Bringt verschlüsseln eigentlich was?

Nite

Happy BSD User :)
Hallo,

ich mich bisher noch nicht so stark mit dem Thema auseinandergesetzt, bin aber wieder darauf gekommen und wollte mich gerne ein wenig informieren.
Laut der FreeBSD-Doku können Programme die gdbe oder geli verschlüsseln.
Nun könnte doch auch jemand Unbefugtes doch meine Festplatte nehmen und wenn er weiß, dass ich FreeBSD und auch gdbe oder geli verwende, einfach den Programmquellcode von den Repos beziehen und schon war die Verschlüsselung für die Katz? Oder wie muss ich das sehen?


Danke
 

Amin

Well-Known Member
Nein, er muß ja dann erstmal das Passwort bzw. Passphrase kennen, die du zum Verschlüsseln benutzt hast.
Er müsste dieses dann schon aus dir rausprügeln, um die Daten entschlüsseln zu können.:D
 

Nite

Happy BSD User :)
Ach so.. Also wird mithilfe eines Passwortes die Verschlüsselung durchgeführt?
Daran hatte ich nun nicht gedacht; macht wohl Sinn.^^
 

bsdagent

Auch im #bsdforen.de Chat
Abend

Du kannst mit GELI auch via USB-Stick FreeBSD verschlüsseln und das natürlich auch in verbindung mit oder ohne einer Passphrase.

Gruss
bsdagent
 

nakal

Anfänger
einfach den Programmquellcode von den Repos beziehen und schon war die Verschlüsselung für die Katz?

Das ist ja gerade der Witz der Sache. Ausschließlich die Algorithmen die im Detail bekannt sind, können sichere Verschlüsselung garantieren. Algorithmen, die sich auf Security-by-Obscurity verlassen haben das Problem, dass lediglich die Funktionsweise des Algorithmus zu rekonstruieren ist und dazu gibt es (sehr) einfache Methoden. Also der Schutz ist keiner.

"Richtige" Verschlüsselungsmethoden basieren auf mathematischen Problemen, die von Experten als "schwierig" klassifiziert wurden. Reverse-Engineering (also Rekonstruktion eines Verfahrens) gehört dazu nicht. Das ist stupide und sogar automatisierbare Arbeit.
 

Daemotron

Well-Known Member
Zum Thema Geheimhaltung Schlüssel vs. Geheimhaltung Algorithmus siehe http://de.wikipedia.org/wiki/Kerckhoffs’_Prinzip

Ansonsten sei noch hinzugefügt, dass nicht das Passwort direkt zum Verschlüsseln herangezogen wird, sondern je nach gewähltem Algorithmus das Passwort als Ausgangsbasis für die Erzeugung eines Schlüssels dient - wobei hierbei deterministische Algorithmen zum Einsatz kommen, die garantieren, dass dieselbe Ausgangsbasis stets zur Erzeugung desselben Schlüssels führt. Insofern relativiert sich die Aussage "langes Passwort = mehr Sicherheit" etwas, da z. B. Blowfish-448 immer mit einem 448 Bit großen Schlüssel operiert, egal wie lang das Passwort war. Es wird für einen Angreifer allerdings umso leichter, besagte Ausgangsbasis zu erraten, je geringer die Anzahl der zu erratenden Zeichen ist.

Um zur Grundfrage zurückzukommen: Ob das Verschlüsseln der Festplatte etwas bringt, hängt von mehreren Faktoren ab. /usr zu verschlüsseln ist IMHO Vergeudung von Rechenleistung, da der Inhalt i.d.R. aus ohnehin öffentlich zugänglichen Daten besteht. Interessant sind in diesem Zusammenhang hauptsächlich /etc, /home und /var sowie swap, da diese Partitionen Nutzdaten enthalten (können), die vielleicht schützenswert sind.

Es gibt aber Handlungsweisen, die den Schutz, den transparente Verschlüsselung à la GELI bietet, wieder aushebeln. Dazu gehören:
  • Erzeugung von Backups auf nicht verschlüsselten Datenträgern
  • Versenden von Daten über unverschlüsselte Kanäle (E-Mail, FTP, ...)
  • Wahl eines offensichtlichen Kennworts oder sorgloser Umgang mit selbigem
  • Abspeichern der Schlüssel oder Kennwörter auf einer unverschlüsselten Partition desselben Rechners
  • Verwendung von Suspend to RAM oder Suspend to Disk anstatt den Rechner richtig herunterzufahren
  • Ungenügender Schutz gegen unbefugten phyischen Zugang zum Rechner (Stichwort: Restdaten in RAM-Bausteinen auch nach dem Ausschalten)
 

nakal

Anfänger
Für mich ist dabei eigentlich in erster Linie wichtig, dass wenn mein Notebook in falsche Hände gerät, meine Daten geschützt sind. Meine Annahme ist, dass das Notebook ausgeschaltet ist/wird.

Wenn man natürlich die Passwortabfrage modifiziert, dass das Passwort abgefangen wird, zum Beispiel durch einen untergeschobenen "bösen Kernel" oder "böses Programm", dann ist das ein Problem. Aber dagegen kann man sich auch ziemlich trivial schützen.
 

Daemotron

Well-Known Member
Für mich ist dabei eigentlich in erster Linie wichtig, dass wenn mein Notebook in falsche Hände gerät, meine Daten geschützt sind. Meine Annahme ist, dass das Notebook ausgeschaltet ist/wird.

Diesen Zweck erfüllt transparente HDD-Verschlüsselung ja auch bestens. Mithin wollte ich vor allem auf eines hinaus: aus technischer Sicht lässt sich mit Verschlüsselung in puncto Sicherheit viel erreichen. Der größte Killerfaktor ist einfach immer noch der (End-)Anwender.

Man stelle sich vor: Laptop-Tasche samt Inhalt kommt abhanden. Für die Firma vordergründig nicht weiter tragisch, für den Verlust kommt die Versicherung auf, und die Daten waren ja geschützt (Safe Guard Easy mit AES-256). Aber: $Luser hatte in der Tasche einen USB-Stick, auf dem sich die wirklich wichtigen Daten befanden, und der war natürlich in keinster Weise gegen unbefugten Zugriff gesichert.
 
Oben