1. Dator och IT
  2. IT-säkerhet

Tråden om krypteringsverktyg: truecrypt, diskcryptor, bitlocker, filevault, m fl

Svara
2013-01-22, 10:36
  #2905
E.Helgetun
Medlem
E.Helgetuns avatar
Citat:
Ursprungligen postat av anonium
Okej låter betryggande. Dock nämner du företrädesvis extern hårddisk, hur är det med datorns inbyggda systemdisk.
Krypterar du Windows "fullsystem kryptering" HDD så installeras en boot-loader som du ser vid uppstarten där du matar in lösenordet. Jag menade att du kan inte ta bort boot-loadern och samtidigt ha kvar krypteringen då lär datorn inte hitta något OS att boota från.
Citat:
Ursprungligen postat av MF-Data
Klart det finns på disken, hur skulle den krypterade disken.
Ifall lösenordet inte finns på disken hur fungerar det då?
Precis som att Windows försöker läsa en HDD du kopplar till och läsa in filsystemet. Misslyckas det kommer du få ett felmeddelande. TC försöker också om det går att läsa HDD och misslyckas det så kommer du inte in helt enkelt. Vad jag förstått är det alltså inget lösenord det matchas mot utan den använder lösenordet och en del av första sektorn på HDD:n för att framställa en kryptonyckel. Nyckeln är alltid på 256, 512 eller 768-bitar så för du inte ska vara tvingad ha den längden på varje lösenord finns en rest på första sektorn.
Citat:
Header key is used to encrypt and decrypt the encrypted area of the TrueCrypt volume header (for system encryption, of the keydata area), which contains the master key and other data (see the sections Encryption Scheme and TrueCrypt Volume Format Specification). In volumes created by TrueCrypt 5.0 or later (and for system encryption), the area is encrypted in XTS mode (see the section Modes of Operation). The method that TrueCrypt uses to generate the header key and the secondary header key (XTS mode) is PBKDF2, specified in PKCS #5 v2.0; see [7].

Header keys used by ciphers in a cascade are mutually independent, even though they are derived from a single password (to which keyfiles may have been applied). For example, for the AES-Twofish-Serpent cascade, the header key derivation function is instructed to derive a 768-bit encryption key from a given password (and, for XTS mode, in addition, a 768-bit secondary header key from the given password). The generated 768-bit header key is then split into three 256-bit keys (for XTS mode, the secondary header key is split into three 256-bit keys too, so the cascade actually uses six 256-bit keys in total), out of which the first key is used by Serpent, the second key is used by Twofish, and the third by AES (in addition, for XTS mode, the first secondary key is used by Serpent, the second secondary key is used by Twofish, and the third secondary key by AES). Hence, even when an adversary has one of the keys, he cannot use it to derive the other keys, as there is no feasible method to determine the password from which the key was derived (except for brute force attack mounted on a weak password).
__________________
Senast redigerad av E.Helgetun 2013-01-22 kl. 10:46.
Citera
2013-01-22, 23:16
  #2906
SELLINDRUGStoKIDS
Medlem
Om man har ett usbminne som är krypterat med truecrypt med ett lösenord på mellan 10 - 30 bokstäver och polisen försöker bruteforca detta finns det då någon chans att de lyckas eller är det helt omöjligt?
Citera
2013-01-22, 23:21
  #2907
Hermod67
Medlem
Hermod67s avatar
Citat:
Ursprungligen postat av SELLINDRUGStoKIDS
Om man har ett usbminne som är krypterat med truecrypt med ett lösenord på mellan 10 - 30 bokstäver och polisen försöker bruteforca detta finns det då någon chans att de lyckas eller är det helt omöjligt?
10 tecken känns lite.. Men säg mellan 15-30 tecken så är det omöjligt.
Citera
2013-01-22, 23:53
  #2908
SELLINDRUGStoKIDS
Medlem
Citat:
Ursprungligen postat av Hermod67
10 tecken känns lite.. Men säg mellan 15-30 tecken så är det omöjligt.
Även om de gör detta under en väldigt lång period?
Citera
2013-01-23, 00:40
  #2909
Hermod67
Medlem
Hermod67s avatar
Citat:
Ursprungligen postat av SELLINDRUGStoKIDS
Även om de gör detta under en väldigt lång period?
Med världens kraftfullaste superdator tar det 36000 miljarder år att knäcka ett TC-lösenord på 20 tecken (källa). Skulle rekommendera 30+ tecken så är du försäkrad 50 år framåt. Om 100 år när superdatorerna är mycket snabbare får du nog använda alla 64 tecken. Viktigt att lösenordet består av stora/små tecken, siffror och specialtecken.

Lämnas en krypterad dator låst (påslagen) finns olika metoder att komma åt kryptonyklarna som ligger i RAM vilket man bör vara medveten om för att förhindra:
Citat:
Ursprungligen postat av bixxit2992
Är datorn då krypterad med TC är sen enda sättet komma in med cold-boot eller något vilket du också kan förhindra.

Lite tips som gör det omöjligt ta sig in i din dator om den är påslagen:
  • Limma fast RAM-minnet med J-B Weld.
  • Stäng av Autorun-funktioner (länk).
  • Lösenord på BIOS och aktivera HardDisk1-password (om finns).
  • Limma fast moderkortsbatteriet med J-B Weld(endast stationär dator).
  • Limma fast CMOS/BIOS-reset jumpern med J-B Weld(endast stationär dator).
  • Sätt (Windows) lösenord på skärmsläckare/användare.
  • Inställningar att försätt datorn i strömsparläge efter 1 min.
  • Datorns HDD som första val i BIOS i boot ordningen.
  • Inaktivera alla USB-portar i BIOS om du har bärbar dator.
  • Stäng av FireWire (Inaktivera i enhetshanteraren/nätverksanslutningar/BIOS).
Anledningen att använda just J-B Weld är för det tål temperaturer upp till 260°C (315°C i 10 min) så det går inte smälta limmet utan förstöra RAM-minnet (bild).
Stänger man däremot alltid av datorn när man lämnar den eller dismountar de volymerna man vill ha hemliga behöver man däremot inte vidtaga ovanstående.
__________________
Senast redigerad av Hermod67 2013-01-23 kl. 01:10.
Citera
2013-01-23, 07:35
  #2910
MF-Data
Medlem
Precis som "Hermod67" säger, 10 tecken är lite för lite, men har du 25+ blir det tufft för dem. Då lär det ta för lång tid för dem att det skall vara värt mödan.
Citera
2013-01-23, 22:33
  #2911
SELLINDRUGStoKIDS
Medlem
Läste att om man ej stänger av datorn helt så kan poliserna ta sig förbi TrueCrypt genom att få fram lösenordet ur "ram-minnet" (?)
Undrar då om dem kan göra liknande på ett usbminne eller kameraminneskort? Alltså om man inte tryckt "dismount" utan enbart dragit ut enheten? Man måste ju hur som helst mounta volymen varje gång man sätter in den oavsett hur man drog ut den.

Blev kanske grötigt skrivet, hoppas någon förstår min fråga och lyckas svara på denna..
Citera
2013-01-24, 07:12
  #2912
Esteem
Medlem
Esteems avatar
Citat:
Ursprungligen postat av SELLINDRUGStoKIDS
Läste att om man ej stänger av datorn helt så kan poliserna ta sig förbi TrueCrypt genom att få fram lösenordet ur "ram-minnet" (?)
Undrar då om dem kan göra liknande på ett usbminne eller kameraminneskort? Alltså om man inte tryckt "dismount" utan enbart dragit ut enheten? Man måste ju hur som helst mounta volymen varje gång man sätter in den oavsett hur man drog ut den.

Blev kanske grötigt skrivet, hoppas någon förstår min fråga och lyckas svara på denna..

Sålänge något i datorn är mountat kan de ta fram nycklarna ur RAM-minnet till just den.

Satt och funderade på om COFFEE kan användas för att göra någon attack på en truecryptad dator, påslagen dvs?
Citera
2013-01-24, 08:00
  #2913
MF-Data
Medlem
Citat:
Ursprungligen postat av SELLINDRUGStoKIDS
Läste att om man ej stänger av datorn helt så kan poliserna ta sig förbi TrueCrypt genom att få fram lösenordet ur "ram-minnet" (?)
Undrar då om dem kan göra liknande på ett usbminne eller kameraminneskort? Alltså om man inte tryckt "dismount" utan enbart dragit ut enheten? Man måste ju hur som helst mounta volymen varje gång man sätter in den oavsett hur man drog ut den.

Blev kanske grötigt skrivet, hoppas någon förstår min fråga och lyckas svara på denna..

Du behöver inte vara orolig över det då inget sparas på vare sig disken eller i datorn.
DU måste skriva in lösenordet varje gång du startar om datorn eller stoppar in en USB-sticka som är krypterad med TC.

Men för att vara på den säkra sidan så stänger man ha datorn helt under nätter och när man åker bort.
Har själv en fjärrstyrd strömbrytare som jag tar med mig när jag går till ytterdörren för att om det skulle vara "AINA" som står och vill in så ..."KNÄPP"... då dör dator och dom får problem att komma åt något som finns på den.

Visst det är att vara paranoid, men bättre säker än osäker.
Det är bara ett tips.
__________________
Senast redigerad av MF-Data 2013-01-24 kl. 08:03.
Citera
2013-01-24, 10:07
  #2914
E.Helgetun
Medlem
E.Helgetuns avatar
Citat:
Ursprungligen postat av SELLINDRUGStoKIDS
Läste att om man ej stänger av datorn helt så kan poliserna ta sig förbi TrueCrypt genom att få fram lösenordet ur "ram-minnet" (?)
Undrar då om dem kan göra liknande på ett usbminne eller kameraminneskort? Alltså om man inte tryckt "dismount" utan enbart dragit ut enheten? Man måste ju hur som helst mounta volymen varje gång man sätter in den oavsett hur man drog ut den.
För säkerhets skull bör du alltid trycka dismount innan du drar ut dina enheter. Finns inställningar att göra så sånt sköts automatiskt:

http://www.truecrypt.org/docs/?s=background-task
Citera
2013-01-24, 14:28
  #2915
anonium
Medlem
Citat:
Ursprungligen postat av MF-Data
Precis som "Hermod67" säger, 10 tecken är lite för lite, men har du 25+ blir det tufft för dem. Då lär det ta för lång tid för dem att det skall vara värt mödan.

Intressant det här med olika lösenords styrka. Har en hashgenerator som alltså genererar en matematisk beräkning av textsträngar eller bilder. Tycker det är praktiskt att alltid få samma lösenord genererat i form av en sådan beräkning med tanke på klipp och klistra funktionen när man mountar diskarna . Man behöver ju inte komma ihåg lösenordet på samma sätt. Man kan få olika längder och kvalitteer på hashgenereringen som ni säkert känner till; den jag använder är 64 tecken lång och kallas SHA 512. Tyvärr skapar ju hashgenereringen inga skiljetecken och upper-lower case och jag kan känna viss tveksamhet till styrkan i den genererade hashen. Så frågan är ju då om längden på lösenordet kan i tillräcklig grad kompensera för bristen av andra tecken eller jag är helt fel ute med att överhuvudtaget använda hashgeneratorn? Länk: http://securityxploded.com/download-file.php?id=2211
Citera
2013-01-24, 17:13
  #2916
Wosp
Medlem
Wosps avatar
Citat:
Ursprungligen postat av anonium
Intressant det här med olika lösenords styrka. Har en hashgenerator som alltså genererar en matematisk beräkning av textsträngar eller bilder. Tycker det är praktiskt att alltid få samma lösenord genererat i form av en sådan beräkning med tanke på klipp och klistra funktionen när man mountar diskarna . Man behöver ju inte komma ihåg lösenordet på samma sätt. Man kan få olika längder och kvalitteer på hashgenereringen som ni säkert känner till; den jag använder är 64 tecken lång och kallas SHA 512. Tyvärr skapar ju hashgenereringen inga skiljetecken och upper-lower case och jag kan känna viss tveksamhet till styrkan i den genererade hashen. Så frågan är ju då om längden på lösenordet kan i tillräcklig grad kompensera för bristen av andra tecken eller jag är helt fel ute med att överhuvudtaget använda hashgeneratorn? Länk: http://securityxploded.com/download-file.php?id=2211

Den här sidan kan kolla hur länge det tar vid en Brute Force attack i olika scenarion.
https://www.grc.com/haystack.htm
---

Satt och läste denna artikel på IDG:
http://www.idg.se/2.1085/1.488144/har-ar-fjolarets-alla-piratdomar/sida/6/ftp-pirat-fick-samhallstjanst
Handlar kort och gott om ett tillslag imot en FTP server som var krypterad och delade ut upphovsrättsskyddat material. Dom hade lösenordet till FTPn så dom kunde komma åt den och kopiera ner filer via nätet men när dom kom med en husrannsakan så kunde dom inte få några ytterligare bevis eftersom att den var krypterad. Det framgår ej om servern var på eller ej men om den var på så betyder det ju helt klart att Svensk Polis inte arbetar med coldbot attacker, utan mer har dragit ut kontakten och tagit med sig servern.
Citera
Svara

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Det är enkelt att registrera ett nytt konto

Bli medlem

Logga in

Har du redan ett konto? Logga in här

Logga in