[bartii]

Für Truecrypt spricht, dass es plattformunabhängig ist.

[Skaroth]

Man muss nicht den kompletten Quelltext einsehen, es reicht, wie schon von Overflow erwähnt, der verschlüsselungsrelevante Teil. Und glaub mir, da gibt es genug Personen, die den Quelltext mal durchsehen. An Universitäten werden Verschlüsselungsalgorithmen getestet. Aber nicht nur Algorithmen, sondern auch andere Methoden, Verschüsselungen zu umgehen. Dass dabei auch Verschlüsselungstools getestet werden, ist nicht neu.

Der neueste Fall war die Methode, den Arbeitsspeicher so schnell wie möglich auszubauen und stark zu kühlen. Die Daten bleiben erhalten und der Key kann aus dem RAM gelesen werden. So gut wie jede Verschlüsselungssoftware ist dagegen machtlos.
Link: http://candyfoss.com/2008/02/22/bitlocker-...crypt-unlocked/

Zudem kann man auch Google benutzen. Es gab z.B. Fälle, in denen die Verschlüsselungssoftware BestCrypt versagt hat (jedoch nicht aufgrund von schlecht gewähltem Passwort).

Was den Bypass in PGP Whole Disk Encryption betrifft: Habe ich weder gehört, noch gelesen. Eine derartige Regelung in den USA ist mir unbekannt, lediglich der Export ist beschränkt.

Zitat

Btw. haste Link auf eine Seite wo steht wie man Bitlocker "aushebelt" meines Wissens geht das nur mit EFS und da auch nur mit Aufwand und Adminrechten.

Frag mich jetzt nicht. Die Meldung kam damals zum Vista Release raus und hat BitLocker betroffen. Nen Link kann ich dir dazu nicht mehr geben. Dennoch kann ich dir sagen, dass BitLocker unsicher ist, da der Quellcode nicht offen ist und die Gefahr sehr hoch ist, dass ein Backdoor vorhanden ist. Bei Apple ist dies auch durchaus vorstellbar, wobei hier eher die Verschlüsselung mies ist. Der Chaos Computer Club hat dazu mal eine Präsentation abgehalten (Link: www.ccc.de).

Dieser Beitrag wurde von Skaroth bearbeitet: 15. Oktober 2008 - 23:05

[XDestroy]

@Overflow und Skaroth: Doch, Hersteller von Sicherheitssoftware in den USA müssen ein Backdoor für die Regierung einbauen! PGP hat eine solche Funktion. Google fragen nach "Bypass PGP". Werdet ihr sicher was finden. Das Gesetz lässt sich auch über Google schnell finden. Es gibt die seltsamsten Gesetze. Das Export-Gesetz stammt zudem noch aus Zeiten, wo einige hier noch nicht mal in Planung waren.

Diese Methode den Speicher zu kühlen und den Schlüssel dann zu extrahieren war die, die ich gemeint habe. Wenn es noch eine andere gibt speziell für Bitlocker, dann wundert es mich nicht. Microsoft als Author von Sicherheit ist zu paradox.

Es reicht nicht aus, den Verschlüsselungsrelevanten Teil einzusehen. Ein Backdoor kann in jeder Datei stehen. Von dort kann man leicht über inline-asm (wodurch sich dann der Kreis derer, die es lesen können nochmal drastisch verkleinert) interrupt-gesteuert durch L1 oder L2-Cache jede eingabe überbrücken lassen. Der entsprechende Teil muss nur irgendwo im CPU-Speicher liegen und kann weniger Bytes groß sein. Ein bisschen C-Code durchlesen in den Klassen, wo es die meisten vermuten reicht da nicht aus.

VG

EDIT: Es gibt oder gab in England glaube ich sogar mal ein Gesetz, mit dem jemand gezwungen werden kann, seine Passwörter rauszugeben. Wenn nicht waren glaube ich bis zu 18 Monate Haft möglich.

Dieser Beitrag wurde von XDestroy bearbeitet: 16. Oktober 2008 - 04:59

[Overflow]

Zitat (XDestroy: 16.10.2008, 05:57)

@Overflow und Skaroth: Doch, Hersteller von Sicherheitssoftware in den USA müssen ein Backdoor für die Regierung einbauen! PGP hat eine solche Funktion.

Blödsinn. In den 90er Jahren wurden Keys die größer als 40bit sind, als "Munition" eingestuft, was einen Export von PGP (was damals 128bit Keys nutzte) als Straftat einstufen würde. Deshalb wurde der gesammte Quellcode veröffentlicht. Selbst Bruce Schneider hält PGP für sicher.

Zitat

Google fragen nach "Bypass PGP". Werdet ihr sicher was finden. Das Gesetz lässt sich auch über Google schnell finden. Es gibt die seltsamsten Gesetze.

Dann poste doch mal den Link zu dem Gesetz, das besagt, das ein Backdoor vorhanden sein muss...

Zitat

Microsoft als Author von Sicherheit ist zu paradox.

Warum das? Nur weil es von MS ist, muss es ja nicht per se unsicher sein.

Zitat

Ein bisschen C-Code durchlesen in den Klassen, wo es die meisten vermuten reicht da nicht aus.

Zum Glück gibt es dann ja noch den anderen Teil, wo es die wenigstens Vermuten, und der doch von vielen überprüft wird. Auf was willst du eigentlich hinaus? Verschlüsselung ist immer eine Sache von Vertrauen, und perfekte Sicherheit gibt es sowieso nicht, vor allem, da es viel einfacher ist, einen Keylogger auf dem Rechner zu installieren, anstatt in TrueCrypt ein Backdoor einzubauen.

Zitat

EDIT: Es gibt oder gab in England glaube ich sogar mal ein Gesetz, mit dem jemand gezwungen werden kann, seine Passwörter rauszugeben. Wenn nicht waren glaube ich bis zu 18 Monate Haft möglich.

Ja, sowas nennt sich Beugehaft, und deshalb sollte man ja auch keine Passwörter einsetzen.

[XDestroy]

Overflow, sag doch nicht einfach "Blödsinn" ohne dich mal zu informieren bitte. Hättest du mal die die Zeit genommen und etwas gesucht (Google...!), dann hättest du auch einiges zum Thema Backdoor in PGP gefunden. PGP hat ein Backdoor, welches bis vor 1-2 Jahren nicht dokumentiert war. Ich spreche hier von der kommerziellen Version von PGP. Die freie Version hat keine Whole Disc Encryption. Bruce Schneier spricht wenn dann von der freien Version. Würde mich wundern, wenn gerade er die kommerzielle unterstützt.

Sorry, aber es muss nicht per se unsicher sein, aber wenn eine Firma behauptet, nur Hardware-Informationen zu übertragen, dann aber doch Statistiken des Nutzungsverhaltens (z.B. Windows Media Player) sendet und auch noch Jahrelang unter Verdacht steht, weitere private Daten zu übertragen, dann spricht das nicht gerade für die Sicherheit der Software. Gerade bei diesem Thema muss man auch Vertrauen (ganz genau!), wenn man kommerzielle Software verwenden möchte.

Ein Backdoor in Truecrypt wäre aber wirkungsvoller. Denn so hätte man Zugriff auf sehr viele Rechner, deren Anzahl stetig steigt zur Zeit. Ein Keylogger wäre auf einen Rechner beschränkt und man muss hoffen, dass derjenige keine gute Schutzsoftware installiert hat, denn so ein Keylogger lässt sich über Heuristik mittlerweile sehr leicht erkennen. Bei einem Hardware-Keylogger muss man unbeaufsichtigt am Rechner sein können und es sollte dann kein Notebook sein.

Zum Thema Beugehaft: Sowas wird mir in Deutschland nicht passieren können. Ich sollte nur die Passwörter für mich behalten.

[Overflow]

Zitat (XDestroy: 17.10.2008, 03:32)

Overflow, sag doch nicht einfach "Blödsinn" ohne dich mal zu informieren bitte. Hättest du mal die die Zeit genommen und etwas gesucht (Google...!), dann hättest du auch einiges zum Thema Backdoor in PGP gefunden.

Solange du nicht den Link postet, wo dokumentiert ist, das jede Verschlüsselungssoftware per US-Gesetz ein Backdoor haben muss, solange lasse ich meinen "Blödsinn" stehen.

Zitat

PGP hat ein Backdoor, welches bis vor 1-2 Jahren nicht dokumentiert war. Ich spreche hier von der kommerziellen Version von PGP.

Du hast ein merkwürdiges Verständnis von einem Backdoor. Ich würde das eher als ein "Feature" einstufen, was mitunter sehr Gefährlich sein kann, aber ein wirkliches Backdoor ist das nicht.

Zitat

Bruce Schneier spricht wenn dann von der freien Version.

Bist du zufällig Bruce, oder woher willst du das wissen?
Es stimmt, das er generell für freie Software ist, allerdings hat er nie ein schlechtes Wort über die kommerzielle PGP Version verloren, und bevor es die freie Version überhaupt gab, hat er die kommerzielle als das Produkt eingestuft, was einer militärischen Verschlüsselung für die Home-User am nahesten kommt.

Zitat

doch Statistiken des Nutzungsverhaltens (z.B. Windows Media Player) sendet

Was man ohne Probleme deaktiveren kann

Zitat

und auch noch Jahrelang unter Verdacht steht

Ja, solche Urban Legends können sich wirklich lange halten...

Zitat

Ein Backdoor in Truecrypt wäre aber wirkungsvoller. Denn so hätte man Zugriff auf sehr viele Rechner, deren Anzahl stetig steigt zur Zeit. Ein Keylogger wäre auf einen Rechner beschränkt und man muss hoffen, dass derjenige keine gute Schutzsoftware installiert hat, denn so ein Keylogger lässt sich über Heuristik mittlerweile sehr leicht erkennen.

Und einen Trojaner in einem Open-Source Programm lässt sich weniger leicht erkennen? Wie soll der denn ohne Spuren mit einem Server kommunizieren? Für mich ist ein Backdoor eine Vorrichtung, die einen universellen Key in die Verschlüsselung einbringt, um die Verschlüsselung dadurch ohne Hilfe des Users umgehen zu können. Zugriff auf das System erhählt man dadurch nicht.

Zitat

Zum Thema Beugehaft: Sowas wird mir in Deutschland nicht passieren können.

Naja, die Hoffnung stirbt...

[Skaroth]

PGP kann kein Backdoor haben. Was in dem Beitrag schon mal erwähnt wurde, war ein aktueller Fall in den USA. Ein Kanadier wurde auf der Grenze kontrolliert und wurde aufgefordert, seinen mit PGP verschlüsselten Container zu mounten. Bei ihm kam der Verdacht auf Kinderpornografie auf. Diser Mann hat sein Passwort jedoch nicht freigegeben. Die Beamten konnten dagegen jedoch nichts tun, da sie weder Passwort, noch Hintertür hatten, um den Container zu mounten.

Bezüglich der Beugehaft:
Selbst wenn so ein Gesetz bald Deutschland/Österreich erreicht. Es gibt versteckte Container. Es ist unmöglich diese genau anhand der Container Datei zu ermitteln.

[XDestroy]

Es gibt in den USA ein Gesetz, dass vorschreibt, wenn ein Software-System erstellt wird mit einem Key-System, dann muss immer ein "Master-Key" für NSA verfügbar sein. So ist das Gesetz. Wenn man das einfach als Blödsinn bezeichnet, dann sehe ich irgendwo nicht, wieso ich mir dann noch Mühe machen soll.

Der Bypass in PGP ist kein Feature sondern nur eine Variante auf das Gesetz zu reagieren. Das ist doch kein Feature. Was ist das denn sonst für eine Sicherheitssoftware? Ich finde mit solchen "Features" würde der Sinn verfehlt werden. Ähnelt etwas der Nodes-Aufzeichnung in TOR zwecks Vorratsdatenspeicherung. Irgendwo kann man den Sinn von Software durch "Features" auch schwinden lassen...

Schneier hat zumindest in seinem Buch davon gesprochen, nach Möglichkeit IMMER freie und offene Software zu verwenden. Allerdings sagt er ja generell, dass nur selbst programmierte Software oder vollständig durchgesehene fremde und selbst übersetzte Software wirklich Sicherheit geben kann. Das PGP dann einer militärischen Verschlüsselung nahesten wäre, hat weniger mit PGP, als mit AES zu tun.

Sehe grade nicht, wieso du MS verteidigst, wenn du nicht das Gegenteil beweisen kannst. Fakt ist wohl, dass die Übertragenen Datenpakete recht groß nicht. Zu groß, für das was angeblich nur übertragen wird.

Ein Backdoor ist ein Master-Key wie oben schon genannt. Mit Zugriff über Internet hat das wenig zu tun. Demnach ist es zwar kompliziert einen solchen Zugang zu verstecken, aber durchaus wirkungsvoll. Nix Kommunikation mit einem Server.

Ich denke was Beugehaft angeht, da müssen wir uns in Deutschland keine Gedanken machen. Das hat sich nun seit der BRD nicht mehr geändert und wird sich auch nicht mehr ändern. Denn wenn das sich ändern sollte, dann wird das vermutlich unser kleinstes Problem sein.

[dale]

Zu PGP Bypass der einzigste Link wo kein Schwachsinn gelabert wird ist hier :

http://securology.blogspot.com/2007/10/pgp...ion-barely.html

Zitat

The feature, which until recently was not documented (customer accessible only) in most support manuals, allows a user who knows a boot passphrase to add a static password (hexadecimal x01) that the boot software knows. If this flag is set, the boot process does not interrogate a user.

Definier für mich : a user who knows a boot passphrase IMO also ein User oder Admin auf dem System.

[Overflow]

Zitat (Skaroth: 18.10.2008, 00:20)

Es gibt versteckte Container.

Oder halt einfach ein Keyfile auf einer schnell entsorgbaren microSD Karte

Zitat

Wenn man das einfach als Blödsinn bezeichnet, dann sehe ich irgendwo nicht, wieso ich mir dann noch Mühe machen soll.

Wenn so ein Gesetz nicht existiert, dann ist es halt per Definition schon Blödsinn, wenn keine Quellen vorhanden sind und trotzdem behauptet wird, es existiert.

Zitat

Der Bypass in PGP ist kein Feature sondern nur eine Variante auf das Gesetz zu reagieren.

Welches Gesetz? Nochmals für dich: Wenn das Passwort nicht bekannt ist, lässt sich dieses "Feature" auch nicht nutzen.

Zitat

Ich finde mit solchen "Features" würde der Sinn verfehlt werden.

Natürlich, aber ein Backdoor (wie du zuletzt behauptet hast) ist es nunmal nicht.

Zitat

Das PGP dann einer militärischen Verschlüsselung nahesten wäre, hat weniger mit PGP, als mit AES zu tun.

Nichts anderes habe ich gemeint, hatte ich mich da nicht deutlich genug ausgedrückt?

Zitat

ehe grade nicht, wieso du MS verteidigst, wenn du nicht das Gegenteil beweisen kannst. [...]
Zu groß, für das was angeblich nur übertragen wird.

Ohja, damit kann man natürlich alles Beweisen...

Zitat

Mit Zugriff über Internet hat das wenig zu tun.[...]
Nix Kommunikation mit einem Server.

Das steht irgendwie im Widerspruch mit deinem letzen Posting...

Zitat (XDestroy: 17.10.2008, 03:32)

Denn so hätte man Zugriff auf sehr viele Rechner, deren Anzahl stetig steigt zur Zeit. [...]
Bei einem Hardware-Keylogger muss man unbeaufsichtigt am Rechner sein können und es sollte dann kein Notebook sein.

Wie soll man sonst mit Truecrypt "Zugriff aus sehr viele Rechner haben", ohne "unbeaufsichtigt am Rechner sein" zu müssen?

Zitat

Zu PGP Bypass der einzigste Link wo kein Schwachsinn gelabert wird ist hier

Genau das meinte ich, wie kann man hier nur auf die Idee eines Backdoor zu kommen?