[du ciel]

Hallo,

... und zwar:
ich habe mit TrueCrypt ein paar 4GB große Container erstellt, so dass man sie bequem auf DVD sichern kann und somit ein schnelles, sicheres Backup-System hat!
Nun frage ich mich aber, WIE sicher ist das Ganze wirklich? WENN man, wie in meinem Fall, mehrere Container mit gleicher Verschlüsselungsart (AES) hat und sie mit ein und demselben Passwort schützt:
ist es möglich durch Vergleiche und andere Algorithmen, eine Art Muster zu erkennen, welche zum Knacken des Passwortes führen kann, o. Ä.?

das PW ist übrigens über 12 Zeichen lang, beliebig gewählt und mit allem, was die Tastatur so zu bieten hat

Ich geh jedoch davon aus, dass einfachere Passwörter sicher keine Lösung sind, andererseits vertraue ich nur meinem Kopf


gruß
duciel

[Graumagier]

du ciel sagte:

Nun frage ich mich aber, WIE sicher ist das Ganze wirklich?

Ziemlich sicher, bis jetzt wurden noch keine Unsicherheiten in den verwendeten Algorithmen gefunden (von SHA-1 mal abgesehen).

du cieli sagte:

st es möglich durch Vergleiche und andere Algorithmen, eine Art Muster zu erkennen, welche zum Knacken des Passwortes führen kann, o. Ä.?

Nun, unsicherer als separate Passwörter ist es mit Sicherheit, aber gleiche Passwörter stellen realistisch gesehen keine Verminderung der Sicherheit dar, da es bereits sehr unwahrscheinlich ist, dass eine der Dateien geknackt wird.

[Rika]

Leider vollkommen falsche Antwort.

Aufgrund des CTR-Modus wäre jeder noch so sichere Algorithmus prinzipiell genau für dieses Szenario anfällig, wenn nicht die Implementierung so aussehen würde, daß selbstverständlich ein zufälliger initialer IV verwendet wird. Siehe auch das TrueCrypt-Handbuch zur Header Key Derivation. Bei Stromchiffren wie RC4, die TrueCrypt nicht implementiert, würde das gleiche gelten, nur halt daß es halt nur diesen einen unvorsichtigen Modus gibt.

Die Antwort lautet also: Nein, weil dieses kryptographische Standardszenario bei der Implementierung ordentlich bedacht wurde.

Zitat

das PW ist übrigens über 12 Zeichen lang, beliebig gewählt und mit allem, was die Tastatur so zu bieten hat

Hat also maximal 96 Bit Entropie. Wenn du AES-256 statt AES-128 nimmst, ist das reine Performanceverschwendung.

Zitat

Ich geh jedoch davon aus, dass einfachere Passwörter sicher keine Lösung sind, andererseits vertraue ich nur meinem Kopf

Ich vertraue einer kleiner SD-Card, auf der der Schlüssel verschlüsselt liegt.

[Graumagier]

Rika sagte:

Leider vollkommen falsche Antwort.

Gut, "unsicher" ist vielleicht falsch gewählt, "weniger zeitaufwendig" würde es wohl treffen (wenn man davon ausgeht, dass ein Angreifer erfolgreich ist, wenn er alle Dateien entschlüsselt hat).

Btw., ich habe mich jetzt schnell mal eingelesen, und eigentlich ist es ja sowieso fahrlässig, einen IV mehrmals zu verwenden!? Und wenn ich das richtig verstanden habe ist RC4 deshalb für anfällig, weil der IV auf der Länge des Schlüssels basiert und sich dadurch wiederholen kann!?

Dieser Beitrag wurde von Graumagier bearbeitet: 15. Juli 2005 - 19:43

[Rika]

Wenn der gleiche IV zum Einsatz käme, wäre es trivial, da die beiden Schlüsselströme identisch wären und gegeneinander weggeXORt werden. Damit erhältst du ein XOR der Klartexte und kannst dort dann direkt statistische Analyse betreiben. Den Schlüsselstrom selbst wirst du damit zwar nicht angreifen können, brauchst du halt aber auch nicht.

[Graumagier]

Rika sagte:

Wenn der gleiche IV zum Einsatz käme, wäre es trivial, da die beiden Schlüsselströme identisch wären und gegeneinander weggeXORt werden. Damit erhältst du ein XOR der Klartexte und kannst dort dann direkt statistische Analyse betreiben.

Gut, soweit war ich schon

Also sind Stromchiffres prinzipiell dadurch angreifbar, dass sich die IVs u.U. (zumindest häufiger als bei Blockchiffres) wiederholen!?

[Rika]

Ja. Genauso wie Blockchiffren im CTR-Modus.

Allerdings verwendet TrueCrypt den CTR-Modus nur blockweise, innerhalb dieser Blöcke dann den CBC-Modus. Da der IV der Chiffierung der Blöcke aber von der relativen Position in der Partition abgeleitet wird, nimmt sich das nichts.

[du ciel]

also nochmal zusammenfassend, damit ich nix falsch verstanden hab ...

es ist also nicht unsicherer, wenn derselbe schlüssel für mehrere verwendet wird, da der iv zufällig ist, und somit jeder schlüssel, auch wenns der gleiche bei einer anderen partition ist, eine komplett andere struktur im datenmaterial aufweist ...?

tja, bin da noch nich so ganz bewandert drin wie ihr