Hallo,
ich habe gestern einmal nachgeforscht, ob TrueCrypt und VeraCrypt inzwischen geknackt wurden und fand dabei die Firma "Elcomsoft", die Werbung für ihre Passwort Recovery Software macht. Die Software gibt es ab etwa 600 Euro. Das Forensic Bundle kostet max. 5000 Euro.
Außer TrueCrypt und VeraCrypt werden BitLocker, ZIP, 7Zip, PGP, RAR und andere Kryptoprogramme angeblich geknackt.
Bei dem Linux Verschlüsselungsprogramm LUKS sieht es nicht besser aus. Dieses kann offensichtlich mit dem Programm "hashcat" geknackt werden.
Wenn diese Angaben stimmen, wissen wir alle, dass sämtliche Kryptoprogramme letztendlich Schrott sind. Ihre Benutzung ist reine Zeitverschwendung, wenn die HD in die Hände von Profis gelangt.
https://www.elcomsoft.de/police_and_law_enforcement_solutions.html
Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge
Bei den ganzen Dingern wird nicht die Verschlüsselung an sich zu brechen versucht, sondern die Passwörter, um danach Zugriff auf die Container zu bekommen.
Aber Du hast es selbst nett gesagt: Werbung...
Ich habe mir die Demoversion des Programmes "ElcomSoft Distributed Password Recovery" heruntergeladen und konnte das Passwort einer mit 7ZIP verschlüsselten Datei innerhalb weniger Sekunden wiederherstellen lassen. Die Demoversion behauptete dies zumindest, da das Passwort natürlich nicht angezeigt wurde.
Ich habe mir die Demoversion des Programmes "ElcomSoft Distributed Password Recovery" heruntergeladen und konnte das Passwort einer mit 7ZIP verschlüsselten Datei innerhalb weniger Sekunden wiederherstellen lassen. Die Demoversion behauptete dies zumindest, da das Passwort natürlich nicht angezeigt wurde.
Das ist schon klar und ob´s stimmt, weisst Du trotzdem erst, wenn Du geblecht hast:-(
Aber Du hast geschrieben, dass die Verschlüsselung selber geknackt wird und bist dann zu der weisen Erkenntnis gelangt, dass die Programme daher "Schrott" sind und diese daher keinen Sinn haben.
Das stimmt so nicht.
Außer TrueCrypt und VeraCrypt werden BitLocker, ZIP, 7Zip, PGP, RAR und andere Kryptoprogramme angeblich geknackt. Bei dem Linux Verschlüsselungsprogramm LUKS sieht es nicht besser aus. Dieses kann offensichtlich mit dem Programm "hashcat" geknackt werden.
Wenn diese Angaben stimmen, wissen wir alle, dass sämtliche Kryptoprogramme letztendlich Schrott sind. Ihre Benutzung ist reine Zeitverschwendung, wenn die HD in die Hände von Profis gelangt.
hashcat ist übrigens OpenSource und auf solchen Distris wie Kali Linux enthalten, kann man aber auch selbst installieren.
Hier gibt es eine nette Anleitung inklusive Link zu xkcd für das Erstellen von sicheren Passwörtern.
Die Progs nutzen dem Beschreiben nach in erster Linie Wörterbuch und BruteForce und nutzen dabei lediglich zusätzlich die Rechenleistung der Graka. Ob´s dafür zwingend die scheissteuren Dinger braucht von Elcomsoft?
Ergo ist nicht die Verschlüsselung scheise und obsolet, sondern schwache Passwörter. Am Ende ist alles irgendwie und irgendwann "knackbar", die Frage ist lediglich die des Aufwandes.
Deswegen werde ich z.B. trotzdem weiter verschlüsseln und es sollten noch viel mehr sein, die das tun. Sei es auch einfach nur, um den Aufwand in die Höhe zu treiben und darüber die Angriffsfläche so zu streuen, dass Einzelne kein auszumachendes Ziel mehr sind.
Danke für die Hinweise. Ich werde versuchen mich in die Thematik einzuarbeiten. Als Laie habe ich natürlich geschrieben, dass die Verschlüsselung geknackt wird, aber ich meinte eher, dass die Passwörter wiederhergestellt werden können (wie Du richtig gesagt hast), beispielsweise durch einen Brute Force Angriff.
und konnte das Passwort einer mit 7ZIP verschlüsselten Datei innerhalb weniger Sekunden wiederherstellen lassen.
War es denn ein sicheres Passwort?
7-Zip auch nicht das optimale Beispiel, da die kryptographische Sicherheit in Folge von Implementierungsfehlern unnötig geschwächt wurde.
Nein, es war sehr unsicher, denn es hatte nur drei Zeichen.
Ich habe gerade erneut mit 7-Zip verschlüsselten Dateien experimentiert. Ich benutzte oben genannte Software im Brute Force Modus.
Drei Zeichen (Kleinbuchstaben): 66 s
Vier Zeichen (Kleinbuchstaben): 30m 44s
Ich habe einen Ryzen 5 2400G ohne zusätzliche Graka.
Dieser berechnete zwischen 25 und 40 Passwörter pro Sekunde.
Mir ist außerdem aufgefallen, dass "ElcomSoft Distributed Password Recovery" während der Wiederherstellung des PW immer online war. Deswegen habe ich gerade eben ein Backup meines Windows 10 aufgespielt. Man weiß ja nie, was diese Firma sonst noch macht.
Nein, es war sehr unsicher, denn es hatte nur drei Zeichen. […] Ich benutzte oben genannte Software im Brute Force Modus. Drei Zeichen (Kleinbuchstaben): 66 s Vier Zeichen (Kleinbuchstaben): 30m 44s
Das ist nun überhaupt nicht aussagekräftig, außer um noch mal zu sehen dass extrem kurze Passwörter überhaupt keine Sicherheit bringen.
Probier es mal mit 12 Zeichen incl. Großbuchstanben und Ziffern (62^12 Passwörter; "bisschen" mehr als 26^4) und sage uns bescheid wenn Du fertig bist. Werden wir aber unabhängig vom Alter beide nicht mehr miterleben bei der genannten Geschwindigkeit…
Da ist doch irgendwo ein Laptop am gammeln mit
n paar hundert Millionen Dollar im Bauch.
Mal bewerben. Vielleicht bekommen die ja was ab. A
Netter Grundlagentext für Einsteiger: