AES 256 Bit versus Blowfish 480 Bit

[bsdagent]

Abend

Nicht, indem sie einen erfolgreichen Angriff fährt, sondern ganz banal vor Gericht. "Wasp, entweder Sie kooperieren jetzt mal mit uns und geben den Schlüssel raus und kommen mit einer vergleichsweise kleinen Strafe raus oder wir lassen Sie zehn Jahre einfahren".

Mich würde es interresierren, was passiert, wenn bei einer Polizeikontrolle oder Hausdurchsuchen (warum auch immer) eine verschlüsselte Festplatte gefunden wird und ich mich weigere den Schlüssel rauszurücken oder behaupte ich habe in vergessen?

Was mich bei dieser Frage auch interresieren würde:

- Gibts dafür bereits ein Referenzfall?
- Dürfen die mich nur weil die Platte verschlüsselt ist in U. Haft behalten oder sogar verurteilen bzw. eine höhere Strafe verhängen?
- Darf ich meine Festplatte wieder haben, auch wenn Sie diese nicht lesen konnten und alles vorbei ist?

Den eigentlich ist es ja so, der Staatsanwalt muss Beweisen, dass auf der Festplatte verbotenes Material ist und wenn er das nicht kann, heisst es ja: Im Zweifel für den Angeklagten (In dubio pro reo) oder hat sich der Rechtsstaat übernacht verändert?

Zusätzlich ist die Festplatte mein eigentum und das darauf überhaubt Daten sein sollen, können die ja durch die Verschlüsselung nicht wissen oder nur bedingt, also wieder kein eindeutiger Beweis sollange keine brauchbaren verbotenen Daten aus der Festplatte entommen werden kann.

Gruss
bsdagent

 

[Endorphine]

Ich wollte nur darauf hinaus, dass die Verschlüsselung aus theoretischer Sicht u.U. angreifbar ist (auch wenn es niemand momentan kann) und man nicht einfach behaupten kann: Um das zu Entschlüsseln braucht man bis zum Ende des Sonnensystems!

Doch, das kann man. Auf Grund des DLP zusammen mit richtig langen Werten (>1024 Bit) schafft man das gleiche Problem wie bei symmetrischen Schlüsseln: man muss so unglaublich lange rechnen, um die Schlüssel zu knacken, dass es keinerlei Sinn hat.

Wenn du behauptest, dass jede Verschlüsselung angreifbar ist, hast du nicht mehr als eine banale Grund-Tatsache festgestellt. Das muss man nicht erwähnen, dass sagen einem die Grundlagen. Man erhöht mit der Kryptografie nur den Aufwand, der in der Praxis zum Brechen erforderlich ist, so weit, dass es sich nicht mehr lohnt, es auf diesem Weg nur zu versuchen.

Das frustrierende an diesem Punkt ist jetzt, dass das alles nur Grundlagen sind und die jetzt hier im Thread neu ausgearbeitet wurden. -_-

[...]der Rechtsstaat [...]

Welcher Rechtsstaat? Solange wildgewordene Innenminister nach Belieben das Grundgesetz gegen das Wohl der Bürger beschädigen und einen Überwachungsstaat aufbauen können...

 

[Abakus]

@bsdagent

Also soweit ich das sehe ist das so, dass du den Schlüssel nicht rausrücken musst wenn du selbst betroffen bist also angeklagt wirst. Damit würdest du dich selbst belasten und das musst du nach dem Deutschen Gesetz nicht.

Wenn es aber nicht um dich geht sondern um einen Freund von dir geht, dann musst du den Schlüssel rausrücken, weil du sonst Ermittlungen behindern würdest und damit machst du dich dann strafbar.

Ja, deutsche Gesetze sind schon cool

 

[bsdagent]

Abend

Also soweit ich das sehe ist das so, dass du den Schlüssel nicht rausrücken musst wenn du selbst betroffen bist also angeklagt wirst. Damit würdest du dich selbst belasten und das musst du nach dem Deutschen Gesetz nicht.

Joar stimmt, die selbst belastung hab ich ganz vergessen .

Gruss
bsdagent

 

[soul_rebel]

Also soweit ich das sehe ist das so, dass du den Schlüssel nicht rausrücken musst wenn du selbst betroffen bist also angeklagt wirst. Damit würdest du dich selbst belasten und das musst du nach dem Deutschen Gesetz nicht.

Wenn es aber nicht um dich geht sondern um einen Freund von dir geht, dann musst du den Schlüssel rausrücken, weil du sonst Ermittlungen behindern würdest und damit machst du dich dann strafbar.

Das stimmt soweit, allerdings kannst du versuchen deinen Freund zu schützen, indem du erklärst, dass du wissentlich potentiell krimmenelle Daten bereithälst und dich somit zum Komplizen seiner Straftat machen. Dann musst du nichtmehr rausrücken, da du dich ja selbst belasten würdest...

Grundsätzlich würde ich allen Leuten einfach raten NICHTS rauszurücken unter KEINEN Umständen. Es gibt genügend Gründe warum das Geheimhalten der Daten IMMER Selbstschutz ist (fieses Beispiel: vielleicht bewarst du zwischen deinen Logfiles ja Kinderpornos auf).

 

[k_e_x]

Doch, das kann man. Auf Grund des DLP zusammen mit richtig langen Werten (>1024 Bit) schafft man das gleiche Problem wie bei symmetrischen Schlüsseln: man muss so unglaublich lange rechnen, um die Schlüssel zu knacken, dass es keinerlei Sinn hat.
[...]

Hinzu kommt auch noch, das asymmetrische Verfahren auf den angesprochenen mathematischen Problemen beruhen (Faktorisierung, DLP), symmetrische Verfahren ja aber eigentlich mit ziemlich billigen Mitteln eine starke Verschluesselung schaffen (shifting, XOR, S-Box) - also eher der Vergleich intelligenter Kuechenmixer vs. intelligente mathematik ;-)

Nach heutigem Erkenntnisstand kann man sehr wohl behaupten das die Sonne ausglueht bevor jemand ein AES-128 key berechnet hat ... und das fuehrt dann auch dazu das in der Anwendung AES-128 als voellig ausreichend betrachtet werden kann - inkl. Geschwindigkeitsvorteil im Vergleich zu AES-256 ...

Wie gesagt, da ist es viel Wahrscheinlicher das irgendwo Implementierungsfehler sind ...

 

[Endorphine]

Auch die Implementierungs-Schwächen anzugreifen ist mehr eine theoretische Option, weil es viel einfachere Methoden gibt, um an die Daten zu kommen.

Erst recht bei Partitions-Verschlüsselung, die nur wirkt, wenn die Partition gerade unmounted ist. Partitions-Verschlüsselung ist aus meiner Sicht nur der allerletzte Schutz, wenn der Angreifer schon physikalischen Zugriff auf den Rechner hat und eigene Betriebssysteme booten kann, die Daten zu schützen. Und wenn's soweit ist, dann ist wiederum der Angriff auf die Krypto-Implementierung (CBC von geli is z. B. schon recht altbacken, LRW und XTS wären angesagt) so ziemlich die komplizierteste Art, davor gibt's erstmal Social Engineering, Angriff auf's Kennwort usw.

Aber das hier ist halt ne typische Techniker-Diskussion. Zuerst wird auf dem Krypto-Algorithmus rumgeritten, dann auf langen Schlüsseln und erst gaaanz langsam, nachdem wieder mal Sicherheits-Grundlagen neu erfunden wurden, nähert man sich dann pragmatischen Ansätzen.

 

[Wasp]

inkl. Geschwindigkeitsvorteil [von AES-128] im Vergleich zu AES-256 ...

Nach dem Dokumentierten Versuch mit GELI http://www.usenix.org/publications/login/2006-10/pdfs/sivonen.pdf soll AES-128 gegenüber AES-256 keine merkbaren Geschwindigkeitsvorteile liefern.

Yamagi,
die Frage von wasp ist doch schon längst geklärt [..]

Mir wurde jetzt schon mehrfach AES-128 mit der Begründung ans Herz gelegt, daß es die schnellste Verschlüsselung wäre und für meine Ansprüche vom Sicherheitsaspekt genügen würde (... also ich weiß noch nicht so ganz sicher, ob mir "Sicherheit" oder Geschwindigkeit wichtiger ist ). Von daher fand ich die praxisnahe Zusammenfassung von Yamagi noch mal sehr gut; (auch in hinblick darauf, daß andere vielleicht gerade mitlesen bzw. später jemand auf Grund gleicher oder ähnlicher Fragestellung noch mal nachliest).

Genaugenommen weiß ich bis jetzt ja nur:

• AES-256 sicherer als AES-128
• AES-256 praktisch genauso schnell wie AES-128
• Schlüssellänge von Blowfish hat keinen Einfluß auf die Sicherheit
  (Wenn ich daß jedoch richtig verstanden habe, könnten bestimmte Schlüssellängen einfach auf Grund heuristischer Verfahren Angreifbarer sein als andere,womit also indirekt schon eine Abhängigkeit vorhanden ist, wenn auch keine lineare.)
• Blowfish ist langsamer als AES-256

Aus meiner Sicht finde ich die Frage rein nach der Sicherheit noch sehr unscharf, aber vielleicht ist das ein so subjektive Einschätzungssache, daß sich dazu einfach nicht mehr sagen läßt als(?):

Blowfish ist im innern etwas paranoider konstruiert;

Wenn man also die Geschwindigkeitsvorteile von AES vollkommen außer Acht läße, würde sich die Frage nach AES oder Blowfish wohl noch nicht zur Genüge beantworten lassen.

[..]bei letztgenanntem spielt die Schlüssellänge zumindest bei Blowfish keine Rolle.

Welche Schlüssellänge wäre dann also zu empfehlen? Sind bestimmte Schlüssellängen evtl. unsicherer als andere? So hatte ich das zumindest bei einem Algorithmus verstanden, daß auf Grund der "geraden" Anzahl an Umläufen in der S-Box sich diese auf eine Verschlüsselung mit halbsolangem Schlüssel abbilden läßt und somit sich die Zeit zum Brechen der Verschlüsselung so halbiert, als wäre die Verschlüsselung nur halb so stark (Warnung: Autor mit gefährlichem Halbwissen ). Oder ist die Schlüssellänge wirklich komplett egal, also Schlüssellänge vollstänig Geschwindig- und Sicherheitsunabhängig?


P.S.: Könnte ein Moderator den Topic bitte von Blowfish-480 auf Blowfish-448 berichtigen? Danke schonmal im Voraus

 

[bsdagent]

Abend

Wenn es nur um die Geschwindigkeit geht, kann dies doch mit "openssl enc" einfach beantwortet werden. Nimmt man eine 100 MB grosse Datei und lässt mit verschiedenen Chiffre, Modes und Bits durchlaufen (Verschlüsseln und Entschlüsseln) inkl. Zeitprüfung.

Die 100 MB Datei

$ dd if=/dev/random of=./datei.txt bs=100m count=1

AES in CBC mit 128 Bit

$ /usr/bin/time openssl enc -e -aes-128-cbc -in datei.txt -out cipher.txt -K 0 -iv 0
3.37 real 2.67 user 0.64 sys

$ /usr/bin/time openssl enc -d -aes-128-cbc -in cipher.txt -out plain.txt -K 0 -iv 0
3.59 real 2.92 user 0.63 sys

$ diff datei.txt plain.txt

AES in CBC mit 256 Bit

$ /usr/bin/time openssl enc -e -aes-256-cbc -in datei.txt -out cipher.txt -K 0 -iv 0
4.23 real 3.31 user 0.85 sys

$ /usr/bin/time openssl enc -d -aes-256-cbc -in cipher.txt -out plain.txt -K 0 -iv 0
4.29 real 3.59 user 0.65 sys

$ diff datei.txt plain.txt

BF in CBC mit 128 Bit

$ /usr/bin/time openssl enc -e -bf-cbc -in datei.txt -out cipher.txt -K 0 -iv 0
2.30 real 1.64 user 0.60 sys

$ /usr/bin/time openssl enc -d -bf-cbc -in cipher.txt -out plain.txt -K 0 -iv 0
2.35 real 1.75 user 0.55 sys

$ diff datei.txt plain.txt

Für Blowfish 448 Bit hab ich leider nichts gefunden bzw. lässt sich soweit ich informiert bin ausschliesslich mit der OpenSSL API programmieren.

Die obigen Messwerte sind auf XEON 2.4 GHz, 1 GB RAM und auf einem nacktem FreeBSD 8 durchgeführt worden.

Gruss
bsdagent

 

[Wasp]

Wenn es nur um die Geschwindigkeit geht [..]

Und genau davon wollte ich gerade endlich mal ein wenig weg (vgl.: mein letzter Beitrag).

Wenn man also die Geschwindigkeitsvorteile von AES vollkommen außer Acht läße[..]

 

[k_e_x]

Nur mal so noch als kleines Rechenbeispiel !_wie_! weit wir davon entfernt sind AES-128 zu knacken:

http://www.spiegel.de/netzwelt/tech/0,1518,558511,00.html

Der Superrechner kann also 10^15 Operationen pro Sekunde ausfuehren, bei Wikipedia wurde von einem Fiktiven Geraet ausgegangen was 10^18 Operationen pro Sekunde schafft, was hierbei immernoch eine Dauer von 10^13 Jahren zur Schluesselsuche ergeben wuerde. Wenn man sich jetzt mal veranschaulicht das 10^15 gerade einmal 0.1% von 10^18 sind und man deshalb also gerade mal schlappe 1000 Superrechner von der Sorte braucht um eine Rechendauer von 10^13 Jahren zu erhalten (was wie angegeben das Alter des Universiums uebersteigt).

Jetzt gehen wir mal ganz drastisch davon aus das die Menschheit in 10 Jahren eine gesamte Rechenpower von 10^21 Operationen ausfuehren kann und dies selbstverstaendlich auch macht um unser AES auf unserer Heimfestplatte zu knacken, so kann man davon ausgehen dass das immernoch 10^10 Jahre also 10 Milliarden Jahre dauert. Wie jeder weiss ist unsere Sonne bis dahin laengst ausgeglueht - sorry ;-)

 

[Endorphine]

Volle Zustimmung für k_e_x.

Und wenn irgendein Mathe-Genie irgendwann das diskrete Logarithmusproblem bei asymmetrischer Verschlüsselung wenigstens erstmal stark vereinfacht steht mit ECC (asymmetrische Verschlüsselung auf Basis elliptischer Kurven) seit längerer Zeit auch schon ein potenzielles Nachfolgeverfahren bereit. Nebenbei braucht man mit ECC dann nur noch doppelt so lange Schlüssel wie bei symmetrischen Verschlüsselungsverfahren für vergleichbare Sicherheit, z. B. statt RSA-3072 nur noch ECC-256.

Man kann sich beim aktuellen Stand der Kryptografie also für den Hausgebrauch sehr bequem zurücklehnen finde ich. Und wenn sich Kryptobeschleuniger in Hardware mehr durchsetzen und geli irgendwann auf AES-XTS statt -CBC setzt, wird's sogar richtig kuschlig im Sessel, in dem man sich zurücklehnt.

 

[d4mi4n]

Wenn ich von den Vorteilen von AES-128 lese, dann frage ich mich, warum diese Leute mit RSA hantieren

 

[Endorphine]

Wenn ich von den Vorteilen von AES-128 lese, dann frage ich mich, warum diese Leute mit RSA hantieren

Das ist ironisch gemeint, oder?

Die Virenschreiber wollen ja damit Geld verdienen, in dem sie den Schlüssel zum Entschlüsseln nur gegen Geld rausrücken. Wenn man symmetrisch verschlüsseln würde, bekäme man den Schlüssel ja schon irgendwie aus dem Virus heraus.

 

[d4mi4n]

Der grüne Punkt sagt alles

In den Kommentaren steht was von wegen "Knacken des Keys = illegal in D".
Falls da wirklich jemand unserer Politiker was dagegen haben sollte, dann -> schöne neue Welt.

 

[condor]

Volle Zustimmung für k_e_x.

Man kann sich beim aktuellen Stand der Kryptografie also für den Hausgebrauch sehr bequem zurücklehnen finde ich. Und wenn sich Kryptobeschleuniger in Hardware mehr durchsetzen und geli irgendwann auf AES-XTS statt -CBC setzt, wird's sogar richtig kuschlig im Sessel, in dem man sich zurücklehnt.

Sieht so aus, als ob zumindest die OpenBSD Leute auf dem Hackathon auch daran gedacht hätten, siehe:

Implement the AES XTS mode of operation for the crypto(9) framework.
XTS is a "tweaked" AES mode that has properties that are desirable
for block device encryption and it is specified in the IEEE
P1619-2007 standard for this purpose.

 

[bsdagent]

Hi

Einiege Links zum Thema AES und Theoretische angriffe:

• Serpent (Verschlüsselung).
• Attacke gegen AES.
• Die Gegenargumente zur AES attacke.

Gruss
bsdagent

 

[Endorphine]

Im Thread wurde doch ausführlich erklärt, dass es nicht der symmetrische Kryptoalgorithmus ist, der die Sicherheit begrenzt. Warum wieder FUD streuen?