Wie genau knackt man eine TrueCrypt/VeraCrypt Verschlüsselung?

[DieRenteEnte]

1. Das Gesetz wäre öffentlich und jeder würde darüber bescheid wissen. Ich würde mal behaupten, dass ein Spionage-Zwang nicht so gut an kommt.
2. Die Play-Dienste kannst du durchaus deaktivieren. Du kannst sogar alles von Google runterhauen. Android ist nicht Google. Nur ist das Nutzererlebnis dadurch dann sehr eingeschränkt. Darum macht das kaum einer
3. Linux ist open source. Das würde die Community nicht zulassen
4. Microsoft unterliegt in diesem Kontext nicht der deutschen Gesetzgebung

Ergänzung (28. Juni 2019)

Darum übernimmt die Wahl des Versuchs-PW auch der Bruteforce Algorithmus

1. Es gibt bereits Überwachungsgesetze. Selbstverständlich sind die intelligent formuliert und eine Kombination aus 2+ Gesetzen erlaubt quasi mehr als man als normaler Nutzer versteht. Außerhalb von öffentlichen Gesetzen gibt es auch Geheimdienste, die noch mehr tun dürfen.
Und wie die Vergangenheit mehrmals und bis heute immer wieder zeigt, ignoriert der Staat mehrere Gesetze auch so oder so.

2. Genau das ist der Punkt. Der typische Android Nutzer kann es eben nicht deaktivieren, weil dann sein WhatsApp & Co. nicht geht und dieser keine Ahnung hat wie es anders gehen könnte.

3. Es gibt genügend Programme die nicht Open Source sind und wenn man ein beliebtes Programm anbietet bzw. es darin integriert, hat man verloren. Aber auch hier geht es über Umwege bspw. über 4...

4. Microsoft unterliegt US Gesetzen und Deutschland arbeitet mit den US Geheimdiensten zusammen.
Deutschland muss also nicht direkt auf deine Daten zugreifen können, wenn es die USA bereits tun und diese "freiwillig" aufgrund von Kooperationen an Deutschland schicken.


Man kann es drehen und wenden wie man möchte.
Die Staatsüberwachung findet bereits seit Jahren statt und wird jedes Jahr besser/umfangreicher, da der Bürger entweder keine Ahnung davon hat bzw. das Ausmaß massiv unterschätzt oder sich einfach nicht dafür interessiert.
Die Klassiker sind:
"Ich habe nichts zu verbergen" = Staat / Unternehmen sollen tun was die wollen, mir alles egal
"XY überwacht mich sowieso schon" = Wenn Bereich A bereits überwacht wird, kann von mir aus auch alles andere Überwacht werden, ich kann eh nichts tun
"Man sollte etwas machen" = Jemand anderes sollte etwas machen, während ich Zuhause sitze und höchstens meckere

 

[Cardhu]

Passwort knacken ist quasi nicht möglich.
Die größte Schwachstelle ist hier der Mensch. Stichpunkt Folter von der Person oder nahestehender Personen. Würde natürlich kein Rechtsstaat machen - außer man legt das Verhörbüro auf eine kleine Insel, wo es nur einen McDonalds gibt
Bei nicht vom Staat legitimierten Verhörprofis darfst du dann kein Mitleid erwarten. Allerdings stellt sich natürlich die Frage, warum die ausgerechnet an deine Daten wollten.
Mein VC Passwort ist auch lang genug, sodass ich bezweifle, dass es mal geknackt wird.
Ganz wichtig ist, dass du auf KEINEN FALL dein richtiges Passwort oÄ auf einer "Prüfseite" eingibst, wo steht wie lange eine Entschlüsselung dauern würde. Die sammeln oft massenhaft Passwörter, woraus Passwortlisten zur Entschlüsselung erstellt werden.

 

[Maitry]

Man kann auch direkt die entsprechende Verschlüsselung attackieren.

Im Prinzip ist es immer nur eine Frage des Aufwands und der Rechenzeit. Alles ist knackbar.

Das wollte ich wissen.
Weil ich weis nicht wie das technisch funktioniert.
Wenn ich eine eigene Sprache erfinde und euch 3 Wörter sage:
Gfraus Gmmtrs Aubbbrhhhg !
Wenn nur ich die Bedeutung der Wörter kenne woher wollt Ihr herauskriegen was die bedeuten?
Diese 3 Wörter können alles bedeuten. Auch nach ewigem raten wird das keiner rausbekommen.
Aber bei technischer Verschlüsselung gibt es wohl einen Weg....

Auch wenn der ewig dauert.
In gewissen Kreisen munkelt man das z.B. NSA schon längst Quantencomputer im Einsatz hat. Natürlich wird das geheim gehalten...
Bzw zumindest kräftig daran entwickeln...

 

[rg88]

1) Für jemanden, der es erstnhaft auf deine Daten abgesehen hat, wird es ein leichtes sein ein Programm zu schreiben, mit dem man massenhaft Passwörter testen kann.

Na und? Ist dir klar wieviele Kombinationen man allein aus 26 Buchstaben machen kann? Zumal die Länge ja auch nicht festgelegt und klar ist. Von Sonderzeichen und Zahlen gar nicht mal zu sprechen.
Das Programm schreibt dir jeder Programmierer in ein paar Stunden. Das aber bis zum erraten durchlaufen zu lassen, das wird einige Jahrhunderte bis eher Jahrtausende dauern auf handelsüblichen Rechnern.

 

[DieRenteEnte]

In gewissen Kreisen munkelt man auch, dass Aliens bereits auf der Erde waren und Leute ständig von Aliens für rektale Untersuchungen entführt werden. Komischerweise sind die Entführungen mit fortschreitend besserer Kameraqualität zurückgegangen.

 

[Cardhu]

Selbst bei 30 Zeichen und einer Passwortabfrage von 1 Billiarde Abfragen die Sekunde dauert es mal eben ~2^51 Jahre bis alle Kombinationen getestet wären.
Die Wahrscheinlichkeit könnte man jetzt ausrechnen, aber da hab ich jetzt keine Lust zu^^

Außer ich hab mich verrechnet^^ 30^~50/10^15/3600s/24h/365Tage
30 Zeichen
~50 Möglichkeiten aus Zahlen, Buchstaben, Sonderzeichen (Es sind effektiv mehr)
10^15 = 1 Billiarde
Rest die Skalierung aufs Jahr

 

[VoAlgdH]

@Highspeed Opi . LOL Made my day🤣.

 

[der Unzensierte]

Der sichere PC wird mit den neuesten updates versorgt, hat eine firewall, wird von einem Top-Hacker administriert, steht in einem Atomschutzbunker und ist - AUS.
@Highspeed Opi: Den Keylogger bringt Win10 doch schon mit!

 

[Maitry]

Die Schlüsseldatei verlängert effektiv das Passwort auf 64 Zeichen, ein Brute-Force Angriff ist somit aussichtslos.

Und wenn man mehrere Schlüsseldateien verwendet?

Wo hast Du diese genauen Infos her?
Gibts da so ne Webseite oder ein Tutorial?

---------------------
Das sind hoch interessante Infos generell hier zum Thema...
Für mich sehr wichtig das alles zu erfahren......

 

[burglar225]

Na und? Ist dir klar wieviele Kombinationen man allein aus 26 Buchstaben machen kann? Zumal die Länge ja auch nicht festgelegt und klar ist. Von Sonderzeichen und Zahlen gar nicht mal zu sprechen.
Das Programm schreibt dir jeder Programmierer in ein paar Stunden. Das aber bis zum erraten durchlaufen zu lassen, das wird einige Jahrhunderte bis eher Jahrtausende dauern auf handelsüblichen Rechnern.

Das schreibe ich doch weiter unten sogar. Natürlich bezogen auf das Knacken der Verschlüsselung selbst, aber wenn man das Passwort durch ausprobieren schneller herausfinden könnte, wie durch das knacken der Verschlüsselungm wäre die ganze Sache ja witzlos

 

[DieRenteEnte]

@der Unzensierte
Bei Android ist es GBoard, die Tasteneingaben zu Googlen schicken, um dein "Nutzererlebnis" mit besserer Vorhersage von Wörtern "zu verbessern". Oder bei Spracheingaben.

Und bei Linux?
Bei Ubuntu gab es eine aktivierte (heute deaktivierte aber manuell aktiviertbare) Funktion Suchanfragen im Launcher (oder wie auch immer man es dort nennen mag) auch an Amazon zu schicken, damit diese dir Tolle Werbung passend zu deinen eingegebenen Wörtern schicken können.
Ist zwar kein Keylogger im eigentlichen Sinne, aber auch unter Linux werden quasi Keylogger ständig installiert.
Nämlich über Browser Addons welche die Wörter korrigieren oder vorschlagen, die Grammatik prüfen, in andere Sprachen übersetzen, usw.
Da gehen eben die Eingaben zum Addon Anbieter, statt direkt über Linux (oder Windows) selbst.

 

[rg88]

Natürlich bezogen auf das Knacken der Verschlüsselung selbst, aber wenn man das Passwort durch ausprobieren schneller herausfinden könnte, wie durch das knacken der Verschlüsselungm wäre die ganze Sache ja witzlos

Man nur etwas knacken, was ein Backdoor hat. Ansonsten bleibt dir bei einer Verschlüsselung, die den Namen verdient hat, nunmal nur Brute-Force. Das kann man nicht "knacken".

 

[Glowman]

Ich bin ja der Meinung, dass sich niemand die Mühe machen wird.
Zumindest der CIA wird meines erachtens keinen großen Aufwand betreiben und sich über TMP oder Microsoft etc. direkt auf den Rechner loggen.
Die aktuellen Systeme dienen lediglich dazu zu verhindern, dass sich unbefugte Mitbewohner Zugriff verschaffen.

 

[Simon#G]

Aber wie kann ich das tausende Mal automatisiert machen lassen? Mit VeraCrypt? Oder mit nem Zusatzprogramm?

Die kurze Antwort ist: mit einem speziellen Programm. Also man liest den Passworthash von der Festplatte und versucht, dann ein dazu passendes Passwort zu erraten. Dazu kann man dann auch eine Serverfarm, Grafikkarten etc. verwenden.

Ich verwende neben Passwort noch Schlüsseldateien. Damit dürfte mit Methode 1 keiner mehr an meine Daten kommen können.
Stimmt das?

Das hilft insoweit, dass der Passworthash wegfällt. Der Angreifer muss den Schlüssel also direkt erraten und das sind deutlich mehr Möglichkeiten als es (realistische) Passwörter gibt.
Andererseits gibt es hier die Gefahr, dass ein Angreifer unbemerkt die Schlüsseldatei kopiert. Bei einem Passwort im Kopf passiert das nicht so einfach.
Außerdem hast du es jetzt mit Zufallszahlen zu tun. Wenn dein Key mit vorhersehbaren Zahlen erstellt wurde, steigt die Chance für den Angreifer richtig zu raten.

Kann man die Daten auch direkt entschlüsseln wenn man kein Passwort hat?

Also keine (praktikable) Verschlüsselungsfunktion ist perfekt sicher. Die AES Verschlüsselung gilt aktuell als sicher, hat aber auch bekannte Schwächen. Ob das in 10-20 Jahren noch der Fall ist ... weiß man nicht.
Auch verschiedenste Seitenkanalangriffe erweisen sich immer wieder als Gefahr.

Die Verschlüsselung kann aber noch so gut sein, wenn sie falsch angewendet wurde. Es gibt extrem viele Fallstricke auf dem Gebiet. Gerade Festplattenverschlüsselung effizient und gleichzeitig sicher umzusetzen ist sehr anspruchsvoll. Hat der Programmierer der Verschlüsselungssoftware einen Fehler gemacht, kann das drastische Auswirkungen auf die Sicherheit haben.

 

[burglar225]

Man nur etwas knacken, was ein Backdoor hat. Ansonsten bleibt dir bei einer Verschlüsselung, die den Namen verdient hat, nunmal nur Brute-Force. Das kann man nicht "knacken".

Das ist so nicht richtig. Gängige Verfahren (RSA z.B.) basieren, wie ich schon erläutert habe, auf dem mathematischen Problem der Primfaktorzerlegung: https://de.wikipedia.org/wiki/Primfaktorzerlegung#Kryptographie. Jede Verschlüsselung kann prinzipiell geknackt werden. Die Lösungen dazu sind Teil des P-NP-Problems: https://de.wikipedia.org/wiki/P-NP-Problem.
Es gilt als wahrscheinlich, dass kein deterministischer Algorithmus existiert, der diese Probleme in annehmbarer Zeit löst, als gesichert gilt es aber auch nicht. Die Lösung eines dieser Probleme würde dazu führen, dass ALLE Probleme aus NP als gelöst gelten. Das Finden eines solchen Algorithmus ist übrigens mit 1.000.000$ dotiert.

 

[Maitry]

Andererseits gibt es hier die Gefahr, dass ein Angreifer unbemerkt die Schlüsseldatei kopiert. Bei einem Passwort im Kopf passiert das nicht so einfach.
Außerdem hast du es jetzt mit Zufallszahlen zu tun. Wenn dein Key mit vorhersehbaren Zahlen erstellt wurde, steigt die Chance für den Angreifer richtig zu raten.

Am sichersten ist doch Passwort + Schlüsseldatei oder?
Das eine in meinem Kopf das andere irgendwo auf der Platte...

Und wenn ich 10 Schlüsseldateien verwende - dann werden die doch Infos aus allen dieser Dateien gebraucht zum öffnen oder?
Wenn nur eine fehlt oder korrupt ist geht es nicht öffnen....

 

[Piktogramm]

Das wollte ich wissen.
Weil ich weis nicht wie das technisch funktioniert.

Fang mit dem (englischem) Wikipediaartikel zu VeryCrypt an. Danach kannst du dich durch die Dokumentation von VeraCrypt durchlesen.

Wenn ich eine eigene Sprache erfinde und euch 3 Wörter sage:
Gfraus Gmmtrs Aubbbrhhhg !
Wenn nur ich die Bedeutung der Wörter kenne woher wollt Ihr herauskriegen was die bedeuten?
Diese 3 Wörter können alles bedeuten. Auch nach ewigem raten wird das keiner rausbekommen.
Aber bei technischer Verschlüsselung gibt es wohl einen Weg....

Crypto verwendet keine eigene Sprache sondern elementare Mathematik/Logik. Da wird sich nichts ausgedacht.
Die Bedeutung deiner ausgedachten Sprache ließe sich über einer Analyse bei der Verwendung / der Muster bei Zeiten mit (heutzutage) wenig Rechenleistung entziffern. Verschlüsselte Daten hingegen müssen aussehen wie perfekter Zufall und dürfen keine Muster erkennen lassen.

In gewissen Kreisen munkelt man das z.B. NSA schon längst Quantencomputer im Einsatz hat. Natürlich wird das geheim gehalten...
Bzw zumindest kräftig daran entwickeln...

Kräftig wird daran entwickelt. Über Veröffentlichungen der globalen Forschungsergebnisse und Patente bekommt man aber gut mit wo der Stand der Forschung ist. Derzeit ist da noch ganz gut Luft.

Ergänzung (28. Juni 2019)

Am sichersten ist doch Passwort + Schlüsseldatei oder?
Das eine in meinem Kopf das andere irgendwo auf der Platte...

Und wenn ich 10 Schlüsseldateien verwende - dann werden die doch Infos aus allen dieser Dateien gebraucht zum öffnen oder?
Wenn nur eine fehlt oder korrupt ist geht es nicht öffnen....

Kommt auf die Implementierung drauf an. Wenn es dumm umgesetzt ist, sinkt die Entropie auf ein Zehntel je Schlüsseldatei und damit in einen Bereich wo es durch BruteForce angreifbar wird.

 

[Nureinnickname!]

Ganz wichtig ist, dass du auf KEINEN FALL dein richtiges Passwort oÄ auf einer "Prüfseite" eingibst, wo steht wie lange eine Entschlüsselung dauern würde. Die sammeln oft massenhaft Passwörter, woraus Passwortlisten zur Entschlüsselung erstellt werden.

Wenn man etwas logisch denkt kann man trotzdem Testen wie stark sein passwort in etwa ist.
Der Passwortseite ist es nämlich wurst ob du !1fB oder @2gH eingegeben hast, es wird nur geprüft, Zahl? Vorhanden, klein buchstabe? Vorhanden, großbuchstabe? Vorhanden, Sonderzeichen? Vorhanden, wer da also sein richtiges Passwort eingibt, dem ist eh nicht mehr zu helfen.

Einfach gesagt, die Seite zeigt dir die Selbe dauer an wenn du sdfkjhalkakl <-- 12 Zeichen, oder aaaaaaaaaaaa eingibst, welches ebenfalls nur zwölf zeichen besitzt.

 

[M@rsupil@mi]

Würde man logisch denken, dann würde man für die Berechnung auch keine Webseite brauchen.

 

[Piktogramm]

Einfach gesagt, die Seite zeigt dir die Selbe dauer an wenn du sdfkjhalkakl <-- 12 Zeichen, oder aaaaaaaaaaaa eingibst, welches ebenfalls nur zwölf zeichen besitzt.

https://de.wikipedia.org/wiki/Kolmogorow-Komplexität

Eine halbwegs brauchbare Einschätzung zur Passwortkomplexität ist möglich. Dabei würde dann auch herauskommen, dass 12x a ein beschissenes Passwort ist und sdfkjhalkakl zwar besser aber noch immer sehr schlecht ist. (KeePass schätzt 7 bzw. 46bit Entropie)


Mit "logisch denken" hat das wenig zu tun. Dafür gibt es brauchbare, berechenbare Metriken.