hi,

ich muss dringend was unter linux und windows verschlüsseln auf einem usb stick und auf einer ntfs partition und habe für diesen zweck truecrypt unter windows getestet und war sehr zufrieden damit. ich nutze als verschlüsslung die mischung aus serpent und aes, die müsste ja ziemlich sicher sein, oder?

und wie ist die linux version? kann man damit auf die selbe volume-datei zugreifen wie die windows version, z.b. wenn man die auf einem usb stick ablegt?

und welcher hashing algorithmus ist am sichersten?

Hi Gr3ml1n,

weil es so dringend ist: Truecrypt ist unter Linux genau so gut wie unter Windows. Und du kannst selbstverständlich den gleichen Container unter beiden OS benutzen.

Du hast Truecrypt also getestet. Toll ... . Nicht etwa gleich noch nach Dommon Criteria evaluiert? Und auch gleich zwei Algorithmen genutzt. Einfach Spitze.
Mir fällt jetzt nur noch eines ein: Entsorge schnellstens deinen PC und kaufe dir umgehend nach Zone 0 getestete Rechner. Und zwar überall, wo du deinen Stick mountest. Nicht, dass dir die die auswertbare elektromagnetische Abstrahlung die Sicherheit deiner beiden Algorithmen aushebelt ... .

Sorry, aber ich habe von mir immer gedacht, dass ich berufsbedingt etwas paranoide bin. Aber nun bin ich beruhigt ... .

Nebenbei: Ich nutze AES und SHA1 - und verschwende keinen Gedanken daran, dass meine Kollegen meine "Geheimnisse" lüften können.

MfG Peter

Du hast Truecrypt also getestet. Toll ... . Nicht etwa gleich noch nach Dommon Criteria evaluiert? Und auch gleich zwei Algorithmen genutzt. Einfach Spitze.
Mir fällt jetzt nur noch eines ein: Entsorge schnellstens deinen PC und kaufe dir umgehend nach Zone 0 getestete Rechner. Und zwar überall, wo du deinen Stick mountest. Nicht, dass dir die die auswertbare elektromagnetische Abstrahlung die Sicherheit deiner beiden Algorithmen aushebelt ... .
Hä? Gibt's einen Grund für diese Unsachlichkeit :confused:

Seien wir mal sachlich ;)

Wenn sowohl Serpent als auch Rijndael mit jeweils mindestens 128 bit genommen wurden _UND_ die Passphrase lang, mit Sonderzeichen, usw. ist, dann sind deine Daten sicher genug.

Was ist daran unsachlich?
Ich habe ihm lediglich (zugegebenermaßen etwas ironisch) mitgeteilt, dass
- TC unter Linux genau so gut funktioniert, wie unter Windows,
- dass er die gleichen Container unter beiden OS nutzen kann
- dass die ggw. einzig ausnutzbare Schwachstelle die Auswertung der EMV-Ausstrahlung ist. (die Onlinedurchsuchung ist ja zur Zeit noch nicht gestattet).
- und ich habe ihm die (sehr teuere) Lösung zur Vermeidung eben dieser Schwachstelle genannt. Den Brute-Force-Angriff bezeichne ich bewusst nicht als Schwachstelle, denn den gibt es ja außer beim one-time-Pad bei jedem Verfahren.

Vielleicht war ich bei der Kommentierung der gleichzeitigen Nutzung von zwei Algorithmen etwas zu ironisch. Gr3ml1n, solltest du damit nicht zurechtkommen, dann bitte ich dich um Verzeihung.

Mit dieser Zeile als Programmverknüpfung kannst du einen auf einer Windowspartition liegenden Container mit einem Klick mounten: (anzupassendes Beispiel ...)
truecrypt -u /windows/F/Container/Container_1.tc /home/peter/krypto/

Zu deiner Frage mit den Hashfunktionen:
Auf der Expertenanhörung zu Kryptoalgorithmen und Hashfunktionen vom 26.11.07 wurde die Empfehlung (!) ausgesprochen, SHA-1 ab Ende 2007 nicht mehr zur Erzeugung qualifizierter elektronischer Signaturen zu nutzen. (U. a. hat auch Heise darüber berichtet.) Als Nachfolger wurden SHA-256 und SHA-512 angesprochen. Die o.g. Empfehlung hat noch nichts damit zu tun, dass SHA-1 nicht mehr für Truecrypt genutzt werden sollte. Auch im professionellen Bereich, wie zum Beispiel E-Mailsignatur mit fortgeschrittenen Zertifikaten, wird SHA-1 noch eine Weile Bestand haben. Nur eben nicht mehr bei den qualifizierten Signaturen, aber das ist wirklich "eine Welt für sich".

MfG Peter

Seien wir mal sachlich ;)

Wenn sowohl Serpent als auch Rijndael mit jeweils mindestens 128 bit genommen wurden _UND_ die Passphrase lang, mit Sonderzeichen, usw. ist, dann sind deine Daten sicher genug.
Die Frage ist einfach: sicher wogegen? Vor deiner kleinen Schwester, vor deinem Chef, vor einem zufälligen Finder, vor irgendwelchen Behörden?

Ich habe eine Frage zum Thema TrueCrypt und Linux, aber bevor ich jetzt einen neuen Thread aufmache Poste ich es jetzt mal hier. Ich nutze Kubuntu und Truecrypt, aus meiner Windows Zeit bin ich es aber noch mit der GUI gewohnt. Was mich noch etwas stört ist, dass ich beim erstellen eines neuen Volumes 320 Zufallszahlen/Buchstaben eingeben soll, gibt es dafür keine möglichkeit die Zeichen automatisch zu generieren? Unter Windows war es ja immer Automatisch.

Ausserdem stört mich die Tatsache, dass Daten aus dem Container unverschlüsselt auf die Swap Partition kommen können, kann man TrueCrypt irgendwie untersagen, Daten zu Swappen? Oder lässt sich die Swap Partition vielleicht temporär deaktivieren, während ich mit TrueCrypt arbeite? Wenn es dafür einen Befehl gibt, könnte man den ja in einem kleinen Script einbinden das jedesmal ausgeführt wird wenn ich TC starte...
Danke schonmal!

Ausserdem stört mich die Tatsache, dass Daten aus dem Container unverschlüsselt auf die Swap Partition kommen können, kann man TrueCrypt irgendwie untersagen, Daten zu Swappen?Leider keine Ahnung, da ich mit TrueCrypt noch keine Erfahrung habe.
Aber du kannst eine Swappartition verschlüsseln:
http://www.linuxforen.de/forums/showpost.php?p=1194206&postcount=5
und deaktivieren kannst du sie auch im laufenden System:

swapoff

Gruß,
gadget

Die Frage ist einfach: sicher wogegen? Vor deiner kleinen Schwester, vor deinem Chef, vor einem zufälligen Finder, vor irgendwelchen Behörden?

Gegen alle oben genannte. Während 128 bit sicherlich am unteren Ende des momentan als "sicher" anzunehmenden Bereiches zu finden ist, dürfte ein Großteil der aktuellen Schwachstellen wohl eher in Passphrases mit geringer Stärke zu finden sein.

Abhängig von anderen Faktoren, wie Rechenleistung, ist es damit im Zweifelsfall ausreichend, wenn AES in irgendeiner Stärke genommen wird. Zusammen mit gutem hashing der Passphrase sollte das reichen.

Wer mag kann natürlich auch 256 bit nehmen, aber dann sollte man auch darüber nachdenken ob nicht die Struktur von AES (also Rijndael) es nicht nötig macht, mehr als einen Algorithmus zu nehmen. ;)

Meine persönliche Vermutung ist allerdings, das 128 bit vollkommen ausreichend sind, auch gegen Behörden. Wenn man Dinge auch dem Rechner hat, die mehr Sicherheit benötigen, dann sollte man über mehr als nur den Algorithmus nachdenken.

Meine persönliche Vermutung ist allerdings, das 128 bit vollkommen ausreichend sind, auch gegen Behörden.
Na, dann können wir ja alle beruhigt sein :ugly:

Ich habe eine Frage zum Thema TrueCrypt und Linux, aber bevor ich jetzt einen neuen Thread aufmache Poste ich es jetzt mal hier. Ich nutze Kubuntu und Truecrypt, aus meiner Windows Zeit bin ich es aber noch mit der GUI gewohnt. Was mich noch etwas stört ist, dass ich beim erstellen eines neuen Volumes 320 Zufallszahlen/Buchstaben eingeben soll, gibt es dafür keine möglichkeit die Zeichen automatisch zu generieren? Unter Windows war es ja immer Automatisch.

Unter Windows geht das auch nicht automatisch. Da muss man auch mit der Maus oder Tastatur herumfuchteln bzw -tippen bis der Balken komplett blau ist. Aber wieso willst du unbedingt 320 Zeichen eintippen? Hat dein Rechner keine Maus? Damit geht das doch recht fix.


Ausserdem stört mich die Tatsache, dass Daten aus dem Container unverschlüsselt auf die Swap Partition kommen können, kann man TrueCrypt irgendwie untersagen, Daten zu Swappen?
Oder lässt sich die Swap Partition vielleicht temporär deaktivieren, während ich mit TrueCrypt arbeite? Wenn es dafür einen Befehl gibt, könnte man den ja in einem kleinen Script einbinden das jedesmal ausgeführt wird wenn ich TC starte...
Danke schonmal!

Einfach keine Swap-Partition anlegen. ;)

Wie wäre encrypted swap via crypttab?

Wie wäre encrypted swap via crypttab?Z. B.
Einen Link dazu hatte ich in #8 gesetzt.

Ja und nein, (wahrscheinlich) abhängig von der Distribution geht auch



#swap /dev/hdx4 SWAP -c aes-cbc-essiv:sha256 -s 256


in der crypttab.