandom),
die man auf einem externem Media (USB-Stick o.ä.) mitnehmen kann. _________________ boris64.net 200x / visit my desktop / try these tiny kernel patches |
|
Back to top |
|
|
pieter_parker Veteran
Joined: 07 Aug 2006 Posts: 1488 Location: 127.0.0.1
|
Posted: Sat Nov 01, 2008 5:15 pm Post subject: |
|
|
also so
cryptsetup -v -c aes-cbc-essiv:sha256 -s 256 luksFormat /dev/...
?
wie lang sollte denn das passwort sein ?
oder wie gross, wieviel zeichen sollte eine schluesseldatei sein ? |
|
Back to top |
|
|
cryptosteve Veteran
Joined: 04 Jan 2004 Posts: 1169 Location: GER
|
Posted: Sat Nov 01, 2008 7:00 pm Post subject: |
|
|
Hier ist via LUKS mit aes-cbc-essiv:sha256 verschlüsselt. Mein Passwort ist >15 Zeichen lang und enthält Gross-/Kleinschreibung, sowie Sonderzeichen. Das reicht fürs erste; diejenigen, die die Kiste im Notfall brechen könnten, sind mir eh wurscht, weil ich - falls es jemals soweit kommt, dass solche Freaks an meiner Kiste arbeiten - das Sonnenlicht eh nie wiedersehen werde. _________________ - born to create drama -
gpg: 0x9B6C7E15
CS Virtual Travel Bug: VF6G5D |
|
Back to top |
|
|
STiGMaTa_ch Veteran
Joined: 28 Dec 2004 Posts: 1686 Location: Rüti ZH / Schweiz
|
Posted: Sat Nov 01, 2008 8:24 pm Post subject: |
|
|
Think4UrS11 wrote: | nicht direkt; ein Wrap ist vieles aber sicher nicht schnell |
Etwa dieses WRAP?
Hach.... Herrliche Teile. Habe zwei Stück davon im Einsatz. Suuuuper!!!
Aber wie du sagst... schnell? Mitnichten _________________ Ich bin Schuldknappe. Das bedeutet ich bin immer an allem Schuld. Und das nicht zu knapp! | Der alltägliche Familienwahnsinn auf meinem BLOG |
|
Back to top |
|
|
pieter_parker Veteran
Joined: 07 Aug 2006 Posts: 1488 Location: 127.0.0.1
|
Posted: Sun Nov 02, 2008 11:08 am Post subject: |
|
|
kann man 384 oder 512 bit lange passwoerter verwenden ? |
|
Back to top |
|
|
kernelOfTruth Watchman
Joined: 20 Dec 2005 Posts: 6111 Location: Vienna, Austria; Germany; hello world :)
|
Posted: Sun Nov 02, 2008 9:54 pm Post subject: |
|
|
pieter_parker wrote: | kann man 384 oder 512 bit lange passwoerter verwenden ? |
OUCH!
wie willst du dir das bitte merken ?
mein passwort ist in der Reinform um die 130-140 bit lang
für wie sicher schätzt ihr whirlpool512 als hash-algorithmus ein ?
also der luksFormat Befehl lautet bei mir:
Quote: | cryptsetup -y --cipher twofish-lrw-benbi --key-size 384 -h wp512 luksFormat /dev/foo |
gibst neben benbi noch was besseres ?
Quote: | * Different IV generation algorithms:
*
* plain: the initial vector is the 32-bit little-endian version of the sector
* number, padded with zeros if necessary.
*
* essiv: "encrypted sector|salt initial vector", the sector number is
* encrypted with the bulk cipher using a salt as key. The salt
* should be derived from the bulk cipher's key via hashing.
*
* benbi: the 64-bit "big-endian 'narrow block'-count", starting at 1
* (needed for LRW-32-AES and possible other narrow block modes)
*
* null: the initial vector is always zero. Provides compatibility with
* obsolete loop_fish2 devices. Do not use for new devices. |
V generation algorithms gibt es wohl noch nicht - oder ? _________________ https://github.com/kernelOfTruth/ZFS-for-SystemRescueCD/tree/ZFS-for-SysRescCD-4.9.0
https://github.com/kernelOfTruth/pulseaudio-equalizer-ladspa
Hardcore Gentoo Linux user since 2004 |
|
Back to top |
|
|
pieter_parker Veteran
Joined: 07 Aug 2006 Posts: 1488 Location: 127.0.0.1
|
Posted: Sun Nov 02, 2008 10:08 pm Post subject: |
|
|
was bedeutet 130...140 bit in der reinform lang ?
sorrie, aber es faellt mir noch schwer das alles zuverstehen |
|
Back to top |
|
|
kernelOfTruth Watchman
Joined: 20 Dec 2005 Posts: 6111 Location: Vienna, Austria; Germany; hello world :)
|
|
Back to top |
|
|
think4urs11 Bodhisattva
Joined: 25 Jun 2003 Posts: 6659 Location: above the cloud
|
Posted: Mon Nov 03, 2008 8:11 am Post subject: |
|
|
kernelOfTruth wrote: | Quote: | * Different IV generation algorithms: | V generation algorithms gibt es wohl noch nicht - oder ? |
Also falls sich die Frage nach V auf eine Art Version beziehen soll - in dem Kontext steht 'IV generation' nicht für '4te Generation' sondern für den Initialization Vector'
pieter_parker wrote: | was bedeutet 130...140 bit in der reinform lang ? |
Grob gerechnet kommst du mit Groß/Kleinschreibung auf knapp 6Bit/Zeichen, mit Ziffern und den diversen druckbaren Sonderzeichen dazu auf gut 7. Ergibt also 'über den breiten Daumen' ca. 20 Zeichen.
Für den Hausgebrauch 'tut' es auch ein simpler Merksatz ala 'Mein Hamster furzt im Schlaf' oder 'Popel helfen gegen Durchfall'. Es dürfte mit herkömmlichen Passwortknackern ausreichend lange dauern den zu knacken und es ist merkbar. Und ja das widerspricht der Regel das Paßworte in keinem Wörterbuch stehen sollten; ist aber für non-military-use recht brauchbar. _________________ Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself |
|
Back to top |
|
|
l3u Advocate
Joined: 26 Jan 2005 Posts: 2540 Location: Konradsreuth (Germany)
|
Posted: Mon Nov 03, 2008 9:09 am Post subject: |
|
|
Na dann muß man's halt als 13376p34k schreiben, und schon steht's nicht mehr im Wörterbuch:
Quote: | M3!n H4m5t3r furz7 1m 5ch14f |
Quote: | P0p31 h31f3n g3g3n Durchf411 |
oder sowas ;-) |
|
Back to top |
|
|
mv Watchman
Joined: 20 Apr 2005 Posts: 6747
|
Posted: Mon Nov 03, 2008 11:18 am Post subject: |
|
|
l3u wrote: | Na dann muß man's halt als 13376p34k schreiben, und schon steht's nicht mehr im Wörterbuch: |
Und was hast Du dadurch gewonnen? Gerade ein paar Bits Redundanz mehr pro Wort! Es ist tatsächlich nicht schlimm, wenn die Worte in einem Wörterbuch stehen, vor allem wenn sie kurz sind, weil das auch nur ein paar Bytes pro Wort verkürzt. Den Hinweis, lieber einen langen Satz zu nehmen, als verkorkste Zeichen, die dann unbequem einzugeben sind und daher in der Praxis das Passwort verkürzen, haben sogar Microsoft auf einer Seite mit Sicherheitshinweisen veröffentlicht (den Link habe ich jetzt nicht zur Hand, aber die Hinweise waren wirklich seriös und alle mathematisch begründet). |
|
Back to top |
|
|
l3u Advocate
Joined: 26 Jan 2005 Posts: 2540 Location: Konradsreuth (Germany)
|
Posted: Mon Nov 03, 2008 2:08 pm Post subject: |
|
|
Na dann … |
|
Back to top |
|
|
tamiko Developer
Joined: 02 Sep 2006 Posts: 96
|
Posted: Wed Nov 05, 2008 12:25 am Post subject: |
|
|
Und bitte, bitte, egal was ihr tut.
Benutzt LUKS
Also Code: | cryptsetup luksFormat .... | Und dann luksOpen zum öffnen...
Denn ihr wollt eine sinnvolle Passwortableitung. |
|
Back to top |
|
|
pieter_parker Veteran
Joined: 07 Aug 2006 Posts: 1488 Location: 127.0.0.1
|
Posted: Thu Nov 06, 2008 1:33 pm Post subject: |
|
|
wie ist das eigentlich wenn ich nicht zukomme
cryptsetup luksClose festplatte
zumachen weil .. weil z.b. ein stromausfall war
mit welchem schaden ist zurechnen ? |
|
Back to top |
|
|
kernelOfTruth Watchman
Joined: 20 Dec 2005 Posts: 6111 Location: Vienna, Austria; Germany; hello world :)
|
Posted: Thu Nov 06, 2008 1:35 pm Post subject: |
|
|
pieter_parker wrote: | wie ist das eigentlich wenn ich nicht zukomme
cryptsetup luksClose festplatte
zumachen weil .. weil z.b. ein stromausfall war
mit welchem schaden ist zurechnen ? |
das dürfte nix ausmachen, im grunde hängt das aber vom zugrundeliegenden dateisystem ab:
* mit jfs hatte ich alle daten der partition verloren (unsauber umounted oder was weiß ich)
* mit reiserfs hatte ich bis jetzt, soviel ich weiß, keine probleme
* xfs ...
* ... _________________ https://github.com/kernelOfTruth/ZFS-for-SystemRescueCD/tree/ZFS-for-SysRescCD-4.9.0
https://github.com/kernelOfTruth/pulseaudio-equalizer-ladspa
Hardcore Gentoo Linux user since 2004
Last edited by kernelOfTruth on Thu Nov 06, 2008 2:59 pm; edited 1 time in total |
|
Back to top |
|
|
Anarcho Advocate
Joined: 06 Jun 2004 Posts: 2970 Location: Germany
|
Posted: Thu Nov 06, 2008 2:43 pm Post subject: |
|
|
pieter_parker wrote: | wie ist das eigentlich wenn ich nicht zukomme
cryptsetup luksClose festplatte
zumachen weil .. weil z.b. ein stromausfall war
mit welchem schaden ist zurechnen ? |
Wie mein Vorredner schon sagte hängt das stark vom FS ab.
Bei meiner ext3-Partition ist bisher nie was passiert. Und die hat schon einiges mitmachen müssen als mit der USV rumgebastelt habe _________________ ...it's only Rock'n'Roll, but I like it! |
|
Back to top |
|
|
amne Bodhisattva
Joined: 17 Nov 2002 Posts: 6378 Location: Graz / EU
|
Posted: Thu Nov 06, 2008 7:43 pm Post subject: |
|
|
l3u wrote: | @amne: Ich benutze EncFS jetzt schon ein paar Jahre und hatte noch nie Probleme damit. Läuft stabil und ist äußerst praktisch, bisher gab es auch keine Inkompatibilitäten oder sowas. Wird vermutlich langsamer sein als z. B. dm-crypt, aber es ist ja auch nicht dazu gedacht, eine ganze Partition zu verschlüsseln. Und mir geht es zumindest so, daß ich nicht alles verschlüsseln will, sondern eben nur ein paar „wichtige“ Sachen. Und dafür ist es einfach perfekt. |
Danke, tut inzwischen bei mir auch fein! _________________ Dinosaur week! (Ok, this thread is so last week) |
|
Back to top |
|
|
schachti Advocate
Joined: 28 Jul 2003 Posts: 3765 Location: Gifhorn, Germany
|
|
Back to top |
|
|
Sujao l33t
Joined: 25 Sep 2004 Posts: 677 Location: Germany
|
Posted: Sun Dec 07, 2008 1:15 pm Post subject: |
|
|
Hab seit ca 3 Jahren XFS und ext3 alles mit LUKS+AES256 verschlüsselt. Bisher keinerlei Probleme gehabt. Denke da gehts einem mit Verschlüßelung nicht anders wie ohne Verschlüßelung.
Ich finde, dass diese Diskussion über Algorithmen Schwachsinn sind. Ihr seid nicht der CIA oder Bundesnachrichtendienst mit einer Selbsmordpille in eurem Mund und hochbrisanten Daten.
Wenn die Leute wirklich an eure Daten ranwollen, dann brechen die bei euch ein, wenn ihr nicht zu Hause seid und installieren eine 1cm³ Kamera und filmen eure Passwordeingabe ab oder installieren einen 0.3cm³ Keylogger, den ihr niemals bemerken werdet.
Oder wenn das keine staatliche Organisation ist, dann kommen die zu euch nach Hause und kneifen euch solange Finger mit der Zange ab, bis ihr das Passwort verratet.
Also scheisst drauf ob die Platte nun in 1 oder 2 Jahren mit einem Supercomputer gecrackt werden kann. Die Fingerabkneifmethode kostet maximal 0.0001 und hat die gleiche Wirkung. |
|
Back to top |
|
|
ScytheMan l33t
Joined: 30 Nov 2005 Posts: 605
|
Posted: Sun Dec 07, 2008 1:26 pm Post subject: |
|
|
Sujao wrote: |
Ich finde, dass diese Diskussion über Algorithmen Schwachsinn sind. Ihr seid nicht der CIA oder Bundesnachrichtendienst mit einer Selbsmordpille in eurem Mund und hochbrisanten Daten.
|
Und wer nichts zu verbergen hat, der muss erst gar nicht verschlüsseln. Ihr seid doch alles potentielle Terorristen!
Sry, aber erklär mir den Zusammenhang zwischen Algorithmen und Brisanz der Daten. |
|
Back to top |
|
|
Sujao l33t
Joined: 25 Sep 2004 Posts: 677 Location: Germany
|
Posted: Mon Dec 08, 2008 12:41 pm Post subject: |
|
|
Denk nochmal nach über das was ich geschrieben habe. Das was du schreibst, habe ich nie behauptet. |
|
Back to top |
|
|
SkaaliaN Veteran
Joined: 21 Apr 2005 Posts: 1360 Location: Valhalla
|
Posted: Tue Dec 09, 2008 12:49 pm Post subject: |
|
|
ScytheMan wrote: | Sujao wrote: |
Ich finde, dass diese Diskussion über Algorithmen Schwachsinn sind. Ihr seid nicht der CIA oder Bundesnachrichtendienst mit einer Selbsmordpille in eurem Mund und hochbrisanten Daten.
|
Und wer nichts zu verbergen hat, der muss erst gar nicht verschlüsseln. Ihr seid doch alles potentielle Terorristen!
Sry, aber erklär mir den Zusammenhang zwischen Algorithmen und Brisanz der Daten. |
Sorry..aber so einen Blödsinn habe ich selten gelesen..! Es gibt auch noch Leute die evtl. personenbezogene Daten Zuhause haben!? Und selbst wenn nicht...!? Man kann sich für solche Dinge interessieren. Wieso sollte man es nicht tun!? Ist das verboten? Dein Post zeugt nicht von geistiger Reife... _________________ c'ya !
skaalian |
|
Back to top |
|
|
ScytheMan l33t
Joined: 30 Nov 2005 Posts: 605
|
Posted: Tue Dec 09, 2008 2:27 pm Post subject: |
|
|
*hust* http://de.wikipedia.org/wiki/Ironie *hust*, sry mein Hals. Die Aussage hat doch förmlich nach Ironie gestunken... vllt. sind Ironietags wohl doch nicht so unnütz wie ich dachte, wenn erwartet wird, dass alles offenkundig sein muss.
Allerdings disqualifiziert man sich mit Aussagen wie "Diskussionen über Algorithmen sind Schwachsinn" für eine weitere Diskussion, denn eine Verschlüsselung besteht nunmal im Kern aus einem Algorithmus. Prinzipiell ist es egal, wie wichtig die Daten sind. Eine Verschlüsselung dient für mich vor allem der Zugangskontrolle, keiner hat eben darauf Zugriff ohne Erlaubnis. Und wenn es dann um Sicherheit geht, dann will ich den sichersten Algorithmus und keinen unsicheren. Wofür ich da ein Geheimdienst sein muss, weiß ich nicht. WEP kann quasi auch jeder knacken. Oder nutzt du etwa immer noch WEP, weil Diskussionen über Algorithmen Schwachsinn sind?
Achja, das es keine 100%ige Sicherheit gibt und geben wird, ist denke ich jedem klar. |
|
Back to top |
|
|
|