FileVault mit 256Bit. Tipp!

SilentCry · 28.06.12

Wenn der Computer ausgeschaltet ist, ist eine (richtig implementierte) SW-Verschlüsselung genauso gut wie eine HW-Verschlüsselung (ebenfalls richtig implementiert)

Das Problem ergibt sich im laufenden Betrieb. Bei einer SW-Verschlüsselung muss ZWINGEND der Schlüssel im RAM gespeichert sein. Und das RAM kann man (entweder per Frozen RAM-Attacke physisch oder u.U. per DMA-Angriff (z.B. Firewire-Angriff bei WDos-Maschinen oder Macs, die kein OpenFirmware/EFI-Passwort gesetzt haben)) UNTER UMSTÄNDEN auslesen.

Anders als Rastafari aber huldige ich nicht der Unfehlbarkeit der Geheimdienste. Ich denke schon, dass man auch SW-FDE sicher ausgestalten kann wenn man sicherstellt, dass das RAM nicht ausgelesen werden kann. Deswegen begrüße ich die neuen MBPs mit verlötetem RAM.

Mitglied 129448 · 28.06.12

Naja, ich denke mal die größte Schwäche der Geheimdienste ist in jedem Fall die Zeit. Wenn man es so komplex gestalltet, das man mehrere Verschlüsselungsmethoden unter Zuhilfenahme von ggf. mehreren Keyfiles auf externen und internen Datenträgern verwendet wird irgendwann der Aufwand zu hoch um noch interessant zu sein.

SilentCry · 29.06.12

Einen mit entsprechendem Schlüssel verschlüsselten AES128- oder AES256-Container zu _knacken_ (also per BruteForce zu brechen) ist niemandem möglich. D.h. der Angriff muss immer so stattfinden, dass die Passphrase irgendwie abgegriffen werden muss.
Das kann auf vielerlei Arten geschehen, exemplarisch durch eine Überwachungskamera (so geschehen in Flughäfen, wenn das Opfer "gezwungen" wurde, den Rechner zu booten und seine Passphrase einzugeben), durch Einspielen eines Keyloggers (dazu muss der Angreifer aber zumindestens etwas installieren können; remote per Trojaner oder vor Ort - wurde von Schergen im Auftrag des dreckigen Überwachungsstaates auch schon gemacht) oder eben durch Auslesen vom RAM auf die eine (Frozen RAM Attack) oder andere (DMA-Angriff) Weise.

Resignierende Zyniker behaupten ja gerne, wenn ein Angreifer physischen Zugang zum Gerät hat, ist ohnehin jedwege Sicherheit kompromittiert, ich allerdings bin kein Vertreter der in Ergebenheit kriechenden Kapitulation.

gbyte · 29.06.12

SilentCry schrieb:
... exemplarisch durch eine Überwachungskamera (so geschehen in Flughäfen, wenn das Opfer "gezwungen" wurde, den Rechner zu booten und seine Passphrase einzugeben) ...

Wo ich dies gerade lese, da bietet sich z.B. der Yubikey an. Ich hab das auch so, dass ein kleinerer Teil meines Passwortes in meinem Kopf, und der große komplexe Teil auf diesem Key untergebracht ist. Hat den Vorteil, dass nur mit dem Key kein Zugriff erfolgen, und zumindest beim abfilmen der auf dem Key befindliche Teil nicht ausgespäht werden kann.

Nur mal als Info am Rande in den Raum gestellt.

Gruß,

GByte

Mitglied 129448 · 29.06.12

Wo genau ist denn da der Unterschied zu der Nutzung von Keyfiles welches TrueCrypt anbietet?

gbyte · 29.06.12

Meinst Du meinen Hinweis auf den Yubikey? Der Vorteil ist, dass Yubikey als externe Tastatur erkannt wird. Das heißt, es funktioniert auf allen gängigen Systemen, selbst Smartphones und Pads. Der Vorteil ist, das man nicht von der Installation einer bestimmten Software abhängig ist, sondern das man dies mit dem bestehenden System nutzen kann. Yubikey bietet ja viel mehr als nur eine Passphrase zu speichern, z.B. lässt sich damit auch ein ordentlicher OTP-Schutz aufsetzen. Schau dir die Seite ruhig mal an ... da kommen einem diverse Möglichkeiten in den Sinn.

Gruß,

GByte

ImperatoR · 29.06.12

Und wenn der Yubikey verreckt?

gbyte · 29.06.12

... hat man eine Reserve im Safe. Aber selbst unter der Dusche hab ich in schon gehabt und mit dem Auto auch schon drüber gefahren. Im Gefrierfach war er auch schon ... ist ein robustes Kerlchen. Wie gesagt, da mach ich mir keine Sorgen, vor allem da wir von allen Keys eine Reserve im Safe liegen haben.

Gruß,

GByte

ImperatoR · 29.06.12

Ach, dann kann ich mir von dem Schlüssel ein Backup anlegen und bei Bedarf auf einen neuen Yubikey spielen?

gbyte · 29.06.12

Du kannst die Keys auch direkt duplizieren, bzw. mehrere Keys für ein OTP-System registrieren. Es ist alles recht gut bei Yubico dokumentiert und beschrieben. Wir nutzen z.B. Ersatzkeys, die wir im Safe lagern. Wird ein Key verloren, oder entwendet, werden die Kopien rekonfiguriert und das OTP-System dementsprechend eingestellt diesem Key keinen Zugang mehr zu gewähren. Sollte ein Key kaputt gehen und kann vorgelegt werden, ist die Kopie zur Hand und kann ausgehändigt werden (dann wird natürlich eine neue Kopie hinterlegt).

Gruß,

GByte

Mitglied 129448 · 29.06.12

gbyte schrieb:
Meinst Du meinen Hinweis auf den Yubikey?

Ja, genau den meinte ich.

Vielen Dank für die Aufklärung.

SilentCry · 01.07.12

Ich möchte diesen Yubikey gerne deutlicher betonen, für alle, die nicht so gerne so viel Englisch lesen. Man gewinnt nämlich anfangs den Eindruck, das würde sich nur a) für Firmen und b) für Yubikey-fähige Applikationen eigenen ABER das ist nicht so:

YubiKey Static Mode

The YubiKey can also be used to secure logins to applications and services that are not YubiKey enabled by reprogramming the YubiKey to deliver the same static password each time the button is touched. Although not as secure as a regular YubiKey configuration, this option, combined with a PIN code, provides an easy and flexible way to enhance the security by using a long password that would be very hard to memorize and impractical to re-type each time. To take advantage of this solution, the YubiKey must be re-programmed using our free personalization tool.

Vorweg: Das Tool gibt es auch für OS X: http://wiki.yubico.com/files/YubiKey Personalization Tool 3.0.2 Installer-mac.dmg

D.h. man könne am Yubikey ein "sfhskfh53740345*#%&$" speichern und selbst "nur" noch "Fdh1999dGggswh" eingeben ("Fuchs du hast 1999 die Gans gestohlen gib sie wieder her") eingeben und die Passphrase wäre tatsächlich sfhskfh53740345*#%&$Fdh1999dGggswh
Sicher vor Abfilmen/Mitschauen und trotzdem Bruteforce-unempfindlich.

Da das Ding eine USB-Tastatur ist würde das auch bei PBA (Pre Boot Authentication) funktionieren.

gbyte · 01.07.12

Zusätzlich sei erwähnt, dass der Yubikey zwei konfigurierbare Slots besitzt. Somit kann der erste Slot in der OTP-Konfiguration und der zweite Slot in der Statischen-Passwort-Konfiguration betrieben werden. Dies würde bedeuten das bei einer kurzen Berührung des Keys das "one-time"Passwort, und bei einer längeren Berührung das statische Passwort gesendet wird. Somit kann man den Key in zweierlei Umgebungen einsetzen.

Gruß,

GByte

Suche

Suche

FileVault mit 256Bit. Tipp!

SilentCry

deaktivierter Benutzer

Mitglied 129448

Gast

SilentCry

deaktivierter Benutzer

gbyte

Gelbe Schleswiger Reinette

Mitglied 129448

Gast

gbyte

Gelbe Schleswiger Reinette

ImperatoR

Roter Astrachan

gbyte

Gelbe Schleswiger Reinette

ImperatoR

Roter Astrachan

gbyte

Gelbe Schleswiger Reinette

Mitglied 129448

Gast

SilentCry

deaktivierter Benutzer

gbyte

Gelbe Schleswiger Reinette

Wir schützen Ihre Privatsphäre

Informationen auf einem Gerät speichern und/oder abrufen

Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen (Optionale Cookies)

Datenübermittlung an Partner in anderen Staaten (Drittanbieter-Cookies)